Preparazione dell'infrastruttura di rete per la configurazione dell'accesso Extranet
Si applica a: Azure, Office 365, Power BI, Windows Intune
Per eseguire tutte le attività mediante le procedure descritte di seguito, è necessario innanzitutto essere connessi ai computer come membri del gruppo Administrators o aver avuto la delega di autorizzazioni equivalenti.
Elenco di controllo: Preparare l'infrastruttura di rete per la configurazione dell'accesso extranet
Operazione di distribuzione | Collegamenti agli argomenti di questa sezione | Completato |
---|---|---|
1. Preparare due computer che eseguono Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 sistema operativo da configurare come proxy server federativo. Se si usa ADFS in Windows Server 2012 R2, i computer proxy devono inoltre eseguire Windows Server 2012 R2 ed è necessario distribuire il proxy applicazione Web, un nuovo servizio ruolo di Accesso remoto che può essere usato per configurare ADFS per l'accesso Extranet. A seconda del numero di utenti di cui si dispone, è possibile utilizzare i proxy server o Web esistenti oppure un computer dedicato. |
N/D |
|
2. Aggiungere il nome del servizio federativo nella rete aziendale (il nome DNS del cluster creato in precedenza nell'host bilanciamento carico di rete nella rete aziendale) e l'indirizzo IP del cluster associato ai file host in ogni proxy server federativo o computer proxy applicazione Web nella rete perimetrale. |
Aggiunta del nome DNS e dell'indirizzo IP del cluster al file degli host del computer proxy |
|
3. Creare un nuovo nome DNS del cluster e un nuovo indirizzo IP del cluster nell'host bilanciamento carico di rete nella rete perimetrale e quindi aggiungere i computer server federativa al cluster bilanciamento carico di rete. Se si utilizza la tecnologia Windows Server per gli host NLB attuali, scegliere il collegamento appropriato riportato a destra in base alla versione del sistema operativo in uso. Importante Il nome DNS del cluster utilizzato per questo nuovo cluster NLB deve corrispondere al nome del servizio federativo della rete aziendale. Nota Questo passaggio è facoltativo in una distribuzione di prova di questa soluzione SSO con un singolo server federativo ADFS. |
Per creare e configurare cluster di bilanciamento carico di rete in Windows Server 2003 e Windows Server 2003 R2, vedere Elenco di controllo: Abilitazione e configurazione del bilanciamento del carico di rete. Per creare e configurare cluster di bilanciamento carico di rete in Windows Server 2008, vedere Creazione di cluster di bilanciamento del carico di rete. Per creare e configurare cluster di bilanciamento carico di rete in Windows Server 2008 R2, vedere Creazione di cluster di bilanciamento del carico di rete. Per altre informazioni su Bilanciamento carico di rete in Windows Server 2012 o Windows Server 2012 R2, vedere Panoramica del bilanciamento del carico di rete. |
|
4. Creare un nuovo record di risorse per il cluster bilanciamento carico di rete nel DNS della rete perimetrale che punta il nome DNS del cluster di bilanciamento carico di rete all'indirizzo IP del cluster. |
Aggiungere un record host (A) al perimetro DNS per un server Web abilitato per ADFS |
|
5. Utilizzare lo stesso certificato di autenticazione server usato dai server federativi nella rete aziendale. Se si usa ADFS in Windows Server 2008 o Windows Server 2012, è necessario installare questo certificato nel sito Web predefinito del computer proxy server federativo. Se si usa ADFS in Windows Server 2012 R2, è necessario importare questo certificato nell'archivio certificati personali nel computer che fungerà da proxy applicazione Web. |
Importazione di un certificato di autenticazione server nel computer proxy |
Aggiunta del nome DNS e dell'indirizzo IP del cluster al file degli host del computer proxy
Affinché il proxy server federativo o il proxy applicazione Web funzioni correttamente nella rete perimetrale, è necessario aggiungere al file degli host di ciascun computer proxy server federativo o computer proxy applicazione Web una voce che punti al nome DNS del cluster ospitato da Bilanciamento carico di rete nella rete aziendale (ad esempio, fs.fabrikam.com) e al relativo indirizzo IP (ad esempio, 172.16.1.3). L'aggiunta di questa voce al file degli host consente al proxy server federativo o al proxy applicazione Web di instradare correttamente una chiamata avviata sul lato client a un server federativo all'interno o all'esterno della rete perimetrale.
Agggiunta del nome DNS e dell'indirizzo IP del cluster al file degli host del proxy
Passare alla cartella della directory %systemroot%\Winnt\System32\Drivers e individuare il file degli host.
Avviare il Blocco note, quindi aprire il file degli host.
Aggiungere l'indirizzo IP e il nome host di un server federativo al file degli host, come riportato nel seguente esempio:
172.16.1.3fs.fabrikam.com
Salvare e chiudere il file.
Importante
Se l'indirizzo IP del cluster nell'host di Bilanciamento carico di rete della rete aziendale dovesse cambiare, sarà necessario aggiornare il file degli host locale di ciascun proxy server federativo o proxy applicazione Web.
Aggiunta di un record di risorse al DNS perimetrale per il nome DNS del cluster configurato sull'host NLB perimetrale
Per soddisfare le richieste di autenticazione da client interni o esterni alla rete perimetrale, ADFS richiede che la risoluzione dei nomi sia configurata in server DNS rivolti all'esterno che ospitano la zona dell'organizzazione (ad esempio fabrikam.com).
Per eseguire questa operazione, aggiungere un record di risorse host (A) al server DNS con accesso all'esterno che serve solo la rete perimetrale per il nome DNS del cluster (ad esempio, “fs.fabrikam.com”) che punti all'indirizzo IP del cluster esterno che è stato appena configurato.
Aggiunta di un record di risorse al DNS perimetrale per il nome DNS del cluster perimetrale configurato sull'host NLB perimetrale
In un server DNS per la rete perimetrale aprire lo snap-in DNS. Fare clic su avviare, scegliere Strumenti di amministrazione, quindi fare clic su DNS.
Nell'albero della console fare clic con il pulsante destro del mouse sulla zona di ricerca diretta applicabile (ad esempio, fabrikam.com), quindi scegliere Nuovo host (A o AAAA).
In Nome digitare solo il nome DNS del cluster specificato nell'host di Bilanciamento carico di rete della rete perimetrale (deve essere lo stesso nome DNS del nome del servizio federativo). Ad esempio, per l'FQDN fs.fabrikam.com, digitare fs.
In Indirizzo IP digitare l'indirizzo IP del nuovo indirizzo IP del cluster specificato nell'host di Bilanciamento carico di rete della rete perimetrale. Ad esempio, 192.0.2.3.
Fare clic su Aggiungi host.
Importazione di un certificato di autenticazione server nel computer proxy
Dopo aver ottenuto un certificato di autenticazione server usato da uno dei server federativi della rete aziendale, è necessario installare manualmente il certificato in una delle seguenti posizioni:
Nel sito Web predefinito per ogni proxy server federativo dell'organizzazione, se si usa ADFS in Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012.
Nell'archivio personale di ogni proxy applicazione Web dell'organizzazione, se si usa ADFS in Windows Server 2012 R2.
poiché il certificato deve essere considerato attendibile dai client di ADFS e dai servizi cloud Microsoft, utilizzare un certificato SSL rilasciato da un'autorità di certificazione pubblica (di terze parti) o da un'autorità di certificazione subordinata a una CA radice pubblicamente attendibile, ad esempio VeriSign o Thawte. Per informazioni sull'installazione di un certificato da una CA pubblica, vedere IIS 7.0: richiedere un certificato del Server Internet.
Nota
Il nome soggetto di questo certificato di autenticazione deve corrispondere al FQDN del nome DNS del cluster (ad esempio, fs.fabrikam.com) che è stato creato in precedenza sull'host NLB. Se Internet Information Services (IIS) non è stato installato, è necessario installare prima IIS per completare questa operazione. Al momento di installare IIS per la prima volta, si consiglia di utilizzare le opzioni caratteristica predefinite quando richiesto durante l'installazione del ruolo server.
Per importare un certificato di autenticazione server nel sito Web predefinito del proxy server federativo
Fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi Gestione Internet Information Services (IIS).
Nell'albero della console fare clic su NomeComputer.
Nel riquadro centrale fare doppio clic su Certificati server.
Nel riquadro Azioni fare clic su Importa.
Nella finestra di dialogo Importa certificato fare clic sul pulsante ... .
Passare al percorso del file di certificato con estensione pfx, evidenziarlo e quindi fare clic su Apri.
Digitare una password per il certificato, quindi fare clic su OK.
Per importare un certificato di autenticazione server nell'archivio personale del proxy applicazione Web
- È possibile usare la procedura descritta in Importare un certificato per completare questa attività.
Passaggio successivo
Ora che l'infrastruttura di rete per i proxy applicazione Web o i proxy server federativo è stata preparata, il passaggio successivo consiste nell'eseguire le attività descritte nel seguente argomento o nel seguente elenco di controllo, a seconda della versione di ADFS che si intende usare:
Vedere anche
Concetti
Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On