Развертывание службы федерации Active Directory (AD FS) в Azure

службы федерации Active Directory (AD FS) (AD FS) предоставляет упрощенную, безопасную федерацию удостоверений и возможности единого входа в Интернете. Пользователи, федеративные с идентификатором Microsoft Entra или Microsoft 365, могут проходить проверку подлинности с помощью локальных учетных данных для доступа ко всем облачным ресурсам. В результате развертывание должно иметь высокодоступную инфраструктуру AD FS, чтобы обеспечить доступ к ресурсам как локально, так и в облаке.

Развертывание AD FS в Azure может помочь достичь высокой доступности без слишком много усилий. Существует несколько преимуществ развертывания AD FS в Azure:

  • Возможности групп доступности Azure предоставляют высокодоступную инфраструктуру.
  • Развертывания легко масштабировать. Если вам нужна более высокая производительность, вы можете легко перейти на более мощные компьютеры с помощью упрощенного процесса развертывания в Azure.
  • Геоизбыточность Azure обеспечивает высокую доступность инфраструктуры по всему миру.
  • Портал Azure упрощает управление инфраструктурой с помощью упрощенных параметров управления.

Принципы дизайна

На следующей схеме показана рекомендуемая базовая топология для развертывания инфраструктуры AD FS в Azure.

Схема, показывающая рекомендуемую базовую топологию для развертывания инфраструктуры AD FS в Azure.

Рекомендуется использовать топологию сети следующими общими принципами:

  • Разверните AD FS на отдельных серверах, чтобы избежать влияния на производительность контроллеров домена.
  • Необходимо развернуть серверы прокси-сервера веб-приложения (WAP), чтобы пользователи могли получать доступ к AD FS, если они не в корпоративной сети.
  • Необходимо настроить прокси-серверы веб-приложения в демилитаризованной зоне (DMZ) и разрешить доступ между dmZ и внутренней подсетью только TCP/443.
  • Чтобы обеспечить высокий уровень доступности серверов AD FS и прокси-серверов веб-приложений, рекомендуется использовать внутреннюю подсистему балансировки нагрузки для серверов AD FS и Azure Load Balancer для прокси-серверов веб-приложений.
  • Чтобы обеспечить избыточность развертывания AD FS, рекомендуется группировать две или несколько виртуальных машин в группе доступности для аналогичных рабочих нагрузок. Эта конфигурация гарантирует доступность по крайней мере одной виртуальной машины во время запланированного или незапланированного обслуживания.
  • Необходимо развернуть прокси-серверы веб-приложения в отдельной сети DMZ. Вы можете разделить одну виртуальную сеть на две подсети, а затем развернуть прокси-серверы веб-приложения в изолированной подсети. Параметры группы безопасности сети можно настроить для каждой подсети и разрешить только необходимую связь между двумя подсетями.

Развертывание сети

При создании сети можно создать две подсети в одной виртуальной сети или создать две разные виртуальные сети. Рекомендуется использовать единый сетевой подход, так как для создания двух отдельных виртуальных сетей также требуется создание двух отдельных шлюзов виртуальной сети для обмена данными.

Создание виртуальной сети

Чтобы создать виртуальную сеть, сделайте следующее:

  1. Войдите на портал Azure с помощью своей учетной записи Azure.

  2. На портале найдите и выберите "Виртуальные сети".

  3. На странице Виртуальные сети выберите команду + Создать.

  4. В разделе "Создание виртуальной сети" перейдите на вкладку "Основные сведения" и настройте следующие параметры:

    • Настройте следующие параметры в разделе сведений о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите имя существующей группы ресурсов или нажмите кнопку "Создать" , чтобы создать новую.

    • Настройте следующие параметры для сведений об экземпляре:

      • В поле "Имя виртуальной сети" введите имя виртуальной сети.

      • Для региона выберите регион, в который нужно создать виртуальную сеть.

  5. Выберите Далее.

  6. На вкладке "Безопасность " включите любую службу безопасности, которую вы хотите использовать, а затем нажмите кнопку "Далее".

  7. На вкладке IP-адресов выберите имя подсети, которую вы хотите изменить. В этом примере мы редактируем подсеть по умолчанию , которую служба автоматически создает.

  8. На странице "Изменение подсети" переименуйте подсеть в INT.

  9. Введите сведения о размере IP-адреса и подсети для подсети, чтобы определить пространство IP-адресов.

  10. Для группы безопасности сети выберите "Создать".

  11. В этом примере введите имя NSG_INT и нажмите кнопку "ОК", а затем нажмите кнопку "Сохранить". Теперь у вас есть первая подсеть.

    Снимок экрана: изменение подсети и добавление внутренней группы безопасности сети.

  12. Чтобы создать вторую подсеть, нажмите кнопку +Добавить подсеть.

  13. На странице "Добавление подсети" введите DMZ для второго имени подсети, а затем введите сведения о подсети в пустые поля, чтобы определить пространство IP-адресов.

  14. Для группы безопасности сети выберите "Создать".

  15. Введите имя NSG_DMZ, нажмите кнопку "ОК", а затем нажмите кнопку "Добавить".

    Снимок экрана: добавление новой подсети, включающей группу безопасности сети.

  16. Выберите Проверить и создать, а затем выберите Создать.

Теперь у вас есть виртуальная сеть, включающая две подсети, каждая из которых содержит связанную группу безопасности сети.

Снимок экрана: новые подсети и их группы безопасности сети.

Защита виртуальной сети

Группа безопасности сети (NSG) содержит список правил контроль доступа List (ACL), которые разрешают или запрещают сетевой трафик экземплярам виртуальных машин в виртуальной сети. Группы безопасности сети можно связать с подсетями или отдельными экземплярами виртуальных машин в одной из подсетей. Если NSG связана с подсетью, правила ACL применяются ко всем экземплярам виртуальных машин в этой подсети.

Группы безопасности сети, связанные с подсетями, автоматически включают некоторые правила для входящих и исходящих подключений по умолчанию. Правила безопасности по умолчанию невозможно удалить, но их можно переопределить с помощью правил с более высоким приоритетом. И вы можете добавить дополнительные правила для входящего и исходящего трафика в соответствии с уровнем безопасности, который вы хотите.

Теперь добавьте несколько правил в каждую из двух групп безопасности. В первом примере давайте добавим правило безопасности для входящего трафика в группу безопасности NSG_INT .

  1. На странице подсетей виртуальной сети выберите NSG_INT.

  2. Слева выберите правила безопасности для входящего трафика, а затем нажмите кнопку +Добавить.

  3. В разделе "Добавление правила безопасности для входящего трафика" настройте правило со следующими сведениями:

    • В качестве источника введите 10.0.1.0/24.

    • Для диапазонов исходных портов оставьте его пустым, если вы не хотите разрешить трафик или выбрать звездочку (*), чтобы разрешить трафик на любом порту.

    • Для назначения введите 10.0.0.0/24.

    • Для службы выберите HTTPS. Служба автоматически заполняет поля сведений для диапазонов портов назначения и протокола в зависимости от выбранной службы.

    • В поле Действие выберите Разрешить.

    • В качестве приоритета введите 1010.

    • В поле "Имя" введите AllowHTTPSFromDMZ.

    • В поле "Описание" введите "Разрешить обмен данными HTTPS" из DMZ.

  4. После завершения нажмите кнопку "Добавить".

    Снимок экрана: добавление правила безопасности для входящего трафика. Новое правило безопасности для входящего трафика теперь добавляется в начало списка правил для NSG_INT.

  5. Повторите эти действия со значениями, отображаемыми в следующей таблице. В дополнение к созданному правилу необходимо добавить следующие дополнительные правила в порядке приоритета, указанном для защиты внутренней и подсети DMZ.

    Группа безопасности сети (NSG) Тип правила Источник Назначение Service Действие Приоритет Имя Описание
    NSG_INT Исходящие Любое Тег службы или Интернет Custom (80/Any) Запрет 100 DenyInternetOutbound Нет доступа к Интернету.
    NSG_DMZ Входящий трафик Любой Любой Custom (звездочка (*)/Any) Разрешить 1010 AllowHTTPSFromInternet Разрешить HTTPS из Интернета в DMZ.
    NSG_DMZ Исходящие Любое Тег службы или Интернет Custom (80/Any) Запрет 100 DenyInternetOutbound Все, кроме HTTPS в Интернет, заблокировано.
  6. Завершив ввод значений для каждого нового правила, нажмите кнопку "Добавить " и перейдите к следующей, пока не будут добавлены два новых правила безопасности для каждой группы безопасности.

После настройки страницы группы безопасности сети должны выглядеть следующим образом:

Снимок экрана: группы безопасности сети после добавления правил безопасности.

Примечание.

Если для виртуальной сети требуется проверка подлинности сертификата пользователя клиента, например проверка подлинности clientTLS с помощью сертификатов пользователя X.509, необходимо включить TCP-порт 49443 для входящего доступа.

Создание подключения к локальной среде

Для развертывания контроллера домена в Azure требуется подключение к локальной среде. Вы можете подключить локальную инфраструктуру к инфраструктуре Azure с помощью одного из следующих вариантов:

  • Точка-сеть
  • виртуальная сеть типа "сеть — сеть"
  • ExpressRoute

Мы рекомендуем использовать ExpressRoute, если вашей организации не требуются подключения типа "точка — сеть" или виртуальная сеть подключения типа "сеть — сеть". ExpressRoute позволяет создавать частные подключения между центрами обработки данных Azure и инфраструктурой, которая находится в локальной среде или в среде совместного размещения. Подключения ExpressRoute также не подключаются к общедоступному Интернету, что делает их более надежными, быстрыми и более безопасными. Дополнительные сведения об ExpressRoute и различных вариантах подключения с помощью ExpressRoute см. в статье Технический обзор ExpressRoute.

Создание групп доступности

Для каждой роли (DC/AD FS и WAP) создайте группы доступности, содержащие по крайней мере два компьютера. Эта конфигурация помогает повысить доступность для каждой роли. При создании групп доступности необходимо решить, какие из следующих доменов вы хотите использовать:

  • В домене сбоя виртуальные машины используют один и тот же источник питания и физический сетевой коммутатор. Рекомендуется не менее двух доменов сбоя. Значение по умолчанию — 2 , и его можно оставить как есть для этого развертывания.

  • В домене обновления компьютеры перезагрузились вместе во время обновления. Рекомендуется не менее двух доменов обновления. Значение по умолчанию равно 5, и его можно оставить как есть для этого развертывания.

Чтобы создать группы доступности, выполните приведенные действия.

  1. Найдите и выберите группы доступности в портал Azure, а затем нажмите кнопку +Создать.

  2. В разделе "Создание группы доступности" перейдите на вкладку "Основные сведения" и введите следующие сведения:

    • В окне Сведения о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите существующую группу ресурсов или создайте новую , чтобы создать новую.

    • В разделе Сведения об экземпляре:

      • В поле "Имя" введите имя группы доступности. В этом примере введите contosodcset.

      • Для региона выберите регион, который вы хотите использовать.

      • Для доменов сбоя оставьте значение по умолчанию 2.

      • Для доменов обновления оставьте значение по умолчанию 5.

      • Для использования управляемых дисков выберите "Нет" (классическая версия) для этого примера.

    Снимок экрана: создание групп доступности.

  3. После завершения нажмите кнопку "Просмотр и создание", а затем нажмите кнопку "Создать".

  4. Повторите предыдущие шаги, чтобы создать вторую группу доступности с именем contososac2.

Развертывание виртуальных машин

Следующим шагом является развертывание виртуальных машин, на которых размещаются различные роли в инфраструктуре. Рекомендуется не менее двух компьютеров в каждом наборе доступности. В этом примере мы создадим четыре виртуальных машины для базового развертывания.

Чтобы создать виртуальные машины, выполните приведенные действия.

  1. Найдите и выберите виртуальные машины в портал Azure.

  2. На странице "Виртуальные машины " нажмите кнопку "+ Создать", а затем выберите виртуальную машину Azure.

  3. В разделе "Создание виртуальной машины" перейдите на вкладку "Основные сведения" и введите следующие сведения:

    • В окне Сведения о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите существующую группу ресурсов или создайте новую , чтобы создать новую.

    • В разделе Сведения об экземпляре:

      • В поле "Имя виртуальной машины" введите имя виртуальной машины. Для первого компьютера в этом примере введите contosodc1.

      • Для региона выберите регион, который вы хотите использовать.

      • Для параметров доступности выберите группу доступности.

      • Для группы доступности выберите contosodcset

      • Для типа безопасности выберите "Стандартный".

      • Для подписки выберите имя подписки.

      • Для образа выберите образ, который вы хотите использовать, а затем выберите "Настроить создание виртуальной машины" и выберите 1-е поколение.

    • В разделе "Учетная запись администратора":

      • Для параметра Тип проверки подлинности выберите значение Открытый ключ SSH.

      • В поле "Имя пользователя" введите имя пользователя, используемое для учетной записи.

      • В поле "Имя пары ключей" введите имя пары ключей, используемое для учетной записи.

    • Для всех не указанных значений можно оставить значения по умолчанию.

  4. По завершении нажмите кнопку "Далее: Диски". Снимок экрана: первые шаги по созданию виртуальной машины.

  5. На вкладке "Сеть" введите следующие сведения:

    • Для виртуальной сети выберите имя виртуальной сети, содержащей подсети, созданные в предыдущем разделе.

    • Для подсети выберите подсеть INT.

    • В списке Группа безопасности сети сетевого адаптера выберите Нет.

    • Для всего, что не указано, можно оставить значения по умолчанию. Снимок экрана: вкладка

  6. После выбора выберите "Просмотр и создание", а затем нажмите кнопку "Создать".

Повторите эти действия, используя сведения в этой таблице, чтобы создать три оставшихся виртуальных машины:

Virtual machine name Подсеть Параметры доступности Группа доступности Storage account
contosodc2 INT Группа доступности contosodcset contososac2
contosowap1 DMZ Группа доступности contosowapset contososac1
contosowap2 DMZ Группа доступности contosowapset contososac2

Параметры не указывают группу безопасности сети, так как Azure позволяет использовать группу безопасности сети на уровне подсети. Вы можете управлять сетевым трафиком компьютера с помощью отдельного NSG, связанного с подсетью или объектом сетевого адаптера. Дополнительные сведения см. в разделе "Что такое группа безопасности сети ( NSG)".

Если вы управляете DNS, рекомендуется использовать статический IP-адрес. Вы можете использовать Azure DNS и ссылаться на новые компьютеры с помощью полных доменных имен Azure в записях DNS для вашего домена. Дополнительные сведения см. в разделе "Изменение частного IP-адреса на статический".

На странице "Виртуальные машины" должны отображаться все четыре виртуальных машины после завершения развертывания.

Настройка серверов DC и AD FS

Для проверки подлинности любого входящего запроса ad FS необходимо связаться с контроллером домена. Чтобы сэкономить затратную поездку из Azure в локальный контроллер домена для проверки подлинности, рекомендуется развернуть реплику контроллера домена в Azure. Чтобы обеспечить высокий уровень доступности, лучше создать группу доступности по крайней мере двух контроллеров домена.

Контроллер домена Роль Storage account
contosodc1 Реплика contososac1
contosodc2 Реплика contososac2

Рекомендуется выполнить следующие действия.

  • Повышение уровня двух серверов в качестве реплики контроллеров домена с помощью DNS

  • Настройте серверы AD FS, установив роли AD FS с помощью диспетчера серверов.

Создание и развертывание внутренней подсистемы балансировки нагрузки (ILB)

Чтобы создать и развернуть подсистему балансировки нагрузки, выполните приведенные ниже действия.

  1. Найдите и выберите load Balancers в портал Azure и нажмите кнопку +Создать.

  2. В разделе "Создание подсистемы балансировки нагрузки" введите или выберите эти сведения на вкладке "Основные сведения":

    • В окне Сведения о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите существующую группу ресурсов или создайте новую , чтобы создать новую.

    • В разделе Сведения об экземпляре:

      • В поле "Имя" введите имя подсистемы балансировки нагрузки.

      • Для региона выберите регион, который вы хотите использовать.

      • Для типа выберите "Внутренний".

    • Оставьте номер SKU и уровень в качестве значения по умолчанию, а затем нажмите кнопку Next: Frontend IP ConfigurationСнимок экрана: вкладка

  3. Нажмите кнопку +Добавить интерфейсную IP-конфигурацию, а затем введите или выберите эти сведения на странице настройки внешнего IP-адреса .

    • В поле "Имя" введите имя интерфейсной IP-конфигурации.

    • Для виртуальной сети выберите виртуальную сеть, в которой требуется развернуть AD FS.

    • Для подсети выберите INT, которая была внутренней подсетью, созданной в предыдущем разделе.

    • Для назначения выберите "Статический".

    • Введите IP-адрес для IP-адреса.

    • Оставьте зону доступности в качестве зоны доступности по умолчанию и нажмите кнопку "Добавить". Снимок экрана: добавление интерфейсной IP-конфигурации при создании подсистемы балансировки нагрузки.

  4. Нажмите кнопку "Далее" — серверные пулы, а затем нажмите кнопку "Добавить внутренний пул".

  5. На странице "Добавление внутреннего пула" введите имя внутреннего пула в поле "Имя". В области конфигураций IP-адресов нажмите кнопку +Добавить.

  6. На странице "Добавить внутренний пул" выберите виртуальную машину, чтобы выровняться с серверным пулом, нажмите кнопку "Добавить", а затем нажмите кнопку "Сохранить". Снимок экрана: добавление внутреннего пула при создании подсистемы балансировки нагрузки.

  7. Нажмите кнопку "Далее" — правила для входящего трафика.

  8. На вкладке правил для входящих подключений выберите " Добавить правило балансировки нагрузки", а затем введите следующие сведения на странице "Добавление правила балансировки нагрузки".

    • В поле "Имя" введите имя правила.

    • Для внешнего IP-адреса выберите созданный ранее адрес.

    • Для внутреннего пула выберите созданный ранее внутренний пул.

    • В поле Протокол выберите TCP.

    • Для порта введите 443.

    • Для внутреннего порта нажмите кнопку "Создать", а затем введите следующие значения, чтобы создать пробу работоспособности:

      • В поле "Имя" введите имя пробы работоспособности.

      • Для протокола введите HTTP.

      • Для порта введите 80.

      • Для пути введите /adfs/probe.

      • Для интервала оставьте значение по умолчанию 5.

      • По завершении выберите Сохранить.

    • По завершении нажмите кнопку "Сохранить ", чтобы сохранить правило входящего трафика.

  9. Нажмите кнопку "Сохранить", чтобы сохранить правило входящего трафика. Снимок экрана: добавление правил балансировки нагрузки.

  10. Выберите Проверить и создать, а затем выберите Создать.

После нажатия кнопки "Создать " и развертывания ILB вы увидите его в списке подсистем балансировки нагрузки, как показано на следующем снимке экрана.

Снимок экрана: только что созданная подсистема балансировки нагрузки.

Обновление DNS-сервера с помощью подсистемы балансировки нагрузки

С помощью внутреннего DNS-сервера создайте запись A для подсистемы балансировки нагрузки. Этот параметр гарантирует, что все данные, передаваемые в fs.contoso.com, заканчиваются на подсистеме балансировки нагрузки с помощью соответствующего маршрута. Запись A должна быть для службы федерации с IP-адресом, указывающим на IP-адрес подсистемы балансировки нагрузки. Например, если IP-адрес ILB равен 10.3.0.8, а служба федерации установлена fs.contoso.com, создайте запись A для fs.contoso.com, указывающую на 10.3.0.8.

Предупреждение

Если вы используете внутренняя база данных Windows (WID) для базы данных AD FS, задайте для этого значения временное указание на основной сервер AD FS. Если этот временный параметр не изменяется, прокси-сервер веб-приложения завершается ошибкой регистрации. После успешной регистрации всех прокси-серверов веб-приложения измените эту запись DNS, чтобы она указывала на подсистему балансировки нагрузки.

Примечание.

Если развертывание также использует IPv6, создайте соответствующую запись AAAA.

Настройка прокси-серверов веб-приложения для доступа к серверам AD FS

Чтобы убедиться, что прокси-серверы веб-приложения могут достичь серверов AD FS за ILB, создайте запись в файле %systemroot%\system32\drivers\etc\hosts для ILB. Различающееся имя (DN) должно быть именем службы федерации, например fs.contoso.com. И ip-адрес должен быть IP-адресом подсистемы балансировки нагрузки, который в этом примере равен 10.3.0.8.

Предупреждение

Если вы используете внутренняя база данных Windows (WID) для базы данных AD FS, задайте для этого значения временное указание на основной сервер AD FS. Если вы этого не сделали, прокси-сервер веб-приложения завершается ошибкой регистрации. После успешной регистрации всех прокси-серверов веб-приложения измените эту запись DNS, чтобы она указывала на подсистему балансировки нагрузки.

Установка роли прокси-сервера веб-приложения

Убедившись, что прокси-серверы веб-приложения смогут получать доступ к серверам AD FS за ILB, можно установить прокси-серверы веб-приложения. Прокси-серверы веб-приложения не должны быть присоединены к домену. Установите роли прокси-сервера веб-приложения на двух прокси-серверах веб-приложения, выбрав роль удаленного доступа . Диспетчер серверов поможет завершить установку WAP.

Дополнительные сведения о развертывании WAP см. в разделе "Установка и настройка прокси-сервера веб-приложения".

Создание и развертывание подсистемы балансировки нагрузки с подключением к Интернету (общедоступная)

Чтобы создать и развернуть подсистему балансировки нагрузки с подключением к Интернету, выполните следующие действия.

  1. В портал Azure выберите подсистемы балансировки нагрузки и нажмите кнопку "Создать".

  2. В разделе "Создание подсистемы балансировки нагрузки" перейдите на вкладку "Основные сведения" и настройте следующие параметры:

    • В окне Сведения о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите существующую группу ресурсов или создайте новую , чтобы создать новую.

    • В разделе Сведения об экземпляре:

      • В поле "Имя" введите имя подсистемы балансировки нагрузки.

      • Для региона выберите регион, который вы хотите использовать.

      • Для типа выберите "Общедоступный".

    • Оставьте номер SKU и уровень в качестве значения по умолчанию, а затем нажмите кнопку Next : Frontend IP Configuration

    Снимок экрана: добавление правил балансировки нагрузки с открытым доступом.

  3. Нажмите кнопку +Добавить интерфейсную IP-конфигурацию, а затем введите или выберите эти сведения на странице настройки внешнего IP-адреса .

    • В поле "Имя" введите имя интерфейсной IP-конфигурации.

    • Для типа IP выберите IP-адрес.

    • Для общедоступного IP-адреса выберите общедоступный IP-адрес, который вы хотите использовать в раскрывающемся списке, или нажмите кнопку "Создать ", чтобы создать новую, а затем нажмите кнопку "Добавить".

    Снимок экрана: добавление интерфейсной IP-конфигурации при создании общедоступной подсистемы балансировки нагрузки.

  4. Нажмите кнопку "Далее" — серверные пулы, а затем нажмите кнопку "Добавить внутренний пул".

  5. На странице "Добавление внутреннего пула" введите имя внутреннего пула в поле "Имя". В области конфигураций IP-адресов нажмите кнопку +Добавить.

  6. На странице "Добавить внутренний пул" выберите виртуальную машину, чтобы выровняться с серверным пулом, нажмите кнопку "Добавить", а затем нажмите кнопку "Сохранить". Снимок экрана: добавление внутреннего пула при создании общедоступной подсистемы балансировки нагрузки.

  7. Нажмите кнопку "Далее: правила для входящего трафика", а затем выберите " Добавить правило балансировки нагрузки". На странице "Добавление правила балансировки нагрузки" настройте следующие параметры:

    • В поле "Имя" введите имя правила.

    • Для внешнего IP-адреса выберите созданный ранее адрес.

    • Для внутреннего пула выберите созданный ранее внутренний пул.

    • В поле Протокол выберите TCP.

    • Для порта введите 443.

    • Для внутреннего порта введите 443.

    • Для пробы работоспособности введите следующие значения:

      • В поле "Имя" введите имя пробы работоспособности.

      • Для протокола введите HTTP.

      • Для порта введите 80.

      • Для пути введите /adfs/probe.

      • Для интервала оставьте значение по умолчанию 5.

      • По завершении выберите Сохранить.

    • По завершении нажмите кнопку "Сохранить ", чтобы сохранить правило входящего трафика.

  8. Выберите Проверить и создать, а затем выберите Создать.

После выбора " Создать " и развертывания общедоступной подсистемы балансировки нагрузки он должен содержать список подсистем балансировки нагрузки.

Снимок экрана: сохранение правила входящего трафика.

Назначение DNS-метки для общедоступного IP-адреса

Чтобы настроить метку DNS для общедоступного IP-адреса, выполните следующие действия.

  1. В портал Azure найдите общедоступные IP-адреса, а затем выберите IP-адрес, который требуется изменить.

  2. В разделе Параметры выберите пункт Конфигурация.

  3. В разделе "Укажите метку DNS(необязательно)" добавьте запись в текстовое поле (например, fs.contoso.com), которая разрешает dns-метку внешней подсистемы балансировки нагрузки (например, contosofs.westus.cloudapp.azure.com).

  4. Нажмите кнопку "Сохранить", чтобы завершить назначение метки DNS.

Тестирование входа AD FS

Самый простой способ тестирования AD FS — использовать страницу IdpInitiatedSignOn.aspx. Для этого необходимо включить IdpInitiatedSignOn в свойствах AD FS.

Чтобы проверить, включено ли свойство IdpInitiatedSignOn:

  1. В PowerShell выполните следующий командлет на сервере AD FS, чтобы настроить его для включения.

    Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true
    
  2. Доступ к любому внешнему компьютеру https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.

  3. Вы увидите следующую страницу AD FS:

    Снимок экрана: страница тестового входа.

  4. Попробуйте выполнить вход. При успешном входе появится сообщение, как показано на следующем снимке экрана.

    Снимок экрана: сообщение об успешном выполнении теста.

Шаблон для развертывания AD FS в Azure

Шаблон развертывает настройку шести компьютеров с двумя компьютерами для контроллеров домена, AD FS и WAP.

Шаблон для развертывания AD FS в Azure

Вы можете использовать существующую виртуальную сеть или создать новую виртуальную сеть при развертывании этого шаблона. В следующей таблице перечислены параметры, которые можно использовать для настройки развертывания.

Параметр Описание
Местонахождение Регион, в который нужно развернуть ресурсы.
StorageAccountType Тип создаваемой учетной записи хранения.
VirtualNetworkUsage Указывает, следует ли создать новую виртуальную сеть или использовать существующую.
VirtualNetworkName Имя виртуальной сети. Обязательный для существующего или нового использования виртуальной сети.
VirtualNetworkResourceGroupName Указывает имя группы ресурсов, в которой находится существующая виртуальная сеть. При использовании существующей виртуальной сети этот параметр является обязательным параметром, поэтому развертывание может найти идентификатор существующей виртуальной сети.
VirtualNetworkAddressRange Диапазон адресов новой виртуальной сети. Обязательно при создании новой виртуальной сети.
InternalSubnetName Имя внутренней подсети. Обязательно для новых и существующих вариантов использования виртуальной сети.
InternalSubnetAddressRange Диапазон адресов внутренней подсети, содержащей контроллеры домена и серверы AD FS. Обязательно при создании новой виртуальной сети.
DMZSubnetAddressRange Диапазон адресов подсети DMZ, содержащей прокси-серверы приложений Windows. Обязательно при создании новой виртуальной сети.
DMZSubnetName Имя внутренней подсети, которая является обязательной для новых и существующих вариантов использования виртуальной сети.
ADDC01NICIPAddress Внутренний IP-адрес первого контроллера домена. Этот IP-адрес статически назначается контроллеру домена и должен быть допустимым IP-адресом в внутренней подсети.
ADDC02NICIPAddress Внутренний IP-адрес второго контроллера домена. Этот IP-адрес статически назначается контроллеру домена и должен быть допустимым IP-адресом в внутренней подсети.
ADFS01NICIPAddress Внутренний IP-адрес первого сервера AD FS. Этот IP-адрес статически назначается серверу AD FS и должен быть допустимым IP-адресом в внутренней подсети.
ADFS02NICIPAddress Внутренний IP-адрес второго сервера AD FS. Этот IP-адрес статически назначается серверу AD FS и должен быть допустимым IP-адресом в внутренней подсети.
WAP01NICIPAddress Внутренний IP-адрес первого waP-сервера. Этот IP-адрес статически назначается серверу WAP и должен быть допустимым IP-адресом в подсети DMZ.
WAP02NICIPAddress Внутренний IP-адрес второго WAP-сервера. Этот IP-адрес статически назначается серверу WAP и должен быть допустимым IP-адресом в подсети DMZ.
ADFSLoadBalancerPrivateIPAddress Внутренний IP-адрес подсистемы балансировки нагрузки AD FS. Этот IP-адрес статически назначается подсистеме балансировки нагрузки и должен быть допустимым IP-адресом в внутренней подсети.
ADDCVMNamePrefix Префикс имени виртуальной машины для контроллеров домена.
ADFSVMNamePrefix Префикс имени виртуальной машины для серверов AD FS.
WAPVMNamePrefix Префикс имени виртуальной машины для серверов WAP.
ADDCVMSize Размер виртуальной машины контроллеров домена.
ADFSVMSize Размер виртуальной машины серверов AD FS.
WAPVMSize Размер виртуальной машины серверов WAP.
AdminUserName Имя локального администратора виртуальных машин.
AdminPassword Пароль для учетной записи локального администратора виртуальных машин.

Следующие шаги