Distribuzione di AD FS tra aree geografiche a disponibilità elevata in Azure con Gestione traffico di Azure

La distribuzione di AD FS in Azure offre linee guida dettagliate su come distribuire una semplice infrastruttura AD FS per l'organizzazione in Azure. Questo articolo illustra i passaggi successivi per creare una distribuzione tra aree geografiche di AD FS in Azure usando Gestione traffico di Azure. Gestione traffico di Azure consente di creare un'infrastruttura AD FS a disponibilità elevata e ad alte prestazioni geograficamente distribuita per l'organizzazione, usando una gamma di metodi di routing disponibili per soddisfare esigenze diverse dall'infrastruttura.

Un'infrastruttura AD FS multi-geografica a disponibilità elevata consente di:

• Eliminazione di un singolo punto di guasto: Con le funzionalità di failover di Gestione traffico di Azure, è possibile ottenere un'infrastruttura AD FS a disponibilità elevata anche quando uno dei data center in una parte del mondo diventa inattivo
• Prestazioni migliorate: È possibile usare la distribuzione suggerita in questo articolo per fornire un'infrastruttura AD FS ad alte prestazioni che consente agli utenti di eseguire l'autenticazione più velocemente.

Principi di progettazione

I principi di progettazione di base saranno uguali a quelli elencati in Principi di progettazione nell'articolo Distribuzione di AD FS in Azure. Il diagramma precedente mostra una semplice estensione della distribuzione di base in un'altra area geografica. Di seguito sono riportati alcuni punti da considerare quando si estende la distribuzione a una nuova area geografica

• Rete virtuale: È necessario creare una nuova rete virtuale nell'area geografica in cui si vuole distribuire un'infrastruttura AD FS aggiuntiva. Nel diagramma precedente viene visualizzata la rete virtuale Geo1 e la rete virtuale Geo2 come due reti virtuali in ogni area geografica.
• Controller di dominio e server AD FS in una nuova rete virtuale geografica: È consigliabile distribuire i controller di dominio nella nuova area geografica in modo che i server AD FS nella nuova area non devono contattare un controller di dominio in un'altra rete lontana per completare un'autenticazione e migliorando così le prestazioni.
• Account di archiviazione: Gli account di archiviazione sono associati a un'area. Poiché si distribuiranno computer in una nuova area geografica, sarà necessario creare nuovi account di archiviazione da usare nell'area.
• Gruppi di sicurezza di rete: Come account di archiviazione, i gruppi di sicurezza di rete creati in un'area non possono essere usati in un'altra area geografica. Sarà quindi necessario creare nuovi gruppi di sicurezza di rete simili a quelli nella prima area geografica per la subnet INT e la rete perimetrale nella nuova area geografica.
• Etichette DNS per gli indirizzi IP pubblici: Gestione traffico di Azure può fare riferimento solo agli endpoint tramite etichette DNS. Pertanto, è necessario creare etichette DNS per gli indirizzi IP pubblici dei servizi di bilanciamento del carico esterno.
• Gestione traffico di Azure: Gestione traffico di Microsoft Azure consente di controllare la distribuzione del traffico degli utenti verso gli endpoint di servizio in esecuzione in data center diversi in tutto il mondo. Gestione traffico di Azure funziona a livello di DNS. Usa le risposte DNS per indirizzare il traffico degli utenti finali agli endpoint distribuiti a livello globale. I client si connettono quindi direttamente a tali endpoint. Con diverse opzioni di routing di Prestazioni, Peso e Priorità, è possibile scegliere facilmente l'opzione di routing più adatta alle esigenze dell'organizzazione.
• Connettività da rete virtuale a rete virtuale tra due aree: Non è necessario avere connettività tra le reti virtuali stesse. Poiché ogni rete virtuale ha accesso ai controller di dominio e ha il server AD FS e WAP stesso, può funzionare senza connettività tra le reti virtuali in aree diverse.

Procedura per integrare Gestione traffico di Azure

Distribuire AD FS nella nuova area geografica

Seguire i passaggi e le linee guida nella distribuzione di AD FS in Azure per distribuire la stessa topologia nella nuova area geografica.

Etichette DNS per gli indirizzi IP pubblici dei servizi di bilanciamento del carico con connessione Internet (pubblica)

Come accennato in precedenza, Gestione traffico di Azure può fare riferimento solo alle etichette DNS come endpoint ed è quindi importante creare etichette DNS per gli indirizzi IP pubblici dei servizi di bilanciamento del carico esterno. Lo screenshot seguente mostra come configurare l'etichetta DNS per l'indirizzo IP pubblico.

Implementazione di Azure Traffic Manager

Segui i passaggi seguenti per creare un profilo di gestore del traffico. Per altre informazioni, è anche possibile fare riferimento a Gestire un profilo di Gestione traffico di Azure.

1. Creare un profilo di Gestione traffico: Assegnare al profilo di Gestione traffico un nome univoco. Questo nome del profilo fa parte del nome DNS e funge da prefisso per l'etichetta del nome di dominio di Gestione traffico. Il nome/prefisso viene aggiunto a .trafficmanager.net per creare un'etichetta DNS per la gestione traffico. Lo screenshot seguente mostra il prefisso DNS di Gestione traffico impostato come mysts e l'etichetta DNS risultante verrà mysts.trafficmanager.net.

   

2. Metodo di routing del traffico: In Gestione traffico sono disponibili tre opzioni di routing:

   • Priorità

   • Prestazioni

   • Ponderato

     Le prestazioni sono l'opzione consigliata per ottenere un'infrastruttura AD FS altamente reattiva. Tuttavia, è possibile scegliere qualsiasi metodo di routing più adatto alle esigenze di distribuzione. La funzionalità DI AD FS non è interessata dall'opzione di routing selezionata. Per ulteriori informazioni, vedere i metodi di routing del traffico di Traffic Manager. Nello screenshot di esempio precedente è possibile visualizzare il metodo Performance selezionato.

3. Configurare gli endpoint: Nella pagina Gestione traffico fare clic sugli endpoint e selezionare Aggiungi. Verrà aperta una pagina Aggiungi endpoint simile allo screenshot seguente

   

   Per i diversi input, seguire le linee guida seguenti:

   Tipo: Seleziona l'endpoint Azure in quanto punteremo a un indirizzo IP pubblico di Azure.

   Nome: Crea un nome da associare all'endpoint. Questo non è il nome DNS e non ha alcun effetto sui record DNS.

   Tipo di risorsa di destinazione: Selezionare Indirizzo IP pubblico come valore per questa proprietà.

   Risorsa di destinazione: In questo modo è possibile scegliere tra le diverse etichette DNS disponibili nella sottoscrizione. Scegliere l'etichetta DNS corrispondente all'endpoint che si sta configurando.

   Aggiungere un endpoint per ogni area geografica verso cui si desidera che il sistema di Gestione del traffico di Azure instradi il traffico. Per altre informazioni e procedure dettagliate su come aggiungere/configurare gli endpoint in Gestione traffico, vedere Aggiungere, disabilitare, abilitare o eliminare endpoint

4. Configurare il probe: Nella pagina Gestione traffico fare clic su Configurazione. Nella pagina di configurazione, è necessario modificare le impostazioni del monitor per sondare alla porta HTTP 80 e al percorso relativo /adfs/probe

   

   Nota

   Assicurarsi che lo stato degli endpoint sia ONLINE al termine della configurazione. Se tutti gli endpoint sono in stato "danneggiato", Gestione traffico di Azure eseguirà un tentativo migliore per instradare il traffico presupponendo che la diagnostica non sia corretta e che tutti gli endpoint siano raggiungibili.

5. Modifica dei record DNS per Gestione traffico di Azure: Il servizio federativo deve essere un CNAME al nome DNS di Gestione traffico di Azure. Creare un CNAME nei record DNS pubblici in modo che chiunque stia tentando di raggiungere il servizio federativo raggiunga effettivamente Azure Traffic Manager.

   Ad esempio, per puntare il servizio federativo fs.fabidentity.com a Traffic Manager, è necessario aggiornare il record delle risorse DNS come segue:

   fs.fabidentity.com IN CNAME mysts.trafficmanager.net

Testare il routing e l'accesso ad AD FS

Test di routing

Un test molto semplice per il routing sarebbe quello di provare a eseguire il ping del nome DNS del servizio federativo da un computer in ogni area geografica. A seconda del metodo di instradamento scelto, l'endpoint a cui viene effettivamente inviato il ping verrà riflesso nella visualizzazione dei ping. Ad esempio, se è stato selezionato il routing delle prestazioni, verrà raggiunto l'endpoint più vicino all'area del client. Di seguito è riportato lo snapshot di due ping da due computer client di aree diverse, uno nell'area EastAsia e uno negli Stati Uniti occidentali.

Test di accesso ad AD FS

Il modo più semplice per testare AD FS consiste nell'usare la pagina IdpInitiatedSignon.aspx. Per poter eseguire questa operazione, è necessario abilitare IdpInitiatedSignOn nelle proprietà AD FS. Seguire questa procedura per verificare la configurazione di AD FS

1. Eseguire il cmdlet seguente nel server AD FS, usando PowerShell, per impostarlo su abilitato. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

2. Per accedere da qualsiasi computer esterno https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx

3. Verrà visualizzata la pagina AD FS come illustrato di seguito:

   

   e al completamento dell'accesso, verrà visualizzato un messaggio di esito positivo, come illustrato di seguito:

   

Collegamenti correlati

• Distribuzione di AD FS di base in Azure
• Gestione traffico di Microsoft Azure
• Metodi di instradamento del traffico del Gestore del traffico

Passaggi successivi

• Gestire un profilo di Gestione traffico di Azure
• Aggiungere, disabilitare, abilitare o eliminare endpoint