Поделиться через

Развертывание службы федерации Active Directory (AD FS) в Azure

Службы федерации Active Directory (AD FS) предоставляют упрощенную и безопасную федерацию удостоверений и возможности единого входа в веб-системы. Пользователи, федеративно связанные с Microsoft Entra ID или Microsoft 365, могут аутентифицироваться с помощью своих локальных учетных данных для доступа ко всем облачным ресурсам. В результате развертывание должно иметь высокодоступную инфраструктуру AD FS, чтобы обеспечить доступ к ресурсам как локально, так и в облаке.

Развертывание AD FS в Azure может помочь достичь высокой доступности без слишком много усилий. Существует несколько преимуществ развертывания AD FS в Azure:

  • Преимущества групп доступности Azure обеспечивают наличие высокодоступной инфраструктуры.
  • Развертывания легко масштабировать. Если вам нужна более высокая производительность, вы можете легко перейти на более мощные компьютеры с помощью упрощенного процесса развертывания в Azure.
  • Геоизбыточность Azure обеспечивает высокую доступность инфраструктуры по всему миру.
  • Портал Azure упрощает управление инфраструктурой с помощью упрощенных параметров управления.

Принципы дизайна

На следующей схеме показана рекомендуемая базовая топология для развертывания инфраструктуры AD FS в Azure.

Схема, показывающая рекомендуемую базовую топологию для развертывания инфраструктуры AD FS в Azure.

Мы рекомендуем, чтобы ваша топология сети следовала этим общим принципам:

  • Разверните AD FS на отдельных серверах, чтобы избежать влияния на производительность контроллеров домена.
  • Необходимо развернуть серверы прокси веб-приложения (WAP), чтобы пользователи могли получить доступ к AD FS, если они не находятся в корпоративной сети.
  • Необходимо настроить прокси-серверы веб-приложения в демилитаризованной зоне (DMZ) и разрешить доступ между dmZ и внутренней подсетью только TCP/443.
  • Чтобы обеспечить высокий уровень доступности серверов AD FS и прокси-серверов веб-приложений, рекомендуется использовать внутреннюю подсистему балансировки нагрузки для серверов AD FS и Azure Load Balancer для прокси-серверов веб-приложений.
  • Чтобы обеспечить избыточность развертывания AD FS, рекомендуется группировать две или несколько виртуальных машин в группе доступности для аналогичных рабочих нагрузок. Эта конфигурация гарантирует доступность по крайней мере одной виртуальной машины во время запланированного или незапланированного обслуживания.
  • Вам следует развернуть прокси-серверы веб-приложений в отдельной сети DMZ. Вы можете разделить одну виртуальную сеть на две подсети, а затем развернуть прокси-серверы веб-приложения в изолированной подсети. Параметры группы безопасности сети можно настроить для каждой подсети и разрешить только необходимую связь между двумя подсетями.

Развертывание сети

При создании сети можно создать две подсети в одной виртуальной сети или создать две разные виртуальные сети. Рекомендуется использовать единый сетевой подход, так как для создания двух отдельных виртуальных сетей также требуется создание двух отдельных шлюзов виртуальной сети для обмена данными.

Создание виртуальной сети

Чтобы создать виртуальную сеть, сделайте следующее:

  1. Войдите на портал Azure с помощью своей учетной записи Azure.

  2. На портале найдите и выберите "Виртуальные сети".

  3. На странице Виртуальные сети выберите команду + Создать.

  4. В разделе "Создание виртуальной сети" перейдите на вкладку "Основные сведения" и настройте следующие параметры:

    • Настройте следующие параметры в разделе сведений о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите имя существующей группы ресурсов или нажмите кнопку "Создать" , чтобы создать новую.

    • Настройте следующие параметры для сведений об экземпляре:

      • В поле "Имя виртуальной сети" введите имя виртуальной сети.

      • Для региона выберите регион, в который нужно создать виртуальную сеть.

  5. Выберите Далее.

  6. На вкладке "Безопасность " включите любую службу безопасности, которую вы хотите использовать, а затем нажмите кнопку "Далее".

  7. На вкладке IP-адресов выберите имя подсети, которую вы хотите изменить. В этом примере мы редактируем подсеть по умолчанию , которую служба автоматически создает.

  8. На странице "Изменение подсети" переименуйте подсеть в INT.

  9. Введите сведения о размере IP-адреса и подсети для подсети, чтобы определить пространство IP-адресов.

  10. Для группы безопасности сети выберите "Создать".

  11. В этом примере введите имя NSG_INT и нажмите кнопку "ОК", а затем нажмите кнопку "Сохранить". Теперь у вас есть первая подсеть.

    Снимок экрана: изменение подсети и добавление внутренней группы безопасности сети.

  12. Чтобы создать вторую подсеть, нажмите кнопку +Добавить подсеть.

  13. На странице "Добавление подсети" введите DMZ для второго имени подсети, а затем введите сведения о подсети в пустые поля, чтобы определить пространство IP-адресов.

  14. Для группы безопасности сети выберите "Создать".

  15. Введите имя NSG_DMZ, нажмите кнопку "ОК", а затем нажмите кнопку "Добавить".

    Снимок экрана: добавление новой подсети, включающей группу безопасности сети.

  16. Выберите Проверить и создать, а затем выберите Создать.

Теперь у вас есть виртуальная сеть, включающая две подсети, каждая из которых содержит связанную группу безопасности сети.

Снимок экрана: новые подсети и их группы безопасности сети.

Защита виртуальной сети

Группа безопасности сети (NSG) содержит список правил контроля доступа (ACL), которые разрешают или запрещают сетевой трафик к вашим экземплярам виртуальных машин в виртуальной сети. Группы безопасности сети можно связать с подсетями или отдельными экземплярами виртуальных машин внутри этих подсетей. Если NSG связана с подсетью, правила ACL применяются ко всем экземплярам виртуальных машин в этой подсети.

Группы безопасности сети, связанные с вашими подсетями, автоматически включают определенные правила для входящих и исходящих подключений по умолчанию. Правила безопасности по умолчанию невозможно удалить, но их можно переопределить с помощью правил с более высоким приоритетом. И вы можете добавить дополнительные правила для входящего и исходящего трафика в соответствии с уровнем безопасности, который вы хотите.

Теперь добавьте несколько правил в каждую из двух групп безопасности. В первом примере давайте добавим правило безопасности для входящего трафика в группу безопасности NSG_INT .

  1. На странице подсетей виртуальной сети выберите NSG_INT.

  2. Слева выберите правила безопасности для входящего трафика, а затем нажмите кнопку +Добавить.

  3. В разделе "Добавление правила безопасности для входящего трафика" настройте правило со следующими сведениями:

    • В качестве источника введите 10.0.1.0/24.

    • Для диапазонов исходных портов оставьте его пустым, если вы не хотите разрешить трафик или выбрать звездочку (*), чтобы разрешить трафик на любом порту.

    • Для назначения введите 10.0.0.0/24.

    • Для службы выберите HTTPS. Служба автоматически заполняет поля сведений для диапазонов портов назначения и протокола в зависимости от выбранной службы.

    • В поле Действие выберите Разрешить.

    • В качестве приоритета введите 1010.

    • В поле "Имя" введите AllowHTTPSFromDMZ.

    • В поле "Описание" введите "Разрешить обмен данными HTTPS" из DMZ.

  4. После завершения нажмите кнопку "Добавить".

    Снимок экрана: добавление правила безопасности для входящего трафика. Новое правило безопасности для входящего трафика теперь добавляется в начало списка правил для NSG_INT.

  5. Повторите эти действия со значениями, отображаемыми в следующей таблице. В дополнение к созданному правилу необходимо добавить следующие дополнительные правила в порядке приоритета, указанном для защиты внутренней и подсети DMZ.

    Группа безопасности сети (NSG) Тип правила Источник Назначение Услуга Действие Приоритет Имя Описание
    NSG_INT Исходящие Любое Тег обслуживания/Интернет Пользовательский (80/Any) Отказать 100 ЗапретитьИсходящийТрафикВИнтернет Нет доступа к Интернету.
    NSG_DMZ Входящий трафик Любое Любое Выбор (звездочка (*)/любой) Разрешить 1010 РазрешитьHTTPSИзИнтернета Разрешить HTTPS из Интернета в DMZ.
    NSG_DMZ Исходящие Любое Тег обслуживания/Интернет Пользовательский (80/Any) Отказать 100 DenyInternetOutbound Все, кроме HTTPS в Интернет, заблокировано.

  6. Завершив ввод значений для каждого нового правила, нажмите кнопку "Добавить " и перейдите к следующей, пока не будут добавлены два новых правила безопасности для каждой группы безопасности.

После настройки страницы группы безопасности сети (NSG) должны выглядеть следующим образом:

Снимок экрана: группы безопасности сети (NSGs) после добавления правил безопасности.

Примечание.

Если для виртуальной сети требуется проверка подлинности сертификата пользователя клиента, например проверка подлинности clientTLS с помощью сертификатов пользователя X.509, необходимо включить TCP-порт 49443 для входящего доступа.

Создание подключения к локальной среде

Для развертывания контроллера домена в Azure требуется подключение к локальной среде. Вы можете подключить локальную инфраструктуру к инфраструктуре Azure с помощью одного из следующих вариантов:

  • Точка-сеть
  • виртуальная сеть с взаимосвязью "сайт-сайт"
  • ExpressRoute

Мы рекомендуем использовать ExpressRoute, если вашей организации не требуются подключения типа "точка-к-точке" или подключения типа "сеть-к-сети" для виртуальной сети. ExpressRoute позволяет создавать частные подключения между центрами обработки данных Azure и инфраструктурой, которая находится в локальной среде или в среде совместного размещения. Подключения ExpressRoute также не подключаются к общедоступному Интернету, что делает их более надежными, быстрыми и более безопасными. Дополнительные сведения об ExpressRoute и различных вариантах подключения с помощью ExpressRoute см. в статье Технический обзор ExpressRoute.

Создание групп доступности

Для каждой роли (DC/AD FS и WAP) создайте группы доступности, содержащие по крайней мере два компьютера. Эта конфигурация помогает достичь высокой доступности для каждой роли. При создании групп доступности необходимо решить, какие из следующих доменов вы хотите использовать:

  • В домене сбоя виртуальные машины используют один и тот же источник питания и физический сетевой коммутатор. Рекомендуем использовать как минимум две области отказа. Значение по умолчанию — 2 , и его можно оставить как есть для этого развертывания.

  • В домене обновления компьютеры перезагружаются одновременно во время обновления. Рекомендуем использовать минимум два домена обновления. Значение по умолчанию равно 5, и его можно оставить как есть для этого развертывания.

Чтобы создать группы доступности, выполните приведенные действия.

  1. Найдите и выберите наборы доступности в портале Azure, а затем нажмите кнопку + Создать.

  2. В Создании группы доступности перейдите на вкладку Основные сведения и введите следующую информацию:

    • В окне Сведения о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите существующую группу ресурсов или создайте новую , чтобы создать новую.

    • В разделе Сведения об экземпляре:

      • В поле "Имя" введите имя группы доступности. В этом примере введите contosodcset.

      • Для региона выберите регион, который вы хотите использовать.

      • Для домена сбоя оставьте значение 2 по умолчанию.

      • Для областей обновления оставьте значение по умолчанию как 5.

      • Для использования управляемых дисков выберите "Нет" (классическая версия) для этого примера.

    Снимок экрана: создание групп доступности.

  3. После завершения нажмите Просмотр и создание, а затем Создать.

  4. Повторите предыдущие шаги, чтобы создать вторую группу доступности с именем contososac2.

Развертывание виртуальных машин

Следующим шагом является развертывание виртуальных машин, на которых размещаются различные роли в инфраструктуре. Рекомендуется не менее двух компьютеров в каждом наборе доступности. В этом примере мы создадим четыре виртуальных машины для базового развертывания.

Чтобы создать виртуальные машины, выполните приведенные действия.

  1. Найдите и выберите виртуальные машины в портале Azure.

  2. На странице "Виртуальные машины " нажмите кнопку "+ Создать", а затем выберите виртуальную машину Azure.

  3. В разделе "Создание виртуальной машины" перейдите на вкладку "Основные сведения" и введите следующие сведения:

    • В окне Сведения о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите существующую группу ресурсов или создайте новую , чтобы создать новую.

    • В разделе Сведения об экземпляре:

      • В поле "Имя виртуальной машины" введите имя виртуальной машины. Для первого компьютера в этом примере введите contosodc1.

      • Для региона выберите регион, который вы хотите использовать.

      • Для параметров доступности выберите группу доступности.

      • Для набора доступности выберите contosodcset

      • Для типа безопасности выберите "Стандартный".

      • Для подписки выберите имя подписки.

      • Для образа выберите образ, который вы хотите использовать, а затем выберите "Настроить создание виртуальной машины" и выберите 1-е поколение.

    • В разделе "Учетная запись администратора":

      • Для параметра Тип проверки подлинности выберите значение Открытый ключ SSH.

      • В поле "Имя пользователя" введите имя пользователя, используемое для учетной записи.

      • В поле "Имя пары ключей" введите имя пары ключей, используемое для учетной записи.

    • Для всех не указанных значений можно оставить значения по умолчанию.

  4. По завершении нажмите кнопку "Далее: Диски". Снимок экрана: первые шаги по созданию виртуальной машины.

  5. На вкладке "Сеть" введите следующие сведения:

    • Для виртуальной сети выберите имя виртуальной сети, содержащей подсети, созданные в предыдущем разделе.

    • Для подсети выберите вашу подсеть INT.

    • В списке Группа безопасности сети сетевого адаптера выберите Нет.

    • Для всего, что не указано, можно оставить значения по умолчанию. Снимок экрана: вкладка

  6. После выбора выберите "Просмотр и создание", а затем нажмите кнопку "Создать".

Повторите эти действия, используя сведения в этой таблице, чтобы создать три оставшихся виртуальных машины:

Имя виртуальной машины Подсеть Параметры доступности Группа доступности учетная запись хранилища
contosodc2 INT Группа доступности contosodcset contososac2
contosowap1 DMZ Группа доступности contosowapset contososac1
contosowap2 Демилитаризованная зона (DMZ) Группа доступности contosowapset contososac2

Параметры не указывают группу безопасности сети, так как Azure позволяет использовать группу безопасности сети на уровне подсети. Вы можете управлять сетевым трафиком компьютера с помощью отдельного NSG, связанного с подсетью или объектом сетевого адаптера. Дополнительные сведения см. в разделе "Что такое группа безопасности сети ( NSG)".

Если вы управляете DNS, рекомендуется использовать статический IP-адрес. Вы можете использовать Azure DNS и указывать новые компьютеры по их полным доменным именам Azure (FQDN) в записях DNS вашего домена. Дополнительные сведения см. в разделе "Изменение частного IP-адреса на статический".

На странице "Виртуальные машины" должны отображаться все четыре виртуальных машины после завершения развертывания.

Настройка серверов DC и AD FS

Для проверки подлинности любого входящего запроса AD FS необходимо связаться с контроллером домена. Чтобы сэкономить затратную поездку из Azure в локальный контроллер домена для проверки подлинности, рекомендуется развернуть реплику контроллера домена в Azure. Чтобы обеспечить высокий уровень доступности, лучше создать группу доступности из по крайней мере двух центров обработки данных.

Контроллер домена Роль Учётная запись хранения
contosodc1 Реплика contososac1
contosodc2 Реплика contososac2

Рекомендуется выполнить следующие действия.

  • Повысить уровень двух серверов до реплик контроллеров домена с использованием DNS

  • Настройте серверы AD FS, установив роль AD FS с помощью Диспетчера серверов.

Создание и развертывание внутренней подсистемы балансировки нагрузки (ILB)

Чтобы создать и развернуть подсистему балансировки нагрузки, выполните приведенные ниже действия.

  1. Найдите и выберите Load Balancers в портале Azure и выберите + Создать.

  2. В разделе "Создание подсистемы балансировки нагрузки" введите или выберите эти сведения на вкладке "Основные сведения":

    • В окне Сведения о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите существующую группу ресурсов или создайте новую , чтобы создать новую.

    • В разделе Сведения об экземпляре:

      • В поле "Имя" введите имя подсистемы балансировки нагрузки.

      • Для региона выберите регион, который вы хотите использовать.

      • Для типа выберите "Внутренний".

    • Оставьте номер SKU и уровень в качестве значения по умолчанию, а затем нажмите кнопку Next: Frontend IP ConfigurationСнимок экрана: вкладка

  3. Нажмите кнопку +Добавить интерфейсную IP-конфигурацию, а затем введите или выберите эти сведения на странице настройки внешнего IP-адреса .

    • В поле "Имя" введите имя интерфейсной IP-конфигурации.

    • Для виртуальной сети выберите виртуальную сеть, в которой требуется развернуть AD FS.

    • Для подсети выберите INT, которая была внутренней подсетью, созданной в предыдущем разделе.

    • Для назначения выберите "Статический".

    • Введите IP-адрес для IP-адреса.

    • Оставьте зону доступности в качестве зоны доступности по умолчанию и нажмите кнопку "Добавить". Снимок экрана: добавление интерфейсной IP-конфигурации при создании подсистемы балансировки нагрузки.

  4. Нажмите Далее: серверные пулы, а затем выберите + Добавить серверный пул.

  5. На странице "Добавление внутреннего пула" введите имя внутреннего пула в поле "Имя". В области конфигураций IP-адресов нажмите кнопку +Добавить.

  6. На странице "Добавить внутренний пул" выберите виртуальную машину, чтобы выровняться с серверным пулом, нажмите кнопку "Добавить", а затем нажмите кнопку "Сохранить". Снимок экрана: добавление внутреннего пула при создании подсистемы балансировки нагрузки.

  7. Нажмите кнопку "Далее" — правила для входящего трафика.

  8. На вкладке Входящие правила выберите Добавить правило балансировки нагрузки, а затем введите следующие сведения на странице Добавление правила балансировки нагрузки.

    • В поле "Имя" введите имя правила.

    • Для внешнего IP-адреса выберите созданный ранее адрес.

    • Для внутреннего пула выберите созданный ранее внутренний пул.

    • В поле Протокол выберите TCP.

    • Для порта введите 443.

    • Для внутреннего порта нажмите кнопку "Создать", а затем введите следующие значения, чтобы создать пробу работоспособности:

      • В поле "Имя" введите имя пробы работоспособности.

      • Для протокола введите HTTP.

      • Для порта введите 80.

      • Для Path введите /adfs/probe.

      • Для интервала оставьте значение по умолчанию 5.

      • По завершении выберите Сохранить.

    • По завершении нажмите кнопку "Сохранить ", чтобы сохранить правило входящего трафика.

  9. Нажмите кнопку "Сохранить", чтобы сохранить правило входящего трафика. Снимок экрана: добавление правил балансировки нагрузки.

  10. Выберите Проверить и создать, а затем выберите Создать.

После нажатия кнопки "Создать " и развертывания ILB вы увидите его в списке подсистем балансировки нагрузки, как показано на следующем снимке экрана.

Снимок экрана: только что созданная подсистема балансировки нагрузки.

Обновление DNS-сервера с помощью подсистемы балансировки нагрузки

С помощью внутреннего DNS-сервера создайте запись A для ILB. Этот параметр гарантирует, что все данные, передаваемые в fs.contoso.com, поступают на внутренний балансировщик нагрузки, используя соответствующий маршрут. Запись A должна быть для службы федерации с IP-адресом, указывающим на IP-адрес подсистемы балансировки нагрузки. Например, если IP-адрес ILB равен 10.3.0.8, а служба федерации установлена fs.contoso.com, создайте запись A для fs.contoso.com, указывающую на 10.3.0.8.

Предупреждение

Если вы используете внутреннюю базу данных Windows (WID) для базы данных AD FS, установите это значение для временного перенаправления на основной сервер AD FS. Если этот временный параметр не будет изменён, прокси-сервер веб-приложения не проходит регистрацию. После успешной регистрации всех прокси-серверов веб-приложения измените эту запись DNS, чтобы она указывала на подсистему балансировки нагрузки.

Примечание.

Если развертывание также использует IPv6, создайте соответствующую запись AAAA.

Настройка прокси-серверов веб-приложения для доступа к серверам AD FS

Чтобы удостовериться, что прокси-серверы веб-приложения могут достичь серверов AD FS, находящихся позади ILB, создайте запись в файле %systemroot%\system32\drivers\etc\hosts для ILB. Различающееся имя (DN) должно быть именем службы федерации, например fs.contoso.com. IP-ввод должен быть IP-адресом ILB, который в этом примере равен 10.3.0.8.

Предупреждение

Если вы используете внутреннюю базу данных Windows (WID) для базы данных AD FS, установите это значение для временного перенаправления на основной сервер AD FS. Если вы этого не сделаете, прокси веб-приложения проваливает регистрацию. После успешной регистрации всех прокси-серверов веб-приложения измените эту запись DNS, чтобы она указывала на подсистему балансировки нагрузки.

Установите роль прокси веб-приложения

Убедившись, что прокси-серверы веб-приложения смогут получать доступ к серверам AD FS за ILB, можно установить прокси-серверы веб-приложения. Прокси-серверы веб-приложения не должны быть присоединены к домену. Установите роли прокси веб-приложения на двух серверах прокси веб-приложения, выбрав роль Удаленный доступ. Диспетчер серверов поможет завершить установку WAP.

Дополнительные сведения о развертывании WAP см. в разделе "Установка и настройка прокси-сервера веб-приложения".

Создание и развертывание подсистемы балансировки нагрузки с подключением к Интернету (общедоступная)

Чтобы создать и развернуть подсистему балансировки нагрузки с подключением к Интернету, выполните следующие действия.

  1. В портал Azure выберите подсистемы балансировки нагрузки и нажмите кнопку "Создать".

  2. В разделе "Создание подсистемы балансировки нагрузки" перейдите на вкладку "Основные сведения" и настройте следующие параметры:

    • В окне Сведения о проекте:

      • Для подписки выберите имя подписки.

      • Для группы ресурсов выберите существующую группу ресурсов или создайте новую , чтобы создать новую.

    • В разделе Сведения об экземпляре:

      • В поле "Имя" введите имя подсистемы балансировки нагрузки.

      • Для региона выберите регион, который вы хотите использовать.

      • Для типа выберите "Общедоступный".

    • Оставьте номер SKU и уровень в качестве значения по умолчанию, а затем нажмите кнопку Next : Frontend IP Configuration

    Снимок экрана, показывающий, как добавить правила балансировки нагрузки для общего доступа.

  3. Нажмите кнопку +Добавить интерфейсную IP-конфигурацию, а затем введите или выберите эти сведения на странице настройки внешнего IP-адреса .

    • В поле "Имя" введите имя интерфейсной IP-конфигурации.

    • Для типа IP выберите IP-адрес.

    • Для общедоступного IP-адреса выберите общедоступный IP-адрес, который вы хотите использовать в раскрывающемся списке, или нажмите кнопку "Создать ", чтобы создать новую, а затем нажмите кнопку "Добавить".

    Снимок экрана: добавление интерфейсной IP-конфигурации при создании общедоступной подсистемы балансировки нагрузки.

  4. Выберите «Далее: Серверные пулы», затем выберите «+ Добавить серверный пул».

  5. На странице "Добавление внутреннего пула" введите имя внутреннего пула в поле "Имя". В области конфигураций IP-адресов нажмите кнопку +Добавить.

  6. На странице "Добавить внутренний пул" выберите виртуальную машину, чтобы выровняться с серверным пулом, нажмите кнопку "Добавить", а затем нажмите кнопку "Сохранить". Снимок экрана: добавление внутреннего пула при создании общедоступной подсистемы балансировки нагрузки.

  7. Нажмите кнопку "Далее: правила для входящего трафика", а затем выберите " Добавить правило балансировки нагрузки". На странице "Добавление правила балансировки нагрузки" настройте следующие параметры:

    • В поле "Имя" введите имя правила.

    • Для внешнего IP-адреса выберите созданный ранее адрес.

    • Для внутреннего пула выберите созданный ранее внутренний пул.

    • В поле Протокол выберите TCP.

    • Для порта введите 443.

    • Для внутреннего порта введите 443.

    • Для пробы работоспособности введите следующие значения:

      • В поле "Имя" введите имя пробы работоспособности.

      • Для протокола введите HTTP.

      • Для порта введите 80.

      • Для параметра Path введите /adfs/probe.

      • Для интервала оставьте значение по умолчанию 5.

      • По завершении выберите Сохранить.

    • По завершении нажмите кнопку "Сохранить ", чтобы сохранить правило входящего трафика.

  8. Выберите Проверить и создать, а затем выберите Создать.

После выбора " Создать " и развертывания общедоступной подсистемы балансировки нагрузки он должен содержать список подсистем балансировки нагрузки.

Снимок экрана, показывающий, как сохранить правило входящего трафика.

Назначение DNS-метки для общедоступного IP-адреса

Чтобы настроить метку DNS для общедоступного IP-адреса, выполните следующие действия.

  1. В портал Azure найдите общедоступные IP-адреса, а затем выберите IP-адрес, который требуется изменить.

  2. В разделе Параметры выберите пункт Конфигурация.

  3. В разделе "Укажите метку DNS (необязательно)" добавьте запись в текстовое поле (например, fs.contoso.com), которая соответствует DNS-метке внешнего балансировщика нагрузки (например, contosofs.westus.cloudapp.azure.com).

  4. Нажмите кнопку "Сохранить", чтобы завершить назначение метки DNS.

Проверьте вход в систему с помощью AD FS

Самый простой способ тестирования AD FS — использовать страницу IdpInitiatedSignOn.aspx. Для этого необходимо включить IdpInitiatedSignOn в свойствах AD FS.

Чтобы проверить, включено ли свойство IdpInitiatedSignOn:

  1. В PowerShell выполните следующий командлет на сервере AD FS, чтобы настроить его для включения.

    Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true

  2. С любого внешнего компьютера доступ к https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.

  3. Вы увидите следующую страницу AD FS:

    Снимок экрана: страница тестового входа.

  4. Попробуйте выполнить вход. При успешном входе появится сообщение, как показано на следующем снимке экрана.

    Снимок экрана: сообщение об успешном выполнении теста.

Шаблон для развертывания AD FS в Azure

Шаблон развертывает конфигурацию из шести компьютеров, где два компьютера используются для контроллеров домена, два для AD FS и два для WAP.

Шаблон для развертывания AD FS в Azure

Вы можете использовать существующую виртуальную сеть или создать новую виртуальную сеть при развертывании этого шаблона. В следующей таблице перечислены параметры, которые можно использовать для настройки развертывания.

Параметр Описание
Местонахождение Регион, в который нужно развернуть ресурсы.
StorageAccountType Тип создаваемой учетной записи хранения.
VirtualNetworkUsage Указывает, следует ли создать новую виртуальную сеть или использовать существующую.
VirtualNetworkName Имя виртуальной сети. Обязательный для существующего или нового использования виртуальной сети.
VirtualNetworkResourceGroupName Указывает имя группы ресурсов, в которой находится существующая виртуальная сеть. При использовании существующей виртуальной сети этот параметр является обязательным параметром, поэтому развертывание может найти идентификатор существующей виртуальной сети.
VirtualNetworkAddressRange Диапазон адресов новой виртуальной сети. Обязательно при создании новой виртуальной сети.
InternalSubnetName Имя внутренней подсети. Обязательно для новых и существующих вариантов использования виртуальной сети.
Диапазон адресов внутренней подсети Диапазон адресов внутренней подсети, содержащей контроллеры домена и серверы AD FS. Обязательно при создании новой виртуальной сети.
Диапазон адресов подсети DMZ (DMZSubnetAddressRange) Диапазон адресов подсети DMZ, содержащей прокси-серверы приложений Windows. Обязательно при создании новой виртуальной сети.
DMZSubnetName Имя внутренней подсети, которая является обязательной для новых и существующих вариантов использования виртуальной сети.
ADDC01NICIPAddress Внутренний IP-адрес первого контроллера домена. Этот IP-адрес статически назначается доменному контроллеру и должен быть допустимым IP-адресом во внутренней подсети.
ADDC02NICIPAddress Внутренний IP-адрес второго контроллера домена. Этот IP-адрес статически назначается контроллеру домена и должен быть допустимым IP-адресом в внутренней подсети.
ADFS01NICIPAddress Внутренний IP-адрес первого сервера AD FS. Этот IP-адрес статически назначается серверу AD FS и должен быть допустимым IP-адресом в внутренней подсети.
ADFS02NICIPAddress Внутренний IP-адрес второго сервера AD FS. Этот IP-адрес статически назначается серверу AD FS и должен быть допустимым IP-адресом в внутренней подсети.
WAP01NICIPAddress Внутренний IP-адрес первого waP-сервера. Этот IP-адрес статически назначается серверу WAP и должен быть допустимым IP-адресом в подсети DMZ.
WAP02NICIPAddress Внутренний IP-адрес второго WAP-сервера. Этот IP-адрес статически назначается серверу WAP и должен быть допустимым IP-адресом в подсети DMZ.
ADFSLoadBalancerPrivateIPAddress Внутренний IP-адрес подсистемы балансировки нагрузки AD FS. Этот IP-адрес статически назначается подсистеме балансировки нагрузки и должен быть допустимым IP-адресом в внутренней подсети.
ADDCVMNamePrefix Префикс имени виртуальной машины для контроллеров домена.
ADFSVMNamePrefix Префикс имени виртуальной машины для серверов AD FS.
WAPVMNamePrefix Префикс имени виртуальной машины для серверов WAP.
ADDCVMSize Размер ВМ контроллера(ов) домена.
ADFSVMSize Размер виртуальной машины серверов AD FS.
WAPVMSize Размер виртуальной машины серверов WAP.
AdminUserName Имя локального администратора виртуальных машин.
AdminPassword Пароль для учетной записи локального администратора виртуальных машин.

Следующие шаги