Web Application Proxy в Server 2012 R2, функционал и использование на примере публикации приложений Exchange 2013 (часть 2)
Ранее мы познакомились с основным функционалом данной технологии. Сей час же перенесемся в сугубо практическую плоскость и произведем первый подготовительный шаг к публикации Exchange – установку роли Active Directory Federation Services (ADFS)
Что необходимо будет сделать:
Службы федерации будут размещается на виртуальной машине SRV-ADFS которая является членом домена office365.local. Характеристики виртуальной машины:
Говоря о требованиях к публикации, нужно продумать два важных момента:
1) Под каким внешним DNS именем будут доступны службы ADFS нашей организации для клиентов
2) Какими техническими характеристиками должен обладать SSL сертификат публикуемый сервере ADFS
Думаю, с первым пунктом вопросов не должно возникнуть. Во внешней DNS зоне создаем запись типа A которая будет указывать на IP адрес WAP сервера. Ну а вот относительного второго пункта возможно возникнут вопросы, давайте разбираться.
В процессе развертывания необходимо использовать SSL сертификат в поле SubjectAlternative Name которого содержится DNS имя публикуемой службы ADFS. Сам он может быть импортирован заранее или добавлен во время работы мастера конфигурации ADFS. В качестве удостоверяющего CA допускается использование либо внутреннего CA, либо внешнего третьей стороны. Различия будет лишь в том, что если сертификат не от третьей стороны, за доставку корневого сертификата ответственны будете лишь вы.
В случае моего демо-стенда, будет использовать коммерческий Wildcard сертификат выписанный под доменное имя *.office365.kiev.ua Наличие именно коммерческого сертификата не является обязательным требованием.
Доходим до шага выбора сервера для инсталляции и продолжаем
Выбираем роль Active Directory Federation Services
Ранее мы познакомились с основным функционалом данной технологии. Сей час же перенесемся в сугубо практическую плоскость и произведем первый подготовительный шаг к публикации Exchange – установку роли Active Directory Federation Services (ADFS)
- Подготовить сервер для развертывание роли
- Определить требования к публикации
- Произвести развертывание службы ADFS
- Конфигурация службы ADFS
- Выводы
Подготовка сервера под ADFS
Службы федерации будут размещается на виртуальной машине SRV-ADFS которая является членом домена office365.local. Характеристики виртуальной машины:
- ОС: Server 2012 R2 Standard c 2-я виртуальными процессорами и 2-я ГБ ОЗУ
- IP адрес сервера: 172.16.20.14 /24
Говоря о требованиях к публикации, нужно продумать два важных момента:
1) Под каким внешним DNS именем будут доступны службы ADFS нашей организации для клиентов
2) Какими техническими характеристиками должен обладать SSL сертификат публикуемый сервере ADFS
Думаю, с первым пунктом вопросов не должно возникнуть. Во внешней DNS зоне создаем запись типа A которая будет указывать на IP адрес WAP сервера. Ну а вот относительного второго пункта возможно возникнут вопросы, давайте разбираться.
В процессе развертывания необходимо использовать SSL сертификат в поле SubjectAlternative Name которого содержится DNS имя публикуемой службы ADFS. Сам он может быть импортирован заранее или добавлен во время работы мастера конфигурации ADFS. В качестве удостоверяющего CA допускается использование либо внутреннего CA, либо внешнего третьей стороны. Различия будет лишь в том, что если сертификат не от третьей стороны, за доставку корневого сертификата ответственны будете лишь вы.
В случае моего демо-стенда, будет использовать коммерческий Wildcard сертификат выписанный под доменное имя *.office365.kiev.ua Наличие именно коммерческого сертификата не является обязательным требованием.
Развертывание роли ADFS
На сервере SRV-ADFS.office365.local и запустим Server Manager. В меню Manage, открываемAdd Roles and Features
Выбираем роль Active Directory Federation Services
В следующем окне нажимаем Install дожидаясь до конца установки роли.
Конфигурирование службы ADFS
После завершения установки, запускаем мастер конфигурации
В мастере выставляем радио-бокс на против Create the first server in a federation farm тем самым создавая первый сервер федерации в новой ферме ADFS.
Вводим учетную запись администратора для первоначальной конфигурации служб.
Следующий шаг, попросит указать SSL сертификат для настройки ADFS. Заранее я произвел его импорт на сервер, после этого мастер дал возможность его выбрать из списка SSL сертификатов. В поле Federation Service Name будет указано внешнее DNS имя adfs.office365.kiev.ua а в Federation Service Display Name – отображаемое имя служб федерации для клиентов.
На следующем шаге, необходимо определить учетную запись, из под прав которой будут работать службы федерации.
Окно предупреждения выдало ошибку:
Group Management Service Account are not available because the KDS root key not been set…
Это произошло, потому что предварительно не был создан Microsoft Key Distribution Service root key который необходим для функционирования Group Managed Service Account. На TechNet описана полная процедура создания.
В своем примере я воспользовался подсказкой в предупреждении и выполнил коммандлет
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
на контроллере домена.
После выполнение вернутся на один шаг назад и заново перешел к выбору Service AccountПосле исчезновения окна предупреждения, в качестве учетной записи было выбрано имя adfs
Оставляем без изменений место хранения базы базы данных, и переходим далее.
Нажимаем Configure и дожидаемся до окончания завершения конфигурации служб ADFS.
Комментариев нет:
Отправить комментарий