Bereitstellen von Active Directory-Verbunddiensten in AzureDeploying Active Directory Federation Services in Azure

AD FS verfügt über Funktionen für den vereinfachten, geschützten Identitätsverbund und die einmalige Webanmeldung (SSO).AD FS provides simplified, secured identity federation and Web single sign-on (SSO) capabilities. Der Verbund mit Azure AD oder O365 ermöglicht Benutzern die Authentifizierung mit lokalen Anmeldeinformationen und den Zugriff auf Ressourcen in der Cloud.Federation with Azure AD or O365 enables users to authenticate using on-premises credentials and access all resources in cloud. Daher ist es wichtig, dass eine hoch verfügbare AD FS-Infrastruktur vorhanden ist, um den Zugriff auf lokale Ressourcen und Ressourcen in der Cloud sicherzustellen.As a result, it becomes important to have a highly available AD FS infrastructure to ensure access to resources both on-premises and in the cloud. Durch die Bereitstellung von AD FS in Azure kann die erforderliche Hochverfügbarkeit mit wenig Aufwand erzielt werden.Deploying AD FS in Azure can help achieve the high availability required with minimal efforts. Die Bereitstellung von AD FS in Azure hat mehrere Vorteile, von denen hier einige aufgeführt sind:There are several advantages of deploying AD FS in Azure, a few of them are listed below:

  • Hochverfügbarkeit: Mit der Leistungsfähigkeit von Azure-Verfügbarkeitsgruppen sorgen Sie für eine Hochverfügbarkeitsinfrastruktur.High Availability - With the power of Azure Availability Sets, you ensure a highly available infrastructure.
  • Einfache Skalierung : Benötigen Sie eine höhere Leistung?Easy to Scale – Need more performance? Sie können die Migration zu leistungsfähigeren Computern in Azure leicht mit nur wenigen Klicks durchführen.Easily migrate to more powerful machines by just a few clicks in Azure
  • Standortübergreifende Redundanz : Mit der geografischen Redundanz von Azure können Sie sicher sein, dass Ihre Infrastruktur weltweit eine hohe Verfügbarkeit aufweist.Cross-Geo Redundancy – With Azure Geo Redundancy you can be assured that your infrastructure is highly available across the globe
  • Einfache Verwaltung : Dank der stark vereinfachten Verwaltungsfunktionen im Azure-Portal ist die Verwaltung der Infrastruktur sehr einfach und problemlos.Easy to Manage – With highly simplified management options in Azure portal, managing your infrastructure is very easy and hassle-free

EntwurfsprinzipienDesign principles

Bereitstellungsentwurf

Im obigen Diagramm ist die empfohlene grundlegende Topologie dargestellt, mit der Sie die Bereitstellung Ihrer AD FS-Infrastruktur in Azure beginnen können.The diagram above shows the recommended basic topology to start deploying your AD FS infrastructure in Azure. Die Prinzipien hinter den verschiedenen Komponenten der Topologie sind unten angegeben:The principles behind the various components of the topology are listed below:

  • DC/AD FS-Server: Wenn Sie weniger als 1.000 Benutzer haben, können Sie die AD FS-Rolle einfach auf Ihren Domänencontrollern installieren.DC / ADFS Servers: If you have fewer than 1,000 users you can simply install AD FS role on your domain controllers. Wenn Sie Leistungsbeeinträchtigungen für die Domänencontroller ausschließen möchten oder mehr als 1.000 Benutzer haben, können Sie AD FS auf separaten Servern bereitstellen.If you do not want any performance impact on the domain controllers or if you have more than 1,000 users, then deploy AD FS on separate servers.
  • WAP-Server : Webanwendungsproxy-Server müssen so bereitgestellt werden, dass die Benutzer AD FS auch erreichen können, wenn sie sich nicht im Unternehmensnetzwerk befinden.WAP Server – it is necessary to deploy Web Application Proxy servers, so that users can reach the AD FS when they are not on the company network also.
  • DMZ: Die Webanwendungsproxy-Server werden in der DMZ angeordnet, und NUR der TCP/443-Zugriff ist zwischen der DMZ und dem internen Subnetz zulässig.DMZ: The Web Application Proxy servers will be placed in the DMZ and ONLY TCP/443 access is allowed between the DMZ and the internal subnet.
  • Load Balancers: Zur Sicherstellung der Hochverfügbarkeit von AD FS- und Webanwendungsproxy-Servern empfehlen wir die Verwendung eines internen Load Balancers für AD FS-Server und von Azure Load Balancer für Webanwendungsproxy-Server.Load Balancers: To ensure high availability of AD FS and Web Application Proxy servers, we recommend using an internal load balancer for AD FS servers and Azure Load Balancer for Web Application Proxy servers.
  • Verfügbarkeitsgruppen: Zur Sicherstellung der Redundanz für die AD FS-Bereitstellung wird empfohlen, zwei oder mehr virtuelle Computer für ähnliche Workloads in einer Verfügbarkeitsgruppe zu gruppieren.Availability Sets: To provide redundancy to your AD FS deployment, it is recommended that you group two or more virtual machines in an Availability Set for similar workloads. Durch diese Konfiguration wird sichergestellt, dass während eines geplanten oder ungeplanten Wartungsereignisses mindestens ein virtueller Computer verfügbar ist.This configuration ensures that during either a planned or unplanned maintenance event, at least one virtual machine will be available
  • Speicherkonten: Es wird empfohlen, zwei Speicherkonten zu verwenden.Storage Accounts: It is recommended to have two storage accounts. Die Verwendung von nur einem Speicherkonto kann zur Schaffung einer einzelnen Fehlerquelle führen und bewirken, dass die Bereitstellung in dem unwahrscheinlichen Fall, dass das Speicherkonto ausfällt, nicht mehr verfügbar ist.Having a single storage account can lead to creation of a single point of failure and can cause the deployment to become unavailable in an unlikely scenario where the storage account goes down. Bei zwei Speicherkonten kann jedem Fehlerpunkt ein Speicherkonto zugeordnet werden.Two storage accounts will help associate one storage account for each fault line.
  • Netzwerktrennung: Webanwendungsproxy-Server müssen in einem separaten DMZ-Netzwerk bereitgestellt werden.Network segregation: Web Application Proxy servers should be deployed in a separate DMZ network. Sie können ein virtuelles Netzwerk in zwei Subnetze unterteilen und Webanwendungsproxy-Server dann in einem isolierten Subnetz bereitstellen.You can divide one virtual network into two subnets and then deploy the Web Application Proxy server(s) in an isolated subnet. Sie können die Netzwerksicherheitsgruppen-Einstellungen für jedes Subnetz leicht konfigurieren und zwischen den beiden Subnetzen nur die erforderliche Kommunikation zulassen.You can simply configure the network security group settings for each subnet and allow only required communication between the two subnets. Weitere Details sind unten jeweils für die einzelnen Bereitstellungsszenarien angegeben.More details are given per deployment scenario below

Schritte zum Bereitstellen von AD FS in AzureSteps to deploy AD FS in Azure

Mit den Schritten dieser Anleitung wird die unten dargestellte AD FS-Infrastruktur in Azure bereitgestellt.The steps mentioned in this section outline the guide to deploy the below depicted AD FS infrastructure in Azure.

1. Bereitstellen des Netzwerks1. Deploying the network

Wie oben beschrieben, können Sie entweder zwei Subnetze in einem einzelnen virtuellen Netzwerk oder zwei gänzlich unterschiedliche virtuelle Netzwerke (VNet) erstellen.As outlined above, you can either create two subnets in a single virtual network or else create two completely different virtual networks (VNet). In diesem Artikel geht es um die Bereitstellung eines einzelnen virtuellen Netzwerks und die Unterteilung in zwei Subnetze.This article will focus on deploying a single virtual network and divide it into two subnets. Dies ist derzeit ein einfacherer Ansatz, da bei zwei separaten VNets ein VNet-zu-VNet-Gateway für die Kommunikation erforderlich wäre.This is currently an easier approach as two separate VNets would require a VNet to VNet gateway for communications.

1.1 Erstellen eines virtuellen Netzwerks1.1 Create virtual network

Virtuelles Netzwerk erstellen

Wählen Sie im Azure-Portal die Option „Virtuelles Netzwerk“. Sie können das virtuelle Netzwerk und ein Subnetz sofort mit nur einem Klick bereitstellen.In the Azure portal, select virtual network and you can deploy the virtual network and one subnet immediately with just one click. Das INT-Subnetz wird ebenfalls definiert, und diesem Subnetz können VMs hinzugefügt werden.INT subnet is also defined and is ready now for VMs to be added. Der nächste Schritt ist das Hinzufügen eines weiteren Subnetzes zum Netzwerk, nämlich des DMZ-Subnetzes.The next step is to add another subnet to the network, i.e. the DMZ subnet. Gehen Sie wie folgt vor, um das DMZ-Subnetz zu erstellen:To create the DMZ subnet, simply

  • Wählen Sie das neu erstellte Netzwerk aus.Select the newly created network
  • Wählen Sie in den Eigenschaften die Option „Subnetz“.In the properties select subnet
  • Klicken Sie im Bereich „Subnetz“ auf die Schaltfläche „Hinzufügen“.In the subnet panel click on the add button
  • Geben Sie den Subnetznamen und die Adressrauminformationen an, um das Subnetz zu erstellen.Provide the subnet name and address space information to create the subnet

Subnet

Subnetz-DMZ

1.2. Erstellen der Netzwerksicherheitsgruppen1.2. Creating the network security groups

Eine Netzwerksicherheitsgruppe (NSG) enthält eine Zugriffssteuerungsliste (Access Control List, ACL) zum Zulassen oder Verweigern von Netzwerkdatenverkehr an Ihre VM-Instanzen in einem virtuellen Netzwerk.A Network security group (NSG) contains a list of Access Control List (ACL) rules that allow or deny network traffic to your VM instances in a Virtual Network. NSGs können Subnetzen oder einzelnen VM-Instanzen innerhalb dieses Subnetzes zugeordnet werden.NSGs can be associated with either subnets or individual VM instances within that subnet. Wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist, gelten die ACL-Regeln für alle VM-Instanzen in diesem Subnetz.When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet. In dieser Anleitung erstellen wir zwei NSGs: jeweils eine für ein internes Netzwerk und eine DMZ.For the purpose of this guidance, we will create two NSGs: one each for an internal network and a DMZ. Sie erhalten die Namen NSG_INT und NSG_DMZ.They will be labeled NSG_INT and NSG_DMZ respectively.

NSG erstellen

Nach der Erstellung der NSG sind 0 eingehende und 0 ausgehende Regeln vorhanden.After the NSG is created, there will be 0 inbound and 0 outbound rules. Nachdem die Rollen auf den entsprechenden Servern installiert wurden und betriebsbereit sind, können die eingehenden und ausgehenden Regeln gemäß der gewünschten Sicherheitsebene eingerichtet werden.Once the roles on the respective servers are installed and functional, then the inbound and outbound rules can be made according to the desired level of security.

NSG initialisieren

Ordnen Sie nach der NSG-Erstellung NSG_INT dem Subnetz INT und NSG_DMZ dem Subnetz DMZ zu.After the NSGs are created, associate NSG_INT with subnet INT and NSG_DMZ with subnet DMZ. Unten ist ein Screenshot mit einem Beispiel angegeben:An example screenshot is given below:

NSG konfigurieren

  • Klicken Sie auf „Subnetze“, um den Bereich für Subnetze zu öffnen.Click on Subnets to open the panel for subnets
  • Wählen Sie das Subnetz aus, das Sie der NSG zuordnen möchten.Select the subnet to associate with the NSG

Nach der Konfiguration sollte der Bereich für Subnetze wie folgt aussehen:After configuration, the panel for Subnets should look like below:

Subnetze nach NSG

1.3. Erstellen einer Verbindung mit einem lokalen Ort1.3. Create Connection to on-premises

Wir benötigen eine Verbindung mit einem lokalen Ort, um den Domänencontroller (DC) in Azure bereitzustellen.We will need a connection to on-premises in order to deploy the domain controller (DC) in azure. Azure verfügt über verschiedene Verbindungsoptionen, um für Ihre lokale Infrastruktur eine Verbindung mit der Azure-Infrastruktur herzustellen.Azure offers various connectivity options to connect your on-premises infrastructure to your Azure infrastructure.

  • Point-to-SitePoint-to-site
  • Standort-zu-Standort für virtuelle NetzwerkeVirtual Network Site-to-site
  • ExpressRouteExpressRoute

Es wird empfohlen, ExpressRoute zu verwenden.It is recommended to use ExpressRoute. Mit expressroute können Sie private Verbindungen zwischen Azure-Rechenzentren und der Infrastruktur erstellen, die sich an Ihrem Standort oder in einer Co-Location-Umgebung befindet.ExpressRoute lets you create private connections between Azure datacenters and infrastructure that's on your premises or in a co-location environment. ExpressRoute-Verbindungen verlaufen nicht über das öffentliche Internet.ExpressRoute connections do not go over the public Internet. Sie bieten mehr Zuverlässigkeit, eine höhere Geschwindigkeit, niedrigere Latenzzeiten und mehr Sicherheit als herkömmliche Verbindungen über das Internet.They offer more reliability, faster speeds, lower latencies and higher security than typical connections over the Internet. Die Verwendung von ExpressRoute wird zwar empfohlen, aber Sie können eine beliebige Verbindungsmethode wählen, die für Ihr Unternehmen am besten geeignet ist.While it is recommended to use ExpressRoute, you may choose any connection method best suited for your organization. Weitere Informationen zu ExpressRoute und den verschiedenen Verbindungsoptionen mit ExpressRoute finden Sie unter ExpressRoute – Technische Übersicht.To learn more about ExpressRoute and the various connectivity options using ExpressRoute, read ExpressRoute technical overview.

2. Erstellen von Speicher Konten2. Create storage accounts

Sie können zwei Speicherkonten erstellen, um für Hochverfügbarkeit zu sorgen und die Abhängigkeit von einem einzelnen Speicherkonto zu vermeiden.In order to maintain high availability and avoid dependence on a single storage account, you can create two storage accounts. Teilen Sie die Computer in jeder Verfügbarkeitsgruppe in zwei Gruppen, und weisen Sie jeder Gruppe dann ein separates Speicherkonto zu.Divide the machines in each availability set into two groups and then assign each group a separate storage account.

Speicherkonten erstellen

3. Erstellen von Verfügbarkeits Gruppen3. Create availability sets

Erstellen Sie für jede Rolle (DC/AD FS und WAP) Verfügbarkeitsgruppen, die jeweils mindestens zwei Computer enthalten.For each role (DC/AD FS and WAP), create availability sets that will contain 2 machines each at the minimum. So erzielen Sie für jede Rolle ein höhere Verfügbarkeit.This will help achieve higher availability for each role. Beim Erstellen der Verfügbarkeitsgruppen ist es sehr wichtig, Entscheidungen zu den folgenden Komponenten zu treffen:While creating the availability sets, it is essential to decide on the following:

  • Fehlerdomänen: Virtuelle Computer einer Fehlerdomäne nutzen die gleiche Stromquelle und den gleichen physischen Netzwerkswitch.Fault Domains: Virtual machines in the same fault domain share the same power source and physical network switch. Mindestens zwei Fehlerdomänen werden empfohlen.A minimum of 2 fault domains are recommended. Der Standardwert ist 3. Sie können ihn für diese Bereitstellung beibehalten.The default value is 3 and you can leave it as is for the purpose of this deployment
  • Updatedomänen: Computer, die der gleichen Updatedomäne angehören, werden während eines Updates gemeinsam neu gestartet.Update domains: Machines belonging to the same update domain are restarted together during an update. Es wird empfohlen, mindestens zwei Updatedomänen zu verwenden.You want to have minimum of 2 update domains. Der Standardwert ist 5. Sie können ihn für diese Bereitstellung beibehalten.The default value is 5 and you can leave it as is for the purpose of this deployment

Verfügbarkeitsgruppen

Erstellen Sie die folgenden Verfügbarkeitsgruppen:Create the following availability sets

VerfügbarkeitsgruppeAvailability Set RolleRole FehlerdomänenFault domains UpdatedomänenUpdate domains
contosodcsetcontosodcset DC/ADFSDC/ADFS 33 55
contosowapsetcontosowapset WAPWAP 33 55

4. Bereitstellen von virtuellen Maschinen4. Deploy virtual machines

Der nächste Schritt ist die Bereitstellung von virtuellen Computern, auf denen die verschiedenen Rollen in Ihrer Infrastruktur gehostet werden.The next step is to deploy virtual machines that will host the different roles in your infrastructure. Es wird empfohlen, in jeder Verfügbarkeitsgruppe mindestens zwei Computer zu verwenden.A minimum of two machines are recommended in each availability set. Erstellen Sie vier virtuelle Computer für die grundlegende Bereitstellung.Create four virtual machines for the basic deployment.

MachineMachine RolleRole SubnetSubnet VerfügbarkeitsgruppeAvailability set SpeicherkontoStorage account IP-AdresseIP Address
contosodc1contosodc1 DC/ADFSDC/ADFS INTINT contosodcsetcontosodcset contososac1contososac1 StatischStatic
contosodc2contosodc2 DC/ADFSDC/ADFS INTINT contosodcsetcontosodcset contososac2contososac2 StatischStatic
contosowap1contosowap1 WAPWAP DMZDMZ contosowapsetcontosowapset contososac1contososac1 StatischStatic
contosowap2contosowap2 WAPWAP DMZDMZ contosowapsetcontosowapset contososac2contososac2 StatischStatic

Sie haben vielleicht bemerkt, dass keine NSG angegeben wurde.As you might have noticed, no NSG has been specified. Dies liegt daran, dass Sie NSGs bei Azure auf Subnetzebene verwenden können.This is because azure lets you use NSG at the subnet level. Anschließend können Sie den Computerdatenverkehr steuern, indem Sie die individuelle NSG verwenden, die entweder dem Subnetz oder dem NIC-Objekt zugeordnet ist.Then, you can control machine network traffic by using the individual NSG associated with either the subnet or else the NIC object. Weitere Informationen finden Sie unter Was ist eine Netzwerksicherheitsgruppe (NSG)?.Read more on What is a Network Security Group (NSG). Eine statische IP-Adresse wird empfohlen, wenn Sie das DNS verwalten.Static IP address is recommended if you are managing the DNS. Sie können auch Azure DNS verwenden und in den DNS-Einträgen für Ihre Domäne über die Azure FQDNs auf die neuen Computer verweisen.You can use Azure DNS and instead in the DNS records for your domain, refer to the new machines by their Azure FQDNs. Nach Abschluss der Bereitstellung sollte der Bereich für virtuelle Computer wie folgt aussehen:Your virtual machine pane should look like below after the deployment is completed:

Bereitgestellte virtuelle Computer

5. Konfigurieren des Domänen Controllers/AD FS Servers5. Configuring the domain controller / AD FS servers

Um jede eingehende Anforderung authentifizieren zu können, muss AD FS mit dem Domänencontroller Kontakt aufnehmen.In order to authenticate any incoming request, AD FS will need to contact the domain controller. Es wird empfohlen, ein Replikat des Domänencontrollers in Azure bereitzustellen, um für die Authentifizierung den aufwändigen Weg von Azure zum lokalen DC zu vermeiden.To save the costly trip from Azure to on-premises DC for authentication, it is recommended to deploy a replica of the domain controller in Azure. Um Hochverfügbarkeit zu erzielen, ist es ratsam, eine Verfügbarkeitsgruppe mit mindestens zwei Domänencontrollern zu erstellen.In order to attain high availability, it is recommended to create an availability set of at-least 2 domain controllers.

DomänencontrollerDomain controller RolleRole SpeicherkontoStorage account
contosodc1contosodc1 ReplikatReplica contososac1contososac1
contosodc2contosodc2 ReplikatReplica contososac2contososac2
  • Stufen Sie die beiden Server als Replikatdomänencontroller mit DNS hoch.Promote the two servers as replica domain controllers with DNS
  • Konfigurieren Sie die AD FS-Server, indem Sie die AD FS-Rolle mit dem Server-Manager installieren.Configure the AD FS servers by installing the AD FS role using the server manager.

6. bereitstellen interner Load Balancer (ILB)6. Deploying Internal Load Balancer (ILB)

6.1. Erstellen des ILB6.1. Create the ILB

Wählen Sie zum Bereitstellen eines ILB im Azure-Portal die Option „Lastenausgleichsmodule“, und klicken Sie auf „Hinzufügen“ (+).To deploy an ILB, select Load Balancers in the Azure portal and click on add (+).

Hinweis

Gehen Sie wie folgt vor, wenn Lastenausgleichsmodule nicht im Menü angezeigt wird. Klicken Sie unten links im Portal auf Durchsuchen, und scrollen Sie, bis Lastenausgleichsmodule erscheint.if you do not see Load Balancers in your menu, click Browse in the lower left of the portal and scroll until you see Load Balancers. Klicken Sie auf den gelben Stern, um die Option dem Menü hinzuzufügen.Then click the yellow star to add it to your menu. Wählen Sie anschließend das neue Load Balancer-Symbol, um den Bereich zu öffnen und mit der Konfiguration des Load Balancers zu beginnen.Now select the new load balancer icon to open the panel to begin configuration of the load balancer.

Load Balancer durchsuchen

  • Name: Geben Sie dem Load Balancer einen beliebigen passenden Namen.Name: Give any suitable name to the load balancer
  • Schema: da dieser Load Balancer vor den AD FS Servern platziert wird und nur für interne Netzwerkverbindungen gedacht ist, wählen Sie "intern" aus.Scheme: Since this load balancer will be placed in front of the AD FS servers and is meant for internal network connections ONLY, select "Internal"
  • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, in dem Sie AD FS bereitstellen möchten.Virtual Network: Choose the virtual network where you are deploying your AD FS
  • Subnetz: Wählen Sie hier das interne Subnetz aus.Subnet: Choose the internal subnet here
  • IP-Adresszuweisung: statischIP Address assignment: Static

Interner Lastenausgleich

Nach dem Klicken auf „Erstellen“ und der Bereitstellung des ILB sollte er in der Liste mit den Load Balancern angezeigt werden:After you click create and the ILB is deployed, you should see it in the list of load balancers:

Load Balancers nach ILB

Der nächste Schritt ist das Konfigurieren des Back-End-Pools und Back-End-Tests.Next step is to configure the backend pool and the backend probe.

6.2. Konfigurieren des ILB-Back-End-Pools6.2. Configure ILB backend pool

Wählen Sie den neu erstellten ILB im Bereich „Lastenausgleichsmodule“ aus.Select the newly created ILB in the Load Balancers panel. Der Bereich mit den Einstellungen wird geöffnet.It will open the settings panel.

  1. Wählen Sie im Bereich „Einstellungen“ die Option „Back-End-Pools“.Select backend pools from the settings panel
  2. Klicken Sie im Bereich „Back-End-Pool“ auf „Virtuellen Computer hinzufügen“.In the add backend pool panel, click on add virtual machine
  3. Es wird ein Bereich angezeigt, in dem Sie eine Verfügbarkeitsgruppe auswählen können.You will be presented with a panel where you can choose availability set
  4. Wählen Sie die AD FS-Verfügbarkeitsgruppe aus.Choose the AD FS availability set

ILB-Back-End-Pool konfigurieren

6.3. Konfigurieren des Tests6.3. Configuring probe

Wählen Sie im Bereich mit den ILB-Einstellungen die Option „Integritätstests“.In the ILB settings panel, select Health probes.

  1. Klicken Sie auf „Hinzufügen“.Click on add
  2. Geben Sie die Details für den Test an. a.Provide details for probe a. Name: Name des Tests. b.Name: Probe name b. Protokoll: HTTP c.Protocol: HTTP c. Port: 80 (HTTP) d.Port: 80 (HTTP) d. Pfad: /adfs/probe e.Path: /adfs/probe e. Intervall: 5 (Standardwert). Dies ist das Intervall, in dem der ILB die Computer im Back-End-Pool testet. f.Interval: 5 (default value) – this is the interval at which ILB will probe the machines in the backend pool f. Fehlerschwellenwert: 2 (Standardwert). Dies ist der Schwellenwert für aufeinanderfolgende fehlgeschlagene Tests, nach denen der ILB einen Computer im Back-End-Pool als nicht reagierend deklariert und keinen Datenverkehr mehr sendet.Unhealthy threshold limit: 2 (default value) – this is the threshold of consecutive probe failures after which ILB will declare a machine in the backend pool non-responsive and stop sending traffic to it.

Hier wird der Endpunkt „/adfs/probe“ verwendet, der explizit für Integritätsprüfungen in einer AD FS-Umgebung erstellt wurde, in der keine vollständige HTTPS-Pfadüberprüfung möglich ist.We are using the /adfs/probe endpoint that was created explictly for health checks in an AD FS environment where a full HTTPS path check cannot happen. Dies ist wesentlich besser als eine allgemeine Überprüfung von Port 443, die den Status einer modernen AD FS-Bereitstellung nicht genau widerspiegelt.This is substantially better than a basic port 443 check, which does not accurately reflect the status of a modern AD FS deployment. Weitere Informationen dazu finden Sie unter https://blogs.technet.microsoft.com/applicationproxyblog/2014/10/17/hardware-load-balancer-health-checks-and-web-application-proxy-ad-fs-2012-r2/.More information on this can be found at https://blogs.technet.microsoft.com/applicationproxyblog/2014/10/17/hardware-load-balancer-health-checks-and-web-application-proxy-ad-fs-2012-r2/.

6.4. Erstellen von Lastenausgleichsregeln6.4. Create load balancing rules

Um den Datenverkehr effektiv ausgleichen zu können, sollte der ILB mit Lastenausgleichsregeln konfiguriert werden.In order to effectively balance the traffic, the ILB should be configured with load balancing rules. Gehen Sie wie folgt vor, um eine Lastenausgleichsregel zu erstellen:In order to create a load balancing rule,

  1. Wählen Sie im Bereich „Einstellungen“ des ILB die Option „Lastenausgleichsregel“.Select Load balancing rule from the settings panel of the ILB
  2. Klicken Sie im Bereich „Lastenausgleichsregel“ auf „Hinzufügen“.Click on Add in the Load balancing rule panel
  3. Bereich „Lastenausgleichsregel hinzufügen“:In the Add load balancing rule panel a. Name: Geben Sie einen Namen für die Regel an. b.Name: Provide a name for the rule b. Protokoll: Wählen Sie „TCP“ aus. c.Protocol: Select TCP c. Port: 443. d.Port: 443 d. Back-End-Port: 443. e.Backend port: 443 e. Back-End-Pool: Wählen Sie den Pool aus, den Sie zuvor für den AD FS-Cluster erstellt haben. f.Backend pool: Select the pool you created for the AD FS cluster earlier f. Test: Wählen Sie den Test aus, den Sie zuvor für AD FS-Server erstellt haben.Probe: Select the probe created for AD FS servers earlier

ILB-Ausgleichsregeln konfigurieren

6.5. Aktualisieren des DNS mit ILB6.5. Update DNS with ILB

Erstellen Sie mit Ihrem internen DNS-Server einen A-Datensatz für den ILB.Using your internal DNS server, create an A record for the ILB. Der A-Datensatz sollte für den Verbund Dienst mit der IP-Adresse sein, die auf die IP-Adresse des ILB verweist.The A record should be for the federation service with the IP address pointing to the IP address of the ILB. Wenn beispielsweise die ILB-IP-Adresse 10.3.0.8 und der installierte Verbund Dienst FS.contoso.com ist, erstellen Sie einen A-Datensatz für FS.contoso.com, der auf 10.3.0.8 zeigt.For example, if the ILB IP address is 10.3.0.8 and the federation service installed is fs.contoso.com, then create an A record for fs.contoso.com pointing to 10.3.0.8. Dadurch wird sichergestellt, dass alle Daten, die an FS.contoso.com gesendet werden, am ILB enden und entsprechend weitergeleitet werden.This will ensure that all data trasmitted to fs.contoso.com end up at the ILB and are appropriately routed.

Warnung

Wenn Sie die wid (interne Windows-Datenbank) für die AD FS-Datenbank verwenden, sollte dieser Wert stattdessen temporär so festgelegt werden, dass er auf Ihren primären AD FS Server verweist, oder der webanwendungsproxy schlägt nicht bei der Einschreibung fehl.If you are using the WID (Windows Internal Database) for your AD FS database, this value should instead be temporarily set to point to your primary AD FS server or the Web Application Proxy will fail enrollement. Nachdem Sie alle Webanwendungs Proxy Server erfolgreich registriert haben, ändern Sie diesen DNS-Eintrag so, dass er auf den Load Balancer verweist.After you have successfully enrolled all Web Appplication Proxy servers, change this DNS entry to point to the load balancer.

Hinweis

Wenn die Bereitstellung auch IPv6 verwendet, achten Sie darauf, einen entsprechenden AAAA-Datensatz zu erstellen.If your deployment is also using IPv6, be sure to create a corresponding AAAA record.

7. Konfigurieren des webanwendungsproxy-Servers7. Configuring the Web Application Proxy server

7.1. Konfigurieren der Webanwendungsproxy-Server für die Verbindung mit AD FS-Servern7.1. Configuring the Web Application Proxy servers to reach AD FS servers

Erstellen Sie für den ILB einen Eintrag unter „%systemroot%\system32\drivers\etc\hosts“, um sicherzustellen, dass Webanwendungsproxy-Server die AD FS-Server hinter dem ILB erreichen.In order to ensure that Web Application Proxy servers are able to reach the AD FS servers behind the ILB, create a record in the %systemroot%\system32\drivers\etc\hosts for the ILB. Beachten Sie, dass der Distinguished Name (DN) der Verbunddienstname sein sollte, z.B. „fs.contoso.com“.Note that the distinguished name (DN) should be the federation service name, for example fs.contoso.com. Und der IP-Eintrag sollte die IP-Adresse des ILB lauten (wie im Beispiel 10.3.0.8).And the IP entry should be that of the ILB's IP address (10.3.0.8 as in the example).

Warnung

Wenn Sie die wid (interne Windows-Datenbank) für die AD FS-Datenbank verwenden, sollte dieser Wert stattdessen temporär so festgelegt werden, dass er auf den primären AD FS Server verweist, oder der webanwendungsproxy schlägt nicht bei der Einschreibung fehl.If you are using the WID (Windows Internal Database) for your AD FS database, this value should instead be temporarily set to point to your primary AD FS server, or the Web Application Proxy will fail enrollement. Nachdem Sie alle Webanwendungs Proxy Server erfolgreich registriert haben, ändern Sie diesen DNS-Eintrag so, dass er auf den Load Balancer verweist.After you have successfully enrolled all Web Appplication Proxy servers, change this DNS entry to point to the load balancer.

7.2. Installieren der Webanwendungsproxy-Rolle7.2. Installing the Web Application Proxy role

Nachdem Sie sichergestellt haben, dass Webanwendungsproxy-Server die AD FS-Server hinter dem ILB erreichen können, können Sie als Nächstes die Webanwendungsproxy-Server installieren.After you ensure that Web Application Proxy servers are able to reach the AD FS servers behind ILB, you can next install the Web Application Proxy servers. Webanwendungsproxy-Server brauchen nicht mit der Domäne verknüpft werden.Web Application Proxy servers need not be joined to the domain. Installieren Sie die Webanwendungsproxy-Rollen auf den beiden Webanwendungsproxy-Servern, indem Sie die Remotezugriffsrolle auswählen.Install the Web Application Proxy roles on the two Web Application Proxy servers by selecting the Remote Access role. Sie werden vom Server-Manager durch die Schritte der WAP-Installation geführt.The server manager will guide you to complete the WAP installation. Weitere Informationen zur Bereitstellen von WAP finden Sie unter Installieren und Konfigurieren des Webanwendungsproxy-Servers.For more information on how to deploy WAP, read Install and Configure the Web Application Proxy Server.

8. Bereitstellen der (öffentlichen) Load Balancer mit Internet Zugriff8. Deploying the Internet Facing (Public) Load Balancer

8,1. Erstellen einer Load Balancer mit Internet Zugriff (Public)8.1. Create Internet Facing (Public) Load Balancer

Wählen Sie im Azure-Portal die Option „Lastenausgleichsmodule“, und klicken Sie dann auf „Hinzufügen“.In the Azure portal, select Load balancers and then click on Add. Geben Sie im Bereich „Lastenausgleich erstellen“ die folgenden Informationen ein:In the Create load balancer panel, enter the following information

  1. Name: Geben Sie den Namen für den Load Balancer ein.Name: Name for the load balancer
  2. Schema: Öffentlich. Mit dieser Option wird Azure mitgeteilt, dass für diesen Load Balancer eine öffentliche Adresse erforderlich ist.Scheme: Public – this option tells Azure that this load balancer will need a public address.
  3. IP-Adresse: Erstellen Sie eine neue IP-Adresse (dynamisch).IP Address: Create a new IP address (dynamic)

Load Balancer mit Internetzugriff

Nach der Bereitstellung wird der Load Balancer in der Liste „Lastenausgleichsmodule“ angezeigt.After deployment, the load balancer will appear in the Load balancers list.

Load Balancer-Liste

8.2. Zuweisen einer DNS-Bezeichnung zur öffentlichen IP8.2. Assign a DNS label to the public IP

Klicken Sie im Bereich „Lastenausgleichsmodule“ auf den neu erstellten Load Balancer-Eintrag, um den Bereich für die Konfiguration zu öffnen.Click on the newly created load balancer entry in the Load balancers panel to bring up the panel for configuration. Führen Sie die unten angegebenen Schritte aus, um die DNS-Bezeichnung für die öffentliche IP zu konfigurieren:Follow below steps to configure the DNS label for the public IP:

  1. Klicken Sie auf die öffentliche IP-Adresse.Click on the public IP address. Der Bereich für die öffentliche IP und mit den dazugehörigen Einstellungen wird geöffnet.This will open the panel for the public IP and its settings
  2. Klicken Sie auf „Konfiguration“.Click on Configuration
  3. Geben Sie eine DNS-Bezeichnung an.Provide a DNS label. Sie wird zur öffentlichen DNS-Bezeichnung, auf die Sie von jedem Ort aus zugreifen können, z.B. „contosofs.westus.cloudapp.azure.com“.This will become the public DNS label that you can access from anywhere, for example contosofs.westus.cloudapp.azure.com. Sie können einen Eintrag im externen DNS für den Verbunddienst (z.B. „fs.contoso.com“) hinzufügen, der in die DNS-Bezeichnung des externen Load Balancers (contosofs.westus.cloudapp.azure.com) aufgelöst wird.You can add an entry in the external DNS for the federation service (like fs.contoso.com) that resolves to the DNS label of the external load balancer (contosofs.westus.cloudapp.azure.com).

Load Balancer mit Internetzugriff konfigurieren

Load Balancer mit Internetzugriff (DNS) konfigurieren

8.3. Konfigurieren des Back-End-Pools für den (öffentlichen) Load Balancer mit Internetzugriff8.3. Configure backend pool for Internet Facing (Public) Load Balancer

Führen Sie die gleichen Schritte wie beim Erstellen des internen Load Balancers aus, um den Back-End-Pool für den (öffentlichen) Load Balancer mit Internetzugriff als Verfügbarkeitsgruppe für die WAP-Server zu konfigurieren.Follow the same steps as in creating the internal load balancer, to configure the backend pool for Internet Facing (Public) Load Balancer as the availability set for the WAP servers. Beispiel: „contosowapset“.For example, contosowapset.

Back-End-Pool für Load Balancer mit Internetzugriff konfigurieren

8.4. Konfigurieren des Tests8.4. Configure probe

Führen Sie die gleichen Schritte wie beim Konfigurieren des internen Load Balancers aus, um den Test für den Back-End-Pool von WAP-Servern zu konfigurieren.Follow the same steps as in configuring the internal load balancer to configure the probe for the backend pool of WAP servers.

Test für Load Balancer mit Internetzugriff konfigurieren

8.5. Erstellen von Lastenausgleichsregeln8.5. Create load balancing rule(s)

Führen Sie die gleichen Schritte wie für den ILB aus, um die Lastenausgleichsregel für TCP 443 zu konfigurieren.Follow the same steps as in ILB to configure the load balancing rule for TCP 443.

Ausgleichsregeln für Load Balancer mit Internetzugriff konfigurieren

9. Sichern des Netzwerks9. Securing the network

9.1. Schützen des internen Subnetzes9.1. Securing the internal subnet

Generell benötigen Sie die folgenden Regeln, um Ihr internes Subnetz effizient zu schützen (in der unten angegebenen Reihenfolge).Overall, you need the following rules to efficiently secure your internal subnet (in the order as listed below)

RegelRule BeschreibungDescription FlowFlow
AllowHTTPSFromDMZAllowHTTPSFromDMZ Mit dieser Regel wird die HTTPS-Kommunikation von der DMZ zugelassen.Allow the HTTPS communication from DMZ Eingehende VerbindungenInbound
DenyInternetOutboundDenyInternetOutbound Es besteht kein Zugriff auf das Internet.No access to internet AusgehendOutbound

INT-Zugriffsregeln (eingehend)

9.2. Schützen des DMZ-Subnetzes9.2. Securing the DMZ subnet

RegelRule BeschreibungDescription FlowFlow
AllowHTTPSFromInternetAllowHTTPSFromInternet HTTPS aus dem Internet an die DMZ zulassenAllow HTTPS from internet to the DMZ Eingehende VerbindungenInbound
DenyInternetOutboundDenyInternetOutbound Alles außer HTTPS-Verbindungen ins Internet blockierenAnything except HTTPS to internet is blocked AusgehendOutbound

EXT-Zugriffsregeln (eingehend)

Hinweis

Wenn die Client Zertifikat Authentifizierung (clienttls-Authentifizierung mit X. 509-Benutzer Zertifikaten) erforderlich ist, muss für AD FS der TCP-Port 49443 für den eingehenden Zugriff aktiviert werden.If client user certificate authentication (clientTLS authentication using X.509 user certificates) is required, then AD FS requires TCP port 49443 to be enabled for inbound access.

10. Testen der AD FS Anmeldung10. Test the AD FS sign-in

Die einfachste Möglichkeit zum Testen von AD FS ist die Verwendung der Seite „IdpInitiatedSignon.aspx“.The easiest way is to test AD FS is by using the IdpInitiatedSignon.aspx page. Hierfür ist es erforderlich, in den AD FS-Eigenschaften „IdpInitiatedSignOn“ zu aktivieren.In order to be able to do that, it is required to enable the IdpInitiatedSignOn on the AD FS properties. Führen Sie die unten angegebenen Schritte aus, um Ihr AD FS-Setup zu überprüfen.Follow the steps below to verify your AD FS setup

  1. Führen Sie das unten angegebene Cmdlet auf dem AD FS-Server aus, und verwenden Sie PowerShell, um es auf „Aktiviert“ festzulegen.Run the below cmdlet on the AD FS server, using PowerShell, to set it to enabled. Set-AdfsProperties -EnableIdPInitiatedSignonPage $trueSet-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. Rufen Sie auf einem beliebigen externen Computer „https://adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx“ auf.From any external machine, access https://adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.
  3. Die folgende AD FS-Seite wird angezeigt:You should see the AD FS page like below:

Anmeldeseite testen

Bei einer erfolgreichen Anmeldung wird die folgende Erfolgsmeldung angezeigt:On successful sign-in, it will provide you with a success message as shown below:

Erfolgreiche Durchführung testen

Vorlage für die Bereitstellung von AD FS in AzureTemplate for deploying AD FS in Azure

Durch die Vorlage wird eine Konfiguration mit sechs Computern (je zwei für Domänencontroller, AD FS und WAP) bereitgestellt.The template deploys a 6 machine setup, 2 each for Domain Controllers, AD FS and WAP.

AD FS in Azure – BereitstellungsvorlageAD FS in Azure Deployment Template

Sie können ein vorhandenes virtuelles Netzwerk verwenden oder beim Bereitstellen der Vorlage ein neues VNet erstellen.You can use an existing virtual network or create a new VNET while deploying this template. Im Anschluss finden Sie eine Liste mit den verschiedenen verfügbaren Parametern, mit denen Sie die Bereitstellung anpassen können, sowie eine Beschreibung der jeweiligen Verwendung im Rahmen des Bereitstellungsprozesses.The various parameters available for customizing the deployment are listed below with the description of usage of the parameter in the deployment process.

ParameterParameter BESCHREIBUNGDescription
StandortLocation Die Region, in der die Ressourcen bereitgestellt werden sollen (beispielsweise „USA, Osten“).The region to deploy the resources into, e.g. East US.
StorageAccountTypeStorageAccountType Die Art des zu erstellenden Speicherkontos.The type of the Storage Account created
VirtualNetworkUsageVirtualNetworkUsage Gibt an, ob ein neues virtuelles Netzwerk erstellt oder ob ein bereits vorhandenes verwendet wird.Indicates if a new virtual network will be created or use an existing one
VirtualNetworkNameVirtualNetworkName Der Name des zu erstellenden virtuellen Netzwerks. Diese Angabe ist sowohl bei Verwendung eines vorhandenen virtuellen Netzwerks als auch bei Verwendung eines neuen virtuellen Netzwerks obligatorisch.The name of the Virtual Network to Create, mandatory on both existing or new virtual network usage
VirtualNetworkResourceGroupNameVirtualNetworkResourceGroupName Gibt den Namen der Ressourcengruppe an, in der sich das vorhandene virtuelle Netzwerk befindet.Specifies the name of the resource group where the existing virtual network resides. Bei Verwendung eines vorhandenen virtuellen Netzwerks muss dieser Parameter angegeben werden, damit die Bereitstellung die ID des vorhandenen virtuellen Netzwerks ermitteln kann.When using an existing virtual network, this becomes a mandatory parameter so the deployment can find the ID of the existing virtual network
VirtualNetworkAddressRangeVirtualNetworkAddressRange Der Adressbereich des neuen VNet. Diese Angabe ist obligatorisch, wenn Sie ein neues virtuelles Netzwerk erstellen.The address range of the new VNET, mandatory if creating a new virtual network
InternalSubnetNameInternalSubnetName Der Name des internen Subnetzes. Diese Angabe ist sowohl bei neuen als auch bei bereits vorhandenen virtuellen Netzwerken obligatorisch.The name of the internal subnet, mandatory on both virtual network usage options (new or existing)
InternalSubnetAddressRangeInternalSubnetAddressRange Der Adressbereich des internen Subnetzes, das die Domänencontroller und die AD FS-Server enthält. Diese Angabe ist obligatorisch, wenn Sie ein neues virtuelles Netzwerk erstellen.The address range of the internal subnet, which contains the Domain Controllers and ADFS servers, mandatory if creating a new virtual network.
DMZSubnetAddressRangeDMZSubnetAddressRange Der Adressbereich des DMZ-Subnetzes, das die Windows-Anwendungsproxyserver enthält. Diese Angabe ist obligatorisch, wenn Sie ein neues virtuelles Netzwerk erstellen.The address range of the dmz subnet, which contains the Windows application proxy servers, mandatory if creating a new virtual network.
DMZSubnetNameDMZSubnetName Der Name des internen Subnetzes. Diese Angabe ist sowohl bei neuen als auch bei bereits vorhandenen virtuellen Netzwerken obligatorisch.The name of the internal subnet, mandatory on both virtual network usage options (new or existing).
ADDC01NICIPAddressADDC01NICIPAddress Die interne IP-Adresse des ersten Domänencontrollers. Diese IP-Adresse wird dem Domänencontroller statisch zugewiesen und muss eine gültige IP-Adresse innerhalb des internen Subnetzes sein.The internal IP address of the first Domain Controller, this IP address will be statically assigned to the DC and must be a valid ip address within the Internal subnet
ADDC02NICIPAddressADDC02NICIPAddress Die interne IP-Adresse des zweiten Domänencontrollers. Diese IP-Adresse wird dem Domänencontroller statisch zugewiesen und muss eine gültige IP-Adresse innerhalb des internen Subnetzes sein.The internal IP address of the second Domain Controller, this IP address will be statically assigned to the DC and must be a valid ip address within the Internal subnet
ADFS01NICIPAddressADFS01NICIPAddress Die interne IP-Adresse des ersten AD FS-Servers. Diese IP-Adresse wird dem AD FS-Server statisch zugewiesen und muss eine gültige IP-Adresse innerhalb des internen Subnetzes sein.The internal IP address of the first ADFS server, this IP address will be statically assigned to the ADFS server and must be a valid ip address within the Internal subnet
ADFS02NICIPAddressADFS02NICIPAddress Die interne IP-Adresse des zweiten AD FS-Servers. Diese IP-Adresse wird dem AD FS-Server statisch zugewiesen und muss eine gültige IP-Adresse innerhalb des internen Subnetzes sein.The internal IP address of the second ADFS server, this IP address will be statically assigned to the ADFS server and must be a valid ip address within the Internal subnet
WAP01NICIPAddressWAP01NICIPAddress Die interne IP-Adresse des ersten WAP-Servers. Diese IP-Adresse wird dem WAP-Server statisch zugewiesen und muss eine gültige IP-Adresse innerhalb des DMZ-Subnetzes sein.The internal IP address of the first WAP server, this IP address will be statically assigned to the WAP server and must be a valid ip address within the DMZ subnet
WAP02NICIPAddressWAP02NICIPAddress Die interne IP-Adresse des zweiten WAP-Servers. Diese IP-Adresse wird dem WAP-Server statisch zugewiesen und muss eine gültige IP-Adresse innerhalb des DMZ-Subnetzes sein.The internal IP address of the second WAP server, this IP address will be statically assigned to the WAP server and must be a valid ip address within the DMZ subnet
ADFSLoadBalancerPrivateIPAddressADFSLoadBalancerPrivateIPAddress Die interne IP-Adresse des AD FS-Lastenausgleichs. Diese IP-Adresse wird dem Lastenausgleich statisch zugewiesen und muss eine gültige IP-Adresse innerhalb des internen Subnetzes sein.The internal IP address of the ADFS load balancer, this IP address will be statically assigned to the load balancer and must be a valid ip address within the Internal subnet
ADDCVMNamePrefixADDCVMNamePrefix VM-Namenspräfix für DomänencontrollerVirtual Machine name prefix for Domain Controllers
ADFSVMNamePrefixADFSVMNamePrefix VM-Namenspräfix für AD FS-ServerVirtual Machine name prefix for ADFS servers
WAPVMNamePrefixWAPVMNamePrefix VM-Namenspräfix für WAP-ServerVirtual Machine name prefix for WAP servers
ADDCVMSizeADDCVMSize VM-Größe der DomänencontrollerThe vm size of the Domain Controllers
ADFSVMSizeADFSVMSize VM-Größe der AD FS-ServerThe vm size of the ADFS servers
WAPVMSizeWAPVMSize VM-Größe der WAP-ServerThe vm size of the WAP servers
AdminUserNameAdminUserName Name des lokalen Administrators der virtuellen ComputerThe name of the local Administrator of the virtual machines
AdminPasswordAdminPassword Kennwort für das lokale Administratorkonto der virtuellen ComputerThe password for the local Administrator account of the virtual machines

Zusätzliche RessourcenAdditional resources

Nächste SchritteNext steps