Préparer votre infrastructure réseau pour la configuration de l'accès extranet

S’applique à : Azure, Office 365, Power BI, Windows Intune

Pour pouvoir effectuer toutes les tâches à l'aide des procédures suivantes, vous devez être connecté aux ordinateurs en tant que membre du groupe Administrateurs ou disposer d'autorisations équivalentes.

Liste de contrôle : Préparer votre infrastructure réseau pour la configuration de l’accès extranet

Tâche de déploiement	Liens vers les rubriques de cette section	Effectué
1. Préparez deux ordinateurs exécutant le Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 système d’exploitation à configurer en tant que proxy de serveur de fédération. Si vous utilisez AD FS dans Windows Server 2012 R2, vos ordinateurs proxy doivent également exécuter Windows Server 2012 R2 et vous devez déployer Proxy d'application web, un nouveau service de rôle Accès à distance qui peut être utilisé pour configurer AD FS pour l'accès extranet. Selon votre nombre d’utilisateurs, vous pouvez utiliser les serveurs Web ou proxies existants, ou utiliser un ordinateur dédié.	N/A
2. Ajoutez le nom du service de fédération dans le réseau d’entreprise (le nom DNS du cluster que vous avez créé précédemment sur l’hôte d’équilibrage de charge réseau dans le réseau d’entreprise) et son adresse IP de cluster associée aux fichiers hôtes sur chaque proxy de serveur de fédération ou ordinateur proxy d’application web dans le réseau de périmètre.	Ajouter le nom DNS de cluster et l’adresse IP aux fichiers hôtes de l’ordinateur proxy
3. Créez un nom DNS de cluster et une adresse IP de cluster sur l’hôte de l’équilibrage de charge réseau dans le réseau de périmètre, puis ajoutez les ordinateurs du serveur de fédération au cluster d’équilibrage de la charge réseau. Si vous utilisez la technologie Windows Server pour les hôtes NLB actuels, cliquez sur le lien approprié à droite, en fonction de la version de votre système d’exploitation. Important Le nom DNS de cluster utilisé pour ce nouveau cluster NLB doit correspondre au nom du service de fédération du réseau d’entreprise. Notes Cette étape est facultative si vous effectuez un déploiement test de cette solution d'authentification unique sur un seul serveur de fédération AD FS.	Pour créer et configurer des clusters d’équilibrage de la charge réseau sur Windows Server 2003 et Windows Server 2003 R2, consultez liste de contrôle : Activation et configuration de l’équilibrage de charge réseau. Pour créer et configurer des clusters d’équilibrage de la charge réseau sur Windows Server 2008, consultez Création de clusters d’équilibrage de charge réseau. Pour créer et configurer des clusters d’équilibrage de la charge réseau sur Windows Server 2008 R2, consultez Création de clusters d’équilibrage de charge réseau. Pour plus d’informations sur l’équilibrage de la charge réseau dans Windows Server 2012 ou Windows Server 2012 R2, consultez Vue d’ensemble de l’équilibrage de charge réseau.
4. Créez un enregistrement de ressource pour le cluster d’équilibrage de la charge réseau dans le DNS du réseau de périmètre qui pointe le nom DNS du cluster de l’équilibrage de la charge réseau vers son adresse IP de cluster.	Ajouter un enregistrement d'hôte (A) au système DNS de périmètre pour un serveur web ADFS
5. Utilisez le même certificat d’authentification de serveur que celui utilisé par les serveurs de fédération dans le réseau d’entreprise. Si vous utilisez les services AD FS sur Windows Server 2008 ou Windows Server 2012, vous devez installer ce certificat de site web par défaut sur le serveur proxy de fédération. Si vous utilisez les services AD FS sur Windows Server 2012 R2, vous devez importer ce certificat dans le magasin de certificats personnels de votre proxy d'application web.	Importer un certificat d'authentification serveur dans l'ordinateur proxy

Ajouter le nom DNS de cluster et l’adresse IP aux fichiers hôtes de l’ordinateur proxy

Pour que le serveur proxy de fédération ou le proxy d'application web fonctionne comme prévu dans le réseau de périmètre, vous devez ajouter une entrée au fichier hosts sur chaque serveur proxy de fédération ou proxy d'application web qui pointe vers le nom DNS de cluster hébergé par l'hôte NLB dans le réseau d'entreprise (par exemple, fs.fabrikam.com) et son adresse IP (par exemple 172.16.1.3). Le fait d'ajouter cette entrée au fichier hosts permet au serveur proxy de fédération ou au proxy d'application web de router correctement un appel initié par le client à un serveur de fédération, soit dans le réseau de périmètre soit hors de celui-ci.

Pour ajouter le nom DNS de cluster et l’adresse IP aux fichiers hôtes de l’ordinateur proxy

1. Accédez au dossier de répertoire %systemroot%\Winnt\System32\Drivers et localisez le fichier hosts.

2. Démarrez le Bloc-notes, puis ouvrez le fichier hosts.

3. Ajoutez l'adresse IP et le nom d'hôte d'un serveur de fédération dans le fichier hosts, comme le montre l'exemple suivant :

   172.16.1.3fs.fabrikam.com

4. Enregistrez et fermez le fichier.

Important

Si l'adresse IP de cluster sur l'hôte NLB dans le réseau d'entreprise venait à changer, vous devez alors mettre à jour le fichier hosts local sur chaque serveur proxy de fédération ou proxy d'application web.

Ajouter un enregistrement de ressource au DNS de périmètre pour le nom DNS de cluster configuré sur l’hôte NLB de périmètre

Pour traiter les demandes d'authentification de clients dans le réseau de périmètre ou hors de celui-ci, les services AD FS exigent que la résolution de noms soit configurée sur des serveurs DNS externes qui hébergent la zone de l'organisation (par exemple, fabrikam.com).

À cette fin, ajoutez un enregistrement de ressource de l’hôte (A) au serveur DNS externe qui ne traite que le réseau de périmètre du nom DNS de cluster (par exemple, « fs.fabrikam.com ») pour pointer vers l’adresse IP de cluster externe qui vient d’être configurée.

Pour ajouter un enregistrement de ressource au DNS de périmètre pour le nom DNS de cluster configuré sur l’hôte NLB de périmètre

1. Sur un serveur DNS pour le réseau de périmètre, ouvrez le composant logiciel enfichable DNS. Cliquez sur Démarrer, pointez sur Outils d’administration, puis sur DNS.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur la zone de recherche directe applicable (par exemple, fabrikam.com), puis cliquez sur Nouvel hôte (A ou AAAA).

3. Dans Nom, tapez uniquement le nom DNS de cluster que vous avez spécifié sur l'hôte NLB dans le réseau de périmètre (ce nom DNS doit correspondre au nom du service FS). Par exemple, pour le nom de domaine complet fs.fabrikam.com, tapez fs.

4. Dans Adresse IP, tapez la nouvelle adresse IP de cluster que vous avez spécifiée sur l'hôte NLB dans le réseau de périmètre. Par exemple, 192.0.2.3.

5. Cliquez sur Ajouter un hôte.

Importer un certificat d'authentification serveur dans l'ordinateur proxy

Après obtention d'un certificat d'authentification serveur utilisé par l'un des serveurs de fédération dans le réseau d'entreprise, vous devez installer manuellement ce certificat :

1. soit sur le site web par défaut de chaque serveur proxy de fédération de votre organisation (si vous utilisez les services AD FS dans Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012) ;

2. soit sur le magasin personnel de chaque proxy d'application web de votre organisation (si vous utilisez les services AD FS dans Windows Server 2012 R2).

Ce certificat doit être approuvé par les ordinateurs clients du service AD FS et des services cloud Microsoft. Par conséquent, utilisez un certificat SSL émis par une autorité de certification (tierce) publique ou par une autorité de certification racine de confiance approuvée publiquement (telle que VeriSign ou Thawte). Pour plus d’informations sur l’installation d’un certificat à partir d’une autorité de certification publique, consultez IIS 7.0 : Demander un certificat de serveur Internet.

Notes

Le nom de l’objet de ce certificat d’authentification serveur doit correspondre au nom de domaine complet du nom DNS du cluster (par exemple, fs.fabrikam.com) que vous avez préalablement créé sur l’hôte d’équilibrage de la charge réseau. Si les services Internet (IIS) n’ont pas été installés, vous devez commencer par les installer afin de pouvoir effectuer cette tâche. Lorsque vous installez les services Internet (IIS) pour la première fois, nous vous recommandons d’utiliser les options des fonctionnalités par défaut lorsque vous y êtes invité au cours de l’installation du rôle serveur.

Pour importer un certificat d'authentification serveur dans le site web par défaut sur le serveur proxy de fédération

1. Cliquez sur Démarrer, pointez sur Tous les programmes et sur Outils d'administration, puis cliquez sur Gestionnaire des services Internet (IIS).

2. Dans l'arborescence de la console, cliquez sur Nom_Ordinateur.

3. Dans le volet central, double-cliquez sur Certificats de serveur.

4. Dans le volet Actions, cliquez sur Importer.

5. Dans la boîte de dialogue Importer un certificat, cliquez sur le bouton ...

6. Recherchez le fichier de certificat pfx, mettez-le en surbrillance, puis cliquez sur Ouvrir.

7. Tapez le mot de passe du certificat, puis cliquez sur OK.

Pour importer un certificat d'authentification serveur dans le magasin personnel du proxy d'application web

1. Vous pouvez utiliser les étapes de l’importation d’un certificat pour effectuer cette tâche.

Étape suivante

Vous venez de préparer votre infrastructure réseau pour les proxys d'application web ou les serveurs proxy de fédération. La prochaine étape consiste à effectuer les tâches répertoriées dans la rubrique suivante ou dans la liste de contrôle suivante (selon la version des services AD FS que vous souhaitez utiliser) :

• Configurer l'accès extranet pour les services AD FS sur Windows Server 2012 R2

• Liste de contrôle : Configurer l’accès extranet pour AD FS sur les versions héritées de Windows Server

Voir aussi

Concepts

Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique