Menyiapkan infrastruktur jaringan Anda untuk mengonfigurasi akses ekstranet

Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune

Untuk menyelesaikan semua tugas menggunakan prosedur berikut, Anda harus terlebih dahulu masuk ke komputer sebagai anggota grup Administrator, atau telah didelegasikan izin yang setara.

Daftar periksa: Siapkan infrastruktur jaringan Anda untuk mengonfigurasi akses ekstranet

Tugas penyebaran	Tautan ke topik di bagian ini	Selesai
1. Siapkan dua komputer yang menjalankan sistem operasi Windows Server 2008, Windows Server 2008 R2, atau Windows Server 2012 untuk disiapkan sebagai proksi server federasi. Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2012 R2, komputer proksi Anda juga harus menjalankan Windows Server 2012 R2 dan Anda harus menyebarkan Web Proksi Aplikasi - layanan peran Akses Jarak Jauh baru yang dapat digunakan untuk mengonfigurasi Layanan Federasi Direktori Aktif Anda untuk akses ekstranet. Bergantung pada jumlah pengguna yang Anda miliki, Anda dapat menggunakan server web atau proksi yang ada atau menggunakan komputer khusus.	T/A
2. Tambahkan nama Layanan Federasi di jaringan perusahaan (nama DNS kluster yang Anda buat sebelumnya pada host NLB di jaringan perusahaan) dan alamat IP kluster terkait ke file host pada setiap proksi server federasi atau komputer proksi aplikasi web di jaringan perimeter.	Tambahkan nama DNS kluster dan alamat IP ke file host di komputer proksi
3. Buat nama DNS kluster baru dan alamat IP kluster pada host NLB di jaringan perimeter lalu tambahkan komputer server federasi ke kluster NLB. Jika Anda menggunakan teknologi Windows Server untuk host NLB Anda saat ini, pilih tautan yang sesuai ke kanan berdasarkan versi sistem operasi Anda. Penting Nama DNS kluster yang digunakan untuk kluster NLB baru ini harus cocok dengan nama Layanan Federasi di jaringan perusahaan. Catatan Langkah ini bersifat opsional dalam penyebaran pengujian solusi SSO ini dengan satu server federasi Layanan Federasi Direktori Aktif.	Untuk membuat dan mengonfigurasi kluster NLB pada Windows Server 2003 dan Windows Server 2003 R2, lihat Daftar periksa: Mengaktifkan dan mengonfigurasi Penyeimbangan Beban Jaringan. Untuk membuat dan mengonfigurasi kluster NLB di Windows Server 2008, lihat Membuat Kluster Penyeimbangan Beban Jaringan. Untuk membuat dan mengonfigurasi kluster NLB di Windows Server 2008 R2, lihat Membuat Kluster Penyeimbangan Beban Jaringan. Untuk informasi selengkapnya tentang NLB di Windows Server 2012 atau Windows Server 2012 R2, lihat Gambaran Umum Penyeimbangan Beban Jaringan.
4. Buat rekaman sumber daya baru untuk kluster NLB di DNS jaringan perimeter yang menunjuk nama DNS kluster kluster NLB ke alamat IP klusternya.	Menambahkan catatan host (A) ke DNS perimeter untuk server Web berkemampuan ADFS
5. Gunakan sertifikat autentikasi server yang sama dengan yang digunakan oleh server federasi di jaringan perusahaan. Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2008 atau Windows Server 2012, Anda harus menginstal sertifikat ini di Situs Web Default komputer proksi server federasi. Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda harus mengimpor sertifikat ini ke penyimpanan Sertifikat Pribadi di komputer yang akan berfungsi sebagai Proksi Aplikasi Web Anda.	Mengimpor sertifikat autentikasi server ke komputer proksi

Tambahkan nama DNS kluster dan alamat IP ke file host di komputer proksi

Agar proksi server federasi atau Proksi Aplikasi Web berfungsi seperti yang diharapkan di jaringan sekitar, Anda harus menambahkan entri ke file host pada setiap proksi server federasi atau komputer web Proksi Aplikasi yang menunjuk ke nama DNS kluster yang dihosting oleh NLB di jaringan perusahaan (misalnya, fs.fabrikam.com) dan alamat IP-nya (misalnya, 172.16.1.3). Menambahkan entri ini ke file host memungkinkan proksi server federasi atau web Proksi Aplikasi untuk merutekan panggilan yang dimulai klien dengan benar ke server federasi baik dalam jaringan perimeter atau di luar jaringan perimeter.

Untuk menambahkan nama DNS kluster dan alamat IP ke file host pada proksi

1. Navigasi ke folder direktori %systemroot%\Winnt\System32\Drivers dan temukan file host .

2. Mulai Notepad, lalu buka file host .

3. Tambahkan alamat IP dan nama host server federasi dalam file host , seperti yang ditunjukkan dalam contoh berikut:

   172.16.1.3fs.fabrikam.com

4. Simpan dan tutup file.

Penting

Jika alamat IP kluster pada host NLB di jaringan perusahaan pernah berubah, Anda harus memperbarui file host lokal pada setiap proksi server federasi atau Proksi Aplikasi Web.

Menambahkan catatan sumber daya ke DNS perimeter untuk nama DNS kluster yang dikonfigurasi pada host NLB perimeter

Untuk melayani permintaan autentikasi dari klien baik di jaringan perimeter atau di luar jaringan perimeter, Ad FS memerlukan resolusi nama untuk dikonfigurasi pada server DNS eksternal yang menghosting zona organisasi (misalnya, fabrikam.com).

Untuk melakukan ini, tambahkan Host (A) Catatan Sumber Daya ke server DNS eksternal yang hanya melayani jaringan perimeter untuk nama DNS kluster (misalnya, "fs.fabrikam.com") untuk menunjuk ke alamat IP kluster eksternal yang baru saja dikonfigurasi.

Untuk menambahkan catatan sumber daya ke DNS perimeter untuk nama DNS kluster yang dikonfigurasi pada host NLB perimeter

1. Di server DNS untuk jaringan perimeter, buka snap-in DNS. Klik Mulai, arahkan ke Alat Administratif, lalu klik DNS.

2. Di pohon konsol, klik kanan zona pencarian penerusan yang berlaku (misalnya, fabrikam.com), lalu klik Host Baru (A atau AAAA).

3. Di Nama, ketik hanya nama DNS kluster yang Anda tentukan pada host NLB di jaringan perimeter (ini harus menjadi nama DNS yang sama dengan nama Layanan Federasi). Misalnya, untuk fs.fabrikam.com FQDN, ketik fs.

4. Di alamat IP, ketik alamat IP untuk alamat IP kluster baru yang Anda tentukan pada host NLB di jaringan perimeter. Misalnya, 192.0.2.3.

5. Klik Tambahkan Host.

Mengimpor sertifikat autentikasi server ke komputer proksi

Setelah Anda mendapatkan sertifikat autentikasi server yang digunakan oleh salah satu server federasi di jaringan perusahaan, Anda harus menginstal sertifikat tersebut secara manual ke:.

1. Situs Web Default untuk setiap proksi server federasi di organisasi Anda, jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2008, Windows Server 2008 R2, atau Windows Server 2012

2. Penyimpanan Pribadi setiap Proksi Aplikasi Web di organisasi Anda, jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2012 R2.

Karena sertifikat ini harus dipercaya oleh klien Layanan Federasi Direktori Aktif dan layanan cloud Microsoft, gunakan sertifikat SSL yang dikeluarkan oleh CA publik (pihak ketiga) atau oleh CA yang berada di bawah akar tepercaya publik; misalnya, VeriSign atau Thawte. Untuk informasi tentang menginstal sertifikat dari CA publik, lihat IIS 7.0: Meminta Sertifikat Server Internet.

Catatan

Nama subjek sertifikat autentikasi server ini harus cocok dengan FQDN nama DNS kluster (misalnya, fs.fabrikam.com) yang Anda buat sebelumnya pada host NLB. Jika Internet Information Services (IIS) belum diinstal, Anda harus menginstal IIS terlebih dahulu untuk menyelesaikan tugas ini. Saat menginstal IIS untuk pertama kalinya, kami sarankan Anda menggunakan opsi fitur default saat diminta selama penginstalan peran server.

Untuk mengimpor sertifikat autentikasi server ke Situs Web Default pada proksi server federasi

1. Klik Mulai, arahkan ke Semua Program, arahkan ke Alat Administratif, lalu klik Pengelola Layanan Informasi Internet (IIS).

2. Di pohon konsol, klik ComputerName.

3. Di panel tengah, klik dua kali Sertifikat Server.

4. Di panel Tindakan , klik Impor.

5. Dalam kotak dialog Impor Sertifikat , klik tombol ... .

6. Telusuri ke lokasi file sertifikat pfx, sorot, lalu klik Buka.

7. Ketik kata sandi untuk sertifikat, lalu klik OK.

Untuk mengimpor sertifikat autentikasi server ke Penyimpanan Pribadi Proksi Aplikasi Web

1. Anda bisa menggunakan langkah-langkah dalam Mengimpor Sertifikat untuk menyelesaikan tugas ini.

Langkah selanjutnya

Sekarang setelah Anda menyiapkan infrastruktur jaringan Anda untuk Proksi Aplikasi Web atau proksi server federasi, langkah selanjutnya adalah menyelesaikan tugas dalam topik berikut atau daftar periksa berikut, tergantung pada versi AD FS apa yang ingin Anda gunakan:

• Mengonfigurasi akses ekstranet untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2

• Daftar periksa: Mengonfigurasi akses ekstranet untuk Layanan Federasi Direktori Aktif pada versi lama Windows Server

Lihat juga

Konsep

Daftar periksa: Gunakan Layanan Federasi Direktori Aktif untuk mengimplementasikan dan mengelola akses menyeluruh