Distribuzione di AD FS a disponibilità elevata tra aree geografiche in Azure con Gestione traffico di AzureHigh availability cross-geographic AD FS deployment in Azure with Azure Traffic Manager

Distribuzione di AD FS in Azure offre istruzioni dettagliate sulla distribuzione di una semplice infrastruttura AD FS per l'organizzazione in Azure.AD FS deployment in Azure provides step-by-step guideline as to how you can deploy a simple AD FS infrastructure for your organization in Azure. Questo articolo illustra i passaggi successivi per creare una distribuzione di AD FS tra aree geografiche in Azure usando Gestione traffico di Azure.This article provides the next steps to create a cross-geographic deployment of AD FS in Azure using Azure Traffic Manager. Gestione traffico di Azure consente di creare per l'organizzazione un'infrastruttura AD FS geograficamente distribuita e a disponibilità e prestazioni elevate tramite una serie di metodi di routing messi a disposizione per soddisfare diverse esigenze.Azure Traffic Manager helps create a geographically spread high availability and high-performance AD FS infrastructure for your organization by making use of range of routing methods available to suit different needs from the infrastructure.

Un'infrastruttura AD FS tra aree geografiche a disponibilità elevata offre i vantaggi seguenti:A highly available cross-geographic AD FS infrastructure enables:

  • Eliminazione del singolo punto di errore: con le funzionalità di failover di Gestione traffico di Azure è possibile avere un'infrastruttura AD FS a disponibilità elevata anche in caso di arresto di uno dei data center in una parte qualsiasi del mondoElimination of single point of failure: With failover capabilities of Azure Traffic Manager, you can achieve a highly available AD FS infrastructure even when one of the data centers in a part of the globe goes down
  • Prestazioni migliorate: è possibile usare la distribuzione descritta in questo articolo per offrire un'infrastruttura AD FS a prestazioni elevate che consenta agli utenti di eseguire l'autenticazione più velocemente.Improved performance: You can use the suggested deployment in this article to provide a high-performance AD FS infrastructure that can help users authenticate faster.

Principi di progettazioneDesign principles

Progettazione complessiva

I principi di progettazione di base sono uguali a quelli elencati nella sezione Principi di progettazione dell'articolo Distribuzione di AD FS in Azure.The basic design principles will be same as listed in Design principles in the article AD FS deployment in Azure. Il diagramma precedente illustra una semplice estensione della distribuzione di base a un'altra area geografica.The diagram above shows a simple extension of the basic deployment to another geographical region. Di seguito sono riportati alcuni aspetti da considerare quando si estende la distribuzione a una nuova area geograficaBelow are some points to consider when extending your deployment to new geographical region

  • Rete virtuale: è necessario creare una nuova rete virtuale nell'area geografica in cui si vuole distribuire un'infrastruttura AD FS aggiuntiva.Virtual network: You should create a new virtual network in the geographical region you want to deploy additional AD FS infrastructure. Nel diagramma precedente, Geo1 VNET e Geo2 VNET sono le due reti virtuali in ogni area geografica.In the diagram above you see Geo1 VNET and Geo2 VNET as the two virtual networks in each geographical region.
  • Controller di dominio e server AD FS nella nuova rete virtuale geografica: è consigliabile distribuire controller di dominio nella nuova area geografica in modo che i server AD FS della nuova area non debbano contattare un controller di dominio in un'altra rete distante per completare l'autenticazione, migliorando così le prestazioni.Domain controllers and AD FS servers in new geographical VNET: It is recommended to deploy domain controllers in the new geographical region so that the AD FS servers in the new region do not have to contact a domain controller in another far away network to complete an authentication and thereby improving the performance.
  • Account di archiviazione: gli account di archiviazione sono associati a un'area.Storage accounts: Storage accounts are associated with a region. Poiché verranno distribuite macchine nella nuova area geografica, sarà necessario creare nuovi account di archiviazione da usare nell'area.Since you will be deploying machines in a new geographic region, you will have to create new storage accounts to be used in the region.
  • Gruppi di sicurezza di rete: come gli account di archiviazione, i gruppi di sicurezza di rete creati in un'area non possono essere usati in un'altra area geografica.Network Security Groups: As storage accounts, Network Security Groups created in a region cannot be used in another geographical region. Sarà quindi necessario creare nuovi gruppi di sicurezza di rete simili a quelli della prima area geografica per le subnet INT e DMZ nella nuova area geografica.Therefore, you will need to create new network security groups similar to those in the first geographical region for INT and DMZ subnet in the new geographical region.
  • Etichette DNS per indirizzi IP pubblici: Gestione traffico di Azure può fare riferimento agli endpoint SOLO tramite etichette DNS.DNS Labels for public IP addresses: Azure Traffic Manager can refer to endpoints ONLY via DNS labels. È quindi necessario creare etichette DNS per gli indirizzi IP pubblici dei servizi di bilanciamento del carico esterni.Therefore, you are required to create DNS labels for the External Load Balancers’ public IP addresses.
  • Gestione traffico di Azure: Gestione traffico di Microsoft Azure consente di controllare la distribuzione del traffico degli utenti agli endpoint di servizio in esecuzione in diversi data center in tutto il mondo.Azure Traffic Manager: Microsoft Azure Traffic Manager allows you to control the distribution of user traffic to your service endpoints running in different datacenters around the world. Gestione traffico di Azure funziona a livello di DNS.Azure Traffic Manager works at the DNS level. Usa le risposte DNS per indirizzare il traffico degli utenti finali agli endpoint distribuiti a livello globale.It uses DNS responses to direct end-user traffic to globally-distributed endpoints. I client si connettono quindi direttamente a questi endpoint.Clients then connect to those endpoints directly. Grazie alle diverse opzioni di routing Prestazioni, Ponderato e Priorità, la scelta dell'opzione di routing più adatta alle esigenze dell'organizzazione è un'operazione semplice.With different routing options of Performance, Weighted and Priority, you can easily choose the routing option best suited for your organization’s needs.
  • Connettività tra reti virtuali di due aree: non è necessaria la connettività tra le reti virtuali in sé.V-net to V-net connectivity between two regions: You do not need to have connectivity between the virtual networks itself. Dato che ogni rete virtuale ha accesso ai controller di dominio e contiene un server AD FS e WAP, non è necessaria la connettività tra le reti virtuali di aree diverse.Since each virtual network has access to domain controllers and has AD FS and WAP server in itself, they can work without any connectivity between the virtual networks in different regions.

Passaggi per l'integrazione di Gestione traffico di AzureSteps to integrate Azure Traffic Manager

Distribuire AD FS nella nuova area geograficaDeploy AD FS in the new geographical region

Seguire i passaggi e le istruzioni illustrati in Distribuzione di AD FS in Azure per distribuire la stessa topologia nella nuova area geografica.Follow the steps and guidelines in AD FS deployment in Azure to deploy the same topology in the new geographical region.

Etichette DNS per gli indirizzi IP pubblici di servizi di bilanciamento del carico con connessione Internet (pubblici)DNS labels for public IP addresses of the Internet Facing (public) Load Balancers

Come indicato in precedenza, Gestione traffico di Azure può fare riferimento solo alle etichette DNS come endpoint ed è quindi importante creare le etichette DNS per gli indirizzi IP pubblici dei servizi di bilanciamento del carico esterni.As mentioned above, the Azure Traffic Manager can only refer to DNS labels as endpoints and therefore it is important to create DNS labels for the External Load Balancers’ public IP addresses. Lo screenshot seguente illustra come configurare l'etichetta DNS per l'indirizzo IP pubblico.Below screenshot shows how you can configure your DNS label for the public IP address.

Etichetta DNS

Distribuzione di Gestione traffico di AzureDeploying Azure Traffic Manager

Seguire questa procedura per creare un profilo di Gestione traffico.Follow the steps below to create a traffic manager profile. Per altre informazioni è anche possibile vedere Gestire un profilo di Gestione traffico di Azure.For more information, you can also refer to Manage an Azure Traffic Manager profile.

  1. Creare un profilo di Gestione traffico: assegnare un nome univoco al profilo di Gestione traffico.Create a Traffic Manager profile: Give your traffic manager profile a unique name. Il nome del profilo fa parte del nome DNS e funge da prefisso per l'etichetta del nome di dominio di Gestione traffico.This name of the profile is part of the DNS name and acts as a prefix for the Traffic Manager domain name label. Il nome/prefisso viene aggiunto a .trafficmanager.net per creare un'etichetta DNS per Gestione traffico.The name / prefix is added to .trafficmanager.net to create a DNS label for your traffic manager. Lo screenshot seguente indica il prefisso DNS di Gestione traffico impostato come mysts. L'etichetta DNS sarà quindi mysts.trafficmanager.net.The screenshot below shows the traffic manager DNS prefix being set as mysts and resulting DNS label will be mysts.trafficmanager.net.

    Creazione del profilo di Gestione traffico

  2. Metodo di routing del traffico: in Gestione traffico sono disponibili tre opzioni di routing del traffico:Traffic routing method: There are three routing options available in traffic manager:

    • PrioritàPriority
    • PrestazioniPerformance
    • PonderatoWeighted

      Prestazioni è l'opzione consigliata per ottenere un'infrastruttura AD FS altamente reattiva.Performance is the recommended option to achieve highly responsive AD FS infrastructure. È tuttavia possibile scegliere il metodo di routing più adatto alle proprie esigenze di distribuzione.However, you can choose any routing method best suited for your deployment needs. L'opzione di routing selezionata non influenza la funzionalità di AD FS.The AD FS functionality is not impacted by the routing option selected. Per altre informazioni, vedere Metodi di routing del traffico di Gestione traffico .See Traffic Manager traffic routing methods for more information. Nell'esempio di screenshot precedente è visibile il metodo Prestazioni selezionato.In the sample screenshot above you can see the Performance method selected.

  3. Configurare gli endpoint: nella pagina di Gestione traffico, fare clic sugli endpoint e selezionare Aggiungi.Configure endpoints: In the traffic manager page, click on endpoints and select Add. Verrà aperta una pagina Aggiungi endpoint simile allo screenshot seguenteThis will open an Add endpoint page similar to the screenshot below

    Configurare gli endpoint

    Seguire queste linee guida per i diversi input:For the different inputs, follow the guideline below:

    Tipo: selezionare Endpoint Azure perché la destinazione è un indirizzo IP pubblico di Azure.Type: Select Azure endpoint as we will be pointing to an Azure public IP address.

    Nome: specificare un nome da associare all'endpoint.Name: Create a name that you want to associate with the endpoint. Non si tratta del nome DNS e non ha alcun effetto sui record DNS.This is not the DNS name and has no bearing on DNS records.

    Tipo di risorsa di destinazione: selezionare Indirizzo IP pubblico come valore di questa proprietà.Target resource type: Select Public IP address as the value to this property.

    Risorsa di destinazione: è possibile scegliere tra le varie etichette DNS disponibili nella sottoscrizione.Target resource: This will give you an option to choose from the different DNS labels you have available under your subscription. Scegliere l'etichetta DNS corrispondente all'endpoint che si sta configurando.Choose the DNS label corresponding to the endpoint you are configuring.

    Aggiungere l'endpoint per ogni area geografica cui Gestione traffico di Azure dovrà instradare il traffico.Add endpoint for each geographical region you want the Azure Traffic Manager to route traffic to. Per altre informazioni e procedure dettagliate sull'aggiunta e la configurazione di endpoint in Gestione traffico, vedere Aggiungere, disabilitare, abilitare o eliminare gli endpointFor more information and detailed steps on how to add / configure endpoints in traffic manager, refer to Add, disable, enable or delete endpoints

  4. Configurare il probe: nella pagina di Gestione traffico fare clic su Configurazione.Configure probe: In the traffic manager page, click on Configuration. Nella pagina di configurazione è necessario modificare le impostazioni di monitoraggio per il probe sulla porta HTTP 80 e il percorso relativo /adfs/probeIn the configuration page, you need to change the monitor settings to probe at HTTP port 80 and relative path /adfs/probe

    Configurare il probe

    Nota

    Assicurarsi che lo stato degli endpoint sia ONLINE dopo aver completato la configurazione.Ensure that the status of the endpoints is ONLINE once the configuration is complete. Se tutti gli endpoint sono in stato 'Danneggiato', Gestione traffico di Azure proverà a instradare il traffico supponendo che i dati di diagnostica non siano corretti e che tutti gli endpoint siano raggiungibili.If all endpoints are in ‘degraded’ state, Azure Traffic Manager will do a best attempt to route the traffic assuming that the diagnostics is incorrect and all endpoints are reachable.

  5. Modifica di record DNS per Gestione di traffico di Azure: il servizio federativo deve essere un CNAME per il nome DNS di Gestione traffico di Azure.Modifying DNS records for Azure Traffic Manager: Your federation service should be a CNAME to the Azure Traffic Manager DNS name. Creare un CNAME nei record DNS pubblici in modo che chiunque provi a raggiungere il servizio federativo raggiunga in realtà Gestione traffico di Azure.Create a CNAME in the public DNS records so that whoever is trying to reach the federation service actually reaches the Azure Traffic Manager.

    Ad esempio, per far sì che il servizio federativo fs.fabidentity.com punti a Gestione traffico sarà necessario aggiornare il record di risorsa DNS nel modo seguente:For example, to point the federation service fs.fabidentity.com to the Traffic Manager, you would need to update your DNS resource record to be the following:

    fs.fabidentity.com IN CNAME mysts.trafficmanager.net

Testare il routing e l'accesso ad AD FSTest the routing and AD FS sign-in

Test di routingRouting test

Un test molto semplice per il routing consiste nel provare a effettuare il ping del nome DNS del servizio federativo da un computer in ogni area geografica.A very basic test for the routing would be to try ping the federation service DNS name from a machine in each geographic region. A seconda del metodo di routing scelto, l'endpoint effettivamente raggiunto dal ping verrà indicato nella visualizzazione del ping.Depending on the routing method chosen, the endpoint it actually pings will be reflected in the ping display. Se ad esempio si seleziona il routing Prestazioni, verrà raggiunto l'endpoint più vicino all'area del client.For example, if you selected the performance routing, then the endpoint nearest to the region of the client will be reached. Di seguito è riportato lo snapshot di due ping da due computer client di aree diverse, uno in Asia orientale e l'altro negli Stati Uniti occidentali.Below is the snapshot of two pings from two different region client machines, one in EastAsia region and one in West US.

Test di routing

Test dell'accesso ad AD FSAD FS sign-in test

Il modo più semplice per testare AD FS consiste nell'usare la pagina IdpInitiatedSignon.aspx.The easiest way to test AD FS is by using the IdpInitiatedSignon.aspx page. A tale scopo, è necessario abilitare IdpInitiatedSignOn nelle proprietà di AD FS.In order to be able to do that, it is required to enable the IdpInitiatedSignOn on the AD FS properties. Per verificare l'installazione di AD FS, seguire questa procedura.Follow the steps below to verify your AD FS setup

  1. Eseguire con PowerShell il cmdlet di seguito nel server AD FS per impostare l'abilitazione:Run the below cmdlet on the AD FS server, using PowerShell, to set it to enabled. Set-AdfsProperties -EnableIdPInitiatedSignonPage $trueSet-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. Da qualsiasi computer esterno accedere a https:///adfs/ls/IdpInitiatedSignon.aspxFrom any external machine access https:///adfs/ls/IdpInitiatedSignon.aspx
  3. La pagina di AD FS dovrebbe essere visualizzata come segue:You should see the AD FS page like below:

    Test AD FS - richiesta di autenticazione

    Dopo l'accesso verrà visualizzato un messaggio di completamento dell'operazione come il seguente:and on successful sign-in, it will provide you with a success message as shown below:

    Test AD FS - autenticazione completata

Passaggi successiviNext steps