Web Application Proxy в Server 2012 R2, функционал и использование на примере публикации приложений Exchange 2013 (часть 2)

Внимание! Материал, изложенный в этой статье не актуален. Ниже обновлённая версия:

Публикация Exchange Server с помощью ADFS / Web Application Proxy

Ранее мы познакомились с основным функционалом данной технологии. Сей час же перенесемся в сугубо практическую плоскость и произведем первый подготовительный шаг к публикации Exchange – установку роли Active Directory Federation Services (ADFS)

Что необходимо будет сделать:
  1. Подготовить сервер для развертывание роли
  2. Определить требования к публикации
  3. Произвести развертывание службы ADFS
  4. Конфигурация службы ADFS
  5. Выводы

Подготовка сервера под ADFS

WAP Network

Службы федерации будут размещается на виртуальной машине SRV-ADFS которая является членом домена office365.local. Характеристики виртуальной машины:

  • ОС: Server 2012 R2 Standard c 2-я виртуальными процессорами и 2-я ГБ ОЗУ
  • IP адрес сервера: 172.16.20.14 /24

Требования к публикации

Говоря о требованиях к публикации, нужно продумать два важных момента:

1) Под каким внешним DNS именем будут доступны службы ADFS нашей организации для клиентов

2) Какими техническими характеристиками должен обладать SSL сертификат публикуемый сервере ADFS

Думаю, с первым пунктом вопросов не должно возникнуть. Во внешней DNS зоне создаем запись типа A которая будет указывать на IP адрес WAP сервера. Ну а вот относительного второго пункта возможно возникнут вопросы, давайте разбираться.

В процессе развертывания необходимо использовать SSL сертификат в поле Subject Alternative Name которого содержится DNS имя публикуемой службы ADFS. Сам он может быть импортирован заранее или добавлен во время работы мастера конфигурации ADFS. В качестве удостоверяющего CA допускается использование либо внутреннего CA, либо внешнего третьей стороны. Различия будет лишь в том, что если сертификат не от третьей стороны, за доставку корневого сертификата ответственны будете лишь вы.

В случае моего демо-стенда, будет использовать коммерческий Wildcard сертификат выписанный под доменное имя *.office365.kiev.ua Наличие именно коммерческого сертификата не является обязательным требованием.

Развертывание роли ADFS

На сервере SRV-ADFS.office365.local и запустим Server Manager. В меню Manage, открываем Add Roles and Features

Screenshot (12)

Доходим до шага выбора сервера для инсталляции и продолжаем

Screenshot (15) 

Выбираем роль Active Directory Federation Services

Screenshot (16)

В следующем окне нажимаем Install дожидаясь до конца установки роли.

Screenshot (19)

Конфигурирование службы ADFS

После завершения установки, запускаем мастер конфигурации

Screenshot (20)

В мастере выставляем радио-бокс на против Create the first server in a federation farm тем самым создавая первый сервер федерации в новой ферме ADFS.

Screenshot (22)

Вводим учетную запись администратора для первоначальной конфигурации служб.

Screenshot (24)

Следующий шаг, попросит указать SSL сертификат для настройки ADFS. Заранее я произвел его импорт на сервер, после этого мастер дал возможность его выбрать из списка SSL сертификатов. В поле Federation Service Name будет указано внешнее DNS имя adfs.office365.kiev.ua а в Federation Service Display Name — отображаемое имя служб федерации для клиентов.

Screenshot (29)

На следующем шаге, необходимо определить учетную запись, из под прав которой будут работать службы федерации.

Screenshot (30)

Окно предупреждения выдало ошибку:

Group Management Service Account are not available because the KDS root key not been set…

Это произошло, потому что предварительно не был создан Microsoft Key Distribution Service root key который необходим для функционирования Group Managed Service Account. На TechNet описана полная процедура создания.

В своем примере я воспользовался подсказкой в предупреждении и выполнил коммандлет

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

на контроллере домена.

После выполнение вернутся на один шаг назад и заново перешел к выбору Service Account После исчезновения окна предупреждения, в качестве учетной записи было выбрано имя adfs

Screenshot (32)

Оставляем без изменений место хранения базы базы данных, и переходим далее.

Screenshot (33)

Нажимаем Configure и дожидаемся до окончания завершения конфигурации служб ADFS.

Screenshot (35)

Выводы

В этой статье я рассмотрел типовое конфигурирование служб федерации Active Directory. Хотя эта статья написана в контексте развертывания WAP, описанные тут действия применимы в других сценариях, например развертывание служб федерации для Office 365 либо создания сценариев B2B.

Оставить комментарий

avatar
  Подписаться  
Уведомление о