Azure 中的 AD FS 部署 提供了有关如何在 Azure 中为组织部署简单 AD FS 基础结构的分步指南。 本文提供了使用 Azure 流量管理器在 Azure 中创建 AD FS 的跨地理部署的后续步骤。 Azure 流量管理器利用各种路由方法来满足基础结构的不同需求,帮助为组织创建地理位置分散的高可用性和高性能 AD FS 基础结构。
高度可用的跨地理 AD FS 基础结构可实现:
- 消除单一故障点: 使用 Azure 流量管理器的故障转移功能,即使全球某个数据中心发生故障,也可以实现高可用性 AD FS 基础结构
- 改进了性能: 可以使用本文中的建议部署来提供高性能 AD FS 基础结构,可帮助用户更快地进行身份验证。
设计原则
基本设计原则与 Azure 中的 AD FS 部署一文中的设计原则相同。 上图显示了基本部署到另一个地理区域的简单扩展。 下面是将部署扩展到新地理区域时需要考虑的一些要点
- 虚拟网络: 应在要部署其他 AD FS 基础结构的地理区域中创建新的虚拟网络。 在上图中,将 Geo1 VNET 和 Geo2 VNET 视为每个地理区域中的两个虚拟网络。
- 新地理 VNET 中的域控制器和 AD FS 服务器: 建议在新地理区域中部署域控制器,以便新区域中的 AD FS 服务器不必联系另一个遥远网络的域控制器来完成身份验证,从而提高性能。
- 存储帐户: 存储帐户与区域相关联。 由于将在新的地理区域中部署计算机,因此必须在该区域中创建新的存储帐户。
- 网络安全组: 作为存储帐户,在区域中创建的网络安全组不能用于另一个地理区域。 因此,需要在新的地理区域中为 INT 和 DMZ 子网创建类似于第一个地理区域中的新网络安全组。
- 公共 IP 地址的 DNS 标签: Azure 流量管理器只能通过 DNS 标签引用终结点。 因此,需要为外部负载均衡器的公共 IP 地址创建 DNS 标签。
- Azure 流量管理器: Microsoft Azure 流量管理器允许你控制将用户流量分发到世界各地的不同数据中心运行的服务终结点。 Azure 流量管理器在 DNS 级别工作。 它使用 DNS 响应将最终用户流量定向到全球分布式终结点。 然后,客户端直接连接到这些终结点。 使用性能、加权和优先级的不同路由选项,可以轻松选择最适合组织需求的路由选项。
- 两个区域之间的 V-net 到 V-net 连接:不需要在虚拟网络本身之间建立连接。 由于每个虚拟网络都有权访问域控制器,并且本身具有 AD FS 和 WAP 服务器,因此可以在不同区域中的虚拟网络之间没有任何连接即可工作。
集成 Azure 流量管理器的步骤
在新地理区域中部署 AD FS
按照 Azure 中的 AD FS 部署 中的步骤和准则在新地理区域中部署相同的结构。
面向 Internet 的(公共的)负载均衡器的公共 IP 地址的 DNS 标签
如上所述,Azure 流量管理器只能将 DNS 标签称为终结点,因此必须为外部负载均衡器的公共 IP 地址创建 DNS 标签。 以下屏幕截图显示了如何为公共 IP 地址配置 DNS 标签。
部署 Azure 流量管理器
请按照以下步骤创建流量管理器配置文件。 有关详细信息,还可以参阅 “管理 Azure 流量管理器配置文件”。
创建流量管理器配置文件: 为流量管理器配置文件提供唯一的名称。 配置文件的这个名称是 DNS 名称的一部分,充当流量管理器域名标签的前缀。 名称/前缀将添加到 .trafficmanager.net,为流量管理器创建 DNS 标签。 下面的屏幕截图显示流量管理器 DNS 前缀设置为 mysts,生成的 DNS 标签将是 mysts.trafficmanager.net。
流量路由方法: 流量管理器中提供了三个路由选项:
优先度
性能
加权
建议使用性能 来实现高度响应的 AD FS 基础结构。 但是,可以选择最适合部署需求的任何路由方法。 AD FS 功能不受所选路由选项的影响。 有关详细信息,请参阅 流量管理器流量路由方法 。 在上面的示例屏幕截图中,可以看到已选择 “性能” 方法。
配置终结点: 在流量管理器页中,单击终结点并选择“添加”。 这将打开类似于以下屏幕截图的“添加终结点”页
对于不同的输入,请遵循以下准则:
类型: 选择 Azure 端点,因为我们将指向 Azure 公共 IP 地址。
名字: 创建要与终结点关联的名称。 这不是 DNS 名称,不与 DNS 记录有关。
目标资源类型: 选择公共 IP 地址作为此属性的值。
目标资源: 这样,可以选择从订阅下提供的不同 DNS 标签中进行选择。 选择与要配置的终结点对应的 DNS 标签。
为你希望 Azure 流量管理器将流量路由到的每个地理区域添加终结点。 有关如何在流量管理器中添加或配置终结点的更多信息和具体步骤,请参阅添加、禁用、启用或删除终结点。
配置探测: 在流量管理器页中,单击“配置”。 在配置页中,需要将监视器设置更改为在 HTTP 端口 80 和相对路径 /adfs/probe 处进行探测
注释
确保配置完成后终结点的状态为 ONLINE。 如果所有终结点都处于“降级”状态,Azure 流量管理器将尽最大努力路由流量,前提是诊断不正确,并且所有终结点都可访问。
修改 Azure 流量管理器的 DNS 记录:你的联合身份验证服务应该是 Azure 流量管理器 DNS 名称的 CNAME。 在公共 DNS 记录中创建一个 CNAME,这样无论是谁尝试访问联合服务,实际上都会到达 Azure 流量管理器。
例如,若要将联合身份验证服务 fs.fabidentity.com 指向流量管理器,您需要将 DNS 资源记录更新为以下内容:
fs.fabidentity.com IN CNAME mysts.trafficmanager.net
测试路由和 AD FS 登录
路由测试
进行路由基本测试的方法是尝试从每个地理区域的计算机 ping 联合服务的 DNS 名称。 根据所选的路由方法,它实际 ping 的终结点将反映在 ping 显示中。 例如,如果选择了性能路由,则将访问离客户端区域最近的终结点。 下面是两台不同区域客户端计算机的两个 ping 的快照,一个位于 EastAsia 区域,另一个位于美国西部。
AD FS 登录测试
测试 AD FS 的最简单方法是使用IdpInitiatedSignon.aspx页。 为了能够执行此作,需要在 AD FS 属性上启用 IdpInitiatedSignOn。 按照以下步骤验证 AD FS 设置
使用 PowerShell 在 AD FS 服务器上运行以下 cmdlet 以将其设置为启用。 Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
从任何外部计算机访问
https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx应会看到 AD FS 页面,如下所示:
成功登录后,它将为你提供成功消息,如下所示:
