Implementação das soluções de Federação e Azure AD Connect – Parte 1
Conforme abordamos na fase de assessment, vimos erros alguns erros no IDFIX, Rap as a Service, BPA … A partir de agora, devemos ter a certeza de que corrigimos todos os erros mencionados e estamos aptos a prosseguir com a federação. Recapitulando, temos: Nenhum erro mencionado no IDFIX, certificado comprado, Exchange Servers up-to-date, sufixo de domínio adicionado, UPN dos usuários já com o sufixo.
- O que pedir a sua equipe de network?
Uma certeza que você terá é que cada hora deverá entrar em contato com eles. No geral, dificilmente será possível pedir tudo de uma vez só. Eu fiz da seguinte forma:
1 Ticket – Solicitação de criação de 3 IPs internos (2 ADFS e 1 AzureADConnect)
Solicitação de criação de 2 IPs para DMZ (2 WAP)
2 Ticket – Solicitação de criação de 2 regras de balanceamento no BigIP, sendo uma para os 2 IPs internos (ADFS) e a outra para os 2 IPs da DMZ (WAP). Ambas as regras balanceando o a porta 443 (HTTPS) e 49443 (TCP).
Solicitação de criação de um VIP público (NAT) para o balanceamento dos 2 WAP da DMZ.
Solicitação de um VIP interno para o balanceamento dos 2 ADFS.
Caso a equipe que administra o BigIP tenha dúvidas de como configurar da forma adequada, segue o artigo que utilizei como base.
3 Ticket – Solicitação da criação das regras de firewall e abertura de porta para a comunicação entre AADC/AD, ADFS/Usuários, ADFS/WAP, WAP/Usuários externos, ADFS/AADC e WAP/AADC.
Aqui está a lista detalhada de portas a serem abertas.
Lembre-se também de verificar que todas as URLs necessárias estejam configuradas no by-pass do proxy (se houver).
- Requisito DNS
Após receber todos os IPs, faça a criação no DNS interno dos registros A e PTR de todos os servidores (ADFS, WAP e AADC).
Conforme abordado na fase de assessment, precisamos também de uma zona em split-brain. Caso não haja, deve ser criada. Ex: se o domínio local é contoso.local, deve ser criada uma zona no DNS interno chamada contoso.com.
Havendo a zona em split-brain, faça a criação do registro sts.contoso.com apontando para o endereço VIP interno do balanceador (O que balanceia a carga para o ADFS). Faça também a criação do PTR.
Em posse também do endereço VIP do balanceador externo (O que balanceia a carga para o WAP), crie um registro no seu DNS EXTERNO apontando para o endereço sts.contoso.com. Faça também a criação do PTR.
Esse é um ponto importantíssimo que fique claro na cabeça de quem está executando o projeto. O endereço sts.contoso.com deve ser o mesmo internamente e externamente, além do mais esse será o nome inserido no trust da sua empresa com a Microsoft. O que vai diferenciar nessa situação é apenas o caminho que um usuário interno ou externo da organização se autentica. O externo, será redirecionado através do DNS externo a fazer sua autenticação diretamente no WAP (através do VIP do balanceador de carga). O interno buscara diretamente a autenticação no ADFS interno (através também do VIP do balanceador de carga interno).
- Instalação dos 5 servidores
Conforme já informado no passo de assessment, fazer a instalação dos servidores de acordo com a tabela da Microsoft de requisitos mínimos. No nosso caso, foi feita a instalação de maquinas virtuais com 4GB de RAM e 1 vCPU.
A princípio basta fazer a instalação no padrão de sua organização, por exemplo aplicando patches, antivírus e todos os requisito seguidos no padrão de sua organização.
Lembre-se que os servidores WAP da DMZ podem – na minha opinião DEVEM – ser fora do domínio. Os demais – ADFS e AADC – devem ser inseridos ao domínio.
- Requisitos Servidor AzureADConnect
Adicione a seguinte chave de registro no servidor: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 “SchUseStrongCrypto”=dword:00000001
- Requisitos servidores ADFS
Aplique o seguinte comando PS em modo elevado em ambos os servidores:
Enable-PSRemoting –force
- Requisitos servidores WAP
Aplique o seguinte comando PS em modo elevado em ambos os servidores:
Enable-PSRemoting –force
Caso tenha seguido meu conselho em não inserir os servidores WAP no domínio, os passos abaixo devem ser feitos:
- Coloque o endereço do seu domínio como sufixo de DNS de ambos os servidores. Ex: wap1.contoso.local
- Adicione na entrada hosts de ambos os servidores WAP o endereço de ambos os servidores ADFS e do balanceador interno. Ex:
192.168.1.10 ADFS1.contoso.local
192.168.1.11 ADFS2.contoso.local
192.168.1.12 sts.contoso.com
OBS: O endereço IP referente ao sts.contoso.com deve ser correspondente ao balanceador interno.
- No servidor cuja o qual irá instalar o Azure AD Connect, altere o nome para o FQDN de seus servidores WAP execute o seguinte comando em modo elevado:
Set-Item WSMan:\localhost\Client\TrustedHosts –Value "WAP1.contoso.local,WAP2.consoto.local" -Force –Concatenate
- Adicione o ambos os servidores WAP no pool de servidores do Server Manager do servidor cuja o qual será o Azure AD Connect (Server manager -> Manage -> Add Servers…use DNS tab)
- No Server Manager em All Servers, valide que ambos os servidores WAP estão disponíveis. Em ambos, use a opção Manage As e insira a credencial de administrador local.
- Abra o Windows Powershell de ambos e valide que a sessão foi aberta com sucesso. Se sim, estamos prontos para prosseguir com a instalação.
- Configuraçao do Tenant
A esse ponto, partimos da premissa de que o cliente já possui acesso ao seu Tenant. Com uma conta de administrador global e acesso ao DNS externo do cliente, podemos dicionar o domínio público ao Tenant. É um procedimento relativamente fácil e a Microsoft detalhe bem, portanto irei pular os detalhes para não alongar o artigo. Em todo caso, segue um step-by-step para caso reste duvidas.