Implementação das soluções de Federação e Azure AD Connect – Parte 1

Publicado em por

Conforme abordamos na fase de assessment, vimos erros alguns erros no IDFIX, Rap as a Service, BPA … A partir de agora, devemos ter a certeza de que corrigimos todos os erros mencionados e estamos aptos a prosseguir com a federação. Recapitulando, temos: Nenhum erro mencionado no IDFIX, certificado comprado, Exchange Servers up-to-date, sufixo de domínio adicionado, UPN dos usuários já com o sufixo.

  • O que pedir a sua equipe de network?

Uma certeza que você terá é que cada hora deverá entrar em contato com eles. No geral, dificilmente será possível pedir tudo de uma vez só. Eu fiz da seguinte forma:

1 Ticket – Solicitação de criação de 3 IPs internos (2 ADFS e 1 AzureADConnect)

Solicitação de criação de 2 IPs para DMZ (2 WAP)

2 Ticket – Solicitação de criação de 2 regras de balanceamento no BigIP, sendo uma para os 2 IPs internos (ADFS) e a outra para os 2 IPs da DMZ (WAP). Ambas as regras balanceando o a porta 443 (HTTPS) e 49443 (TCP).

Solicitação de criação de um VIP público (NAT) para o balanceamento dos 2 WAP da DMZ.

Solicitação de um VIP interno para o balanceamento dos 2 ADFS.

Caso a equipe que administra o BigIP tenha dúvidas de como configurar da forma adequada, segue o artigo que utilizei como base.

3 Ticket – Solicitação da criação das regras de firewall e abertura de porta para a comunicação entre AADC/AD, ADFS/Usuários, ADFS/WAP, WAP/Usuários externos, ADFS/AADC e WAP/AADC.

Aqui está a lista detalhada de portas a serem abertas.

Lembre-se também de verificar que todas as URLs necessárias estejam configuradas no by-pass do proxy (se houver).

  • Requisito DNS

Após receber todos os IPs, faça a criação no DNS interno dos registros A e PTR de todos os servidores (ADFS, WAP e AADC).

Conforme abordado na fase de assessment, precisamos também de uma zona em split-brain. Caso não haja, deve ser criada. Ex: se o domínio local é contoso.local, deve ser criada uma zona no DNS interno chamada contoso.com.

Havendo a zona em split-brain, faça a criação do registro sts.contoso.com apontando para o endereço VIP interno do balanceador (O que balanceia a carga para o ADFS). Faça também a criação do PTR.

Em posse também do endereço VIP do balanceador externo (O que balanceia a carga para o WAP), crie um registro no seu DNS EXTERNO apontando para o endereço sts.contoso.com. Faça também a criação do PTR.

Esse é um ponto importantíssimo que fique claro na cabeça de quem está executando o projeto. O endereço sts.contoso.com deve ser o mesmo internamente e externamente, além do mais esse será o nome inserido no trust da sua empresa com a Microsoft. O que vai diferenciar nessa situação é apenas o caminho que um usuário interno ou externo da organização se autentica. O externo, será redirecionado através do DNS externo a fazer sua autenticação diretamente no WAP (através do VIP do balanceador de carga). O interno buscara diretamente a autenticação no ADFS interno (através também do VIP do balanceador de carga interno).

  • Instalação dos 5 servidores

Conforme já informado no passo de assessment, fazer a instalação dos servidores de acordo com a tabela da Microsoft de requisitos mínimos. No nosso caso, foi feita a instalação de maquinas virtuais com 4GB de RAM e 1 vCPU.

A princípio basta fazer a instalação no padrão de sua organização, por exemplo aplicando patches, antivírus e todos os requisito seguidos no padrão de sua organização.

Lembre-se que os servidores WAP da DMZ podem – na minha opinião DEVEM – ser fora do domínio. Os demais – ADFS e AADC – devem ser inseridos ao domínio.

  • Requisitos Servidor AzureADConnect

Adicione a seguinte chave de registro no servidor: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 “SchUseStrongCrypto”=dword:00000001

  • Requisitos servidores ADFS

Aplique o seguinte comando PS em modo elevado em ambos os servidores:

Enable-PSRemoting –force
  • Requisitos servidores WAP

Aplique o seguinte comando PS em modo elevado em ambos os servidores:

Enable-PSRemoting –force

Caso tenha seguido meu conselho em não inserir os servidores WAP no domínio, os passos abaixo devem ser feitos:

  1. Coloque o endereço do seu domínio como sufixo de DNS de ambos os servidores. Ex: wap1.contoso.local

test

  1. Adicione na entrada hosts de ambos os servidores WAP o endereço de ambos os servidores ADFS e do balanceador interno. Ex:

192.168.1.10                      ADFS1.contoso.local

192.168.1.11                      ADFS2.contoso.local

192.168.1.12                      sts.contoso.com

OBS: O endereço IP referente ao sts.contoso.com deve ser correspondente ao balanceador interno.

  1. No servidor cuja o qual irá instalar o Azure AD Connect, altere o nome para o FQDN de seus servidores WAP execute o seguinte comando em modo elevado:
Set-Item WSMan:\localhost\Client\TrustedHosts –Value "WAP1.contoso.local,WAP2.consoto.local" -Force –Concatenate
  1. Adicione o ambos os servidores WAP no pool de servidores do Server Manager do servidor cuja o qual será o Azure AD Connect (Server manager -> Manage -> Add Servers…use DNS tab)
  2. No Server Manager em All Servers, valide que ambos os servidores WAP estão disponíveis. Em ambos, use a opção Manage As e insira a credencial de administrador local.
  3. Abra o Windows Powershell de ambos e valide que a sessão foi aberta com sucesso. Se sim, estamos prontos para prosseguir com a instalação.
  • Configuraçao do Tenant

A esse ponto, partimos da premissa de que o cliente já possui acesso ao seu Tenant. Com uma conta de administrador global e acesso ao DNS externo do cliente, podemos dicionar o domínio público ao Tenant. É um procedimento relativamente fácil e a Microsoft detalhe bem, portanto irei pular os detalhes para não alongar o artigo. Em todo caso, segue um step-by-step para caso reste duvidas.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *