bai10 kho tài liệu training

96 70 0
 bai10 kho tài liệu training

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

70-414: Triển khai sở hạ tầng mạng nâng cao 495 Bài 10: Triển khai Active Directory Federation Services (AD FS) I Mục tiêu:  Thiết kế mơ hình AD FS  Cấu hình thành phần cần thiết để triển khai AD FS  Triển khai AD FS cho người dùng nội  Triển khai AD FS cho tổ chức đối tác  Triển khai Web Application Proxy II Kịch bản: Công ty A Datum thiết lập mối quan hệ kinh doanh với công ty khác khách hàng Một số công ty đối tác khách hàng phải phép truy cập vào ứng dụng doanh nghiệp A Datum Nhóm kinh doanh A Datum muốn cung cấp mức độ truy cập tối đa chức công ty Bộ phận an ninh muốn đảm bảo đối tác khách hàng truy cập vào nguồn tài nguyên mà họ cần truy cập Một yêu cầu khác giải pháp không nên làm tăng khối lượng cơng việc cho nhóm quản trị hệ thống Để đáp ứng yêu cầu trên, A Datum định triển khai AD FS Trong việc triển khai ban đầu, cơng ty có kế hoạch sử dụng AD FS để hỗ trợ chứng thực Single Sign On (SSO) cho người dùng nội truy cập vào ứng dụng Web Server A Datum hợp tác với công ty Trey Research, yêu cầu người sử dụng Trey Research phải có khả truy cập vào ứng dụng III Yêu cầu tổng quan: Nhóm bảo mật A Datum đưa yêu cầu sau cho việc triển khai AD FS:  Chỉ có người sử dụng từ phòng nghiên cứu phòng quản lý A Datum phép truy cập ứng dụng thông qua ADFS  Các thành viên phận nghiên cứu cần định có vai trò HighSecurity ứng dụng AD FS MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao  496 Các thành viên phận quản lý cần định có vai trò Manager việc ứng dụng AD FS  Nhóm giám đốc điều hành Trey Research cần phải có quyền truy cập vào ứng dụng ADFS Còn nhân viên nên định có vai trò ExternalSecure ứng dụng AD FS  Những người dùng làm việc nhà phải có khả truy cập ứng dụng ADFS cách sử dụng thông tin AD DS họ IV Mơ hình thực hành gồm máy: 20414C-LON-HOST1 20414C-LON-DC1 Máy ảo (VM) 20414C-LON-SVR2 20414C-LON-SVR3 20414C-LON-CL1 20414C-TREY-DC1 User name Adatum\Administrator Password Pa$$w0rd V Chuẩn bị: Trên máy thật, khởi động vào 20414C-LON-HOST1 Mở Hyper-V® Manager, chuột phải 20414C-LON-DC1, chọn Start Nhấn chuột phải máy ảo 20413C-LON-DC1, chọn Connect Logon vào máy 20414C-LON-DC1 với thông tin sau:  User name: Adatum\Administrator  Password: Pa$$w0rd Thực hiên lại từ bước đến cho máy ảo 20414C-LON-SVR2, 20414C-LON-SVR3, 20414C-LON-CL1 20414C-TREY-DC1 Logon vào máy 20414C-TREY-DC1 với thông tin sau:  User name: TreyResearch\Administrator  Password: Pa$$w0rd MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 497 VI Thực hành: Thời gian thực hành: 90 phút Bài tập 1: Cấu hình thành phần cần thiết để triển khai AD FS A Datum triển khai ứng dụng Windows Identity Foundation (WIF) chạy web cần cho phép người dùng truy cập ứng dụng thông qua AD FS Bạn phải chuẩn bị thành phần cần thiết cho việc triển khai AD FS A Datum cách cấu hình phân giải tên DNS, Certificate, Trust CA  Bài tập bao gồm bước: Cấu hình DNS Conditional Forwarder Cấu hình Trusted Root CA Xin Certificate cho Web Server Gán Certificate cho ứng dụng Web Server, kiểm tra truy cập Tạo xin Certificate cho Server Trey Research  Thực hiện: Bước Cấu hình DNS Conditional Forwarder Trên máy LON-DC1, cửa sổ Server Manager, bung menu Tools, mở DNS Trong cửa sổ DNS Manager, bung LON-DC1, chuột phải Conditional Forwarders, chọn New Conditional Forwarder MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 498 Trong ô DNS Domain, nhập TreyResearch.net Trong cột IP address, nhập 172.16.10.10, nhấn Enter, chọn OK Bung Forward Lookup Zones, chuột phải Adatum.com, chọn New Host (A or AAAA) MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao Hộp thoại New Host, nhập adfs vào ô Name nhập 172.16.0.10 vào ô IP address, chọn Add Host, chọn OK, chọn Done Tắt cửa sổ DNS Manager Trên máy TREY-DC1, cửa sổ Server Manager, bung menu Tools, mở DNS bung TREY-DC1, chuột phải Conditional Forwarders, chọn New Conditional Forwarder MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 499 70-414: Triển khai sở hạ tầng mạng nâng cao 500 Trong ô DNS Domain, nhập Adatum.com, cột IP address, nhập 172.16.0.10, nhấn Enter, chọn OK 10 Bung Forward Lookup Zones, chuột phải TreyResearch.net, chọn New Host (A or AAAA) MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 501 11 Hộp thoại New Host, nhập adfs vào ô Name nhập 172.16.10.10 vào ô IP address, chọn Add Host, chọn OK, chọn Done Tắt cửa sổ DNS Manager Bước Cấu hình Trusted Root CA Trên máy LON-DC1 Mở File Explorer, truy cập \\TREY-DC1.treyresearch.net\certenroll, copy file TREYDC1.TreyResearch.net_TreyResearchCA.crt MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 502 Chép file bước vào Documents Trong cửa sổ Server Manager, bung menu Tools, mở Group Policy Management Editor, chuột phải Default Domain Policy, chọn Edit Bung Computer Configuration, bung Policies, bung Windows Settings, bung Security Settings, bung Public Key Policies, chuột phải Trusted Root Certification Authorities, chọn Import Cửa sổ Welcome to the Certificate Import Wizard, chọn Next MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao Cửa sổ File to Import, chọn Browse 503 Chọn file TREYDC1.TreyResearch.net_TreyResearchC A.crt, chọn Open, chọn Next Cửa sổ Certificate Store, chọnNext, chọn Finish, chọn OK MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 504 10 Trên máy TREY-DC1, mở File Explorer, truy cập \\LON-DC1.adatum.com\certenroll, copy file LON-DC1.Adatum.com_AdatumCA.crt 11 Chép file bước vào Documents 12 Mở MMC, bung menu File, chọn Add/Remove Snap-in, chọn mục Certificates, chọn Add MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 576 Cửa sổ Certificates snap-in, chọn Computer account, chọn Next, chọn Finish, chọn OK Trong cửa sổ Console1, bung Certificates (Local Computer), bung Personal, chọn Certificates, chuột phải certificate adfs.adatum.com, bung All Tasks, chọn Export MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao Cửa sổ Welcome, chọn Next Cửa sổ Export Private Key, chọn Yes, export the private key, chọn Next Cửa sổ Export File Format, chọn Next MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 577 70-414: Triển khai sở hạ tầng mạng nâng cao 578 Cửa sổ Security, đánh dấu chọn Password Nhập Pa$$w0rd vào ô Password Confirm password, chọn Next 10 Cửa sổ File to Export, ô File name, nhập C:\adfs.pfx, chọn Next, chọn Finish, chọn OK Tắt cửa sổ MMC, khơng cần save MCT Trần Thủy Hồng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 579 11 Qua máy LON-SVR2, mở MMC, bung menu File, chọn Add/Remove Snap-in 12 Cửa sổ Add or Remove Snap-ins chọn Certificates, chọn Add 13 Cửa sổ Certificates snap-in, chọn Computer account, chọn Next, chọn Finish, chọn OK MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 580 14 Trong cửa sổ Console1, bung Certificates (Local Computer), chọn chuột phải Personal, bung All Tasks, chọn Import 15 Cửa sổ Welcome, chọn Next 16 Cửa sổ File to Import, ô File name, nhập \\LON-DC1\c$\adfs.pfx, chọn Next MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 581 17 Cửa sổ Private key protection, ô Password, nhập Pa$$w0rd Đánh dấu chọn Mark this key as exportable, chọn Next 18 Cửa sổ Certificate Store, chọn Next, chọn Finish, chọn OK Tắt cửa sổ MMC, không cần save MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao Bước 2: Cài đặt Web Application Proxy role Trên máy LON-SVR2, Server Manager, chọn Add Roles and Features Cửa sổ Before you begin, chọn Next lần Cửa sổ Select server roles, đánh dấu chọn Remote Access, chọn Next lần MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 582 70-414: Triển khai sở hạ tầng mạng nâng cao 583 Cửa sổ Select role services, đánh dấu chọn Web Application Proxy, chọn Add Features, chọn Next Cửa sổ Confirm installation selections page, click Install Sau cài đặt thành công, chọn Close Bước 3: Cấu hình truy cập vào trang web nội Trên máy LON-SVR2, Server Manager, bung menu Tools, mở Remote Access Management Trong cửa sổ Remote Access Management Console, chọn Web Application Proxy, chọn Run the Web Application Proxy Configuration Wizard Cửa sổ Welcome, chọn Next MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 584 Cửa sổ Federation Server, ô Federation service name, nhập adfs.adatum.com Trong ô User name, nhập administrator, ô Password, nhập Pa$$w0rd, chọn Next Cửa sổ AD FS Proxy Certificate, bung ô Select a certificate to be used by the AD FS proxy, chọn adfs.adatum.com, chọn Next MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao Cửa sổ Confirmation, chọn Configure Cửa sổ Results, chọn Close Trong cửa sổ Remote Access Management Console, chọn Publish MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 585 70-414: Triển khai sở hạ tầng mạng nâng cao 586 Cửa sổ Welcome, chọn Next 10 Cửa sổ Preauthentication, cửa sổ Pass-through, chọn Next 11 Cửa sổ Publishing Settings, ô Name, nhập AdatumTestApp, ô External URL, nhập https://lon-svr3.adatum.com/AdatumTestApp/, bung ô External Certificate, chọn adfs.adatum.com, chọn Next MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 12 Cửa sổ Confirmation, chọn Publish 13 Cửa sổ Results, chọn Close MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 587 70-414: Triển khai sở hạ tầng mạng nâng cao 588 Bước 4: Kiểm tra quyền truy cập vào trang web nội từ máy client Sign in vào máy LON-CL1 Adatum\Administrator với password Pa$$w0rd Mở File Explorer, vào đường dẫn C:\Windows\System32\Drivers\etc\, mở file host Notepad Trong file host, cuối trang, nhập 172.16.0.13 lon-svr3.adatum.com Lưu tắt Notepad MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 589 Mở Internet Explorer, truy cập https://lon-svr3.adatum.com/adatumtestapp/, chọn Continue to this website (not recommended) Trong phần Sign in with one of these accounts, chọn adfs.treyresearch.net Hộp thoại Windows Security, sign in TreyResearch\Morgan với password Pa$$w0rd Kiểm tra truy cập Application thành công MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-414: Triển khai sở hạ tầng mạng nâng cao 590 Kết quả: Sau hoàn thành tập này, bạn cấu hình Web Application Proxy để hỗ trợ máy client bên ngồi truy câp thành cơng Web Application nội VII Chuẩn bị cho tiếp theo: Sau hoàn thành thực hành, để phục hồi máy ảo trạng thái ban đầu, bạn thực bước sau: Trên máy thật, mở công cụ Hyper-V Manager Nhấn chuột phải lên máy ảo 20414C-LON-DC1, chọn Revert Trong hộp thoại Revert Virtual Machine, chọn Revert Thực hiên bước cho máy ảo lại MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC)

Ngày đăng: 17/11/2019, 08:21

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan