ItaPFEPlat

Blog dei PFE italiani - Active Directory, Windows Platform e Security

Utilizzare ISS ARR 3 (application request routing) per pubblicare ADFS 3.0

Ciao a tutti, insieme ad Angelo Mazzucchi (evidenzio la collaborazione PFE-MCS :-)) abbiamo eseguito questa installazione e volevamo condividerla.

Ci sono casi dove è necessario installare un WAP/ADFS Proxy ma non si ha a disposizione un server 2012/R2 ma solo 2008/R2. Oggi affrontiamo l'installazione di ARR per pubblicare ADFS 3.0.   

Riassumendo:

  • ADFS proxy 2.0 non può far parte di una Farm ADFS Proxy 3.0
  • TMG 2010 non è supportato per pubblicare ADFS 3.0 (it depends!)
  • RRAS “Single NIC” non è supportato (not tested multi-homed)

Nei casi precedenti ove si è in presenza di Non-SNI client (es: TMG), o dove si usa la SSL/TLS Termination, potrebbe essere possibile utilizzare un workaround come descritto nei seguenti link: 

SSL Termination with Web Application Proxy and AD FS 2012 R2: http://blogs.technet.com/b/applicationproxyblog/archive/2014/07/04/ssl-termination-with-web-application-proxy-and-ad-fs-2012-r2.aspx

Understanding and fixing Proxy Trust CTL Issues with AD FS 2012 R2 and Web Application Proxy: http://blogs.technet.com/b/applicationproxyblog/archive/2014/05/28/understanding-and-fixing-proxy-trust-ctl-issues-with-ad-fs-2012-r2-and-web-application-proxy.aspx

How to support non-SNI capable Clients with Web Application Proxy and AD FS 2012 R2: http://blogs.technet.com/b/applicationproxyblog/archive/2014/06/19/how-to-support-non-sni-capable-clients-with-web-application-proxy-and-ad-fs-2012-r2.aspx

 

Installazione:

  1. Per prima cosa abilitate il ruolo di IIS Server (da Add Remove Roles).

  2. Ci sono due modalità di installazione di ARR;  tramite WIF (windows installation framework) o manualmente. In questa guida illustreremo la seconda opzione.

 

  •  Manualmente: Per prima cosa scaricare i seguenti pacchetti ed installarli sul server dove configurerete ARR: 

ExternalDiskCache_amd64_en-US.msi: http://download.microsoft.com/download/3/4/1/3415F3F9-5698-44FE-A072-D4AF09728390/ExternalDiskCache_amd64_en-US.msi

Rewrite_amd64_en-US.msi: http://download.microsoft.com/download/6/7/D/67D80164-7DD0-48AF-86E3-DE7A182D6815/rewrite_amd64_en-US.msi

Webfarm_v1.1_amd64_en_us.msi: http://download.microsoft.com/download/5/7/0/57065640-4665-4980-a2f1-4d5940b577b0/webfarm_v1.1_amd64_en_us.msi

Scaricare ISS ARR Extension: http://www.iis.net/downloads/microsoft/application-request-routing (ci sono tre opzioni: WebPI / x86 / x64)

Oppure: http://download.microsoft.com/download/6/3/D/63D67918-483E-4507-939D-7F8C077F889E/requestRouter_x64.msi

Una volta installati tutti i pacchetti aprire Internet Information Services (IIS) Manager:

Selezionare Server Farm, cliccare con il tasto destro e selezionare Create Server Farm ed inserire il nome della Farm:

Inserire il nome del server ADFS:

Cliccare sulla Farm appena creata e si avrà la seguente schermata

Modificare i seguenti parametri:

Caching/Memory cache duration (seconds):

Health Test, impostare come segue: 

Schermata Proxy, impostare “Pass through” e modificare:

Time-out (seconds) = 180

Response buffer threshold (KB) = 0

Schermata Routing Rules disabilitare SSL Offloading: 

Cliccare sul nome Server e selezionare “URL Rewrite”

 Ci saranno due opzioni di default, una HTTPS e l’altra HTTP. Nel nostro esempio è abilitata solamente la HTTPS


Editare HTTPS e configurare come segue:

Effettuare il Test pattern…..  per verificare che restituisca esito positivo

Fare doppio click su “ARR_ADFS_loadbalance_SSL” e verificare che sia configurato come segue:

Cliccare su Application Pools, selezionare DefaultAppPool e cliccare su “Advanced Settings”:

Configurare come segue:

Process Model/Idle Time-out (minutes) = 0

Recycling/Regular Time Interval (minutes) = 0

 

Cliccare su Application Pools, selezionare DefaultAppPool, cliccare su “Recycling” e configurare come segue:

END

Un saluto!!

 

Alan