Blog de Florent Appointaire

Blog sur les technologies Microsoft (Windows Server, System Center, Azure, Windows Azure Pack/Azure Stack, etc;)

logo_azure

Maintenant que notre Windows Azure Pack est fonctionnel, suite à sa configuration dans la partie 2, nous allons effectuer quelques petites modifications de styles, pour faciliter l’accès à notre Azure.

Si vous ouvrez IIS Manager sur le server WAP01, vous pouvez voir qu’une liste de site a été crée durant l’installation de WAP :

image

Ici, nous allons nous intérésser aux 4 sites suivants, ceux qui fournissent le service aux utilisateurs et aux administrateurs :

  • WAP Tenant Portal Service (MgmtSvc-TenantSite) : Héberge le site WAP pour la partie client
  • WAP Tenant Authentication Service (MgmtSvc-AuthSite) : Héberge la partie authentification pour les clients
  • WAP Admin Portal Service (MgmtSvc-AdminSite) : Héberge le site WAP pour la partie Admin
  • WAP Admin Authentication Service (MgmtSvc-WindowsAuthSite) : Héberge la partie authentification pour les admins

Par défaut, quand vous tentez d’accéder à un portail, pour la partie authentification, WAP utilise .NET. Pour implémenter la partie AD FS, rendez-vous ici où une suite de 3 tutoriaux vous aidera à mettre en place AD FS.

Pour notre part, nous allons nous contenter de faire des configurations de base, comme ajouter les certificats sur les différents sites, changer l’URL d’accès (pour faciliter l’accès aux utilisateurs) et changer le port.

Je vais utiliser les noms de domaine suivant:

  • Portail d’administration : Azure-Admin.abc.corp sur le port 443 au lieu de wap01.abc.corp:30091
  • Portail utilisateur : azure.abc.corp sur le port 443 au lieu de wap01.abc.corp:30081

Commençons par la création des certificats pour nos différentes interfaces. Dans mon cas, j’utiliserai AD CS, configuré en Root CA, avec les features suivantes :

  • Certification Authority
  • Certification Authority Web Enrollment
  • Certifcate Enrollment Web Service
  • Certificate Enrollment Policy Web Service

Pour créer des certificats pour les différents environnements, allez sur votre serveur WAP, puis dans IIS. Sélectionnez votre serveur et choisissez Server certificates. Vous devriez avoir une liste comme ceci :

image

Dans le panel Actions, sélectionnez Create Domain Certificate…. Une fenêtre s’ouvre. Remplissez comme bon vous semble, sauf pour la partie Common Name, qui doit être équivalente au FQDN que vous utiliserez pour votre URL. Pour ma part, j’ai ceci :

image

Dans la partie suivante, choisissez votre autorité de certification en cliquant sur Select puis, donnez un nom à ce certificat :

Capture

Cliquez sur Finish. Votre certificat apparaît maintenant dans la liste du début :

Capture2

Faites de même pour 2 autres certificats, qui vous servirons pour la partie Admin et la parti Tenant.

Capture2.5

Nous allons maintenant associer ce certificat à nos différentes pages Web. Dans le même temps, nous changerons également le port à utiliser.
Dans IIS, toujours sur le serveur WAP, trouvez le site MgmtSvc-AdminSite, faites clique droit dessus, Edit Bindings. Une fenêtre s’ouvre. Sélectionnez https 30091 et cliquez sur Edit. La fenêtre suivante apparaît :

image

Changez la configuration avec le port 443, changez le hostname en Azure-Admin.abc.corp dans mon cas et sélectionnez le certificat que l’on a généré tout à l’heure, azure-admin.abc.corp :

Capture3

Cliquez sur OK pour terminer. Sélectionnez le site MgmtSvc-WindowsAuthSite et faites Edit Bindings, et sélectionnez le certificat que l’on a généré tout à l’heure, wap01.abc.corp :

Capture4

Effectuez la même manipulation pour le site MgmtSvc-TenantSite, avec le port 443 et le certificat azure.abc.corp :

Capture5

Editez également le site MgmtSvc-AuthSite avec le port 444 et le certificat azure.abc.corp :

Capture6

Redémarrez les sites suivants :

  • MgmtSvc-TenantSite
  • MgmtSvc-AuthSite
  • MgmtSvc-AdminSite
  • MgmtSvc-WindowsAuthSite

Avant de continuer, n’oubliez pas de créer les enregistrements DNS des nouveaux noms. Pour faire ceci, connectez-vous sur un DC, et créez les enregistrements DNS, suivants vos IPs :

image

Il faut maintenant reconfigurer WAP, pour qu’il prenne en compte les modifications. Une documentation est disponible sur TechNet pour faire ceci.
Sur le serveur WAP, ouvrez PowerShell en tant qu’administrateur et importez le module MgmtSvcConfig :

Import-Module -Name MgmtSvcConfig

image

Mettez à jour le Portail Admin avec vos paramètres, comme ceci (le dernier paramètre correspond à votre serveur qui contient la base de données) :

Set-MgmtSvcFqdn -Namespace "AdminSite" -FullyQualifiedDomainName "Azure-Admin.abc.corp" -Port 443 -Server "SQL01"

Capture8

Faites de même pour la partie authentification, avec la commande suivante :

Set-MgmtSvcRelyingPartySettings –Target Admin –MetadataEndpoint 'https://wap01.abc.corp:30072/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString "Data Source=sql01.abc.corp;User ID=sa;Password=123456789A”

Capture9
Il faut maintenant faire la redirection de l’authentification du portail vers le nouveau port. Exécutez la commande suivante :

Set-MgmtSvcIdentityProviderSettings –Target Windows –MetadataEndpoint 'https://azure-admin.abc.corp/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString "Data Source=sql01.abc.corp;User ID=sa;Password=123456789A”

Capture10

Faisons maintenant de même pour la partie tenant :

Set-MgmtSvcFqdn -Namespace "TenantSite" -FullyQualifiedDomainName "azure.abc.corp" -Port 443 -Server "SQL01"
Set-MgmtSvcFqdn -Namespace "AuthSite" -FullyQualifiedDomainName "azure.abc.corp" -Port 444 -Server "SQL01"
Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint 'https://azure.abc.corp:444/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString "Data Source=sql01.abc.corp;User ID=sa;Password=123456789A”
Set-MgmtSvcIdentityProviderSettings –Target Membership –MetadataEndpoint 'https://azure.abc.corp/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString "Data Source=sql01.abc.corp;User ID=sa;Password=123456789A”

Capture11

Avant de faire les tests, n’oubliez pas d’importez le Root Certificate de votre CA sur les ordinateurs qui accèderont aux sites (ceci peut se faire via GPO). Pour ma part, je l’ai importé pour l’ordinateur (pas seulement pour mon compte), dans la partie Trusted Root Certification Authorities.

Maintenant que notre Root Certificate est importé, vérifions que nos sites fonctionnent sur les nouveaux ports, sans erreur de certificat et avec le nouveau nom DNS.
Rendez-vous sur https://azure-admin.abc.corp dans un premier temps, et authentifiez-vous. Vous devriez avoir ceci, sans aucune erreur de certificat :

2014-04-18_12-28-32

Allez maintenant sur https://azure.abc.corp :

2014-04-18_12-22-56

Vous pouvez voir que nous n’avons plus d’erreur de certificat. Authentifiez-vous. Vous pouvez vous rendre contre que l’authentification est effectuée via le port 444 :

2014-04-18_12-23-30

Une fois authentifié, vous arrivez à la page d’accueil, sans erreur de certificat :

2014-04-18_12-24-36

Cette suite de tutoriel est maintenant terminée, n’hésitez pas si vous avez des questions et/ou des requêtes. Bon courage.

Facebook Like
Anonymous