Comparteix a través de


Configurar un servidor de federación

Después de instalar el servicio de rol de Servicios de federación de Active Directory (AD FS) en el equipo, estará listo para configurar este equipo para que se convierta en un servidor de federación. Puede realizar una de las operaciones siguientes:

Configura el primer servidor de federación en una nueva granja de servidores de federación.

Para configurar el primer servidor de federación en una nueva granja de servidores de federación mediante el Asistente para la configuración de los Servicios de federación de Active Directory

Nota

Asegúrese de que tiene permisos de administrador de dominios o credenciales de administrador de dominios disponibles antes de realizar este procedimiento.

  1. En la página Panel del Administrador de servidores, haz clic en el marcador Notificaciones y en Configure el servicio de federación en este servidor.

    Se abre el Asistente para configuración de Servicios de federación de Active Directory.

  2. En la Página principal, selecciona Crear el primer servidor de federación en una granja de servidores de federación y haz clic en Siguiente.

  3. En la página Conectarse a AD DS, especifique una cuenta mediante los permisos de administrador de dominio del dominio de Active Directory al que está unido este equipo y, luego, haga clic en Siguiente.

  4. En la página Especificar propiedades del servicio, haz lo que se explica a continuación y, después, haz clic en Siguiente:

    • Importe el archivo .pfx que contiene el certificado y la clave de Capa de sockets seguros (SSL) que obtuvo anteriormente. En Paso 2: Inscribir un certificado SSL de AD FS, ha obtenido este certificado y lo ha copiado en el equipo que desea configurar como servidor de federación. Para importar el archivo .pfx mediante el asistente, haga clic en Importar y vaya a la ubicación del archivo. Escriba la contraseña del archivo .pfx cuando se le solicite.

    • Escribe un nombre para el servicio de federación. Por ejemplo, fs.contoso.com. Este nombre debe coincidir con uno de los nombres de sujeto o nombres alternativos de sujeto del certificado.

    • Escribe un nombre para mostrar para el servicio de federación. Por ejemplo, Contoso Corporation. Los usuarios ven este nombre en la página de inicio de sesión de Servicios de federación de Active Directory (AD FS).

  5. En la página Especificar cuenta de servicio, especifica una cuenta de servicio. Puedes crear o usar una cuenta de servicio administrada de grupo existente (gMSA) o una cuenta de usuario de dominio existente. Si selecciona la opción de crear una nueva cuenta de gMSA, especifique un nombre para la nueva cuenta. Si selecciona la opción de usar una cuenta de gMSA o de dominio ya existente, haga clic en Seleccionar para seleccionar una cuenta.

    Nota

    La ventaja de usar una cuenta de gMSA es su característica de actualización de contraseña autonegociada.

    Advertencia

    Si quiere usar una cuenta de gMSA, debe tener al menos un controlador de dominio en su entorno que ejecute el sistema operativo Windows Server 2012.

    Si la opción de gMSA está deshabilitada y aparece un mensaje de error como Las cuentas de servicio administradas de grupo no están disponibles porque no se estableció la clave raíz de KDS, puede habilitar gMSA en el dominio ejecutando el siguiente comando de Windows PowerShell en un controlador de dominio que ejecute Windows Server 2012 o una versión posterior en su dominio de Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). A continuación, vuelva al asistente, haga clic en Anterior y en Siguiente para volver a entrar en la página Especificar cuenta de servicio. La opción gMSA ahora debe estar habilitada. Puede seleccionarla y escribir el nombre de cuenta de gMSA que quiera usar.

  6. En la página Especificar base de datos de configuración, especifique una base de datos de configuración de AD FS y haga clic en Siguiente. Puede crear una base de datos en este equipo mediante Windows Internal Database (WID) o especificar la ubicación y el nombre de instancia del servidor de Microsoft SQL Server.

    Para más información, consulte Rol de base de datos de configuración de AD FS.

    Importante

    Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones posteriores, incluido SQL Server 2012, y SQL Server 2014.

  7. En la página Revisar opciones, comprueba la configuración que has seleccionado y haz clic en Siguiente.

  8. En la página Comprobación de requisitos previos, compruebe que se hayan completado correctamente todos los requisitos previos y haga clic en Configurar.

  9. En la página Resultados, revise los resultados, compruebe que la configuración se haya completado correctamente y haga clic en Hay que realizar los siguientes pasos para completar la implementación del servicio de federación. Para más información, consulte Siguientes pasos para completar la instalación de AD FS. Haga clic en Cerrar para salir del asistente.

Para configurar el primer servidor de federación en una nueva granja de servidores de federación mediante Windows PowerShell

Puede crear una nueva granja de servidores de federación mediante una cuenta de gMSA nueva o existente o mediante una cuenta de usuario de un dominio existente.

  • Si desea crear un servidor de federación nuevo con una cuenta de gMSA nueva, haga lo siguiente:

    Importante

    Debes tener permisos de administrador de dominio para crear el primer servidor de federación en una nueva granja de servidores de federación.

    1. En el equipo que desea configurar como servidor de federación, asegúrese de que el certificado SSL requerido se ha importado en el directorio Equipo local\Almacén personal. Para comprobar si se ha importado el certificado SSL, ejecute el comando siguiente en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece con su huella digital en el directorio Equipo local\Almacén personal.

    2. En el controlador de dominio, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando para comprobar si la clave raíz de KDS se ha creado en el dominio: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Si no se ha creado (por lo que la salida no muestra información), ejecute el siguiente comando para crearla: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. En el equipo que deseas configurar como servidor de federación, abre la ventana de comandos de Windows PowerShell y ejecuta el comando siguiente:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
      

      Advertencia

      Se requiere el signo $ al final del comando anterior.

      Para obtener el valor de <certificate_thumbprint>, ejecute dir Cert:\LocalMachine\My y, a continuación, seleccione la huella digital del certificado SSL. El valor de <federation_service_name> es el nombre de su servicio de federación, por ejemplo, fs.contoso.com.

      Nota

      Si NO es la primera vez que ejecuta este comando, agregue el parámetro OverwriteConfiguration.

      Nota

      El comando anterior permite crear una granja WID. Si desea crear una granja de servidores de SQL Server, ya debe tener instalada y operativa una instancia de SQL Server.

      Puede usar el siguiente comando para crear el primer servidor de federación en una nueva granja mediante SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" donde <SQL_Host_Name> es el nombre del servidor en el que se ejecuta SQL Server y <SQL_instance_name> es el nombre de la instancia de SQL Server. Si usa la instancia predeterminada de SQL Server, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

      Importante

      Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones posteriores, incluido SQL Server 2012.

  • Si desea crear un servidor de federación nuevo con una cuenta de usuario de dominio existente, haga lo siguiente:

    1. En el equipo que desea configurar como servidor de federación, asegúrese de que el certificado SSL requerido se ha importado en el directorio Equipo local\Almacén personal. Para comprobar si se ha importado el certificado SSL, ejecute el comando siguiente en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece con su huella digital en el directorio Equipo local\Almacén personal.

    2. En el equipo que quiera configurar como servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el comando siguiente: $fscred = Get-Credential. Especifique las credenciales de la cuenta de usuario de dominio que desea utilizar para la cuenta de servicio de federación con el formato dominio\nombre de usuario.

    3. En la misma ventana de Windows PowerShell, ejecute el siguiente comando:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
      

      Para obtener el valor de <certificate_thumbprint>, ejecute dir Cert:\LocalMachine\My y, a continuación, seleccione la huella digital del certificado SSL. El valor de <federation_service_name> es el nombre de su servicio de federación, por ejemplo, fs.contoso.com.

      Nota

      Si NO es la primera vez que ejecuta este comando, agregue el parámetro OverwriteConfiguration.

      Nota

      El comando anterior permite crear una granja WID. Si desea crear una granja de servidores de SQL Server, ya debe tener instalada y operativa la instancia de SQL Server.

      Puede usar el siguiente comando para crear el primer servidor de federación en una nueva granja mediante SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" donde SQL_Host_Name es el nombre del servidor en el que se ejecuta SQL Server y SQL_instance_name es el nombre de la instancia de SQL Server. Si usa la instancia predeterminada de SQL Server, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

      Importante

      Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones posteriores, incluido SQL Server 2012, y SQL Server 2014.

Agregar un servidor de federación a una granja de servidores de federación existente

Importante

Asegúrese de que ha completado el paso 3: Instalar el servicio de rol de AD FS antes de iniciar cualquiera de los procedimientos de esta sección.

Importante

Asegúrese de haber obtenido un certificado de autenticación de servidor SSL válido antes de completar este procedimiento.

Para agregar un servidor de federación a una granja de servidores de federación existente a través del Asistente para la configuración de los Servicios de federación de Active Directory

  1. En la página Panel del Administrador de servidores, haz clic en el marcador Notificaciones y en Configure el servicio de federación en este servidor.

    Se abre el Asistente para configuración de Servicios de federación de Active Directory.

  2. En la página Bienvenida, selecciona Agregar un servidor de federación a una granja de servidores de federación y haga clic en Siguiente.

  3. En la página Conectarse a AD DS, especifique una cuenta mediante los permisos de administrador de dominio para el dominio de AD al que está unido este equipo y luego haga clic en Siguiente.

  4. En la página Especificar granja de servidores, escriba el nombre del servidor de federación principal de una granja que use WID o especifique el nombre de host de la base de datos y el nombre de la instancia de la base de datos de una granja de servidores de federación existente que use SQL Server.

    Advertencia

    En Windows Server® 2012 R2, hay una solución alternativa para especificar la instancia predeterminada de SQL Server. La solución alternativa es no utilizar la interfaz de usuario. En vez de eso, use los pasos que se indican en Para configurar el primer servidor de federación en una nueva granja de servidores de federación mediante Windows PowerShell.

    Importante

    Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones posteriores, incluido SQL Server 2012.

  5. En la página Especificar certificado SSL, importe el archivo .pfx que contiene el certificado SSL y la clave que obtuviste anteriormente. Este certificado es el certificado de autenticación de servicio necesario. En Paso 2: Inscribir un certificado SSL de AD FS, ha obtenido este certificado y lo ha copiado en el equipo que desea configurar como servidor de federación. Para importar el archivo .pfx a través del asistente, haz clic en Importar y ve a la ubicación del archivo. Escriba la contraseña del archivo .pfx cuando se le solicite.

  6. En la página Especificar cuenta de servicio, especifique la misma cuenta de servicio que configuró al crear el primer servidor de federación de la granja. Puedes utilizar una cuenta de servicio administrada de grupo existente o una cuenta de usuario de dominio existente.

    Importante

    La cuenta que especifique debe ser la misma cuenta que la utilizada en el servidor de federación principal de esta granja.

  7. En la página Revisar opciones, comprueba la configuración que has seleccionado y haz clic en Siguiente.

  8. En la página Comprobación de requisitos previos, compruebe que se hayan completado correctamente todos los requisitos previos y haga clic en Configurar.

  9. En la página Resultados, revise los resultados, compruebe que la configuración se haya completado correctamente y haga clic en Hay que realizar los siguientes pasos para completar la implementación del servicio de federación. Para más información, consulte Siguientes pasos para completar la instalación de AD FS. Haga clic en Cerrar para salir del asistente.

Para agregar un servidor de federación a una granja de servidores de federación existente mediante Windows PowerShell

Puede agregar un servidor de federación a una granja existente mediante una cuenta de gMSA (cuenta de servicio administrada de grupo) o una cuenta de usuario de dominio existentes.

  • Si quiere unir un servidor de federación a una granja mediante una cuenta gMSA existente, siga el procedimiento siguiente:

    1. En el equipo que desea configurar como servidor de federación, asegúrese de que el certificado SSL requerido se ha importado en el directorio Equipo local\Almacén personal. Para comprobar si se ha importado el certificado SSL, ejecute el comando siguiente en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece con su huella digital en el directorio Equipo local\Almacén personal.

    2. En el equipo que desea configurar como servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el comando siguiente.

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
      

      <domain>\<GMSA_name> es el dominio de AD y el nombre de la cuenta de gMSA de ese dominio. <first_federation_server_hostname> es el nombre de host del servidor de federación principal de esta granja existente.

      Para obtener el valor de <certificate_thumbprint>, puede ejecutar dir Cert:\LocalMachine\My en el paso anterior.

      Nota

      Si NO es la primera vez que ejecuta este comando, agregue el parámetro OverwriteConfiguration.

      Nota

      El comando anterior permite crear un nodo de granja WID. Si desea crear un nodo de granja de servidores de equipos que ejecutan SQL Server, ya debe tener instalada y operativa la instancia de SQL Server.

      Puede usar el siguiente comando para agregar un servidor de federación a una granja existente que use una instancia de SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" donde SQL_Host_Name es el nombre del servidor en el que se ejecuta SQL Server y SQL_instance_name es el nombre de la instancia de SQL Server. Si usa la instancia predeterminada de SQL Server, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

      Importante

      Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones posteriores, incluido SQL Server 2012, y SQL Server 2014.

  • Si quiere unir un servidor de federación a una granja mediante una cuenta de usuario de dominio existente, siga el procedimiento siguiente:

    1. En el equipo que quiera configurar como servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el comando siguiente: $fscred = get-credential. Especifique las credenciales de la cuenta de usuario de dominio que desea utilizar para la cuenta de servicio de federación con el formato dominio\nombre de usuario.

    2. En el equipo que desea configurar como servidor de federación, asegúrese de que el certificado SSL requerido se ha importado en el directorio Equipo local\Almacén personal. Para comprobar si se ha importado el certificado SSL, ejecute el comando siguiente en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece con su huella digital en el directorio Equipo local\Almacén personal.

    3. En la misma ventana de Windows PowerShell, ejecute el siguiente comando.

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
      

      Nota

      Si NO es la primera vez que ejecuta este comando, agregue el parámetro OverwriteConfiguration.

      Nota

      El comando anterior permite crear un nodo de granja WID. Si desea crear un nodo de granja de servidores de equipos que ejecutan SQL Server, ya debe tener instalada y operativa la instancia de SQL Server. Puede usar el siguiente comando para agregar un servidor de federación a una granja existente mediante una instancia de SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" donde SQL_Host_Name es el nombre del servidor en el que se ejecuta la instancia de SQL Server y SQL_instance_name es el nombre de la instancia de SQL Server. Si usa la instancia predeterminada de SQL Server, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

      Importante

      Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones posteriores, incluido SQL Server 2012, y SQL Server 2014.

Consulte también

Implementación de AD FS

Guía de implementación de AD FS en Windows Server 2012 R2

Implementar una granja de servidores de federación