Sdílet prostřednictvím

Příprava síťové infrastruktury pro federační servery

  • Článek

Platí pro: Azure, Office 365, Power BI, Windows Intune

Následující kontrolní seznam obsahuje úlohy přípravy, které musíte provést, aby bylo možné nasadit farmu federačních serverů.

Poznámka

  • Dokončete úkoly v těchto kontrolních znacích v pořadí. Když odkaz na odkaz přejde na proceduru, vraťte se k tomuto tématu po dokončení kroků v tomto postupu, abyste mohli pokračovat se zbývajícími úkoly v tomto kontrolním seznamu.

  • Pokud není uvedeno jinak, musíte být nejprve přihlášeni k počítačům jako člen skupiny Administrators, pokud chcete dokončit všechny úlohy pomocí postupů v této části, nebo jste byli delegovaní ekvivalentní oprávnění.

ChecklistKontrolní seznam: Příprava síťové infrastruktury pro federační servery

Úloha nasazení Odkazy na témata v této části Dokončeno

1. Připojte počítače, které se stanou federačními servery, k doméně, kde budou uživatelé služby Active Directory ověřeni.

Poznámka

Tento krok můžete ignorovat, pokud jako federační servery použijete existující řadiče domény.

Checkbox

2. Vytvořte a nakonfigurujte nový název DNS clusteru nlB nebo použijte existující cluster nlB v podnikové síti, který bude používat nová farma federačních serverů. Potom přidejte počítače federačního serveru do clusteru nlB. Pokud používáte technologii serveru Windows pro aktuální hostitele nlB, zvolte odpovídající odkaz na správnou verzi operačního systému.

Poznámka

Tento krok je volitelný v testovacím nasazení tohoto řešení jednotného přihlašování s jedním federačním serverem služby AD FS.

Pokud chcete vytvářet a konfigurovat clustery nlB na Windows Serveru 2003 a Windows Serveru 2003 R2, přečtěte si kontrolní seznam: Povolení a konfigurace vyrovnávání zatížení sítě. Pokud chcete vytvářet a konfigurovat clustery nlB na Windows Serveru 2008, přečtěte si téma Vytváření clusterů vyrovnávání zatížení sítě.

Pokud chcete vytvářet a konfigurovat clustery nlB na serveru Windows Server 2008 R2, přečtěte si téma Vytváření clusterů vyrovnávání zatížení sítě.

 Checkbox

3. Vytvořte nový záznam prostředku pro název DNS clusteru v DNS podnikové sítě, který odkazuje na název plně kvalifikovaného názvu domény clusteru nlB na jeho IP adresu clusteru.

Přidání záznamu prostředku do podnikového DNS pro název DNS clusteru nakonfigurovaného na podnikovém hostiteli nlB

 Checkbox

4. Importujte ověřovací certifikát serveru na výchozí web pro každý federační server ve farmě.

Poznámka

Instalace tohoto certifikátu na výchozí web je požadavek, abyste mohli použít Průvodce konfigurací federačního serveru služby AD FS.

Import ověřovacího certifikátu serverů na výchozí web

 Checkbox

5. Vytvořte a nakonfigurujte vyhrazený účet služby ve službě Active Directory, kde se bude nacházet farma federačních serverů, a nakonfigurujte každý federační server ve farmě tak, aby používal tento účet.

Ruční konfigurace servisního účtu pro farmu federačních serverů

 Checkbox

Připojení počítače k doméně

Aby služba AD FS fungovala, musí být každý počítač, který funguje jako federační server, připojený k doméně. Proxy federačního serveru se můžou připojit k doméně, ale není to požadavek.

Pokud chcete službu AD FS používat v Windows Server 2012 R2, musí vaše doména služby Active Directory spouštět jednu z těchto věcí:

  • Windows Server

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

Připojení počítače k doméně

  1. V počítači, ke kterému se chcete připojit k doméně, klepněte na tlačítko Start, klepněte na Ovládací panely a potom poklikejte na systém.

  2. V části Název počítače, doména a nastavení pracovní skupiny klepněte na tlačítko Změnit nastavení.

  3. Na kartě Název počítače klikněte na Změnit.

  4. V části Člen klepněte na položku Doména, zadejte název domény, ke které se tento počítač připojí, a klepněte na tlačítko OK.

  5. Klepněte na tlačítko OK a restartujte počítač.

Přidání záznamu prostředku do podnikového DNS pro název DNS clusteru nakonfigurovaného na podnikovém hostiteli nlB

Aby klienti v podnikové síti úspěšně přistupovali ke službě Federation Service, musí být nejprve vytvořen záznam prostředku hostitele (A) v podnikovém systému DNS (Domain Name System), který překládá název DNS clusteru služby Federation Service (například fs.fabrikam.com) na IP adresu clusteru v podnikové síti (například 172.16.1.3). Pomocí následujícího postupu můžete přidat záznam prostředku hostitele (A) do podnikového DNS clusteru nlB.

Přidání záznamu prostředku do podnikového DNS pro název DNS clusteru nakonfigurovaného na podnikovém hostiteli nlB

  1. Na serveru DNS pro podnikovou síť otevřete modul snap-in DNS.

  2. Ve stromu konzoly klikněte pravým tlačítkem myši na příslušnou zónu vyhledávání vpřed (například fabrikam.com) a potom klikněte na nový hostitel (A nebo AAAA).

  3. Do pole Název zadejte pouze název počítače federačního serveru nebo clusteru federačního serveru; Například pro plně kvalifikovaný název domény (FQDN) fs.fabrikam.com zadejte fs.

  4. Do POLE IP adresa zadejte IP adresu federačního serveru nebo clusteru federačních serverů; například 172.16.1.3.

  5. Klikněte na Přidat hostitele.

    Důležité

    Předpokládá se, že používáte server DNS se systémem Windows 2000 Server, Windows Server 2003 nebo Windows Server 2008 se službou DNS Server k řízení zóny DNS.

Import ověřovacího certifikátu serveru na výchozí web

Po získání ověřovacího certifikátu serveru od certifikační autority (CA) musíte tento certifikát ručně nainstalovat na výchozí web pro každý federační server ve vaší farmě.

Vzhledem k tomu, že tento certifikát musí být důvěryhodný klienty služby AD FS a cloudových služeb Microsoftu, použijte certifikát SSL vystavený veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou podřízenou veřejně důvěryhodnému kořenovému adresáři; například VeriSign nebo Thawte. Informace o instalaci certifikátu z veřejné certifikační autority naleznete v tématu IIS 7.0: Vyžádání certifikátu internetového serveru.

Poznámka

Název subjektu tohoto ověřovacího certifikátu serveru musí odpovídat plně kvalifikovanému názvu domény názvu DNS clusteru (například fs.fabrikam.com), který jste vytvořili dříve na hostiteli nlB. Pokud Internetová informační služba (IIS) není nainstalován, musíte nejprve nainstalovat službu IIS, abyste mohli tuto úlohu dokončit. Při první instalaci služby IIS doporučujeme při instalaci role serveru použít výchozí možnosti funkce.

Import ověřovacího certifikátu serverů na výchozí web

  1. Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na příkaz Nástroje pro správu a potom klepněte na tlačítko Internetová informační služba (IIS) Manager.

  2. Ve stromu konzoly klikněte na Název počítače.

  3. V prostředním podokně poklikejte na Certifikáty serveru.

  4. V podokně Akce klikněte na Importovat.

  5. V dialogovém okně Importovat certifikát klikněte na tlačítko ... .

  6. Přejděte do umístění souboru certifikátu pfx, zvýrazněte ho a klikněte na Tlačítko Otevřít.

  7. Zadejte heslo certifikátu a klikněte na tlačítko OK.

Vytvoření vyhrazeného účtu služby pro farmu federačních serverů

Pokud chcete nakonfigurovat prostředí farmy federačních serverů ve službě AD FS, musíte vytvořit a nakonfigurovat vyhrazený účet služby ve službě Active Directory, ve kterém bude farma umístěna. Tento vyhrazený účet služby je nezbytný k zajištění, aby všem prostředkům vyžadovaným farmou služby AD FS byl udělen přístup ke všem federačním serverům ve farmě.

Potom nakonfigurujete každý federační server ve farmě tak, aby používal stejný účet služby. Pokud byl například vytvořený účet služby fabrikam\ADFS2SVC, každý počítač, který nakonfigurujete pro roli federačního serveru a který se bude účastnit stejné farmy, musí v tomto kroku v Průvodci konfigurací federačního serveru zadat fabrikam\ADFS2SVC, aby byla farma funkční.

Poznámka

Úlohy v tomto postupu musíte provádět pouze jednou pro celou farmu federačních serverů. Později při vytváření federačního serveru pomocí Průvodce konfigurací federačního serveru služby AD FS je nutné zadat tento účet na stránce Průvodce účtem služby na každém federačním serveru ve farmě.

Vytvoření vyhrazeného účtu služby pro farmu federačních serverů

  1. Vytvořte vyhrazený účet uživatele nebo služby v doménové struktuře služby Active Directory, který budete používat ve vaší organizaci.

  2. Upravte vlastnosti uživatelského účtu a zaškrtněte políčko Heslo nikdy nevyprší . Tato akce zajistí, že platnost tohoto účtu služby nebude přerušena v důsledku požadavků na změnu hesla domény.

    Poznámka

    • Pokud potřebujete pravidelně měnit heslo pro účet služby, přečtěte si téma Konfigurace rozšířených možností pro službu AD FS 2.0.

    • Při použití účtu síťové služby pro tento vyhrazený účet dojde k náhodným selháním při pokusu o přístup prostřednictvím integrovaného ověřování Windows, protože lístky Kerberos se neaktivují z jednoho serveru do druhého.

Další krok

Teď, když jste si prošli požadavky na nasazení služby AD FS, je dalším krokem dokončení úloh v některém z následujících kontrolních seznamů v závislosti na tom, jakou verzi služby AD FS chcete použít:

Viz také

Koncepty

Kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování