Konfigurieren eines Verbundservers
Nachdem Sie den AD FS-Rollendienst (Active Directory Federation Services, Active Directory-Verbunddienste) auf Ihrem Computer installiert haben, können Sie diesen Computer als Verbundserver konfigurieren. Führen Sie einen der folgenden Schritte aus:
Konfigurieren des ersten Verbundservers in einer neuen Verbundserverfarm
Hinzufügen eines Verbundservers zu einer vorhandenen Verbundserverfarm
Konfigurieren des ersten Verbundservers in einer neuen Verbundserverfarm
So konfigurieren Sie den ersten Verbundserver in einer neuen Verbundserverfarm mithilfe des Konfigurations-Assistenten für Active Directory-Verbunddienste
Hinweis
Stellen Sie sicher, dass Sie über Domänenadministratorberechtigungen oder über Domänenadministrator-Anmeldeinformationen verfügen, bevor Sie dieses Verfahren ausführen.
Klicken Sie im Server-Manager auf der Seite Dashboard auf das Benachrichtigungs-Flag und dann auf Konfigurieren Sie den Verbunddienst auf diesem Server.
Der Konfigurations-Assistent für Active Directory-Verbunddienste wird geöffnet.
Wählen Sie auf der Seite WillkommenErstellen des ersten Verbundservers in einer Verbundserverfarm aus, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Mit AD DS verbinden ein Konto mithilfe von Domänenadministratorberechtigungen für die Active Directory (AD)-Domäne an, der dieser Computer beigetreten ist, und klicken Sie dann auf Weiter.
Führen Sie auf der Seite Diensteigenschaften angeben die folgenden Schritte aus, und klicken Sie dann auf Weiter:
Importieren Sie die PFX-Datei, die das SSL-Zertifikat (Secure Socket Layer) und den Schlüssel enthält, die Sie zuvor abgerufen haben. In Schritt 2: Registrieren eines SSL-Zertifikats für AD FS haben Sie dieses Zertifikat abgerufen und auf den Computer kopiert, den Sie als Verbundserver konfigurieren möchten. Um die PFX-Datei mit dem Assistenten zu importieren, klicken Sie auf Importieren und navigieren dann zum Speicherort der Datei. Geben Sie das Kennwort für die PFX-Datei ein, wenn Sie dazu aufgefordert werden.
Geben Sie einen Namen für den Verbunddienst an. Beispielsweise fs.contoso.com. Dieser Name muss mit dem Antragstellernamen oder alternativen Antragstellernamen im Zertifikat übereinstimmen.
Geben Sie einen Anzeigenamen für den Verbunddienst an. Beispielsweise Contoso Corporation. Benutzern wird dieser Name auf der Anmeldeseite für Active Directory-Verbunddienste (AD FS) angezeigt.
Geben Sie auf der Seite Dienstkonto angeben ein Dienstkonto an. Sie können ein gruppenverwaltetes Dienstkonto (group Managed Service Account, gMSA) erstellen, ein vorhandenes gMSA verwenden oder ein vorhandenes Domänenbenutzerkonto verwenden. Wenn Sie die Option zum Erstellen eines neuen gMSA-Kontos auswählen, geben Sie einen Namen für das neue Konto an. Wenn Sie die Option zum Verwenden eines vorhandenen gMSA- oder Domänenkontos auswählen, klicken Sie auf Auswählen, um ein Konto auszuwählen.
Hinweis
Der Vorteil bei Verwendung eines gMSA-Kontos besteht in der Updatefunktion für automatisch ausgehandelte Kennwörter.
Warnung
Wenn Sie ein gMSA-Konto verwenden möchten, muss in Ihrer Umgebung mindestens ein Domänencontroller enthalten sein, auf dem das Betriebssystem Windows Server 2012 ausgeführt wird.
Wenn die gMSA-Option deaktiviert ist und eine Fehlermeldung wie Gruppenverwaltete Dienstkonten sind nicht verfügbar, weil der KDS-Stammschlüssel nicht festgelegt wurde angezeigt wird, können Sie gMSA in Ihrer Domäne aktivieren, indem Sie den folgenden Windows PowerShell-Befehl auf einem Domänencontroller mit Windows Server 2012 oder höher in Ihrer Active Directory-Domäne ausführen:
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
. Kehren Sie dann zum Assistenten zurück, klicken Sie auf die Schaltfläche Zurück und dann auf die Schaltfläche Weiter, um wieder die Seite Dienstkonto angeben aufzurufen. Die gMSA-Option sollte jetzt aktiviert sein. Sie können sie auswählen und einen gMSA-Kontonamen eingeben, den Sie verwenden möchten.Geben Sie auf der Seite Konfigurationsdatenbank angeben eine AD FS-Konfigurationsdatenbank an, und klicken Sie dann auf Weiter. Sie können entweder auf diesem Computer eine Datenbank mithilfe der internen Windows-Datenbank (WID) erstellen oder den Speicherort und Namen der Microsoft SQL Server-Instanz angeben.
Weitere Informationen hierzu finden Sie unter The Role of the AD FS Configuration Database (Die Rolle der AD FS-Konfigurationsdatenbank).
Wichtig
Wenn Sie eine AD FS-Farm erstellen und Ihre Konfigurationsdaten mithilfe von SQL Server speichern möchten, können Sie SQL Server 2008 und höhere Versionen, einschließlich SQL Server 2012 und SQL Server 2014, verwenden.
Überprüfen Sie Ihre Konfigurationsauswahl auf der Seite Optionen prüfen, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Voraussetzungsprüfungen, ob alle Voraussetzungsprüfungen erfolgreich abgeschlossen wurden, und klicken Sie dann auf Konfigurieren.
Überprüfen Sie die Ergebnisse auf der Seite Ergebnisse, prüfen Sie, ob die Konfiguration erfolgreich abgeschlossen wurden, und klicken Sie dann auf Weitere Schritte, die zum Abschluss der Bereitstellung des Verbunddiensts erforderlich sind. Weitere Informationen finden Sie unter Weitere Schritte zum Abschließen der AD FS-Installation. Klicken Sie auf Schließen, um den Assistenten zu beenden.
So konfigurieren Sie den ersten Verbundserver in einer neuen Verbundserverfarm über Windows PowerShell
Sie können eine neue Verbundserverfarm entweder unter Verwendung eines neuen oder vorhandenen gMSA-Kontos oder eines vorhandenen Domänenbenutzerkontos erstellen.
Verfahren Sie wie folgt, um einen neuen Verbundserver unter Verwendung eines neuen gMSA-Kontos zu erstellen:
Wichtig
Sie benötigen Domänenadministratorberechtigungen, um den ersten Verbundserver in einer neuen Verbundserverfarm zu erstellen.
Vergewissern Sie sich, dass auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das erforderliche SSL-Zertifikat in das Verzeichnis Lokaler Computer\My Store importiert wurde. Um zu überprüfen, ob das SSL-Zertifikat importiert wurde, können Sie den folgenden Befehl im Windows PowerShell-Befehlsfenster ausführen:
dir Cert:\LocalMachine\My
. Das Zertifikat ist mit seinem Fingerabdruck unter im Verzeichnis Lokaler Computer\My Store aufgeführt.Öffnen Sie auf dem Domänencontroller das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus, um zu überprüfen, ob der KDS-Stammschlüssel in Ihrer Domäne erstellt wurde:
Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
. Falls er nicht erstellt wurde (in der Ausgabe werden keine Informationen angezeigt), führen Sie den folgenden Befehl aus, um den Schlüssel zu erstellen:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
.Öffnen Sie auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das Windows PowerShell-Befehlsfenster, und führen Sie folgenden Befehl aus:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
Warnung
Das
$
-Zeichen am Ende des vorherigen Befehls ist erforderlich.Um den Wert für
<certificate_thumbprint>
abzurufen, führen Siedir Cert:\LocalMachine\My
aus, und wählen Sie dann den Fingerabdruck Ihres SSL-Zertifikats aus. Der Wert von<federation_service_name>
entspricht dem Namen des Verbunddiensts, z. B. fs.contoso.com.Hinweis
Wenn Sie diesen Befehl NICHT zum ersten Mal ausführen, fügen Sie den Parameter
OverwriteConfiguration
hinzu.Hinweis
Durch den vorherigen Befehl wird eine WID-Farm erstellt. Wenn Sie eine SQL Server-Farm erstellen möchten, muss eine Instanz von SQL Server bereits installiert und betriebsbereit sein.
Sie können den folgenden Befehl verwenden, um den ersten Verbundserver in einer neuen Farm zu erstellen, die eine Instanz von SQL Server verwendet:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"
, wobei <SQL_Host_Name> der Name des Servers ist, auf dem SQL Server ausgeführt wird, und <SQL_instance_name> der Name der Instanz von SQL Server. Wenn Sie die Standardinstanz von SQL Server verwenden, verwenden Sie den SQLConnectionString-Wert „Data Source=<SQL_Host_Name>;Integrated Security=True“.Wichtig
Wenn Sie eine AD FS-Farm erstellen und Ihre Konfigurationsdaten mithilfe von SQL Server speichern möchten, können Sie SQL Server 2008 und höhere Versionen, einschließlich SQL Server 2012, verwenden.
Verfahren Sie wie folgt, um einen neuen Verbundserver unter Verwendung eines vorhandenen Domänenbenutzerkontos zu erstellen:
Vergewissern Sie sich, dass auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das erforderliche SSL-Zertifikat in das Verzeichnis Lokaler Computer\My Store importiert wurde. Um zu überprüfen, ob das SSL-Zertifikat importiert wurde, können Sie den folgenden Befehl im Windows PowerShell-Befehlsfenster ausführen:
dir Cert:\LocalMachine\My
. Das Zertifikat ist mit seinem Fingerabdruck unter im Verzeichnis Lokaler Computer\My Store aufgeführt.Öffnen Sie auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das Windows PowerShell-Befehlsfenster, und führen Sie dann den folgenden Befehl aus:
$fscred = Get-Credential
. Geben Sie die Anmeldeinformationen für das Domänenbenutzerkonto, die Sie für das Verbunddienstkonto verwenden möchten, im Format „Domäne\Benutzername“ ein.Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
Um den Wert für <certificate_thumbprint> abzurufen, führen Sie
dir Cert:\LocalMachine\My
aus, und wählen Sie dann den Fingerabdruck Ihres SSL-Zertifikats aus. Der Wert von <federation_service_name> entspricht dem Namen des Verbunddiensts, z. B. „fs.contoso.com“.Hinweis
Wenn Sie diesen Befehl NICHT zum ersten Mal ausführen, fügen Sie den Parameter
OverwriteConfiguration
hinzu.Hinweis
Durch den vorherigen Befehl wird eine WID-Farm erstellt. Wenn Sie eine SQL Server-Farm erstellen möchten, muss die Instanz von SQL Server bereits installiert und betriebsbereit sein.
Sie können den folgenden Befehl verwenden, um den ersten Verbundserver in einer neuen Farm zu erstellen, die eine Instanz von SQL Server verwendet:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
, wobei SQL_Host_Name der Name des Servers ist, auf dem SQL Server ausgeführt wird, und SQL_instance_name der Name der Instanz von SQL Server. Wenn Sie die Standardinstanz von SQL Server verwenden, verwenden Sie den SQLConnectionString-Wert „Data Source=<SQL_Host_Name>;Integrated Security=True“.Wichtig
Wenn Sie eine AD FS-Farm erstellen und Ihre Konfigurationsdaten mithilfe von SQL Server speichern möchten, können Sie SQL Server 2008 und höhere Versionen, einschließlich SQL Server 2012 und SQL Server 2014, verwenden.
Hinzufügen eines Verbundservers zu einer vorhandenen Verbundserverfarm
Wichtig
Stellen Sie sicher, dass Sie Schritt 3: Installieren des AD FS-Rollendiensts abgeschlossen haben, bevor Sie mit den Verfahren in diesem Abschnitt beginnen.
Wichtig
Bevor Sie dieses Verfahren ausführen, sollten Sie sicherstellen, dass Sie ein gültiges SSL-Serverauthentifizierungszertifikat abgerufen haben.
So fügen Sie einer vorhandenen Verbundserverfarm mithilfe des Konfigurations-Assistenten für Active Directory-Verbunddienste einen Verbundserver hinzu
Klicken Sie im Server-Manager auf der Seite Dashboard auf das Benachrichtigungs-Flag und dann auf Konfigurieren Sie den Verbunddienst auf diesem Server.
Der Konfigurations-Assistent für Active Directory-Verbunddienste wird geöffnet.
Wählen Sie auf der Seite Willkommen die Option Einer Verbundserverfarm einen Verbundserver hinzufügen aus, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Mit AD DS verbinden ein Konto mithilfe von Domänenadministratorberechtigungen für die AD-Domäne an, der dieser Computer beigetreten ist, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Farm angeben den Namen des primären Verbundservers in einer Farm an, die die interne Windows-Datenbank (WID) nutzt, oder geben Sie den Namen des Datenbankhosts und der Datenbankinstanz einer vorhandenen Verbundserverfarm, die SQL Server verwendet, an.
Warnung
In Windows Server® 2012 R2 gibt es eine Problemumgehung, um die Standardinstanz von SQL Server anzugeben. bei der die Benutzeroberfläche umgangen wird. Verwenden Sie stattdessen die Schritte in So konfigurieren Sie den ersten Verbundserver in einer neuen Verbundserverfarm über Windows PowerShell.
Wichtig
Wenn Sie eine AD FS-Farm erstellen und Ihre Konfigurationsdaten mithilfe von SQL Server speichern möchten, können Sie SQL Server 2008 und höhere Versionen, einschließlich SQL Server 2012, verwenden.
Importieren Sie auf der Seite SSL-Zertifikat angeben die PFX-Datei mit dem SSL-Zertifikat und Schlüssel, die Sie zuvor abgerufen haben. Dieses Zertifikat ist das erforderliche Dienstauthentifizierungszertifikat. In Schritt 2: Registrieren eines SSL-Zertifikats für AD FS haben Sie dieses Zertifikat abgerufen und auf den Computer kopiert, den Sie als Verbundserver konfigurieren möchten. Um die PFX-Datei mit dem Assistenten zu importieren, klicken Sie auf Importieren und navigieren zum Speicherort der Datei. Geben Sie das Kennwort für die PFX-Datei ein, wenn Sie dazu aufgefordert werden.
Geben Sie auf der Seite Dienstkonto angeben dasselbe Dienstkonto an, das Sie beim Erstellen des ersten Verbundservers in der Farm konfiguriert haben. Sie können ein vorhandenes gruppenverwaltetes Dienstkonto oder ein vorhandenes Domänenbenutzerkonto verwenden.
Wichtig
Das angegebene Konto muss mit dem Konto übereinstimmen, das auf dem primären Verbundserver in dieser Farm verwendet wurde.
Überprüfen Sie Ihre Konfigurationsauswahl auf der Seite Optionen prüfen, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Voraussetzungsprüfungen, ob alle Voraussetzungsprüfungen erfolgreich abgeschlossen wurden, und klicken Sie dann auf Konfigurieren.
Überprüfen Sie die Ergebnisse auf der Seite Ergebnisse, prüfen Sie, ob die Konfiguration erfolgreich abgeschlossen wurden, und klicken Sie dann auf Weitere Schritte, die zum Abschluss der Bereitstellung des Verbunddiensts erforderlich sind. Weitere Informationen finden Sie unter Weitere Schritte zum Abschließen der AD FS-Installation. Klicken Sie auf Schließen, um den Assistenten zu beenden.
So fügen Sie einer vorhandenen Verbundserverfarm mithilfe von Windows PowerShell einen Verbundserver hinzu
Um einer vorhandenen Farm einen Verbundserver hinzuzufügen, können Sie entweder ein vorhandenes gMSA-Konto oder ein vorhandenes Domänenbenutzerkonto verwenden.
Verfahren Sie wie folgt, um einer Farm einen Verbundserver unter Verwendung eines vorhandenen gMSA-Konto hinzuzufügen:
Vergewissern Sie sich, dass auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das erforderliche SSL-Zertifikat in das Verzeichnis Lokaler Computer\My Store importiert wurde. Um zu überprüfen, ob das SSL-Zertifikat importiert wurde, können Sie den folgenden Befehl im Windows PowerShell-Befehlsfenster ausführen:
dir Cert:\LocalMachine\My
. Das Zertifikat ist mit seinem Fingerabdruck unter im Verzeichnis Lokaler Computer\My Store aufgeführt.Öffnen Sie auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das Windows PowerShell-Befehlsfenster, und führen Sie folgenden Befehl aus.
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
<domain>\<GMSA_name>
ist Ihre AD-Domäne und der Name Ihres gMSA-Kontos in dieser Domäne.<first_federation_server_hostname>
ist der Hostname des primären Verbundservers in dieser vorhandenen Farm.Sie können den Wert für
<certificate_thumbprint>
abrufen, indem Siedir Cert:\LocalMachine\My
im vorherigen Schritt ausführen.Hinweis
Wenn Sie diesen Befehl NICHT zum ersten Mal ausführen, fügen Sie den Parameter
OverwriteConfiguration
hinzu.Hinweis
Durch den vorherigen Befehl wird ein WID-Farmknoten erstellt. Wenn Sie einen Serverfarmknoten mit Computern erstellen möchten, auf denen SQL Server ausgeführt wird, muss die Instanz von SQL Server bereits installiert und betriebsbereit sein.
Sie können den folgenden Befehl verwenden, um einen Verbundserver zu einer vorhandenen Farm hinzuzufügen, die eine Instanz von SQL Server verwendet:
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
, wobei SQL_Host_Name der Name des Servers ist, auf dem SQL Server ausgeführt wird, und SQL_instance_name der Name der Instanz von SQL Server. Wenn Sie die Standardinstanz von SQL Server verwenden, verwenden Sie den SQLConnectionString-Wert „Data Source=<SQL_Host_Name>;Integrated Security=True“.Wichtig
Wenn Sie eine AD FS-Farm erstellen und Ihre Konfigurationsdaten mithilfe von SQL Server speichern möchten, können Sie SQL Server 2008 und höhere Versionen, einschließlich SQL Server 2012 und SQL Server 2014, verwenden.
Verfahren Sie wie folgt, um einer Farm einen Verbundserver unter Verwendung eines vorhandenen Domänenbenutzerkontos hinzuzufügen:
Öffnen Sie auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das Windows PowerShell-Befehlsfenster, und führen Sie dann den folgenden Befehl aus:
$fscred = get-credential
. Geben Sie die Anmeldeinformationen für das Domänenbenutzerkonto, die Sie für das Verbunddienstkonto verwenden möchten, im Format „Domäne\Benutzername“ ein.Vergewissern Sie sich, dass auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das erforderliche SSL-Zertifikat in das Verzeichnis Lokaler Computer\My Store importiert wurde. Um zu überprüfen, ob das SSL-Zertifikat importiert wurde, können Sie den folgenden Befehl im Windows PowerShell-Befehlsfenster ausführen:
dir Cert:\LocalMachine\My
. Das Zertifikat ist mit seinem Fingerabdruck unter im Verzeichnis Lokaler Computer\My Store aufgeführt.Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus.
Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
Hinweis
Wenn Sie diesen Befehl NICHT zum ersten Mal ausführen, fügen Sie den Parameter
OverwriteConfiguration
hinzu.Hinweis
Durch den vorherigen Befehl wird ein WID-Farmknoten erstellt. Wenn Sie einen Serverfarmknoten mit Computern erstellen möchten, auf denen SQL Server ausgeführt wird, muss die Instanz von SQL Server bereits installiert und betriebsbereit sein. Sie können den folgenden Befehl verwenden, um einen Verbundserver zu einer vorhandenen Farm hinzuzufügen, indem Sie eine Instanz von SQL Server verwenden:
Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
, wobei SQL_Host_Name der Name des Servers ist, auf dem die Instanz von SQL Server ausgeführt wird, und SQL_instance_name der Name der Instanz von SQL Server. Wenn Sie die Standardinstanz von SQL Server verwenden, verwenden Sie den SQLConnectionString-Wert „Data Source=<SQL_Host_Name>;Integrated Security=True“.Wichtig
Wenn Sie eine AD FS-Farm erstellen und Ihre Konfigurationsdaten mithilfe von SQL Server speichern möchten, können Sie SQL Server 2008 und höhere Versionen, einschließlich SQL Server 2012 und SQL Server 2014, verwenden.
Weitere Informationen
Bereitstellungshandbuch für AD FS unter Windows Server 2012 R2