Vorbereiten der Netzwerkinfrastruktur für Verbundserver

Gilt für: Azure, Office 365, Power BI, Windows Intune

Die folgende Checkliste enthält die Vorbereitungsaufgaben, die Sie ausführen müssen, um eine Verbundserverfarm bereitzustellen.

Anmerkung

• Führen Sie die Aufgaben in diesen Checklisten in der angegebenen Reihenfolge aus. Wenn Ein Verweislink Sie zu einer Prozedur führt, kehren Sie zu diesem Thema zurück, nachdem Sie die Schritte in dieser Prozedur ausgeführt haben, damit Sie mit den verbleibenden Aufgaben in dieser Checkliste fortfahren können.
  
  
• Sofern nicht anders angegeben, müssen Sie zum Ausführen aller Aufgaben, die die Verfahren in diesem Abschnitt verwenden, zuerst als Mitglied der Gruppe "Administratoren" bei den Computern angemeldet sein oder gleichwertige Berechtigungen delegiert wurden.
  
  

: Vorbereiten der Netzwerkinfrastruktur für Verbundserver

Bereitstellungsaufgabe	Links zu Themen in diesem Abschnitt	Abgeschlossen
1. Verbinden Sie die Computer, die zu Verbundservern werden, zu einer Domäne, in der Active Directory-Benutzer authentifiziert werden. Anmerkung Sie können diesen Schritt ignorieren, wenn Sie vorhandene Domänencontroller als Verbundserver verwenden.
2. Erstellen und konfigurieren Sie einen neuen NLB-Cluster-DNS-Namen, oder verwenden Sie einen vorhandenen NLB-Cluster im Unternehmensnetzwerk, der von der neuen Verbundserverfarm verwendet wird. Fügen Sie dann die Verbundservercomputer zum NLB-Cluster hinzu. Wenn Sie die Windows Server-Technologie für Ihre aktuellen NLB-Hosts verwenden, wählen Sie basierend auf Ihrer Betriebssystemversion den entsprechenden Link zu der rechten Seite aus. Anmerkung Dieser Schritt ist optional in einer Testbereitstellung dieser SSO-Lösung mit einem einzelnen AD FS-Verbundserver.	Informationen zum Erstellen und Konfigurieren von NLB-Clustern unter Windows Server 2003 und Windows Server 2003 R2 finden Sie unter Prüfliste: Aktivieren und Konfigurieren des Netzwerklastenausgleichs. Informationen zum Erstellen und Konfigurieren von NLB-Clustern unter Windows Server 2008 finden Sie unter Erstellen von Netzwerklastenausgleichsclustern. Informationen zum Erstellen und Konfigurieren von NLB-Clustern unter Windows Server 2008 R2 finden Sie unter Erstellen von Netzwerklastenausgleichsclustern.
3. Erstellen Sie einen neuen Ressourceneintrag für den Cluster-DNS-Namen im Unternehmensnetzwerk, der den FQDN-Namen des NLB-Clusters auf seine Cluster-IP-Adresse verweist.	Hinzufügen eines Ressourceneintrags zum Unternehmens-DNS für den Cluster-DNS-Namen, der auf dem UNTERNEHMENS-NLB-Host konfiguriert ist
4. Importieren Sie das Serverauthentifizierungszertifikat für jeden Verbundserver in der Farm in die Standardwebsite. Anmerkung Die Installation dieses Zertifikats auf der Standardwebsite ist eine Anforderung, bevor Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden können.	Importieren eines Serverauthentifizierungszertifikats in die Standardwebsite-
5. Erstellen und konfigurieren Sie ein dediziertes Dienstkonto in Active Directory, in dem sich die Verbundserverfarm befindet, und konfigurieren Sie jeden Verbundserver in der Farm für die Verwendung dieses Kontos.	manuelles Konfigurieren eines Dienstkontos für eine Verbundserverfarm

Hinzufügen des Computers zu einer Domäne

Damit AD FS funktioniert, muss jeder Computer, der als Verbundserver fungiert, einer Domäne beigetreten sein. Verbundserverproxys können einer Domäne beigetreten sein, es ist jedoch keine Anforderung.

Wenn Sie AD FS in Windows Server 2012 R2 verwenden möchten, muss Ihre Active Directory-Domäne eine der folgenden Aktionen ausführen:

• Windows Server

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

So verbinden Sie den Computer mit einer Domäne

1. Klicken Sie auf dem Computer, dem Sie einer Domäne beitreten möchten, auf Start-, klicken Sie auf Systemsteuerung, und doppelklicken Sie dann auf System-.

2. Klicken Sie unter Computernamen, Domäne und Arbeitsgruppeneinstellungenauf Einstellungen ändern.

3. Klicken Sie auf der Registerkarte Computername auf Ändern.

4. Klicken Sie unter Mitglied vonauf Domäne, geben Sie den Namen der Domäne ein, der dieser Computer beitritt, und klicken Sie dann auf OK.

5. Klicken Sie auf OK, und starten Sie den Computer neu.

Hinzufügen eines Ressourceneintrags zum Unternehmens-DNS für den Cluster-DNS-Namen, der auf dem Unternehmens-NLB-Host konfiguriert ist

Damit Clients im Unternehmensnetzwerk erfolgreich auf den Verbunddienst zugreifen können, muss zunächst ein Hostressourceneintrag (A) im Unternehmensdomänennamensystem (DNS) erstellt werden, mit dem der Cluster-DNS-Name des Verbunddiensts (z. B. fs.fabrikam.com) in die Cluster-IP-Adresse im Unternehmensnetzwerk aufgelöst wird (z. B. 172.16.1.3). Sie können das folgende Verfahren verwenden, um dem Unternehmens-DNS für den NLB-Cluster einen Hostressourceneintrag (A) hinzuzufügen.

So fügen Sie dem Unternehmens-DNS einen Ressourceneintrag für den Cluster-DNS-Namen hinzu, der auf dem Unternehmens-NLB-Host konfiguriert ist

1. Öffnen Sie auf einem DNS-Server für das Unternehmensnetzwerk das DNS-Snap-In.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die entsprechende Forward-Lookupzone (z. B. fabrikam.com), und klicken Sie dannauf Neuen Host (A oder AAAA).

3. Geben Sie in Namenur den Computernamen des Verbundservers oder Verbundserverclusters ein. Geben Sie z. B. für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) fs.fabrikam.com fsein.

4. Geben Sie in IP-Adressedie IP-Adresse für den Verbundserver oder Verbundservercluster ein; Beispiel: 172.16.1.3.

5. Klicken Sie auf Host-hinzufügen.

   Wichtig

   Es wird davon ausgegangen, dass Sie einen DNS-Server verwenden, auf dem Windows 2000 Server, Windows Server 2003 oder Windows Server 2008 mit dem DNS-Serverdienst ausgeführt werden, um die DNS-Zone zu steuern.

Importieren eines Serverauthentifizierungszertifikats in die Standardwebsite

Nachdem Sie ein Serverauthentifizierungszertifikat von einer Zertifizierungsstelle (Ca) erhalten haben, müssen Sie dieses Zertifikat manuell auf der Standardwebsite für jeden Verbundserver in Ihrer Farm installieren.

Da dieses Zertifikat von Clients von AD FS- und Microsoft-Clouddiensten als vertrauenswürdig eingestuft werden muss, verwenden Sie ein SSL-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (Drittanbieter) oder von einer Zertifizierungsstelle ausgestellt wird, die einem öffentlich vertrauenswürdigen Stamm untergeordnet ist; z. B. VeriSign oder Thawte. Informationen zum Installieren eines Zertifikats von einer öffentlichen Zertifizierungsstelle finden Sie unter IIS 7.0: Anfordern eines Internetserverzertifikats.

Anmerkung

Der Antragstellername dieses Serverauthentifizierungszertifikats muss dem FQDN des Cluster-DNS-Namens (z. B. fs.fabrikam.com) entsprechen, den Sie zuvor auf dem NLB-Host erstellt haben. Wenn Internetinformationsdienste (Internet Information Services, IIS) nicht installiert wurden, müssen Sie IIS zuerst installieren, um diese Aufgabe abzuschließen. Beim erstmaligen Installieren von IIS wird empfohlen, die Standardfeatureoptionen zu verwenden, wenn Sie während der Installation der Serverrolle dazu aufgefordert werden.

So importieren Sie ein Serverauthentifizierungszertifikat in die Standardwebsite

1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltungstools, und klicken Sie dann auf Internetinformationsdienste-Manager (IIS).

2. Klicken Sie in der Konsolenstruktur auf ComputerName.

3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.

4. Klicken Sie im Bereich Aktionen auf Importieren.

5. Klicken Sie im Dialogfeld Zertifikat importieren auf die Schaltfläche ....

6. Navigieren Sie zum Speicherort der PFX-Zertifikatdatei, markieren Sie sie, und klicken Sie dann auf Öffnen.

7. Geben Sie ein Kennwort für das Zertifikat ein, und klicken Sie dann auf OK.

Erstellen eines dedizierten Dienstkontos für die Verbundserverfarm

Um eine Verbundserverfarmumgebung in AD FS zu konfigurieren, müssen Sie ein dediziertes Dienstkonto in Active Directory erstellen und konfigurieren, in dem sich die Farm befindet. Dieses dedizierte Dienstkonto ist erforderlich, um sicherzustellen, dass allen Ressourcen, die von der AD FS-Farm benötigt werden, Zugriff auf die einzelnen Verbundserver in der Farm gewährt werden.

Anschließend konfigurieren Sie jeden Verbundserver in der Farm so, dass dieses Dienstkonto verwendet wird. Wenn z. B. das erstellte Dienstkonto "fabrikam\ADFS2SVC" lautete, muss jeder Computer, den Sie für die Verbundserverrolle konfigurieren und an derselben Farm teilnehmen, fabrikam\ADFS2SVC in diesem Schritt im Verbundserverkonfigurations-Assistenten angeben, damit die Farm betriebsbereit ist.

Anmerkung

Sie müssen die Aufgaben in diesem Verfahren nur einmal für die gesamte Verbundserverfarm ausführen. Wenn Sie später einen Verbundserver mithilfe des AD FS-Verbundserverkonfigurations-Assistenten erstellen, müssen Sie dieses Konto auf der Seite Dienstkonto Assistenten auf jedem Verbundserver in der Farm angeben.

So erstellen Sie ein dediziertes Dienstkonto für die Verbundserverfarm

1. Erstellen Sie ein dediziertes Benutzer-/Dienstkonto in der Active Directory-Gesamtstruktur, die Sie in Ihrer Organisation verwenden werden.

2. Bearbeiten Sie die Benutzerkontoeigenschaften, und aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab,. Durch diese Aktion wird sichergestellt, dass die Funktion dieses Dienstkontos aufgrund von Anforderungen zur Änderung des Domänenkennworts nicht unterbrochen wird.

   Anmerkung

   • Wenn Sie Ihr Kennwort für das Dienstkonto regelmäßig ändern müssen, lesen Sie Konfigurieren erweiterter Optionen für AD FS 2.0.
     
     
   • Die Verwendung des Netzwerkdienstkontos für dieses dedizierte Konto führt zu zufälligen Fehlern, wenn der Zugriff über die integrierte Windows-Authentifizierung versucht wird, da Kerberos-Tickets nicht von einem Server zu einem anderen überprüft werden.
     
     

Nächster Schritt

Nachdem Sie nun die Anforderungen für die Bereitstellung von AD FS überprüft haben, besteht der nächste Schritt darin, die Aufgaben in einer der folgenden Checklisten auszuführen, je nachdem, welche Version von AD FS Sie verwenden möchten:

• Prüfliste: Bereitstellen der Verbundserverfarm unter Windows Server 2012 R2

• Prüfliste für : Bereitstellen der Verbundserverfarm in älteren Versionen von Windows Server

Siehe auch

Konzepte

Checkliste: Verwenden von AD FS zum Implementieren und Verwalten von einmaligem Anmelden