Erstellen des ersten Verbundservers in einer Verbundserverfarm
Nachdem Sie den Rollendienst des Verbunddiensts installiert und die erforderlichen Zertifikate auf einem Computer konfiguriert haben, können Sie den Computer als Verbundserver konfigurieren. Anhand den folgenden Verfahren können Sie mit dem Assistenten für die Konfiguration eines AD FS-Verbundservers den Computer einrichten, der der erste Verbundserver in einer neuen Verbundserverfarm werden soll.
Bei der Erstellung des ersten Verbundservers in einer Farm wird auch ein neuer Verbunddienst erstellt und dieser Computer als primärer Verbundserver definiert. Das bedeutet, dass dieser Computer mit einer Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank konfiguriert wird. Alle anderen Verbundserver in dieser Farm müssen alle Änderungen, die auf dem primären Verbundserver vorgenommen werden, an ihre schreibgeschützten Kopien der AD FS-Konfigurationsdatenbank replizieren, die lokal auf diesen gespeichert sind. Weitere Informationen zu diesem Replikationsprozess finden Sie unter Die Rolle der AD FS-Konfigurationsdatenbank.
Hinweis
Für den Federated-Web-SSO-Entwurf (Single Sign-On) benötigen Sie mindestens einen Verbundserver in der Kontopartnerorganisation und mindestens einen Verbundserver in der Ressourcenpartnerorganisation. Weitere Informationen finden Sie unter Platzierung eines Verbundservers.
Zum Ausführen dieses Verfahrens müssen Sie mindestens Mitglied in der Gruppe „Domänenadministratoren“ sind oder über ein delegiertes Domänenkonto verfügen, dem Schreibzugriff auf den Programmdatenconteiner Active Directory gewährt wurde.
So erstellen Sie den ersten Verbundserver in einer Verbundserverfarm
Es gibt zwei Möglichkeiten, den AD FS-Assistenten für die Konfiguration des Verbundservers zu starten. Führen Sie zum Starten des Assistenten eine der folgenden Aktionen aus:
Nachdem die Installation der Rolle Verbunddienst abgeschlossen ist, öffnen Sie das AD FS-Verwaltungs-Snap-In, und klicken Sie dann auf der Seite Übersicht oder im Bereich Aktionen auf den Link AD FS-Assistent für die Konfiguration des Verbundservers.
Zu einem beliebigen Zeitpunkt nach Beendigung des Setup-Assistenten öffnen Sie Windows Explorer, navigieren Sie zum Ordner C:\Windows\ADFS, und doppelklicken Sie dann auf FsConfigWizard.exe.
Vergewissern Sie sich auf der Willkommen-Seite, dass Neuen Verbunddienst erstellen ausgewählt ist, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Eigenständige oder Farmbereitstellung auswählen auf Neue Verbundserverfarm, und klicken Sie dann auf Weiter.
Vergewissern Sie sich auf der Seite Name des Verbunddiensts angeben, dass das angezeigte SSL-Zertifikat richtig ist. Ist dieses Zertifikat nicht das richtige Zertifikat, wählen Sie das entsprechende Zertifikat in der Liste SSL-Zertifikat aus.
Dieses Zertifikat wird von den Secure Sockets Layer (SSL)-Einstellungen für die Standardwebsite generiert. Wenn für die Standardwebsite nur ein SSL-Zertifikat konfiguriert ist, wird dieses Zertifikat angezeigt und automatisch zur Verwendung ausgewählt. Wenn mehrere SSL-Zertifikate für die Standardwebsite konfiguriert sind, werden alle diese Zertifikate hier aufgelistet, und Sie müssen eins daraus auswählen. Wemm für die Standardwebsite keine SSL-Einstellungen konfiguriert sind, wird die Liste aus den Zertifikaten generiert, die im persönlichen Zertifikatspeicher auf dem lokalen Computer vorhanden sind.
Hinweis
Der Assistent lässt nicht zu, dass Sie das Zertifikat außer Kraft setzen, wenn für IIS ein SSL-Zertifikat konfiguriert ist. Damit wird sichergestellt, dass eine frühere vorgesehene IIS-Konfiguration für SSL-Zertifikate beibehalten wird. Sie können diese Einschränkung umgehen, indem Sie das Zertifikat entfernen oder manuell mit der IIS-Verwaltungskonsole neu konfigurieren.
Wenn die AD FS-Datenbank, die Sie ausgewählt haben, bereits vorhanden ist, wird die Seite Vorhandene AD FS-Konfigurationsdatenbank ermittelt angezeigt. Wenn diese Seite angezeigt wird, klicken Sie auf Datenbank löschen, und klicken Sie dann auf Weiter.
Achtung
Wählen Sie diese Option nur aus, wenn Sie sicher sind, dass die Daten in dieser AD FS-Datenbank unwichtig sind bzw. nicht in einer Produktions-Verbundserverfarm verwendet werden.
Klicken Sie auf der Seite Dienstkonto angeben auf Durchsuchen. Suchen Sie im Dialogfeld Durchsuchen nach dem Domänenkonto, das in dieser neuer Verbundserverfarm als Dienstkonto verwendet werden soll, und klicken Sie dann auf OK. Geben Sie das Kennwort für dieses Konto ein, bestätigen Sie es, und klicken Sie auf Weiter.
Hinweis
Weitere Informationen zum Angeben eines Dienstkontos für eine Verbundserverfarm finden Sie unter Manuelle Konfiguration eines Dienstkontos für eine Verbundserverfarm. Jeder Verbundserver in der Verbundserverfarm muss das gleiche Dienstkonto angeben, damit die Farm funktioniert. Wenn das erstellte Dienstkonto beispielsweise „contoso\ADFS2SVC“ lautet, muss jeder Computer, den Sie für die Verbundserverrolle konfigurieren und der zur Serverfarm gehören soll, in diesem Schritt des Assistenten zum Konfigurieren von Verbundservern das Konto „contoso\ADFS2SVC“ angeben, damit die Farm funktioniert.
Überprüfen Sie auf der Seite Bereit zum Übernehmen der Einstellungen die Details. Wenn die Einstellungen richtig sind, klicken Sie auf Weiter, um AD FS mit diesen Einstellungen zu konfigurieren.
Überprüfen Sie die Ergebnisse auf der Seite Konfigurationsergebnisse. Nachdem alle Konfigurationsschritte abgeschlossen wurden, klicken Sie auf Schließen, um den Assistenten zu beenden.
Wichtig
Für eine sichere Bereitstellung sind die Artefaktauflösung und Antworterkennung deaktiviert, wenn Sie den Assistenten für die Konfiguration eines AD FS-Verbundservers verwenden, um eine Verbundserverfarm zu konfigurieren. Dieser Assistent konfiguriert automatisch die interne Windows-Datenbank zum Speichern von Dienstkonfigurationsdaten. Möglicherweise machen Sie diese Änderung aber versehentlich rückgängig, indem Sie den Endpunkt für die Artefaktauflösung dadurch aktivieren, dass Sie entweder im Snap-in AD FS-Verwaltung den Knoten Endpunkte oder in Windows PowerShell das Cmdlet Enable-ADFSEndpoint verwenden. Achten Sie sorgfältig darauf, die Standardeinstellung nicht erneut zu konfiguieren, damit dieser Endpunkt deaktiviert bleibt, wenn Sie eine Verbundserverfarm und die interne Windows-Datenbank gemeinsam verwenden.