Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Prüfliste enthält die Bereitstellungsaufgaben, die zum Vorbereiten eines Servers mit Windows Server® 2012 für die Verbundserverrolle in Active Directory-Verbunddiensten (AD FS) erforderlich sind.
Hinweis
Führen Sie die Aufgaben in dieser Checkliste in der reihenfolge aus. Wenn Ein Verweislink Sie zu einer Prozedur führt, kehren Sie zu diesem Thema zurück, nachdem Sie die Schritte in dieser Prozedur ausgeführt haben, damit Sie mit den verbleibenden Aufgaben in dieser Checkliste fortfahren können.
Prüfliste: Einrichten eines Verbundservers
Aufgabe | Referenz |
---|---|
Bevor Sie mit der Bereitstellung Ihrer AD FS-Verbundserver beginnen, überprüfen Sie folgendes: 1.) Vor- und Nachteile der Auswahl von Windows Internal Database (WID) oder SQL Server zum Speichern der AD FS-Konfigurationsdatenbank 2.) AD FS-Bereitstellungstopologietypen und die zugehörigen Empfehlungen für die Serverplatzierung und das Netzwerklayout. |
![]() |
Überprüfen Sie die Ad FS-Kapazitätsplanungsanleitung, um die richtige Anzahl von Verbundservern zu ermitteln, die Sie in Ihrer Produktionsumgebung verwenden sollten. |
![]() |
Informationen zum Platzieren von Verbundservern in Ihrer Organisation finden Sie im AD FS-Entwurfshandbuch |
![]() |
Ermitteln Sie, ob ein eigenständiger Verbundserver oder eine Verbundserverfarm für Ihre Bereitstellung besser geeignet ist. |
![]() |
Bestimmen Sie, ob dieser neue Verbundserver in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation erstellt wird. |
![]()
|
Überprüfen Sie, wie Verbundserver Dienstkommunikationszertifikate und Tokensignaturzertifikate verwenden, um Client- und Verbundserverproxyanforderungen sicher zu authentifizieren. Vorsicht: Obwohl es seit langem üblich ist, Zertifikate mit nicht qualifizierten Hostnamen zu verwenden, z https://myserver. B. haben diese Zertifikate keinen Sicherheitswert und können es einem Angreifer ermöglichen, die Identität des AD FS-Verbunddiensts für Unternehmensclients zu imitieren. Daher wird empfohlen, einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) wie https://myserver.contoso.com zu verwenden und ausschließlich SSL-Zertifikate zu nutzen, die für den FQDN Ihres Verbunddiensts ausgestellt wurden. |
![]() |
Lesen Sie Informationen darüber, wie das Domain Name System (DNS) des Unternehmensnetzwerks aktualisiert werden kann, sodass eine erfolgreiche Namensauflösung für Verbundserver erfolgen kann. |
![]() |
Verbinden Sie den Computer, der zum Verbundserver werden soll, mit einer Domäne in der Kontopartner-Gesamtstruktur oder Ressourcenpartner-Gesamtstruktur, in der er verwendet wird, um die Benutzer dieser Gesamtstruktur oder aus vertrauenswürdigen Gesamtstrukturen zu authentifizieren. Hinweis: Wenn Sie einen Verbundserver in der Kontopartnerorganisation einrichten möchten, muss der Computer zuerst in jede Domäne der Gesamtstruktur eingebunden werden, in der Benutzende aus dieser Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen über Ihren Verbundserver authentifiziert werden sollen. |
![]() |
Erstellen Sie einen neuen Ressourceneintrag im Unternehmensnetzwerk-DNS, der den DNS-Hostnamen des Verbundservers auf die IP-Adresse des Verbundservers verweist. |
![]() |
(Optional) Wenn Sie einer Verbundserverfarm einen Verbundserver hinzufügen, müssen Sie möglicherweise zuerst den privaten Schlüssel des vorhandenen Tokensignaturzertifikats (auf dem ersten Verbundserver in der Farm) exportieren, damit Sie über ein Dateiformat des Zertifikats verfügen, wenn andere Verbundserver dasselbe Zertifikat importieren müssen. Das Exportieren des privaten Schlüssels ist nicht erforderlich, wenn Ihr ausgestelltes Serverauthentifizierungszertifikat von mehreren Computern (ohne Export) wiederverwendet werden kann oder wenn Sie eindeutige Serverauthentifizierungszertifikate für jeden Verbundserver in der Farm abrufen. Anmerkung: Das AD FS-Verwaltungs-Snap-In bezieht sich auf Serverauthentifizierungszertifikate für Verbundserver als Dienstkommunikationszertifikate. |
![]() |
Nachdem Sie ein Serverauthentifizierungszertifikat (oder einen privaten Schlüssel) von einer Zertifizierungsstelle (CA) erhalten haben, müssen Sie die Zertifikatdatei dann für jeden Verbundserver in die Standardwebsite importieren. Anmerkung: Die Installation dieses Zertifikats auf der Standardwebsite ist eine Anforderung, bevor Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden können. |
![]() |
(Optional) Alternativ zum Abrufen eines Serverauthentifizierungszertifikats von einer Zertifizierungsstelle können Sie Internetinformationsdienste (Internet Information Services, IIS) verwenden, um ein Beispielzertifikat für Ihren Verbundserver zu erstellen. Vorsicht: Es ist keine bewährte Methode für die Sicherheit, einen Verbundserver in einer Produktionsumgebung mithilfe eines selbstsignierten Serverauthentifizierungszertifikats bereitzustellen. |
![]() |
Wenn Sie eine Verbundserverfarmumgebung in einer Kontopartnerorganisation konfigurieren, müssen Sie ein dediziertes Dienstkonto in Active Directory Domain Services (AD DS) erstellen und konfigurieren, in dem sich die Farm befindet und jeden Verbundserver in der Farm für die Verwendung dieses Kontos konfiguriert. Durch das Ausführen dieses Verfahrens ermöglichen Sie Clients im Unternehmensnetzwerk, sich mithilfe der Windows-Integrierten Authentifizierung bei einem der Verbundserver in der Farm zu authentifizieren. |
![]() |
Installieren Sie den Verbunddienstrollendienst auf dem Computer, der zum Verbundserver wird. |
![]() |
Konfigurieren Sie die AD FS-Software auf dem Computer so, dass sie mithilfe des AD FS-Verbundserverkonfigurations-Assistenten in der Verbundserverrolle ausgeführt wird. Führen Sie dieses Verfahren aus, wenn Sie einen eigenständigen Verbundserver einrichten möchten, den ersten Verbundserver in einer neuen Farm erstellen oder einem Computer eine vorhandene Verbundserverfarm hinzufügen möchten. Anmerkung: Für das Federated Web Single Sign-On-Design müssen Sie mindestens einen Verbundserver in der Kontopartnerorganisation und mindestens einen Verbundserver in der Ressourcenpartnerorganisation haben. |
![]()
|
(Optional) Verwenden Sie das AD FS-Verwaltungs-Snap-In, um die erforderlichen AD FS-Zertifikate hinzuzufügen und zu konfigurieren, die zum Bereitstellen Ihres Designs erforderlich sind. Weitere Informationen zum Hinzufügen oder Ändern von Zertifikaten mithilfe des Snap-Ins finden Sie unter Zertifikatanforderungen für Verbundserver. |
![]() |
Wenn dies der erste Verbundserver in Ihrer Organisation ist, konfigurieren Sie den Verbunddienst so, dass er Ihrem AD FS-Entwurf entspricht. |
![]() |
Überprüfen Sie auf einem Clientcomputer, ob der Verbundserver betriebsbereit ist. |
![]() |