Freigeben über


Prüfliste: Einrichten eines Verbundservers

Diese Prüfliste enthält die Bereitstellungsaufgaben, die zum Vorbereiten eines Servers mit Windows Server® 2012 für die Verbundserverrolle in Active Directory-Verbunddiensten (AD FS) erforderlich sind.

Hinweis

Führen Sie die Aufgaben in dieser Checkliste in der reihenfolge aus. Wenn Ein Verweislink Sie zu einer Prozedur führt, kehren Sie zu diesem Thema zurück, nachdem Sie die Schritte in dieser Prozedur ausgeführt haben, damit Sie mit den verbleibenden Aufgaben in dieser Checkliste fortfahren können.

Symbol für das Einrichten einer Verbundserver-Prüfliste. Prüfliste: Einrichten eines Verbundservers

Aufgabe Referenz
Bevor Sie mit der Bereitstellung Ihrer AD FS-Verbundserver beginnen, überprüfen Sie folgendes: 1.) Vor- und Nachteile der Auswahl von Windows Internal Database (WID) oder SQL Server zum Speichern der AD FS-Konfigurationsdatenbank 2.) AD FS-Bereitstellungstopologietypen und die zugehörigen Empfehlungen für die Serverplatzierung und das Netzwerklayout. Symbol für den Link Ermitteln der AD FS-Bereitstellungstopologie

Symbol für den Link zu AD FS-Bereitstellungstopologieüberlegungen, den Sie zum Einrichten eines Verbundservers verwenden können. Überlegungen zur AD FS-Bereitstellungstopologie

Überprüfen Sie die Ad FS-Kapazitätsplanungsanleitung, um die richtige Anzahl von Verbundservern zu ermitteln, die Sie in Ihrer Produktionsumgebung verwenden sollten. Symbol für den Link Planen der Verbundserverkapazität
Informationen zum Platzieren von Verbundservern in Ihrer Organisation finden Sie im AD FS-Entwurfshandbuch Symbol für den Link Planen der Verbundserverplatzierung

Symbol für den Speicherort eines Verbundserverlinks, den Sie zum Einrichten eines Verbundservers verwenden können. Speicherort eines Verbundservers

Ermitteln Sie, ob ein eigenständiger Verbundserver oder eine Verbundserverfarm für Ihre Bereitstellung besser geeignet ist. Symbol für den Link Wann einen Verbundserver erstellen

Symbol für den Link zum Erstellen einer Verbundserverfarm, den Sie zum Einrichten eines Verbundservers verwenden können. Wann eine Verbundserverfarm erstellt werden soll

Bestimmen Sie, ob dieser neue Verbundserver in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation erstellt wird. Symbol für die Überprüfung der Rolle des Verbundservers im Kontopartner-Link, den Sie zur Einrichtung eines Verbundservers verwenden können. Überprüfung der Rolle des Verbundservers im Kontopartner

Symbol für die Rolle des Verbundservers im Link Überprüfen der Rolle des Verbundservers im Ressourcenpartner

Überprüfen Sie, wie Verbundserver Dienstkommunikationszertifikate und Tokensignaturzertifikate verwenden, um Client- und Verbundserverproxyanforderungen sicher zu authentifizieren. Vorsicht: Obwohl es seit langem üblich ist, Zertifikate mit nicht qualifizierten Hostnamen zu verwenden, z https://myserver. B. haben diese Zertifikate keinen Sicherheitswert und können es einem Angreifer ermöglichen, die Identität des AD FS-Verbunddiensts für Unternehmensclients zu imitieren. Daher wird empfohlen, einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) wie https://myserver.contoso.com zu verwenden und ausschließlich SSL-Zertifikate zu nutzen, die für den FQDN Ihres Verbunddiensts ausgestellt wurden. Symbol für den Link Zertifikatanforderungen für Verbundserver
Lesen Sie Informationen darüber, wie das Domain Name System (DNS) des Unternehmensnetzwerks aktualisiert werden kann, sodass eine erfolgreiche Namensauflösung für Verbundserver erfolgen kann. Symbol für die Namensauflösungsanforderungen für Verbundserver, das Sie als Referenz beim Einrichten eines Verbundservers verwenden können. Namensauflösungsanforderungen für Verbundserver
Verbinden Sie den Computer, der zum Verbundserver werden soll, mit einer Domäne in der Kontopartner-Gesamtstruktur oder Ressourcenpartner-Gesamtstruktur, in der er verwendet wird, um die Benutzer dieser Gesamtstruktur oder aus vertrauenswürdigen Gesamtstrukturen zu authentifizieren. Hinweis: Wenn Sie einen Verbundserver in der Kontopartnerorganisation einrichten möchten, muss der Computer zuerst in jede Domäne der Gesamtstruktur eingebunden werden, in der Benutzende aus dieser Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen über Ihren Verbundserver authentifiziert werden sollen. Symbol für den Link 'Computer zu einer Domäne hinzufügen', den Sie im Zusammenhang mit der Einrichtung eines Verbundservers verwenden können. Hinzufügen eines Computers zu einer Domäne
Erstellen Sie einen neuen Ressourceneintrag im Unternehmensnetzwerk-DNS, der den DNS-Hostnamen des Verbundservers auf die IP-Adresse des Verbundservers verweist. Symbol für den Link „Hinzufügen eines Hostressourceneintrags (A) zum Unternehmens-DNS für einen Verbundserver“, den Sie zum Einrichten eines Verbundservers verwenden können. Hinzufügen eines Hostressourceneintrags (A) zum Unternehmens-DNS für einen Verbundserver
(Optional) Wenn Sie einer Verbundserverfarm einen Verbundserver hinzufügen, müssen Sie möglicherweise zuerst den privaten Schlüssel des vorhandenen Tokensignaturzertifikats (auf dem ersten Verbundserver in der Farm) exportieren, damit Sie über ein Dateiformat des Zertifikats verfügen, wenn andere Verbundserver dasselbe Zertifikat importieren müssen.

Das Exportieren des privaten Schlüssels ist nicht erforderlich, wenn Ihr ausgestelltes Serverauthentifizierungszertifikat von mehreren Computern (ohne Export) wiederverwendet werden kann oder wenn Sie eindeutige Serverauthentifizierungszertifikate für jeden Verbundserver in der Farm abrufen. Anmerkung: Das AD FS-Verwaltungs-Snap-In bezieht sich auf Serverauthentifizierungszertifikate für Verbundserver als Dienstkommunikationszertifikate.

Symbol für den Export des Privaten Schlüsselteils eines Serverauthentifizierungszertifikatslinks, den Sie zum Einrichten eines Verbundservers verwenden können. Exportieren des Privaten Schlüsselteils eines Serverauthentifizierungszertifikats
Nachdem Sie ein Serverauthentifizierungszertifikat (oder einen privaten Schlüssel) von einer Zertifizierungsstelle (CA) erhalten haben, müssen Sie die Zertifikatdatei dann für jeden Verbundserver in die Standardwebsite importieren. Anmerkung: Die Installation dieses Zertifikats auf der Standardwebsite ist eine Anforderung, bevor Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden können. Symbol für den Import eines Serverauthentifizierungszertifikats in den Standardwebsitelink, den Sie zum Einrichten eines Verbundservers verwenden können. Importieren eines Serverauthentifizierungszertifikats in die Standardwebsite
(Optional) Alternativ zum Abrufen eines Serverauthentifizierungszertifikats von einer Zertifizierungsstelle können Sie Internetinformationsdienste (Internet Information Services, IIS) verwenden, um ein Beispielzertifikat für Ihren Verbundserver zu erstellen. Vorsicht: Es ist keine bewährte Methode für die Sicherheit, einen Verbundserver in einer Produktionsumgebung mithilfe eines selbstsignierten Serverauthentifizierungszertifikats bereitzustellen. Symbol für IIS: Erstellen Sie einen Self-Signed Serverzertifikatlink, den Sie zum Einrichten eines Verbundservers verwenden können. IIS: Erstellen Sie ein Self-Signed Serverzertifikat , und führen Sie dann das Verfahren zum Importieren eines Serverauthentifizierungszertifikats in die Standardwebsite aus.
Wenn Sie eine Verbundserverfarmumgebung in einer Kontopartnerorganisation konfigurieren, müssen Sie ein dediziertes Dienstkonto in Active Directory Domain Services (AD DS) erstellen und konfigurieren, in dem sich die Farm befindet und jeden Verbundserver in der Farm für die Verwendung dieses Kontos konfiguriert. Durch das Ausführen dieses Verfahrens ermöglichen Sie Clients im Unternehmensnetzwerk, sich mithilfe der Windows-Integrierten Authentifizierung bei einem der Verbundserver in der Farm zu authentifizieren. Symbol für den Link Manuelles Konfigurieren eines Dienstkontos für eine Verbundserverfarm
Installieren Sie den Verbunddienstrollendienst auf dem Computer, der zum Verbundserver wird. Symbol für den Link Installieren des Verbunddienstrollendiensts
Konfigurieren Sie die AD FS-Software auf dem Computer so, dass sie mithilfe des AD FS-Verbundserverkonfigurations-Assistenten in der Verbundserverrolle ausgeführt wird.

Führen Sie dieses Verfahren aus, wenn Sie einen eigenständigen Verbundserver einrichten möchten, den ersten Verbundserver in einer neuen Farm erstellen oder einem Computer eine vorhandene Verbundserverfarm hinzufügen möchten. Anmerkung: Für das Federated Web Single Sign-On-Design müssen Sie mindestens einen Verbundserver in der Kontopartnerorganisation und mindestens einen Verbundserver in der Ressourcenpartnerorganisation haben.

Symbol für den Link zum Erstellen eines Stand-Alone Verbundservers, den Sie zum Einrichten eines Verbundservers verwenden können. Erstellen eines Stand-Alone Verbundservers

Symbol für das Erstellen des ersten Verbundservers in einer Verbundserverfarmverknüpfung, die Sie zum Einrichten eines Verbundservers verwenden können. Erstellen des ersten Verbundservers in einer Verbundserverfarm

Symbol für das Hinzufügen eines Verbundservers zu einer Verbundserverfarmverknüpfung, die Sie zum Einrichten eines Verbundservers verwenden können. Hinzufügen eines Verbundservers zu einer Verbundserverfarm

(Optional) Verwenden Sie das AD FS-Verwaltungs-Snap-In, um die erforderlichen AD FS-Zertifikate hinzuzufügen und zu konfigurieren, die zum Bereitstellen Ihres Designs erforderlich sind. Weitere Informationen zum Hinzufügen oder Ändern von Zertifikaten mithilfe des Snap-Ins finden Sie unter Zertifikatanforderungen für Verbundserver. Symbol für den Link Hinzufügen eines Token-Signing Zertifikats

Symbol für den Link Hinzufügen eines Token-Decrypting Zertifikats

Symbol für den Link Festlegen eines Dienstkommunikationszertifikats

Wenn dies der erste Verbundserver in Ihrer Organisation ist, konfigurieren Sie den Verbunddienst so, dass er Ihrem AD FS-Entwurf entspricht. Symbol für die Checkliste: Konfigurieren des Links Prüfliste: Konfigurieren der Kontopartnerorganisation

Symbol für die Checkliste: Konfigurieren des Links Prüfliste: Konfigurieren der Ressourcenpartnerorganisation

Überprüfen Sie auf einem Clientcomputer, ob der Verbundserver betriebsbereit ist. Einrichten eines Verbundservers überprüfen, ob ein Verbundserver betriebsbereit ist