Erstellen eines eigenständigen Verbundservers

  • Artikel

Nachdem Sie den Rollendienst des Verbunddiensts installiert und die erforderlichen Zertifikate auf einem Computer konfiguriert haben, können Sie den Computer als Verbundserver konfigurieren. Sie können das folgende Verfahren verwenden, um den Computer so einzurichten, dass er als eigenständiger Verbundserver agiert. Beim Erstellen eines eigenständigen Verbundservers wird auch ein neuer Verbunddienst erstellt. Sie erstellen einen Verbundserver mit dem Assistenten für die Konfigurieren eines AD FS-Verbundservers.

Hinweis

Für den Federated-Web-SSO-Entwurf (Single Sign-On) benötigen Sie mindestens einen Verbundserver in der Kontopartnerorganisation und mindestens einen Verbundserver in der Ressourcenpartnerorganisation. Weitere Informationen finden Sie unter Platzierung eines Verbundservers.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen. (http://go.microsoft.com/fwlink/?LinkId=83477).

So erstellen Sie einen eigenständigen Verbundserver

  1. Es gibt zwei Möglichkeiten, den AD FS-Assistenten für die Konfiguration des Verbundservers zu starten. Führen Sie zum Starten des Assistenten eine der folgenden Aktionen aus:

    • Nachdem die Installation der Rolle Verbunddienst abgeschlossen ist, öffnen Sie das AD FS-Verwaltungs-Snap-In, und klicken Sie dann auf der Seite Übersicht oder im Bereich Aktionen auf den Link AD FS-Assistent für die Konfiguration des Verbundservers.

    • Zu einem beliebigen Zeitpunkt nach Beendigung des Setup-Assistenten öffnen Sie Windows Explorer, navigieren Sie zum Ordner C:\Windows\ADFS, und doppelklicken Sie dann auf FsConfigWizard.exe.

  2. Vergewissern Sie sich auf der Willkommen-Seite, dass Neuen Verbunddienst erstellen ausgewählt ist, und klicken Sie dann auf Weiter.

  3. Klicken Sie auf der Seite Eigenständige oder Farmbereitstellung auswählen auf Neue Verbundserverfarm und dann auf Weiter.

    Wichtig

    Wenn Sie die Option Eigenständiger Verbundserver im Assistenten für die Konfiguration von AD FS-Verbundservern auswählen, wird das Dienstkonto, das diesem Verbundserver zugeordnet ist, automatisch dem NETZWERKDIENST-Konto zugewiesen. Die Verwendung von NETZWERKDIENST als Dienstkonto wird nur in Situationen empfohlen, in denen Sie AD FS in einer Testlaborumgebung bewerten. Wenn Sie die Option für den eigenständigen Verbundserver verwenden möchten, um einen Verbundserver in einer Produktionsumgebung bereitzustellen, ist es wichtig, dass Sie dieses Dienstkonto in ein geeignetes Dienstkonto ändern, das für die Bereitstellung von Anforderungen für diesen neuen Verbunddienst festgelegt werden kann. Das Ändern des Dienstkontos in ein anderes Konto als NETZWERKDIENST verringert mögliche Angriffsvektoren, die andernfalls Ihren Verbundserver anfällig für böswillige Angriffe machen würden.

  4. Vergewissern Sie sich auf der Seite Name des Verbunddiensts angeben, dass das angezeigte SSL-Zertifikat richtig ist. Wählen Sie andernfalls aus der Liste SSL-Zertifikat das geeignete Zertifikat aus.

    Dieses Zertifikat wird von den Secure Sockets Layer (SSL)-Einstellungen für die Standardwebsite generiert. Wenn für die Standardwebsite nur ein SSL-Zertifikat konfiguriert ist, wird dieses Zertifikat angezeigt und automatisch zur Verwendung ausgewählt. Wenn mehrere SSL-Zertifikate für die Standardwebsite konfiguriert sind, werden alle diese Zertifikate hier aufgelistet, und Sie müssen eins daraus auswählen. Wemm für die Standardwebsite keine SSL-Einstellungen konfiguriert sind, wird die Liste aus den Zertifikaten generiert, die im persönlichen Zertifikatspeicher auf dem lokalen Computer vorhanden sind.

    Hinweis

    Der Assistent lässt nicht zu, dass Sie das Zertifikat außer Kraft setzen, wenn für IIS ein SSL-Zertifikat konfiguriert ist. Damit wird sichergestellt, dass eine frühere vorgesehene IIS-Konfiguration für SSL-Zertifikate beibehalten wird. Sie können diese Einschränkung umgehen, indem Sie das Zertifikat entfernen oder manuell mit der IIS-Verwaltungskonsole neu konfigurieren.

  5. Wenn die AD FS-Datenbank, die Sie ausgewählt haben, bereits vorhanden ist, wird die Seite Vorhandene AD FS-Konfigurationsdatenbank ermittelt angezeigt. In diesem Fall klicken Sie auf Datenbank löschen, und klicken Sie dann auf Weiter.

    Achtung

    Wählen Sie diese Option nur aus, wenn Sie sicher sind, dass die Daten in dieser AD FS-Datenbank unwichtig sind bzw. nicht in einer Produktions-Verbundserverfarm verwendet werden.

  6. Überprüfen Sie auf der Seite Bereit zum Übernehmen der Einstellungen die Details. Wenn die Einstellungen richtig sind, klicken Sie auf Weiter, um AD FS mit diesen Einstellungen zu konfigurieren.

  7. Überprüfen Sie die Ergebnisse auf der Seite Konfigurationsergebnisse. Nachdem alle Konfigurationsschritte abgeschlossen wurden, klicken Sie auf Schließen, um den Assistenten zu beenden.

Weitere Verweise

Prüfliste: Einrichten eines Verbundservers