Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie den Verbunddienstrollendienst installiert und die erforderlichen Zertifikate auf einem Computer konfiguriert haben, können Sie den Computer so konfigurieren, dass er ein Verbundserver wird. Sie können das folgende Verfahren verwenden, um den Computer so einzurichten, dass er der erste Verbundserver in einer neuen Verbundserverfarm wird, indem Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden.
Die Aktion zum Erstellen des ersten Verbundservers in einer Farm erstellt auch einen neuen Verbunddienst und macht diesen Computer zum primären Verbundserver. Dies bedeutet, dass dieser Computer mit einer Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank konfiguriert wird. Alle anderen Verbundserver in dieser Farm müssen alle Änderungen, die auf dem primären Verbundserver vorgenommen werden, in ihre schreibgeschützten Kopien der AD FS-Konfigurationsdatenbank replizieren, die sie lokal speichern. Weitere Informationen zu diesem Replikationsprozess finden Sie in der Rolle der AD FS-Konfigurationsdatenbank.
Hinweis
Für den SSO-Entwurf (Federated Web Single-Sign-On) müssen Sie mindestens einen Verbundserver in der Kontopartnerorganisation und mindestens einen Verbundserver in der Ressourcenpartnerorganisation haben. Weitere Informationen finden Sie unter Wo man einen Föderationsserver platzieren sollte.
Die Mitgliedschaft in Domänenadministratoren oder einem delegierten Domänenkonto, dem Schreibzugriff auf den Container "Programmdaten" in Active Directory gewährt wurde, ist mindestens erforderlich, um dieses Verfahren abzuschließen.
So erstellen Sie den ersten Verbundserver in einer Verbundserverfarm
Es gibt zwei Möglichkeiten, den AD FS-Assistenten für die Konfiguration des Verbundservers zu starten. Führen Sie zum Starten des Assistenten eine der folgenden Aktionen aus:
Öffnen Sie nach Abschluss der Installation des Verbunddienst-Rollendienstes das AD FS-Verwaltungssnap-In, und klicken Sie auf den Link „AD FS-Verbundserverkonfigurations-Assistent“ auf der Seite „Übersicht“ oder im Bereich „Aktionen“.
Öffnen Sie nach Abschluss des Setup-Assistenten den Windows-Explorer, navigieren Sie zum Ordner "C:\Windows\ADFS", und doppelklicken Sie dann auf FsConfigWizard.exe.
Überprüfen Sie auf der Willkommensseite , ob " Neuen Verbunddienst erstellen " ausgewählt ist, und klicken Sie dann auf "Weiter".
Klicken Sie auf der Seite Auswählen einer eigenständigen Bereitstellung oder Farmbereitstellung auf Neue Verbundserverfarm, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite " Verbunddienstname angeben ", ob das angezeigte SSL-Zertifikat korrekt ist. Wenn dies nicht das richtige Zertifikat ist, wählen Sie das entsprechende Zertifikat aus der SSL-Zertifikatliste aus.
Dieses Zertifikat wird aus den SSL-Einstellungen (Secure Sockets Layer) für die Standardwebsite generiert. Wenn die Standardwebsite nur ein SSL-Zertifikat konfiguriert hat, wird dieses Zertifikat angezeigt und automatisch zur Verwendung ausgewählt. Wenn mehrere SSL-Zertifikate für die Standardwebsite konfiguriert sind, werden alle diese Zertifikate hier aufgeführt, und Sie müssen unter ihnen auswählen. Wenn keine SSL-Einstellungen für die Standardwebsite konfiguriert sind, wird die Liste aus den Zertifikaten generiert, die im persönlichen Zertifikatspeicher auf dem lokalen Computer verfügbar sind.
Hinweis
Der Assistent ermöglicht es Ihnen nicht, das Zertifikat außer Kraft zu setzen, wenn ein SSL-Zertifikat für IIS konfiguriert ist. Dadurch wird sichergestellt, dass alle beabsichtigten früheren IIS-Konfigurationen für SSL-Zertifikate beibehalten werden. Um diese Einschränkung zu umgehen, können Sie das Zertifikat entfernen oder es manuell mit der IIS-Verwaltungskonsole neu konfigurieren.
Wenn die ausgewählte AD FS-Datenbank bereits vorhanden ist, wird die Seite "Vorhandene AD FS-Konfigurationsdatenbank erkannt " angezeigt. Wenn diese Seite angezeigt wird, klicken Sie auf "Datenbank löschen", und klicken Sie dann auf "Weiter".
Vorsicht
Wählen Sie diese Option nur aus, wenn Sie sicher sind, dass die Daten in dieser AD FS-Datenbank nicht wichtig sind oder nicht in einer Produktionsverbundserverfarm verwendet werden.
Klicken Sie auf der Seite " Dienstkonto angeben " auf "Durchsuchen". Suchen Sie im Dialogfeld "Durchsuchen " das Domänenkonto, das in dieser neuen Verbundserverfarm als Dienstkonto verwendet wird, und klicken Sie dann auf "OK". Geben Sie das Kennwort für dieses Konto ein, bestätigen Sie es, und klicken Sie dann auf "Weiter".
Hinweis
Weitere Informationen zum Angeben eines Dienstkontos für eine Verbundserverfarm finden Sie unter "Manuelles Konfigurieren eines Dienstkontos für eine Verbundserverfarm ". Jeder Verbundserver in der Verbundserverfarm muss dasselbe Dienstkonto angeben, damit die Farm betriebsbereit ist. Wenn beispielsweise das dienstkonto, das erstellt wurde, "contoso\ADFS2SVC" lautet, muss jeder Computer, den Sie für die Verbundserverrolle konfigurieren und an derselben Farm teilnehmen, "contoso\ADFS2SVC" in diesem Schritt im Konfigurations-Assistenten für Verbundserver angeben, damit die Farm betriebsbereit ist.
Überprüfen Sie auf der Seite "Bereit zum Anwenden von Einstellungen" die Details. Wenn die Einstellungen korrekt erscheinen, klicken Sie auf "Weiter" , um mit der Konfiguration von AD FS mit diesen Einstellungen zu beginnen.
Überprüfen Sie auf der Seite "Konfigurationsergebnisse " die Ergebnisse. Wenn alle Konfigurationsschritte abgeschlossen sind, klicken Sie auf "Schließen ", um den Assistenten zu beenden.
Von Bedeutung
Für sichere Bereitstellungszwecke werden die Artefaktauflösung und die Antworterkennung deaktiviert, wenn Sie den AD FS-Verbundserverkonfigurations-Assistenten zum Konfigurieren einer Verbundserverfarm verwenden. Dieser Assistent konfiguriert automatisch die interne Windows-Datenbank zum Speichern von Dienstkonfigurationsdaten. Sie können diese Änderung jedoch versehentlich rückgängig machen, indem Sie den Artefaktauflösungsendpunkt mithilfe des Endpoints-Knotens im AD FS-Verwaltungs-Snap-In oder mit dem Cmdlet Enable-ADFSEndpoint in Windows PowerShell aktivieren. Achten Sie darauf, die Standardeinstellung nicht neu zu konfigurieren, damit dieser Endpunkt deaktiviert bleibt, wenn Sie eine Verbundserverfarm und die interne Windows-Datenbank zusammen verwenden.