Compartir a través de

Configurar manualmente una cuenta de servicio para una granja de servidores de federación

  • Artículo

Si planea configurar un entorno de granja de servidores de federación en Servicios de federación de Active Directory (AD FS), tiene que crear y configurar una cuenta de servicio dedicada en los Active Directory Domain Services (AD DS), donde residirá la granja de servidores. Después, configura cada servidor de federación de la granja para que use esta cuenta. Cuando desee que los equipos cliente de la red corporativa se puedan autenticar en cualquiera de los servidores de federación de una granja de AD FS mediante la autenticación integrada de Windows, debe completar las siguientes tareas.

Importante

A partir de AD FS 3.0 (Windows Server 2012 R2), AD FS admite el uso de una cuenta de servicio administrada de grupo (gMSA) como cuenta de servicio. Esta es la opción recomendada, ya que elimina la necesidad de administrar la contraseña de la cuenta de servicio. En este documento se describe el caso alternativo de usar una cuenta de servicio tradicional, como en los dominios que siguen ejecutando un nivel funcional de dominio (DFL) de Windows Server 2008 R2 o anterior.

Nota

Debe realizar las tareas de este procedimiento una sola vez para toda la granja de servidores de federación. Más adelante, cuando crees un servidor de federación mediante el Asistente para la configuración de servidores de federación, debes especificar esta misma cuenta en la página Cuenta de servicio del asistente en cada servidor de federación de la granja.

Crear una cuenta de servicio dedicada

  1. Crea una cuenta de servicio o usuario dedicada en el bosque de Active Directory que está ubicado en la organización del proveedor de identidades. Esta cuenta es necesaria para que el protocolo de autenticación Kerberos funcione en un escenario de granja de servidores y para permitir la autenticación de paso a través en todos los servidores de federación. Use esta cuenta únicamente para los fines de la granja de servidores de federación.

  2. Edita las propiedades de la cuenta de usuario y activa la casilla La contraseña nunca expira. Con esta acción te aseguras de que la función de esta cuenta de servicio no se interrumpa nunca como resultado de los requisitos de cambio de contraseña del dominio.

    Nota

    Si se usa la cuenta de servicio de red para esta cuenta dedicada, se producirán errores aleatorios al intentar acceder con la autenticación integrada de Windows, porque los vales de Kerberos no se validan de un servidor a otro.

Para establecer el SPN de la cuenta de servicio

  1. Como la identidad del grupo de aplicaciones para AppPool de AD FS se ejecuta como una cuenta de usuario/servicio de dominio, debe configurar el nombre principal de servicio (SPN) para esa cuenta en el dominio con la herramienta de línea de comandos Setspn.exe. Setspn.exe se instala de manera predeterminada en equipos que ejecutan Windows Server 2008. Ejecuta el siguiente comando en un equipo que esté unido al mismo dominio donde reside usuario/cuenta de servicio:

    setspn -a host/<server name> <service account>

    Por ejemplo, en un escenario en el que todos los servidores de federación están agrupados en clúster con el nombre de host del Sistema de nombres de dominio (DNS) http://fs.adatum.com y el nombre de cuenta de servicio asignado a AppPool de AD FS es adfs2farm, escriba el comando siguiente y presione ENTRAR:

    setspn -a host/fs.fabrikam.com adfs2farm

    Solo es necesario realizar esta tarea una vez para esta cuenta.

  2. Después de cambiar la identidad de AppPool de AD FS a la cuenta de servicio, establezca las listas de control de acceso (ACL) en la base de datos SQL Server para permitir el acceso de lectura a esta nueva cuenta a fin de que AppPool de AD FS pueda leer los datos de la directiva.