Ajouter un serveur de fédération à la batterie de serveurs de fédération dans Windows Server 2012 R2

  • Article

S’applique à : Azure, Office 365, Power BI, Windows Intune

Après avoir installé le service de rôle AD FS (Active Directory Federation Service) sur l'ordinateur exécutant Windows Server 2012 R2, vous êtes prêt à configurer cet ordinateur pour qu'il devienne un serveur de fédération.

Vous pouvez effectuer les procédures suivantes pour ajouter cet ordinateur comme premier serveur de fédération à une batterie de serveurs de fédération existante.

Ajouter un serveur de fédération à une batterie de serveurs de fédération existante

Important

Assurez-vous que vous avez obtenu un certificat d'authentification de serveur SSL valide avant d'effectuer cette procédure. Pour plus d’informations, consultez les conditions requises pour le déploiement d’AD FS.

Pour ajouter un serveur de fédération à une batterie de serveurs de fédération existante via l'Assistant Configuration des services AD FS (Active Directory Federation Services)

  1. Dans la page Tableau de bord du Gestionnaire de serveur, cliquez sur le drapeau Notifications, puis sur Configurer le service FS (Federation Service) sur le serveur.

    L'Assistant Configuration des services AD FS (Active Directory Federation Services) démarre.

  2. Dans la page Bienvenue, sélectionnez Ajouter un serveur de fédération à une batterie de serveurs de fédération, puis cliquez sur Suivant.

  3. Dans la page Connexion à AD DS, spécifiez un compte avec des autorisations d'administrateur de domaine pour le domaine AD auquel cet ordinateur est joint, puis cliquez sur Suivant.

  4. Dans la page Spécifier une batterie de serveurs, indiquez le nom du serveur de fédération principal d'une batterie qui utilise la base de données interne Windows (WID), ou spécifiez le nom d'hôte de base de données et le nom d'instance de base de données d'une batterie de serveurs de fédération existante qui utilise SQL.

    Avertissement

    Dans , il existe une solution pour spécifier l'instance par défaut de SQL Server. Elle consiste à ne pas utiliser l'interface utilisateur. Utilisez plutôt les étapes de configuration du premier serveur de fédération dans une nouvelle batterie de serveurs de fédération via Windows PowerShell.

  5. Dans la page Spécifier le certificat SSL, importez le fichier .pfx contenant le certificat et la clé SSL que vous avez obtenus plus tôt. Il s'agit du certificat d'authentification du service requis. Comme indiqué dans la section « Exigences de certificat » de Passer en revue les exigences relatives au déploiement d’AD FS , vous devez obtenir ce certificat et le copier sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération. Pour importer le fichier .pfx via l'Assistant, cliquez sur Importer et accédez à l'emplacement du fichier. Indiquez le mot de passe du fichier .pfx quand vous y êtes invité.

  6. Dans la page Spécifier un compte de service, spécifiez le même compte de service que celui que vous avez configuré quand vous avez créé le premier serveur de fédération de la batterie. Vous pouvez soit utiliser un compte de service administré de groupe existant, soit utiliser un compte d'utilisateur de domaine existant.

    Important

    Le compte que vous spécifiez doit être le même que le compte utilisé sur le serveur de fédération principal de cette batterie.

  7. Dans la page Examiner les options, vérifiez vos choix de configuration et cliquez sur Suivant.

  8. Dans la page Vérifications des conditions préalables, assurez-vous que toutes les vérifications des conditions préalables ont été correctement effectuées, puis cliquez sur Configurer.

  9. Dans la page Résultats, passez en revue les résultats et vérifiez que la configuration a été correctement effectuée, puis cliquez sur Étapes ultérieures requises pour le déploiement de votre service FS (Federation Service). Pour plus d’informations, consultez Étapes suivantes pour terminer votre installation AD FS. Cliquez sur Fermer pour quitter l’Assistant.

Pour ajouter un serveur de fédération à une batterie de serveurs de fédération existante via Windows PowerShell

Vous pouvez ajouter un serveur de fédération à une batterie existante en utilisant un compte de service administré de groupe ou un compte d'utilisateur de domaine existant.

  • Si vous souhaitez joindre un serveur de fédération à une batterie à l'aide d'un compte de service administré de groupe existant, procédez comme suit :

    1. Sur l'ordinateur que vous souhaitez configurer comme serveur de fédération, vérifiez que le certificat SSL requis a été importé dans Ordinateur local\Mon magasin. Vous pouvez vérifier si le certificat SSL a été importé en exécutant la commande suivante dans la fenêtre de commande Windows PowerShell : dir Cert:\LocalMachine\My Le certificat est répertorié par son empreinte dans l’ordinateur local\Mon Magasin.

    2. Sur l'ordinateur à configurer en tant que serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante :

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> est votre domaine AD et le nom de votre compte GMSA dans ce domaine. <first_federation_server_hostname> est le nom d’hôte du serveur de fédération principal dans cette batterie de serveurs existante.

      Vous pouvez obtenir la valeur de <certificate_thumbprint> en exécutant dir Cert:\LocalMachine\My à l'étape ci-dessus.

      Notes

      Si vous n'exécutez PAS cette commande pour la première fois, ajoutez –OverwriteConfiguration.

      Notes

      La commande ci-dessus crée un nœud de batterie WID. Si vous souhaitez créer un nœud de batterie SQL Server, SQL Server doit être déjà installé et opérationnel. Vous pouvez utiliser la commande suivante pour ajouter un serveur de fédération à une batterie de serveurs existante à l’aide de SQL serveur : Add-AdfsFarmNode -GroupServiceAccountIdentifier <GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name><SQL_instance_ name>;Integrated Security=True"SQL_Host_Name est le nom du serveur sur lequel SQL serveur est en cours d’exécution etSQL_instance_name est le nom de l’instance SQL. Si vous utilisez l’instance par défaut SQL Server, utilisez une valeur SQLConnectionString de « Data Source=<SQL_Host_Name>;Integrated Security=True ».

  • Si vous souhaitez joindre un serveur de fédération à une batterie à l'aide d'un compte d'utilisateur de domaine existant, procédez comme suit :

    1. Sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante : $fscred = get-credential Entrez les informations d’identification du compte d’utilisateur de domaine que vous souhaitez utiliser pour le compte de service de fédération au format domaine\nom d’utilisateur.

    2. Sur l'ordinateur que vous souhaitez configurer comme serveur de fédération, vérifiez que le certificat SSL requis a été importé dans Ordinateur local\Mon magasin. Vous pouvez vérifier si le certificat SSL a été importé en exécutant la commande suivante dans la fenêtre de commande Windows PowerShell : dir Cert:\LocalMachine\My Le certificat est répertorié par son empreinte dans l’ordinateur local\Mon Magasin.

    3. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante :

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Notes

      Si vous n'exécutez PAS cette commande pour la première fois, ajoutez –OverwriteConfiguration.

      Notes

      La commande ci-dessus crée un nœud de batterie WID. Si vous souhaitez créer un nœud de batterie SQL Server, SQL Server doit être déjà installé et opérationnel. Vous pouvez utiliser la commande suivante pour ajouter un serveur de fédération à une batterie de serveurs existante à l’aide de SQL serveur : Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>&lt;SQL_instance_ name>;Integrated Security=True"SQL_Host_Name est le nom du serveur sur lequel SQL serveur est en cours d’exécution etSQL_instance_name est le nom de l’instance SQL. Si vous utilisez l’instance par défaut SQL Server, utilisez une valeur SQLConnectionString de « Data Source=<SQL_Host_Name>;Integrated Security=True ».

Étape suivante

Maintenant que vous avez installé le logiciel AD FS, revenez à liste de vérification : déployez votre batterie de serveurs de fédération sur Windows Server 2012 R2 et effectuez les autres étapes.

Voir aussi

Concepts

Liste de contrôle : Déployer votre batterie de serveurs de fédération sur Windows Server 2012 R2
Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique