Configurer le premier serveur de fédération de la batterie de serveurs de fédération dans Windows Server 2012

  • Article

S’applique à : Azure, Office 365, Power BI, Windows Intune

Après avoir installé le service de rôle AD FS (Active Directory Federation Service) sur l'ordinateur exécutant Windows Server 2012 R2, vous êtes prêt à configurer cet ordinateur pour qu'il devienne un serveur de fédération.

Vous pouvez effectuer les procédures suivantes pour configurer cet ordinateur comme premier serveur de fédération dans votre batterie de serveurs de fédération.

Configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération

Pour configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération à l'aide de l'Assistant Configuration des services AD FS (Active Directory Federation Services)

Notes

Assurez-vous que vous disposez d'autorisations d'administrateur de domaine ou d'informations d'identification d'administrateur de domaine avant d'effectuer cette procédure.

  1. Dans la page Tableau de bord du Gestionnaire de serveur, cliquez sur le drapeau Notifications, puis sur Configurer le service FS (Federation Service) sur le serveur.

    L'Assistant Configuration des services AD FS (Active Directory Federation Services) démarre.

  2. Dans la page Bienvenue, sélectionnez Créer le premier serveur de fédération dans une batterie de serveurs de fédération, puis cliquez sur Suivant.

  3. Dans la page Connexion à AD DS, spécifiez un compte avec des autorisations d'administrateur de domaine pour le domaine AD auquel cet ordinateur est joint, puis cliquez sur Suivant.

  4. Dans la page Spécifier les propriétés de service, effectuez les actions ci-dessous, puis cliquez sur Suivant :

    • Importez le fichier .pfx contenant le certificat et la clé SSL que vous avez obtenus plus tôt. Comme indiqué dans la section « Exigences de certificat », consultez les exigences relatives au déploiement d’AD FS doivent obtenir ce certificat et le copier sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération. Pour importer le fichier .pfx via l'Assistant, cliquez sur Importer et accédez à l'emplacement du fichier. Indiquez le mot de passe du fichier .pfx quand vous y êtes invité.

    • Indiquez le nom de votre service FS (Federation Service). Exemple : fs.contoso.com. Ce nom doit correspondre à l'un des noms d'objets ou autres noms d'objets du certificat.

    • Indiquez le nom d'affichage de votre service FS (Federation Service). Exemple : Contoso Corporation. Ce nom est affiché aux utilisateurs dans la page de connexion aux services AD FS.

  5. Dans la page Spécifier un compte de service, indiquez un compte de service. Vous pouvez soit créer ou utiliser un compte de service administré de groupe (gMSA) existant, soit utiliser un compte d'utilisateur de domaine existant. Si vous sélectionnez l'option qui permet de créer un compte de service administré de groupe, indiquez le nom du nouveau compte. Si vous sélectionnez l'option qui permet d'utiliser un compte de service administré de groupe ou un compte de domaine existant, cliquez sur le bouton Sélectionner pour sélectionner un compte.

    Notes

    L'avantage lié à l'utilisation d'un compte de service administré de groupe est sa fonctionnalité de mise à jour de mot de passe avec négociation automatique.

    Avertissement

    Si vous souhaitez utiliser un compte de service administré de groupe, vous devez disposer d'au moins un contrôleur de domaine qui exécute le système d'exploitation Windows Server 2012 dans votre environnement.

    Si l’option gMSA est désactivée et que vous voyez un message d’erreur similaire aux comptes de service managé de groupe n’est pas disponible, car la clé racine KDS n’a pas été définie, vous pouvez activer gMSA dans votre domaine en exécutant la commande Windows PowerShell suivante sur un contrôleur de domaine Windows Server 2012 ou ultérieur dans votre domaine Active Directory : Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Revenez ensuite à l’Assistant, puis cliquez sur le bouton Précédent suivi du bouton Suivant pour entrer à nouveau la page Spécifier le compte de service. Le compte de service administré de groupe doit maintenant être activé. Sélectionnez-le et entrez le nom de compte de service administré de groupe de votre choix.

  6. Dans la page Spécifier une base de données de configuration, spécifiez une base de données de configuration AD FS, puis cliquez sur Suivant. Vous pouvez soit créer une base de données sur cet ordinateur à l'aide de la base de données interne Windows (WID), soit spécifier l'emplacement et le nom de l'instance du serveur SQL.

    Pour plus d’informations, consultez l’article The Role of the AD FS Configuration Database (Rôle de la base de données de configuration AD FS).

  7. Dans la page Examiner les options, vérifiez vos choix de configuration et cliquez sur Suivant.

  8. Dans la page Vérifications des conditions préalables, assurez-vous que toutes les vérifications des conditions préalables ont été correctement effectuées, puis cliquez sur Configurer.

  9. Dans la page Résultats, passez en revue les résultats et vérifiez que la configuration a été correctement effectuée, puis cliquez sur Étapes ultérieures requises pour le déploiement de votre service FS (Federation Service). Pour plus d’informations, consultez Étapes suivantes pour terminer votre installation AD FS. Cliquez sur Fermer pour quitter l’Assistant.

Pour configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération via Windows PowerShell

Vous pouvez créer une batterie de serveurs de fédération en utilisant un compte de service administré de groupe (nouveau ou existant) ou un compte d'utilisateur de domaine existant.

  • Si vous souhaitez créer un serveur de fédération à l'aide d'un nouveau compte de service administré de groupe, procédez comme suit :

    Important

    Vous devez avoir des autorisations d'administrateur de domaine pour créer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération.

    1. Sur l'ordinateur que vous souhaitez configurer comme serveur de fédération, vérifiez que le certificat SSL requis a été importé dans Ordinateur local\Mon magasin. Vous pouvez vérifier si le certificat SSL a été importé en exécutant la commande suivante dans la fenêtre de commande Windows PowerShell : dir Cert:\LocalMachine\My Le certificat est répertorié par son empreinte dans l’ordinateur local\Mon Magasin.

    2. Sur votre contrôleur de domaine, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante pour vérifier si la clé racine KDS a été créée dans votre domaine : Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) S’il n’a pas été créé (la sortie n’affiche aucune information), exécutez la commande suivante pour créer la clé :Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. Sur l'ordinateur à configurer en tant que serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante :

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Avertissement

      Le symbole « $ » à la fin de la commande ci-dessus est nécessaire.

      Vous pouvez obtenir la valeur de <certificate_thumbprint> en exécutant dir Cert:\LocalMachine\My et en sélectionnant l'empreinte numérique de votre certificat SSL. La valeur de <federation_service_name> correspond au nom de votre service FS (Federation Service), par exemple, fs.contoso.com.

      Notes

      Si vous n'exécutez PAS cette commande pour la première fois, ajoutez –OverwriteConfiguration.

      Notes

      La commande ci-dessus crée une batterie WID. Si vous souhaitez créer une batterie SQL Server, SQL Server doit être déjà installé et opérationnel.

      Vous pouvez utiliser la commande suivante pour créer le premier serveur de fédération dans une nouvelle batterie à l’aide de SQL serveur : Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"<SQL_Host_Name> est le nom du serveur sur lequel SQL serveur est en cours d’exécution et<SQL_instance_name> est le nom de l’instance SQL. Si vous utilisez l’instance par défaut SQL Server, utilisez une valeur SQLConnectionString de « Data Source=<SQL_Host_Name>;Integrated Security=True ».

  • Si vous souhaitez créer un serveur de fédération à l'aide d'un compte d'utilisateur de domaine existant, procédez comme suit :

    1. Sur l'ordinateur que vous souhaitez configurer comme serveur de fédération, vérifiez que le certificat SSL requis a été importé dans Ordinateur local\Mon magasin. Vous pouvez vérifier si le certificat SSL a été importé en exécutant la commande suivante dans la fenêtre de commande Windows PowerShell : dir Cert:\LocalMachine\My Le certificat est répertorié par son empreinte dans l’ordinateur local\Mon Magasin.

    2. Sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante : $fscred = get-credential Entrez les informations d’identification du compte d’utilisateur de domaine que vous souhaitez utiliser pour le compte de service de fédération au format domaine\nom d’utilisateur.

    3. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante :

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Vous pouvez obtenir la valeur de <certificate_thumbprint> en exécutant dir Cert:\LocalMachine\My et en sélectionnant l’empreinte de votre certificat SSL. La valeur de federation_service_name> est le nom de< votre service de fédération, par exemple fs.contoso.com.

      Notes

      Si vous n'exécutez PAS cette commande pour la première fois, ajoutez –OverwriteConfiguration.

      Notes

      La commande ci-dessus crée une batterie WID. Si vous souhaitez créer une batterie SQL Server, SQL Server doit être déjà installé et opérationnel.

      Vous pouvez utiliser la commande suivante pour créer le premier serveur de fédération dans une nouvelle batterie à l’aide de SQL serveur : Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"SQL_Host_Name est le nom du serveur sur lequel SQL serveur est en cours d’exécution etSQL_instance_name est le nom de l’instance SQL. Si vous utilisez l’instance par défaut SQL Server, utilisez une valeur SQLConnectionString de « Data Source=<SQL_Host_Name>;Integrated Security=True ».

Étape suivante

Maintenant que vous avez configuré le premier serveur de fédération dans votre batterie de serveurs de fédération, revenez à liste de contrôle : Déployez votre batterie de serveurs de fédération sur les versions héritées de Windows Serveur et effectuez le reste des étapes.

Voir aussi

Concepts

Liste de contrôle : Déployer votre batterie de serveurs de fédération sur Windows Server 2012 R2
Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique