Megosztás a következőn keresztül:

A hálózati infrastruktúra előkészítése összevonási kiszolgálókhoz

  • Cikk

A következőkre vonatkozik: Azure, Office 365, Power BI, Windows Intune

Az alábbi ellenőrzőlista tartalmazza azokat az előkészítési feladatokat, amelyeket el kell végeznie az összevonási kiszolgálófarm üzembe helyezéséhez.

Jegyzet

  • Végezze el a feladatokat ezekben az ellenőrzőlistákban sorrendben. Amikor egy hivatkozás egy eljárásra viszi, az eljárás lépéseinek elvégzése után térjen vissza ehhez a témakörhöz, hogy továbblépjen az ellenőrzőlistán szereplő többi tevékenységre.

  • Ha másként nem jelezzük, az ebben a szakaszban ismertetett eljárásokkal végzett összes feladat elvégzéséhez először be kell jelentkeznie a számítógépekre a Rendszergazdák csoport tagjaként, vagy azzal egyenértékű engedélyekkel kell rendelkeznie.

Ellenőrzőlista Ellenőrzőlista: A hálózati infrastruktúra előkészítése összevonási kiszolgálókhoz

Üzembe helyezési feladat Témakörökre mutató hivatkozások ebben a szakaszban Befejezett

1. Csatlakozzon az összevonási kiszolgálóvá váló számítógépekhez egy olyan tartományhoz, ahol az Active Directory-felhasználók hitelesítése történik.

Jegyzet

Ezt a lépést figyelmen kívül hagyhatja, ha meglévő tartományvezérlőket fog használni összevonási kiszolgálóként.

jelölőnégyzet

2. Hozzon létre és konfiguráljon egy új hálózati terheléselosztó-fürt DNS-nevét, vagy használjon egy meglévő hálózati terheléselosztó-fürtöt a vállalati hálózaton, amelyet az új összevonási kiszolgálófarm fog használni. Ezután adja hozzá az összevonási kiszolgáló számítógépeit az NLB-fürthöz. Ha Windows Server-technológiát használ jelenlegi hálózati terheléselosztó-gazdagépeihez, az operációs rendszer verziója alapján válassza a megfelelő hivatkozást a jobb oldalon.

Jegyzet

Ez a lépés nem kötelező az SSO-megoldás egyetlen AD FS összevonási kiszolgálóval való teszteléséhez.

Hálózati terheléselosztó-fürtök Windows Server 2003 és Windows Server 2003 R2 rendszeren való létrehozásáról és konfigurálásáról a ellenőrzőlista: Hálózati terheléselosztásiengedélyezése és konfigurálása. Hálózati terheléselosztási fürtök Windows Server 2008 rendszeren való létrehozásáról és konfigurálásához lásd: Hálózati terheléselosztási fürtök létrehozása.

Az NLB-fürtök Windows Server 2008 R2 rendszeren való létrehozásáról és konfigurálásához lásd: Hálózati terheléselosztási fürtök létrehozása.

 jelölőnégyzet

3. Hozzon létre egy új erőforrásrekordot a fürt DNS-nevéhez a vállalati hálózati DNS-ben, amely az NLB-fürt teljes tartományneve a fürt IP-címére mutat.

Erőforrásrekord hozzáadása a vállalati DNS-hez a vállalati hálózati terheléselosztási gazdagépen konfigurált fürt DNS-nevének

 jelölőnégyzet

4. Importálja a kiszolgálóhitelesítési tanúsítványt a farm minden egyes összevonási kiszolgálójának alapértelmezett webhelyére.

Jegyzet

A tanúsítvány alapértelmezett webhelyen való telepítése kötelező az AD FS összevonási kiszolgáló konfigurációs varázslójának használatához.

Kiszolgálóhitelesítési tanúsítvány importálása az alapértelmezett webhelyre

 jelölőnégyzet

5. Hozzon létre és konfiguráljon egy dedikált szolgáltatásfiókot az Active Directoryban, ahol az összevonási kiszolgálófarm található, és konfigurálja a farm összes összevonási kiszolgálóját a fiók használatára.

Szolgáltatásfiók manuális konfigurálása összevonási kiszolgálófarm-

 jelölőnégyzet

Csatlakozás a számítógéphez tartományhoz

Az AD FS működéséhez az összevonási kiszolgálóként működő összes számítógépet tartományhoz kell csatlakoztatni. Az összevonási kiszolgáló proxyi csatlakoztathatók tartományhoz, de ez nem követelmény.

Ha AD FS-t szeretne használni a Windows Server 2012 R2-ben, az Active Directory-tartománynak az alábbiak valamelyikét kell futtatnia:

  • Windows Server

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

A számítógép tartományhoz való csatlakoztatása

  1. Kattintson a tartományhoz csatlakoztatni kívánt számítógépen a Start, a Vezérlőpultelemre, majd kattintson duplán a Rendszerelemre.

  2. A Számítógépnév, tartomány és munkacsoport beállításaicsoportban kattintson a Beállítások módosításaelemre.

  3. A Számítógépnév lapon kattintson a módosítása gombra.

  4. Az tagja csoportban kattintson a Tartományelemre, írja be a számítógép által csatlakoztatni kívánt tartomány nevét, majd kattintson OKgombra.

  5. Kattintson OKgombra, majd indítsa újra a számítógépet.

Erőforrásrekord hozzáadása a vállalati hálózati terheléselosztási gazdagépen konfigurált fürt DNS-nevéhez tartozó vállalati DNS-hez

Ahhoz, hogy a vállalati hálózaton lévő ügyfelek sikeresen hozzáférhessenek az összevonási szolgáltatáshoz, először létre kell hozni egy gazdagép (A) erőforrásrekordot a vállalati tartománynévrendszerben (DNS), amely feloldja az összevonási szolgáltatás fürt DNS-nevét (például fs.fabrikam.com) a vállalati hálózat fürt IP-címére (például 172.16.1.3). Az alábbi eljárással adhat hozzá egy gazdagép-(A) erőforrásrekordot az NLB-fürt vállalati DNS-éhez.

Erőforrásrekord hozzáadása a vállalati DNS-hez a vállalati hálózati terheléselosztási gazdagépen konfigurált fürt DNS-nevéhez

  1. A vállalati hálózat DNS-kiszolgálóján nyissa meg a DNS beépülő modult.

  2. A konzolfán kattintson a jobb gombbal a megfelelő előrekeresési zónára (például fabrikam.com), majd kattintson Új gazdagép (A vagy AAAA).

  3. A Névmezőbe csak az összevonási kiszolgáló vagy összevonási kiszolgálófürt számítógépnevét írja be; A teljes tartománynév (FQDN) fs.fabrikam.com például írja be fs.

  4. Az IP-címmezőbe írja be az összevonási kiszolgáló vagy az összevonási kiszolgálófürt IP-címét; például: 172.16.1.3.

  5. Kattintson a Gazdagép hozzáadásaelemre.

    Fontos

    Feltételezzük, hogy a DNS-zóna vezérléséhez egy DNS-kiszolgálót használ, amely Windows 2000 Servert, Windows Server 2003-at vagy Windows Server 2008-at futtat a DNS Server szolgáltatással.

Kiszolgálóhitelesítési tanúsítvány importálása az alapértelmezett webhelyre

Miután beszerezte a kiszolgálóhitelesítési tanúsítványt egy hitelesítésszolgáltatótól, manuálisan kell telepítenie a tanúsítványt a farm összes összevonási kiszolgálójának alapértelmezett webhelyén.

Mivel ezt a tanúsítványt az AD FS és a Microsoft felhőszolgáltatás ügyfeleinek kell megbízhatónak lenniük, használjon olyan SSL-tanúsítványt, amelyet egy nyilvános (külső) hitelesítésszolgáltató vagy egy nyilvánosan megbízható legfelső szintű hitelesítésszolgáltató állít ki; például VeriSign vagy Thawte. A tanúsítvány nyilvános hitelesítésszolgáltatótól való telepítéséről további információt az IIS 7.0: Internet Server-tanúsítvány kérésecímű témakörben talál.

Jegyzet

A kiszolgálóhitelesítési tanúsítvány tulajdonosának meg kell egyeznie a hálózati terheléselosztási gazdagépen korábban létrehozott fürt DNS-nevének (például fs.fabrikam.com) teljes tartománynevével. Ha az Internet Information Services (IIS) nincs telepítve, először telepítenie kell az IIS-t a feladat elvégzéséhez. Az IIS első telepítésekor javasoljuk, hogy a kiszolgálói szerepkör telepítése során a rendszer az alapértelmezett funkcióbeállításokat használja.

Kiszolgálóhitelesítési tanúsítvány importálása az alapértelmezett webhelyre

  1. Kattintson Start, mutasson Minden program, mutasson Felügyeleti eszközökelemre, majd kattintson Internet Information Services (IIS) Kezelőelemre.

  2. A konzolfán kattintson a ComputerNameelemre.

  3. A középső panelen kattintson duplán Kiszolgálótanúsítványok.

  4. A Műveletek panelen kattintson a Importáláselemre.

  5. A Tanúsítvány importálása párbeszédpanelen kattintson a ... gombra.

  6. Keresse meg a pfx tanúsítványfájl helyét, jelölje ki, majd kattintson a Megnyitásgombra.

  7. Írja be a tanúsítvány jelszavát, majd kattintson OKgombra.

Dedikált szolgáltatásfiók létrehozása az összevonási kiszolgálófarmhoz

Ha összevonási kiszolgálófarm-környezetet szeretne konfigurálni az AD FS-ben, létre kell hoznia és konfigurálnia kell egy dedikált szolgáltatásfiókot az Active Directoryban, ahol a farm található. Ez a dedikált szolgáltatásfiók szükséges annak biztosításához, hogy az AD FS-farm által igényelt összes erőforrás hozzáférést kapjon a farm összes összevonási kiszolgálója számára.

Ezután konfigurálja a farm összes összevonási kiszolgálóját, hogy ugyanazt a szolgáltatásfiókot használja. Ha például a létrehozott szolgáltatásfiók fabrikam\ADFS2SVC volt, az összevonási kiszolgálói szerepkörhöz konfigurált és ugyanabban a farmban részt vevő számítógépeknek ezen lépésben meg kell adniuk a fabrikam\ADFS2SVC az összevonási kiszolgáló konfigurációs varázslójában, hogy a farm működőképes legyen.

Jegyzet

Ebben az eljárásban csak egyszer kell elvégeznie a feladatokat a teljes összevonási kiszolgálófarm esetében. Később, amikor összevonási kiszolgálót hoz létre az AD FS összevonási kiszolgáló konfigurációs varázslójának használatával, ugyanezt a fiókot kell megadnia a farm összes összevonási kiszolgálójának Szolgáltatásfiók varázsló lapján.

Dedikált szolgáltatásfiók létrehozása az összevonási kiszolgálófarmhoz

  1. Hozzon létre egy dedikált felhasználói/szolgáltatásfiókot a szervezetben használni kívánt Active Directory-erdőben.

  2. Szerkessze a felhasználói fiók tulajdonságait, és jelölje be a Jelszó soha nem jár le jelölőnégyzetet. Ez a művelet biztosítja, hogy a szolgáltatásfiók működése ne szakadjon meg a tartományi jelszómódosítási követelmények miatt.

    Jegyzet

    • Ha rendszeresen módosítania kell a szolgáltatásfiók jelszavát, olvassa el Az AD FS 2.0speciális beállításainak konfigurálása című témakört.

    • Ha a hálózati szolgáltatásfiókot használja ehhez a dedikált fiókhoz, véletlenszerű hibákat fog eredményezni, ha a hozzáférést integrált Windows-hitelesítéssel próbálják meg elérni, mivel a Kerberos-jegyek nem érvényesítik az egyik kiszolgálóról a másikra.

Következő lépés

Most, hogy áttekintette az AD FS üzembe helyezésének követelményeit, a következő lépés a következő ellenőrzőlisták valamelyikében elvégezni a feladatokat attól függően, hogy az AD FS melyik verzióját szeretné használni:

Lásd még:

Fogalmak

ellenőrzőlista: Az AD FS használatával implementálhatja és kezelheti az egyszeri bejelentkezési