Megosztás a következőn keresztül:

Az összevonási kiszolgálófarm első összevonási kiszolgálójának konfigurálása Windows Server 2012

  • Cikk

A következőkre vonatkozik: Azure, Office 365, Power BI, Windows Intune

Miután telepítette az Active Directory összevonási szolgáltatás (AD FS) szerepkör-szolgáltatást az R2 Windows Server 2012 futtató számítógépre, készen áll arra, hogy összevonási kiszolgálóvá konfigurálja a számítógépet.

Az alábbi eljárásokkal konfigurálhatja ezt a számítógépet az összevonási kiszolgálófarm első összevonási kiszolgálójaként.

Az első összevonási kiszolgáló konfigurálása egy új összevonási kiszolgálófarmban

Az első összevonási kiszolgáló konfigurálása egy új összevonási kiszolgálófarmban az Active Directory összevonási szolgáltatás konfigurációs varázslójának használatával

Megjegyzés

Az eljárás végrehajtása előtt győződjön meg arról, hogy rendelkezik tartományi rendszergazdai engedélyekkel, vagy rendelkezik rendelkezésre álló tartományi rendszergazdai hitelesítő adatokkal.

  1. Az Kiszolgálókezelő Irányítópult lapon kattintson az Értesítések jelölőre, majd az Összevonási szolgáltatás konfigurálása a kiszolgálón elemre.

    Elindul az Active Directory összevonási szolgáltatás konfigurációs varázslója .

  2. Az üdvözlőlapon válassza az Összevonási kiszolgálófarm első összevonási kiszolgálójának létrehozása elemét , és kattintson a Tovább gombra.

  3. Az Csatlakozás az AD DS-be lapon adjon meg egy olyan fiókot, amely tartományi rendszergazdai engedélyekkel rendelkezik ahhoz az AD-tartományhoz, amelyhez a számítógép csatlakozik, majd kattintson a Tovább gombra.

  4. A Szolgáltatás tulajdonságainak megadása lapon tegye a következőket, majd kattintson a Tovább gombra:

    • Importálja a korábban beszerzett SSL-tanúsítványt és kulcsot tartalmazó .pfx fájlt. Az AD FS telepítésére vonatkozó követelmények áttekintésének " Tanúsítványkövetelmények" szakaszában leírtaknak megfelelően be kell szereznie ezt a tanúsítványt, és át kell másolnia az összevonási kiszolgálóként konfigurálni kívánt számítógépre. Ha a varázslóval szeretné importálni a .pfx fájlt, kattintson az Importálás gombra, és keresse meg a fájl helyét. Amikor a rendszer kéri, adja meg a .pfx fájl jelszavát.

    • Adja meg az összevonási szolgáltatás nevét. Például fs.contoso.com. Ennek a névnek meg kell egyeznie a tanúsítvány tulajdonosának vagy tulajdonosának alternatív nevével.

    • Adja meg az összevonási szolgáltatás megjelenítendő nevét. Például a Contoso Corporation. Ez a név az AD FS bejelentkezési oldalán jelenik meg a felhasználóknak.

  5. A Szolgáltatásfiók megadása lapon adjon meg egy szolgáltatásfiókot. Létrehozhat vagy használhat egy meglévő csoportos felügyeltszolgáltatás-fiókot (gMSA), vagy használhat egy meglévő tartományi felhasználói fiókot. Ha új gMSA létrehozására szolgáló lehetőséget választ, adja meg az új fiók nevét. Ha egy meglévő gMSA- vagy tartományi fiók használatát választja, kattintson a Kiválasztás... gombra egy fiók kiválasztásához.

    Megjegyzés

    A gMSA használatának előnye az automatikusan egyeztetett jelszófrissítési funkció.

    Figyelmeztetés

    Ha gMSA-t szeretne használni, legalább egy olyan tartományvezérlővel kell rendelkeznie a környezetben, amely Windows Server 2012 operációs rendszert futtat.

    Ha a gMSA beállítás le van tiltva, és a csoportosan felügyelt szolgáltatásfiókokhoz hasonló hibaüzenet jelenik meg, mert a KDS-gyökérkulcs nincs beállítva, engedélyezheti a gMSA-t a tartományban, ha végrehajtja a következő Windows PowerShell parancsot egy Windows Server 2012 vagy újabb tartományvezérlőn az Active Directory-tartományban: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Ezután térjen vissza a varázslóhoz, és kattintson az Előző gombra, majd a Tovább gombra a Szolgáltatásfiók megadása lap újbóli megadásához. A gMSA-t most engedélyezni kell, és kiválaszthatja, és megadhatja a kívánt gMSA-fióknevet.

  6. A Konfigurációs adatbázis megadása lapon adjon meg egy AD FS konfigurációs adatbázist, majd kattintson a Tovább gombra. Létrehozhat adatbázist ezen a számítógépen a belső Windows-adatbázis (belső Windows-adatbázis) használatával, vagy megadhatja az SQL Server helyét és példánynevét.

    További információkért lásd: Az AD FS konfigurációs adatbázisának szerepe.

  7. A Beállítások áttekintése lapon ellenőrizze a konfigurációs beállításokat, és kattintson a Tovább gombra.

  8. Az Előfeltételek ellenőrzése lapon ellenőrizze, hogy az összes előfeltétel-ellenőrzés sikeresen befejeződött-e, majd kattintson a Konfigurálás gombra.

  9. Az Eredmények lapon tekintse át az eredményeket, és ellenőrizze, hogy a konfiguráció sikeresen befejeződött-e, majd kattintson az összevonási szolgáltatás üzembe helyezésének befejezéséhez szükséges további lépésekre. További információt az AD FS telepítésének következő lépéseiben talál. Kattintson a Bezárás gombra a varázslóból való kilépéshez.

Az első összevonási kiszolgáló konfigurálása egy új összevonási kiszolgálófarmban Windows PowerShell

Létrehozhat egy új összevonási kiszolgálófarmot egy új vagy meglévő gMSA vagy egy meglévő tartományi felhasználói fiók használatával.

  • Ha új összevonási kiszolgálót szeretne létrehozni egy új gMSA-fiókkal, tegye a következőket:

    Fontos

    Az első összevonási kiszolgáló új összevonási kiszolgálófarmban való létrehozásához tartományi rendszergazdai engedélyekkel kell rendelkeznie.

    1. Az összevonási kiszolgálóként konfigurálni kívánt számítógépen győződjön meg arról, hogy a szükséges SSL-tanúsítvány importálva lett a Helyi számítógép\Saját tárolóba. Az SSL-tanúsítvány importálásának ellenőrzéséhez futtassa a következő parancsot a Windows PowerShell parancsablakban: dir Cert:\LocalMachine\My A tanúsítvány az ujjlenyomata alapján szerepel a Helyi számítógép\Saját tároló mappában.

    2. A tartományvezérlőn nyissa meg a Windows PowerShell parancsablakot, és futtassa a következő parancsot annak ellenőrzéséhez, hogy a KDS-gyökérkulcs létrejött-e a tartományban: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Ha nem lett létrehozva (a kimenet nem jelenít meg információt), futtassa a következő parancsot a kulcs létrehozásához:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

    3. Nyissa meg a Windows PowerShell parancsablakot az összevonási kiszolgálóként konfigurálni kívánt számítógépen, és futtassa a következő parancsot:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Figyelmeztetés

      A fenti parancs végén található "$" értékre van szükség.

      Az értéket <certificate_thumbprint> az SSL-tanúsítvány ujjlenyomatának futtatásával dir Cert:\LocalMachine\My és kiválasztásával szerezheti be. Az érték <federation_service_name> az összevonási szolgáltatás neve, például fs.contoso.com.

      Megjegyzés

      Ha nem ez az első alkalommal futtatja ezt a parancsot, adja hozzá a következőt –OverwriteConfiguration: .

      Megjegyzés

      A fenti parancs létrehoz egy belső Windows-adatbázis farmot. Ha SQL Server-farmot szeretne létrehozni, az SQL-kiszolgálónak már telepítve kell lennie és működőképesnek kell lennie.

      Az alábbi paranccsal létrehozhatja az első összevonási kiszolgálót egy új farmban az SQL Server használatával: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" ahol <SQL_Host_Name> annak a kiszolgálónak a neve, amelyen az SQL-kiszolgáló fut,SQL_instance_name<> pedig az SQL-példány neve. Ha az alapértelmezett SQL Server példányt használja, használja az "Data Source=<SQL_Host_Name>;Integrated Security=True" SQLConnectionString értéket.

  • Ha új összevonási kiszolgálót szeretne létrehozni egy meglévő tartományi felhasználói fiók használatával, tegye a következőket:

    1. Az összevonási kiszolgálóként konfigurálni kívánt számítógépen győződjön meg arról, hogy a szükséges SSL-tanúsítvány importálva lett a Helyi számítógép\Saját tárolóba. Az SSL-tanúsítvány importálásának ellenőrzéséhez futtassa a következő parancsot a Windows PowerShell parancsablakban: dir Cert:\LocalMachine\My A tanúsítvány az ujjlenyomata alapján szerepel a Helyi számítógép\Saját tároló mappában.

    2. Az összevonási kiszolgálóként konfigurálni kívánt számítógépen nyissa meg a Windows PowerShell parancsablakot, és futtassa a következő parancsot: $fscred = get-credential. Adja meg az összevonási szolgáltatásfiókhoz használni kívánt tartományi felhasználói fiók hitelesítő adatait tartomány\felhasználónév formátumban.

    3. Ugyanabban a Windows PowerShell parancsablakban futtassa a következő parancsot:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      A certificate_thumbprint értékét az SSL-tanúsítvány ujjlenyomatának futtatásával dir Cert:\LocalMachine\My és kiválasztásával szerezheti be.<> A federation_service_name> értéke< az összevonási szolgáltatás neve, például fs.contoso.com.

      Megjegyzés

      Ha nem ez az első alkalommal futtatja ezt a parancsot, adja hozzá a következőt –OverwriteConfiguration: .

      Megjegyzés

      A fenti parancs létrehoz egy belső Windows-adatbázis farmot. Ha SQL Server-farmot szeretne létrehozni, az SQL-kiszolgálónak már telepítve kell lennie és működőképesnek kell lennie.

      Az alábbi paranccsal létrehozhatja az első összevonási kiszolgálót egy új farmban az SQL Server használatával: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" ahol SQL_Host_Name annak a kiszolgálónak a neve, amelyen az SQL-kiszolgáló fut,SQL_instance_name pedig az SQL-példány neve. Ha az alapértelmezett SQL Server példányt használja, használja az "Data Source=<SQL_Host_Name>;Integrated Security=True" SQLConnectionString értéket.

Következő lépés

Most, hogy konfigurálta az első összevonási kiszolgálót az összevonási kiszolgálófarmban, lépjen vissza az Ellenőrzőlistára: Helyezze üzembe az összevonási kiszolgálófarmot a Windows Server örökölt verzióiban, és végezze el a többi lépést.

Lásd még:

Alapelvek

Ellenőrzőlista: Az összevonási kiszolgálófarm üzembe helyezése Windows Server 2012 R2-n
Ellenőrzőlista: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez