Menyiapkan infrastruktur jaringan Anda untuk server federasi

Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune

Daftar periksa berikut ini mencakup tugas persiapan yang harus Anda lakukan untuk menyebarkan farm server federasi.

Catatan

• Selesaikan tugas dalam daftar periksa ini secara berurutan. Saat tautan referensi membawa Anda ke prosedur, kembali ke topik ini setelah Anda menyelesaikan langkah-langkah dalam prosedur tersebut sehingga Anda dapat melanjutkan tugas yang tersisa dalam daftar periksa ini.
  
  
• Kecuali dinyatakan lain, untuk menyelesaikan semua tugas menggunakan prosedur di bagian ini, Anda harus terlebih dahulu masuk ke komputer sebagai anggota grup Administrator, atau telah didelegasikan izin yang setara.
  
  

Daftar periksa: Menyiapkan infrastruktur jaringan Anda untuk server federasi

Tugas penyebaran	Tautan ke topik di bagian ini	Selesai
1. Bergabunglah dengan komputer yang akan menjadi server federasi ke domain tempat pengguna Direktori Aktif akan diautentikasi. Catatan Anda dapat mengabaikan langkah ini jika Anda akan menggunakan pengendali domain yang ada sebagai server federasi.
2. Buat dan konfigurasikan nama DNS kluster NLB baru atau gunakan kluster NLB yang ada di jaringan perusahaan yang akan digunakan oleh farm server federasi baru. Kemudian tambahkan komputer server federasi ke kluster NLB. Jika Anda menggunakan teknologi Windows Server untuk host NLB Anda saat ini, pilih tautan yang sesuai ke kanan berdasarkan versi sistem operasi Anda. Catatan Langkah ini bersifat opsional dalam penyebaran pengujian solusi SSO ini dengan satu server federasi Layanan Federasi Direktori Aktif.	Untuk membuat dan mengonfigurasi kluster NLB pada Windows Server 2003 dan Windows Server 2003 R2, lihat Daftar periksa: Mengaktifkan dan mengonfigurasi Penyeimbangan Beban Jaringan. Untuk membuat dan mengonfigurasi kluster NLB di Windows Server 2008, lihat Membuat Kluster Penyeimbangan Beban Jaringan. Untuk membuat dan mengonfigurasi kluster NLB di Windows Server 2008 R2, lihat Membuat Kluster Penyeimbangan Beban Jaringan.
3. Buat catatan sumber daya baru untuk nama DNS kluster di DNS jaringan perusahaan yang menunjuk nama FQDN kluster NLB ke alamat IP klusternya.	Menambahkan catatan sumber daya ke DNS perusahaan untuk nama DNS kluster yang dikonfigurasi pada host NLB perusahaan
4. Impor sertifikat autentikasi server ke Situs Web Default untuk setiap server federasi di farm. Catatan Menginstal sertifikat ini pada Situs Web Default adalah persyaratan sebelum Anda bisa menggunakan Panduan Konfigurasi Server Federasi Layanan Federasi Direktori Aktif.	Mengimpor Sertifikat Autentikasi Server ke Situs Web Default
5. Buat dan konfigurasikan akun layanan khusus di Direktori Aktif tempat farm server federasi akan berada dan mengonfigurasi setiap server federasi di farm untuk menggunakan akun ini.	Mengonfigurasi Akun Layanan secara Manual untuk Farm Server Federasi

Gabungkan komputer ke domain

Agar LAYANAN Federasi Direktori Aktif berfungsi, setiap komputer yang berfungsi sebagai server federasi harus digabungkan ke domain. Proksi server federasi dapat digabungkan ke domain, tetapi itu bukan persyaratan.

Jika Anda ingin menggunakan Layanan Federasi Direktori Aktif di Windows Server 2012 R2, domain Active Directory Anda harus menjalankan salah satu hal berikut ini:

• Windows Server

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

Untuk bergabung dengan komputer ke domain

1. Pada komputer yang ingin Anda gabungkan ke domain, klik Mulai, klik Panel Kontrol, lalu klik dua kali Sistem.

2. Di bawah Pengaturan nama komputer, domain, dan grup kerja, klik Ubah pengaturan.

3. Pada tab Nama Komputer , klik Ubah.

4. Di bawah Anggota dari, klik Domain, ketik nama domain yang akan bergabung dengan komputer ini, lalu klik OK.

5. Klik OK, lalu mulai ulang komputer.

Menambahkan catatan sumber daya ke DNS perusahaan untuk nama DNS kluster yang dikonfigurasi pada host NLB perusahaan

Agar klien di jaringan perusahaan berhasil mengakses Layanan Federasi, rekaman sumber daya host (A) harus terlebih dahulu dibuat di Sistem Nama Domain (DNS) perusahaan yang menyelesaikan nama DNS kluster Layanan Federasi (misalnya, fs.fabrikam.com) ke alamat IP kluster di jaringan perusahaan (misalnya, 172.16.1.3). Anda bisa menggunakan prosedur berikut untuk menambahkan rekaman sumber daya host (A) ke DNS perusahaan untuk kluster NLB.

Untuk menambahkan catatan sumber daya ke DNS perusahaan untuk nama DNS kluster yang dikonfigurasi pada host NLB perusahaan

1. Di server DNS untuk jaringan perusahaan, buka snap-in DNS.

2. Di pohon konsol, klik kanan zona pencarian penerusan yang berlaku (misalnya, fabrikam.com), lalu klik Host Baru (A atau AAAA).

3. Di Nama, ketik hanya nama komputer server federasi atau kluster server federasi; misalnya, untuk fs.fabrikam.com nama domain yang sepenuhnya memenuhi syarat (FQDN), ketik fs.

4. Di alamat IP, ketik alamat IP untuk server federasi atau kluster server federasi; misalnya, 172.16.1.3.

5. Klik Tambahkan Host.

   Penting

   Diasumsikan bahwa Anda menggunakan server DNS, menjalankan Windows 2000 Server, Windows Server 2003, atau Windows Server 2008 dengan layanan Server DNS, untuk mengontrol zona DNS.

Mengimpor sertifikat autentikasi server ke Situs Web Default

Setelah Anda mendapatkan sertifikat autentikasi server dari otoritas sertifikasi (CA), Anda harus menginstal sertifikat tersebut secara manual di Situs Web Default untuk setiap server federasi di farm Anda.

Karena sertifikat ini harus dipercaya oleh klien Layanan Federasi Direktori Aktif dan layanan cloud Microsoft, gunakan sertifikat SSL yang dikeluarkan oleh CA publik (pihak ketiga) atau oleh CA yang berada di bawah akar tepercaya publik; misalnya, VeriSign atau Thawte. Untuk informasi tentang menginstal sertifikat dari CA publik, lihat IIS 7.0: Meminta Sertifikat Server Internet.

Catatan

Nama subjek sertifikat autentikasi server ini harus cocok dengan FQDN nama DNS kluster (misalnya, fs.fabrikam.com) yang Anda buat sebelumnya pada host NLB. Jika Internet Information Services (IIS) belum diinstal, Anda harus menginstal IIS terlebih dahulu untuk menyelesaikan tugas ini. Saat menginstal IIS untuk pertama kalinya, kami sarankan Anda menggunakan opsi fitur default saat diminta selama penginstalan peran server.

Untuk mengimpor sertifikat autentikasi server ke Situs Web Default

1. Klik Mulai, arahkan ke Semua Program, arahkan ke Alat Administratif, lalu klik Pengelola Layanan Informasi Internet (IIS).

2. Di pohon konsol, klik ComputerName.

3. Di panel tengah, klik dua kali Sertifikat Server.

4. Di panel Tindakan , klik Impor.

5. Dalam kotak dialog Impor Sertifikat , klik tombol ... .

6. Telusuri ke lokasi file sertifikat pfx, sorot, lalu klik Buka.

7. Ketik kata sandi untuk sertifikat, lalu klik OK.

Membuat akun layanan khusus untuk farm server federasi

Untuk mengonfigurasi lingkungan farm server federasi di Layanan Federasi Direktori Aktif, Anda harus membuat dan mengonfigurasi akun layanan khusus di Direktori Aktif tempat farm akan berada. Akun layanan khusus ini diperlukan untuk memastikan bahwa semua sumber daya yang diperlukan oleh farm Layanan Federasi Direktori Aktif diberikan akses ke setiap server federasi di farm.

Anda kemudian mengonfigurasi setiap server federasi di farm untuk menggunakan akun layanan yang sama ini. Misalnya, jika akun layanan yang dibuat adalah fabrikam\ADFS2SVC, setiap komputer yang Anda konfigurasi untuk peran server federasi dan yang akan berpartisipasi dalam farm yang sama harus menentukan fabrikam\ADFS2SVC pada langkah ini di Panduan Konfigurasi Server Federasi agar farm dapat beroperasi.

Catatan

Anda harus melakukan tugas dalam prosedur ini hanya satu kali untuk seluruh farm server federasi. Nantinya, ketika Anda membuat server federasi dengan menggunakan Panduan Konfigurasi Server Federasi Federasi Layanan Federasi Direktori Aktif, Anda harus menentukan akun yang sama ini pada halaman wizard Akun Layanan di setiap server federasi di farm.

Untuk membuat akun layanan khusus untuk farm server federasi

1. Buat akun pengguna/layanan khusus di forest Direktori Aktif yang akan Anda gunakan di organisasi Anda.

2. Edit properti akun pengguna, dan pilih kotak centang Kata Sandi tidak pernah kedaluwarsa . Tindakan ini memastikan bahwa fungsi akun layanan ini tidak terganggu sebagai akibat dari persyaratan perubahan kata sandi domain.

   Catatan

   • Jika Anda perlu mengubah kata sandi untuk akun layanan secara teratur, lihat Mengonfigurasi Opsi Tingkat Lanjut untuk Layanan Federasi Direktori Aktif 2.0.
     
     
   • Menggunakan akun Layanan Jaringan untuk akun khusus ini akan mengakibatkan kegagalan acak ketika akses dicoba melalui autentikasi Windows Terintegrasi, sebagai akibat dari tiket Kerberos yang tidak memvalidasi dari satu server ke server lain.
     
     

Langkah selanjutnya

Sekarang setelah Anda meninjau persyaratan untuk menyebarkan Layanan Federasi Direktori Aktif, langkah selanjutnya adalah menyelesaikan tugas di salah satu daftar periksa berikut tergantung pada versi LAYANAN Federasi Direktori Aktif apa yang ingin Anda gunakan:

• Daftar periksa: Menyebarkan farm server federasi Anda di Windows Server 2012 R2

• Daftar periksa: Menyebarkan farm server federasi Anda pada versi lama Windows Server

Lihat juga

Konsep

Daftar periksa: Gunakan Layanan Federasi Direktori Aktif untuk mengimplementasikan dan mengelola akses menyeluruh