Daftar periksa: Menyiapkan Server Federasi
Daftar periksa ini mencakup tugas penyebaran yang diperlukan untuk menyiapkan server yang menjalankan Windows ServerĀ® 2012 untuk peran server federasi di Layanan Federasi Direktori Aktif (AD FS).
Catatan
Selesaikan tugas dalam daftar periksa ini secara berurutan. Saat tautan referensi membawa Anda ke prosedur, kembali ke topik ini setelah Anda menyelesaikan langkah-langkah dalam prosedur tersebut sehingga Anda dapat melanjutkan tugas yang tersisa dalam daftar periksa ini.
Daftar periksa: Menyiapkan server federasi
Tugas | Referensi |
---|---|
Sebelum Anda mulai menyebarkan server federasi Layanan Federasi Direktori Aktif, tinjau; 1.) keuntungan dan kerugian memilih Database Internal Windows (WID) atau SQL Server untuk menyimpan database konfigurasi Layanan Federasi Direktori Aktif 2.) Jenis topologi penyebaran Layanan Federasi Direktori Aktif dan rekomendasi penempatan server dan tata letak jaringan terkait. | Menentukan topologi penyebaran Layanan Federasi Direktori Aktif Anda Pertimbangan Topologi Penyebaran Layanan Federasi Direktori Aktif |
Tinjau panduan perencanaan kapasitas Layanan Federasi Direktori Aktif untuk menentukan jumlah server federasi yang tepat yang harus Anda gunakan di lingkungan produksi Anda. | Perencanaan untuk Kapasitas Server Federasi |
Tinjau informasi dalam Panduan Desain Layanan Federasi Direktori Aktif tentang tempat menempatkan server federasi di organisasi Anda | Merencanakan Penempatan Server Federasi |
Tentukan apakah server federasi yang berdiri sendiri atau farm server federasi lebih baik untuk penyebaran Anda. | Kapan Membuat Server Federasi |
Tentukan apakah server federasi baru ini akan dibuat di organisasi mitra akun atau di organisasi mitra sumber daya. | Tinjau Peran Server Federasi di Mitra Akun |
Tinjau informasi tentang bagaimana server federasi menggunakan sertifikat komunikasi layanan dan sertifikat penandatanganan token untuk mengautentikasi permintaan proksi klien dan server federasi dengan aman. Perhatian: Meskipun telah lama menjadi praktik umum untuk menggunakan sertifikat dengan nama host yang tidak memenuhi syarat seperti https://myserver, sertifikat ini tidak memiliki nilai keamanan dan dapat memungkinkan penyerang untuk meniru Layanan Federasi Layanan Federasi Direktori Aktif kepada klien perusahaan. Oleh karena itu, disarankan agar Anda menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) seperti https://myserver.contoso.com dan hanya menggunakan sertifikat SSL yang dikeluarkan untuk FQDN Layanan Federasi Anda. | Persyaratan Sertifikat untuk Server Federasi |
Tinjau informasi tentang cara memperbarui jaringan perusahaan Sistem Nama Domain (DNS) sehingga resolusi nama yang berhasil ke server federasi dapat terjadi. | Persyaratan Resolusi Nama untuk Server Federasi |
Bergabunglah dengan komputer yang akan menjadi server federasi ke domain di forest mitra akun atau forest mitra sumber daya tempat ia akan digunakan untuk mengautentikasi pengguna forest tersebut atau dari hutan kepercayaan. Catatan: Jika Anda ingin menyiapkan server federasi di organisasi mitra akun, komputer harus terlebih dahulu bergabung ke domain apa pun di forest tempat server federasi Anda akan digunakan untuk mengautentikasi pengguna dari forest tersebut atau dari hutan kepercayaan. | Menggabungkan Komputer ke Domain |
Buat catatan sumber daya baru di DNS jaringan perusahaan yang mengarahkan nama host DNS server federasi ke alamat IP server federasi. | Menambahkan Rekaman Sumber Daya Host (A) ke DNS Perusahaan untuk Server Federasi |
(Opsional) Jika Anda akan menambahkan server federasi ke farm server federasi, Anda mungkin harus terlebih dahulu mengekspor kunci privat sertifikat penandatanganan token yang ada (pada server federasi pertama di farm) sehingga Anda memiliki format file sertifikat yang siap ketika server federasi lain harus mengimpor sertifikat yang sama. Mengekspor kunci privat tidak diperlukan ketika sertifikat autentikasi server yang dikeluarkan dapat digunakan kembali oleh beberapa komputer (tanpa perlu mengekspor) atau kapan Anda akan mendapatkan sertifikat autentikasi server unik untuk setiap server federasi di farm. Catatan: Snap-in Manajemen Layanan Federasi Direktori Aktif mengacu pada sertifikat autentikasi server untuk server federasi sebagai sertifikat komunikasi layanan. |
Mengekspor Bagian Kunci Privat dari Sertifikat Autentikasi Server |
Setelah Anda mendapatkan sertifikat autentikasi server (atau kunci privat) dari otoritas sertifikasi (CA), Anda kemudian harus mengimpor file sertifikat ke situs Web default untuk setiap server federasi. Catatan: Menginstal sertifikat ini pada situs Web default adalah persyaratan sebelum Anda dapat menggunakan Panduan Konfigurasi Server Federasi Federasi Layanan Federasi Direktori Aktif. | Mengimpor Sertifikat Autentikasi Server ke Situs Web Default |
(Opsional) Sebagai alternatif untuk mendapatkan sertifikat autentikasi server dari CA, Anda dapat menggunakan Layanan Informasi Internet (IIS) untuk membuat sertifikat sampel untuk server federasi Anda. Perhatian: Ini bukan praktik terbaik keamanan untuk menyebarkan server federasi di lingkungan produksi dengan menggunakan sertifikat autentikasi server yang ditandatangani sendiri. | IIS: Buat Sertifikat Server yang Ditandatangani Sendiri lalu selesaikan prosedur Impor Sertifikat Autentikasi Server ke Situs Web Default |
Jika Anda akan mengonfigurasi lingkungan farm server federasi di organisasi mitra akun, Anda harus membuat dan mengonfigurasi akun layanan khusus di Active Directory Domain Services (AD DS) tempat farm akan berada dan mengonfigurasi setiap server federasi di farm untuk menggunakan akun ini. Dengan melakukan prosedur ini, Anda akan mengizinkan klien di jaringan perusahaan untuk mengautentikasi ke salah satu server federasi di farm menggunakan Autentikasi Terintegrasi Windows. | Mengonfigurasi Akun Layanan secara Manual untuk Farm Server Federasi |
Instal layanan peran Layanan Federasi di komputer yang akan menjadi server federasi. | Menginstal Layanan Peran Layanan Federasi |
Konfigurasikan perangkat lunak Layanan Federasi Direktori Aktif di komputer untuk bertindak dalam peran server federasi dengan menggunakan Wizard Konfigurasi Server Federasi Federasi Direktori Aktif. Ikuti prosedur ini saat Anda ingin menyiapkan server federasi yang berdiri sendiri, buat server federasi pertama di farm baru atau gabungkan komputer ke farm server federasi yang ada. Catatan: Untuk desain Akses Menyeluruh (SSO) Web Federasi, Anda harus memiliki setidaknya satu server federasi di organisasi mitra akun dan setidaknya satu server federasi di organisasi mitra sumber daya. |
Membuat Server Federasi Mandiri |
(Opsional) Gunakan snap-in Manajemen Layanan Federasi Direktori Aktif untuk menambahkan dan mengonfigurasi sertifikat LAYANAN Federasi Direktori Aktif yang diperlukan untuk menyebarkan desain Anda. Untuk informasi selengkapnya tentang kapan harus menambahkan atau mengubah sertifikat menggunakan snap-in, lihat Persyaratan Sertifikat untuk Server Federasi. | Menambahkan Sertifikat Penandatanganan Token |
Jika ini adalah server federasi pertama di organisasi Anda, konfigurasikan Layanan Federasi sehingga sesuai dengan desain Layanan Federasi Direktori Aktif Anda. | Daftar periksa: Mengonfigurasi Organisasi Mitra Akun |
Dari komputer klien, verifikasi bahwa server federasi beroperasi. | Verifikasi bahwa Server Federasi Beroperasi |