Mengonfigurasi Server Federasi

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Setelah Anda menginstal layanan peran Layanan Federasi Direktori Aktif (AD FS) di komputer Anda, Anda siap untuk mengonfigurasi komputer ini untuk menjadi server federasi. Anda dapat melakukan salah satu hal berikut:

• Mengonfigurasi server federasi pertama di farm server federasi baru

• Menambahkan server federasi ke farm server federasi yang sudah ada

Mengonfigurasi server federasi pertama di farm server federasi baru

Untuk mengonfigurasi server federasi pertama di farm server federasi baru dengan menggunakan Panduan Konfigurasi Layanan Federasi Direktori Aktif

Catatan

Pastikan Anda memiliki izin administrator domain atau memiliki kredensial administrator domain yang tersedia sebelum Anda melakukan prosedur ini.

1. Pada halaman Dasbor Manajer Server, klik bendera Pemberitahuan, lalu klik Konfigurasikan layanan federasi di server.

   Wizard Konfigurasi Layanan Federasi Direktori Aktif terbuka.

2. Pada halaman Selamat Datang , pilih Buat server federasi pertama di farm server federasi, lalu klik Berikutnya.

3. Pada halaman Koneksi ke AD DS, tentukan akun dengan menggunakan izin administrator domain untuk domain Direktori Aktif (AD) tempat komputer ini bergabung, lalu klik Berikutnya.

4. Pada halaman Tentukan Properti Layanan, lakukan hal berikut ini, lalu klik Berikutnya:

   • Impor file .pfx yang berisi sertifikat Secure Socket Layer (SSL) dan kunci yang telah Anda peroleh sebelumnya. Di Langkah 2: Daftarkan Sertifikat SSL untuk Layanan Federasi Direktori Aktif, Anda telah mendapatkan sertifikat ini dan menyalinnya ke komputer yang ingin Anda konfigurasi sebagai server federasi. Untuk mengimpor file .pfx melalui wizard, klik Impor, lalu telusuri ke lokasi file. Masukkan kata sandi untuk file .pfx saat Anda diminta.

   • Berikan nama untuk layanan federasi Anda. Misalnya, fs.contoso.com. Nama ini harus cocok dengan salah satu nama alternatif subjek atau subjek dalam sertifikat.

   • Berikan nama tampilan untuk layanan federasi Anda. Misalnya, Contoso Corporation. Pengguna melihat nama ini di halaman masuk Active Directory Federation Services (AD FS).

5. Pada halaman Tentukan Akun Layanan, tentukan akun layanan. Anda dapat membuat atau menggunakan grup Akun Layanan Terkelola (gMSA) yang sudah ada atau menggunakan akun pengguna domain yang sudah ada. Jika Anda memilih opsi untuk membuat akun gMSA baru, tentukan nama untuk akun baru. Jika Anda memilih opsi untuk menggunakan gMSA atau akun domain yang sudah ada, klik Pilih untuk memilih akun.

   Catatan

   Manfaat menggunakan akun gMSA adalah fitur pembaruan kata sandi yang dinegosiasikan secara otomatis.

   Peringatan

   Jika Anda ingin menggunakan akun gMSA, Anda harus memiliki setidaknya satu pengendali domain di lingkungan Anda yang menjalankan sistem operasi Windows Server 2012.

   Jika opsi gMSA dinonaktifkan, dan Anda melihat pesan kesalahan, seperti Akun Layanan Terkelola Grup tidak tersedia karena Kunci Akar KDS belum diatur, Anda dapat mengaktifkan gMSA di domain Anda dengan menjalankan perintah Windows PowerShell berikut pada pengendali domain, yang menjalankan Windows Server 2012 atau yang lebih baru, di domain Direktori Aktif Anda: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Lalu kembali ke wizard, klik Sebelumnya, lalu klik Berikutnya untuk memasukkan kembali halaman Tentukan Akun Layanan. Opsi gMSA sekarang harus diaktifkan. Anda dapat memilihnya dan memasukkan nama akun gMSA yang ingin Anda gunakan.

6. Pada halaman Tentukan Database Konfigurasi, tentukan database konfigurasi Layanan Federasi Direktori Aktif, lalu klik Berikutnya. Anda dapat membuat database di komputer ini dengan menggunakan Database Internal Windows (WID), atau Anda dapat menentukan lokasi dan nama instans Microsoft SQL Server.

   Untuk informasi selengkapnya, lihat Peran Database Konfigurasi AD FS.

   Penting

   Jika Anda ingin membuat farm Layanan Federasi Direktori Aktif dan menggunakan SQL Server untuk menyimpan data konfigurasi, Anda dapat menggunakan SQL Server 2008 dan versi yang lebih baru, termasuk SQL Server 2012 dan SQL Server 2014.

7. Pada halaman Tinjau Opsi , verifikasi pilihan konfigurasi Anda, lalu klik Berikutnya.

8. Pada halaman Pemeriksaan prasyarat , verifikasi bahwa semua pemeriksaan prasyarat berhasil diselesaikan, lalu klik Konfigurasikan.

9. Pada halaman Hasil , tinjau hasilnya dan periksa apakah konfigurasi berhasil diselesaikan, lalu klik Langkah berikutnya yang diperlukan untuk menyelesaikan penyebaran layanan federasi Anda. Untuk informasi selengkapnya, lihat Langkah berikutnya untuk menyelesaikan penginstalan Layanan Federasi Direktori Aktif Anda. Klik Tutup untuk keluar dari wizard.

Untuk mengonfigurasi server federasi pertama di farm server federasi baru melalui Windows PowerShell

Anda dapat membuat farm server federasi baru dengan menggunakan akun gMSA baru atau yang sudah ada atau akun pengguna domain yang sudah ada.

• Jika Anda ingin membuat server federasi baru dengan menggunakan akun gMSA baru, lakukan hal berikut:

  Penting

  Anda harus memiliki izin administrator domain untuk membuat server federasi pertama di farm server federasi baru.

  1. Pada komputer yang ingin Anda konfigurasi sebagai server federasi, pastikan bahwa sertifikat SSL yang diperlukan telah diimpor ke direktori Komputer Lokal\Penyimpanan Saya. Anda dapat memverifikasi apakah sertifikat SSL telah diimpor dengan menjalankan perintah berikut di jendela perintah Windows PowerShell: dir Cert:\LocalMachine\My. Sertifikat dicantumkan oleh thumbprint-nya di direktori Komputer Lokal\Penyimpanan Saya.

  2. Pada pengendali domain Anda, buka jendela perintah Windows PowerShell dan jalankan perintah berikut untuk memverifikasi apakah Kunci Akar KDS telah dibuat di domain Anda: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Jika belum dibuat sehingga output tidak menampilkan informasi, jalankan perintah berikut untuk membuat kunci: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

  3. Di komputer yang ingin Anda konfigurasi sebagai server federasi, buka jendela perintah Windows PowerShell, dan jalankan perintah berikut:

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
     

     Peringatan

     Tanda $ di akhir perintah sebelumnya diperlukan.

     Untuk mendapatkan nilai untuk <certificate_thumbprint>, jalankan dir Cert:\LocalMachine\My, lalu pilih thumbprint sertifikat SSL Anda. Nilai <federation_service_name> adalah nama layanan federasi Anda, misalnya, fs.contoso.com.

     Catatan

     Jika ini BUKAN pertama kalinya Anda menjalankan perintah ini, tambahkan OverwriteConfiguration parameter .

     Catatan

     Perintah sebelumnya membuat farm WID. Jika Anda ingin membuat farm server SQL Server, Anda harus memiliki instans SQL Server yang sudah diinstal dan beroperasi.

     Anda dapat menggunakan perintah berikut untuk membuat server federasi pertama di farm baru yang menggunakan instans SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" di mana <SQL_Host_Name> adalah nama server tempat SQL Server berjalan, dan <SQL_instance_name> adalah nama instans SQL Server. Jika Anda menggunakan instans default SQL Server, gunakan nilai SQL Koneksi ionString dari "Sumber Data=<SQL_Host_Name>; Keamanan Terintegrasi=True".

     Penting

     Jika Anda ingin membuat farm Layanan Federasi Direktori Aktif dan menggunakan SQL Server untuk menyimpan data konfigurasi, Anda dapat menggunakan SQL Server 2008 dan versi yang lebih baru, termasuk SQL Server 2012.

• Jika Anda ingin membuat server federasi baru dengan menggunakan akun pengguna domain yang sudah ada, lakukan hal berikut:

  1. Pada komputer yang ingin Anda konfigurasi sebagai server federasi, pastikan bahwa sertifikat SSL yang diperlukan telah diimpor ke direktori Komputer Lokal\Penyimpanan Saya. Anda dapat memverifikasi apakah sertifikat SSL telah diimpor dengan menjalankan perintah berikut di jendela perintah Windows PowerShell: dir Cert:\LocalMachine\My. Sertifikat dicantumkan oleh thumbprint-nya di direktori Komputer Lokal\Penyimpanan Saya.

  2. Di komputer yang ingin Anda konfigurasi sebagai server federasi, buka jendela perintah Windows PowerShell, lalu jalankan perintah berikut: $fscred = Get-Credential. Masukkan kredensial akun pengguna domain yang ingin Anda gunakan untuk akun layanan federasi dalam format domain\nama pengguna.

  3. Di jendela perintah Windows PowerShell yang sama, jalankan perintah berikut:

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
     

     Untuk mendapatkan nilai untuk <certificate_thumbprint>, jalankan dir Cert:\LocalMachine\My, lalu pilih thumbprint sertifikat SSL Anda. Nilai <federation_service_name> adalah nama layanan federasi Anda, misalnya, fs.contoso.com.

     Catatan

     Jika ini BUKAN pertama kalinya Anda menjalankan perintah ini, tambahkan OverwriteConfiguration parameter .

     Catatan

     Perintah sebelumnya membuat farm WID. Jika Anda ingin membuat farm SQL Server, Anda harus memiliki instans SQL Server yang sudah diinstal dan beroperasi.

     Anda dapat menggunakan perintah berikut untuk membuat server federasi pertama di farm baru yang menggunakan instans SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" di mana SQL_Host_Name adalah nama server tempat SQL Server berjalan, dan SQL_instance_name adalah nama instans SQL Server. Jika Anda menggunakan instans default SQL Server, gunakan nilai SQL Koneksi ionString dari "Sumber Data=<SQL_Host_Name>; Keamanan Terintegrasi=True".

     Penting

     Jika Anda ingin membuat farm Layanan Federasi Direktori Aktif dan menggunakan SQL Server untuk menyimpan data konfigurasi, Anda dapat menggunakan SQL Server 2008 dan versi yang lebih baru, termasuk SQL Server 2012 dan SQL Server 2014.

Menambahkan server federasi ke farm server federasi yang sudah ada

Penting

Pastikan Anda telah menyelesaikan Langkah 3: Instal Layanan Peran Layanan Federasi Direktori Aktif, sebelum Anda memulai salah satu prosedur di bagian ini.

Penting

Pastikan Anda telah mendapatkan sertifikat autentikasi server SSL yang valid sebelum Menyelesaikan prosedur ini.

Untuk menambahkan server federasi ke farm server federasi yang ada melalui Panduan Konfigurasi Layanan Federasi Direktori Aktif

1. Pada halaman Dasbor Manajer Server, klik bendera Pemberitahuan, lalu klik Konfigurasikan layanan federasi di server.

   Wizard Konfigurasi Layanan Federasi Direktori Aktif terbuka.

2. Pada halaman Selamat Datang , pilih Tambahkan server federasi ke farm server federasi, lalu klik Berikutnya.

3. Pada halaman Koneksi ke AD DS, tentukan akun dengan menggunakan izin administrator domain untuk domain AD tempat komputer ini bergabung, lalu klik Berikutnya.

4. Pada halaman Tentukan Farm , berikan nama server federasi utama di farm yang menggunakan WID atau tentukan nama host database dan nama instans database dari farm server federasi yang ada yang menggunakan SQL Server.

   Peringatan

   Di Windows Server® 2012 R2, ada solusi untuk menentukan instans default SQL Server. Solusinya adalah tidak menggunakan antarmuka pengguna. Sebagai gantinya, gunakan langkah-langkah di Untuk mengonfigurasi server federasi pertama di farm server federasi baru melalui Windows PowerShell.

   Penting

   Jika Anda ingin membuat farm Layanan Federasi Direktori Aktif dan menggunakan SQL Server untuk menyimpan data konfigurasi, Anda dapat menggunakan SQL Server 2008 dan versi yang lebih baru, termasuk SQL Server 2012.

5. Pada halaman Tentukan Sertifikat SSL, impor file .pfx yang berisi sertifikat dan kunci SSL yang telah Anda peroleh sebelumnya. Sertifikat ini adalah sertifikat autentikasi layanan yang diperlukan. Di Langkah 2: Daftarkan Sertifikat SSL untuk Layanan Federasi Direktori Aktif, Anda telah mendapatkan sertifikat ini dan menyalinnya ke komputer yang ingin Anda konfigurasi sebagai server federasi. Untuk mengimpor file .pfx melalui wizard, klik Impor dan telusuri ke lokasi file. Masukkan kata sandi untuk file .pfx saat Anda diminta.

6. Pada halaman Tentukan Akun Layanan, tentukan akun layanan yang sama dengan yang Anda konfigurasi saat membuat server federasi pertama di farm. Anda dapat menggunakan Akun Layanan Terkelola grup yang sudah ada atau akun pengguna domain yang sudah ada.

   Penting

   Akun yang Anda tentukan harus akun yang sama dengan akun yang digunakan pada server federasi utama di farm ini.

7. Pada halaman Tinjau Opsi , verifikasi pilihan konfigurasi Anda, lalu klik Berikutnya.

8. Pada halaman Pemeriksaan prasyarat , verifikasi bahwa semua pemeriksaan prasyarat berhasil diselesaikan, lalu klik Konfigurasikan.

9. Pada halaman Hasil , tinjau hasilnya dan periksa apakah konfigurasi berhasil diselesaikan, lalu klik Langkah berikutnya yang diperlukan untuk menyelesaikan penyebaran layanan federasi Anda. Untuk informasi selengkapnya, lihat Langkah berikutnya untuk menyelesaikan penginstalan Layanan Federasi Direktori Aktif Anda. Klik Tutup untuk keluar dari wizard.

Untuk menambahkan server federasi ke farm server federasi yang ada melalui Windows PowerShell

Anda dapat menambahkan server federasi ke farm yang sudah ada dengan menggunakan akun gMSA yang sudah ada atau akun pengguna domain yang sudah ada.

• Jika Anda ingin bergabung dengan server federasi ke farm dengan menggunakan akun gMSA yang sudah ada, lakukan hal berikut:

  1. Pada komputer yang ingin Anda konfigurasi sebagai server federasi, pastikan bahwa sertifikat SSL yang diperlukan telah diimpor ke direktori Komputer Lokal\Penyimpanan Saya. Anda dapat memverifikasi apakah sertifikat SSL telah diimpor dengan menjalankan perintah berikut di jendela perintah Windows PowerShell: dir Cert:\LocalMachine\My. Sertifikat dicantumkan oleh thumbprint-nya di direktori Komputer Lokal\Penyimpanan Saya.

  2. Di komputer yang ingin Anda konfigurasi sebagai server federasi, buka jendela perintah Windows PowerShell, dan jalankan perintah berikut.

     Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     <domain>\<GMSA_name> adalah domain AD Anda dan nama akun gMSA Anda di domain tersebut. <first_federation_server_hostname> adalah nama host server federasi utama di farm yang ada ini.

     Anda dapat memperoleh nilai untuk <certificate_thumbprint> dengan menjalankan dir Cert:\LocalMachine\My di langkah sebelumnya.

     Catatan

     Jika ini BUKAN pertama kalinya Anda menjalankan perintah ini, tambahkan OverwriteConfiguration parameter .

     Catatan

     Perintah sebelumnya membuat simpul farm WID. Jika Anda ingin membuat simpul farm server komputer yang menjalankan SQL Server, Anda harus memiliki instans SQL Server yang sudah diinstal dan beroperasi.

     Anda dapat menggunakan perintah berikut untuk menambahkan server federasi ke farm yang sudah ada yang menggunakan instans SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" di mana SQL_Host_Name adalah nama server tempat SQL Server berjalan, dan SQL_instance_name adalah nama instans SQL Server. Jika Anda menggunakan instans default SQL Server, gunakan nilai SQL Koneksi ionString dari "Sumber Data=<SQL_Host_Name>; Keamanan Terintegrasi=True".

     Penting

     Jika Anda ingin membuat farm Layanan Federasi Direktori Aktif dan menggunakan SQL Server untuk menyimpan data konfigurasi, Anda dapat menggunakan SQL Server 2008 dan versi yang lebih baru, termasuk SQL Server 2012 dan SQL Server 2014.

• Jika Anda ingin bergabung dengan server federasi ke farm dengan menggunakan akun pengguna domain yang sudah ada, lakukan hal berikut:

  1. Di komputer yang ingin Anda konfigurasi sebagai server federasi, buka jendela Windows PowerShellcommand, lalu jalankan perintah berikut: $fscred = get-credential. Masukkan kredensial akun pengguna domain yang ingin Anda gunakan untuk akun layanan federasi dalam format domain\nama pengguna.

  2. Pada komputer yang ingin Anda konfigurasi sebagai server federasi, pastikan bahwa sertifikat SSL yang diperlukan telah diimpor ke direktori Komputer Lokal\Penyimpanan Saya. Anda dapat memverifikasi apakah sertifikat SSL telah diimpor dengan menjalankan perintah berikut di jendela Windows PowerShellcommand: dir Cert:\LocalMachine\My. Sertifikat dicantumkan oleh thumbprint-nya di direktori Komputer Lokal\Penyimpanan Saya.

  3. Di jendela perintah Windows PowerShell yang sama, jalankan perintah berikut.

     Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     Catatan

     Jika ini BUKAN pertama kalinya Anda menjalankan perintah ini, tambahkan OverwriteConfiguration parameter .

     Catatan

     Perintah sebelumnya membuat simpul farm WID. Jika Anda ingin membuat simpul farm server komputer yang menjalankan SQL Server, Anda harus memiliki instans SQL Server yang sudah diinstal dan beroperasi. Anda dapat menggunakan perintah berikut untuk menambahkan server federasi ke farm yang ada dengan menggunakan instans SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" di mana SQL_Host_Name adalah nama server tempat instans SQL Server berjalan, dan SQL_instance_name adalah nama instans SQL Server. Jika Anda menggunakan instans default SQL Server, gunakan nilai SQL Koneksi ionString dari "Sumber Data=<SQL_Host_Name>; Keamanan Terintegrasi=True".

     Penting

     Jika Anda ingin membuat farm Layanan Federasi Direktori Aktif dan menggunakan SQL Server untuk menyimpan data konfigurasi, Anda dapat menggunakan SQL Server 2008 dan versi yang lebih baru, termasuk SQL Server 2012 dan SQL Server 2014.

Lihat Juga

Penyebaran Layanan Federasi Direktori Aktif

Panduan Penyebaran Layanan Federasi Direktori Aktif Windows Server 2012 R2

Menyebarkan Farm Server Federasi