Mengonfigurasi Akun Layanan secara Manual untuk Farm Server Federasi
Jika Anda ingin mengonfigurasi lingkungan farm server federasi di Layanan Federasi Direktori Aktif (AD FS), Anda harus membuat dan mengonfigurasi akun layanan khusus di Active Directory Domain Services (AD DS) tempat farm akan berada. Anda kemudian mengonfigurasi setiap server federasi di farm untuk menggunakan akun ini. Anda harus menyelesaikan tugas berikut di organisasi Anda ketika Anda ingin mengizinkan komputer klien di jaringan perusahaan untuk mengautentikasi ke salah satu server federasi di farm Layanan Federasi Direktori Aktif menggunakan Autentikasi Terintegrasi Windows.
Penting
Pada LAYANAN Federasi Direktori Aktif 3.0 (Windows Server 2012 R2), Layanan Federasi Direktori Aktif mendukung penggunaan Akun Layanan Terkelola Grup (gMSA) sebagai akun layanan. Ini adalah opsi yang direkomendasikan, karena menghapus kebutuhan untuk mengelola kata sandi akun layanan dari waktu ke waktu. Dokumen ini mencakup kasus alternatif menggunakan akun layanan tradisional, seperti di domain yang masih menjalankan tingkat fungsional domain (DFL) Windows Server 2008 R2 atau sebelumnya.
Catatan
Anda harus melakukan tugas dalam prosedur ini hanya satu kali untuk seluruh farm server federasi. Nantinya, saat Anda membuat server federasi dengan menggunakan Wizard Konfigurasi Server Federasi Federasi Layanan Federasi Direktori Aktif, Anda harus menentukan akun yang sama ini pada halaman wizard Akun Layanan pada setiap server federasi di farm.
Membuat akun layanan khusus
Buat akun pengguna/layanan khusus di forest Direktori Aktif yang terletak di organisasi penyedia identitas. Akun ini diperlukan agar protokol autentikasi Kerberos berfungsi dalam skenario farm dan untuk memungkinkan autentikasi pass-through pada setiap server federasi. Gunakan akun ini hanya untuk tujuan farm server federasi.
Edit properti akun pengguna, dan pilih kotak centang Kata Sandi tidak pernah kedaluwarsa. Tindakan ini memastikan bahwa fungsi akun layanan ini tidak terganggu sebagai akibat dari persyaratan perubahan kata sandi domain.
Catatan
Menggunakan akun Layanan Jaringan untuk akun khusus ini akan mengakibatkan kegagalan acak ketika akses dicoba melalui Autentikasi Terintegrasi Windows, sebagai akibat dari tiket Kerberos yang tidak memvalidasi dari satu server ke server lain.
Untuk mengatur SPN akun layanan
Karena identitas kumpulan aplikasi untuk AppPool Layanan Federasi Direktori Aktif berjalan sebagai akun pengguna/layanan domain, Anda harus mengonfigurasi Nama Prinsipal Layanan (SPN) untuk akun tersebut di domain dengan alat baris perintah Setspn.exe. Setspn.exe diinstal secara default pada komputer yang menjalankan Windows Server 2008 . Jalankan perintah berikut di komputer yang bergabung ke domain yang sama tempat akun pengguna/layanan berada:
setspn -a host/<server name> <service account>Misalnya, dalam skenario di mana semua server federasi diklusterkan di bawah nama host Sistem Nama Domain (DNS) fs.fabrikam.com dan nama akun layanan yang ditetapkan ke Ad FS AppPool diberi nama adfs2farm, ketik perintah sebagai berikut, lalu tekan ENTER:
setspn -a host/fs.fabrikam.com adfs2farmAnda perlu menyelesaikan tugas ini hanya sekali untuk akun ini.
Setelah identitas AppPool Layanan Federasi Direktori Aktif diubah ke akun layanan, atur daftar kontrol akses (ACL) pada database SQL Server untuk mengizinkan akses Baca ke akun baru ini sehingga AppPool Layanan Federasi Direktori Aktif dapat membaca data kebijakan.