Bagikan melalui

Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2

  • Artikel

Topik ini menguraikan langkah-langkah untuk mengonfigurasi lingkungan pengujian yang dapat digunakan untuk menyelesaikan panduan dalam panduan panduan berikut:

Catatan

Kami tidak menyarankan Agar Anda menginstal server web dan server federasi pada komputer yang sama.

Untuk menyiapkan lingkungan pengujian ini, selesaikan langkah-langkah berikut:

  1. Langkah 1: Mengonfigurasi pengendali domain (DC1)

  2. Langkah 2: Mengonfigurasi server federasi (ADFS1) dengan Device Registration Service

  3. Langkah 3: Mengonfigurasi server web (WebServ1) dan aplikasi berbasis klaim sampel

  4. Langkah 4: Mengonfigurasi komputer klien (Client1)

Langkah 1: Mengonfigurasi pengendali domain (DC1)

Untuk tujuan lingkungan pengujian ini, Anda dapat memanggil domain Direktori Aktif akar Anda contoso.com dan menentukan pass@word1 sebagai kata sandi administrator.

  • Instal layanan peran AD DS dan instal Active Directory Domain Services (AD DS) untuk menjadikan komputer Anda pengontrol domain di Windows Server 2012 R2 . Tindakan ini meningkatkan skema AD DS Anda sebagai bagian dari pembuatan pengendali domain. Untuk informasi selengkapnya dan instruksi langkah demi langkah, lihathttps://technet.microsoft.com/library/hh472162.aspx.

Membuat akun Direktori Aktif pengujian

Setelah pengendali domain berfungsi, Anda dapat membuat grup pengujian dan menguji akun pengguna di domain ini dan menambahkan akun pengguna ke akun grup. Anda menggunakan akun ini untuk menyelesaikan panduan dalam panduan penelusuran yang dirujuk sebelumnya dalam topik ini.

Buat akun berikut:

  • Pengguna: Robert Hatley dengan kredensial berikut: Nama pengguna: RobertH dan kata sandi: P@ssword

  • Grup: Keuangan

Untuk informasi tentang cara membuat akun pengguna dan grup di Direktori Aktif (AD), lihat https://technet.microsoft.com/library/cc783323%28v.aspx.

Tambahkan akun Robert Hatley ke grup Keuangan. Untuk informasi tentang cara menambahkan pengguna ke grup di Direktori Aktif, lihat https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Membuat akun GMSA

Akun Layanan Terkelola grup (GMSA) diperlukan selama penginstalan dan konfigurasi Layanan Federasi Direktori Aktif (AD FS).

Untuk membuat akun GMSA

  1. Buka jendela perintah Windows PowerShell dan ketik:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

Langkah 2: Mengonfigurasi server federasi (ADFS1) dengan menggunakan Device Registration Service

Untuk menyiapkan komputer virtual lain, instal Windows Server 2012 R2 dan sambungkan ke domain contoso.com. Siapkan komputer setelah Anda menggabungkannya ke domain, lalu lanjutkan untuk menginstal dan mengonfigurasi peran Layanan Federasi Direktori Aktif.

Untuk video, lihat Seri Video Panduan Layanan Federasi Direktori Aktif: Menginstal Layanan Server Layanan Federasi Direktori Aktif.

Menginstal sertifikat SSL server

Anda harus menginstal sertifikat Secure Socket Layer (SSL) server di server ADFS1 di penyimpanan komputer lokal. Sertifikat HARUS memiliki atribut berikut:

  • Nama Subjek (CN): adfs1.contoso.com

  • Nama Alternatif Subjek (DNS): adfs1.contoso.com

  • Nama Alternatif Subjek (DNS): enterpriseregistration.contoso.com

Untuk informasi selengkapnya tentang menyiapkan sertifikat SSL, lihat Mengonfigurasi SSL/TLS pada situs Web di domain dengan ENTERPRISE CA.

Seri Video Panduan Layanan Federasi Direktori Aktif: Memperbarui Sertifikat.

Menginstal peran server Layanan Federasi Direktori Aktif

Untuk menginstal layanan peran Layanan Federasi

  1. Masuk ke server dengan menggunakan akun administrator@contoso.comadministrator domain .

  2. Mulai Manajer Server. Untuk memulai Pengelola Server, klik Manajer Server pada layar Mulai Windows, atau klik Manajer Server pada bilah tugas Windows pada desktop Windows. Pada tab Mulai Cepat dari petak peta Selamat Datang di halaman Dasbor, klik Tambahkan peran dan fitur. Atau, Anda dapat mengklik Tambahkan Peran dan Fitur pada menu Kelola .

  3. Pada halaman Sebelum Anda memulai, klik Berikutnya.

  4. Pada halaman Pilih jenis penginstalan, klik Penginstalan berbasis peran atau berbasis fitur, lalu klik Berikutnya.

  5. Pada halaman Pilih server tujuan, klik Pilih server dari kumpulan server, verifikasi bahwa komputer target dipilih, lalu klik Berikutnya.

  6. Pada halaman Pilih peran server, klik Layanan Federasi Direktori Aktif, lalu klik Berikutnya.

  7. Pada halaman Pilih fitur, klik Berikutnya.

  8. Pada halaman Layanan Federasi Direktori Aktif (AD FS), klik Berikutnya.

  9. Setelah Anda memverifikasi informasi pada halaman Konfirmasi pilihan penginstalan, pilih kotak centang Mulai ulang server tujuan secara otomatis jika diperlukan , lalu klik Instal.

  10. Pada halaman Kemajuan penginstalan, verifikasi bahwa semuanya terinstal dengan benar, lalu klik Tutup.

Mengonfigurasi server federasi

Langkah selanjutnya adalah mengonfigurasi server federasi.

Untuk mengonfigurasi server federasi

  1. Pada halaman Dasbor Manajer Server, klik bendera Pemberitahuan, lalu klik Konfigurasikan layanan federasi di server.

    Wizard Konfigurasi Layanan Federasi Direktori Aktif terbuka.

  2. Pada halaman Selamat Datang , pilih Buat server federasi pertama di farm server federasi, lalu klik Berikutnya.

  3. Pada halaman Koneksi ke AD DS, tentukan akun dengan hak administrator domain untuk domain contoso.com Active Directory tempat komputer ini bergabung, lalu klik Berikutnya.

  4. Pada halaman Tentukan Properti Layanan, lakukan hal berikut ini, lalu klik Berikutnya:

    • Impor sertifikat SSL yang telah Anda peroleh sebelumnya. Sertifikat ini adalah sertifikat autentikasi layanan yang diperlukan. Telusuri ke lokasi sertifikat SSL Anda.

    • Untuk memberikan nama untuk layanan federasi Anda, ketik adfs1.contoso.com. Nilai ini adalah nilai yang sama dengan yang Anda berikan saat mendaftarkan sertifikat SSL di Active Directory Certificate Services (AD CS).

    • Untuk memberikan nama tampilan untuk layanan federasi Anda, ketik Contoso Corporation.

  5. Pada halaman Tentukan Akun Layanan, pilih Gunakan akun pengguna domain atau grup Akun Layanan Terkelola yang sudah ada, lalu tentukan akun GMSA fsgmsa yang Anda buat saat membuat pengontrol domain.

  6. Pada halaman Tentukan Database Konfigurasi, pilih Buat database di server ini menggunakan Database Internal Windows, lalu klik Berikutnya.

  7. Pada halaman Tinjau Opsi , verifikasi pilihan konfigurasi Anda, lalu klik Berikutnya.

  8. Pada halaman Pemeriksaan Prasyarat , verifikasi bahwa semua pemeriksaan prasyarat berhasil diselesaikan, lalu klik Konfigurasikan.

  9. Pada halaman Hasil , tinjau hasilnya, periksa apakah konfigurasi telah berhasil diselesaikan, lalu klik Langkah berikutnya yang diperlukan untuk menyelesaikan penyebaran layanan federasi Anda.

Mengonfigurasi Device Registration Service

Langkah selanjutnya adalah mengonfigurasi Device Registration Service di server ADFS1. Untuk video, lihat Seri Video Panduan Layanan Federasi Direktori Aktif: Mengaktifkan Layanan Pendaftaran Perangkat.

Untuk mengonfigurasi Device Registration Service untuk Windows Server 2012 RTM

  1. Penting

    Langkah berikut berlaku untuk build Windows Server 2012 R2 RTM.

    Buka jendela perintah Windows PowerShell dan ketik:

    Initialize-ADDeviceRegistration

    Ketika Anda dimintai akun layanan, ketik contoso\fsgmsa$.

    Sekarang jalankan cmdlet Windows PowerShell.

    Enable-AdfsDeviceRegistration

  2. Di server ADFS1, di konsol Manajemen Layanan Federasi Direktori Aktif, navigasikan ke Kebijakan Autentikasi. Pilih Edit Autentikasi Utama Global. Pilih kotak centang di samping Aktifkan Autentikasi Perangkat, lalu klik OK.

Menambahkan Rekaman Sumber Daya Host (A) dan Alias (CNAME) ke DNS

Di DC1, Anda harus memastikan bahwa catatan Sistem Nama Domain (DNS) berikut dibuat untuk Layanan Pendaftaran Perangkat.

Entri Jenis Alamat
adfs1 Host (A) Alamat IP server AD FS
enterpriseregistration Alias (CNAME) adfs1.contoso.com

Anda dapat menggunakan prosedur berikut untuk menambahkan rekaman sumber daya host (A) ke server nama DNS perusahaan untuk server federasi dan Device Registration Service.

Keanggotaan dalam grup Administrator atau yang setara adalah persyaratan minimum untuk menyelesaikan prosedur ini. Tinjau detail tentang menggunakan akun dan keanggotaan grup yang sesuai di HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" Grup Lokal dan Default Domain (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Untuk menambahkan rekaman sumber daya host (A) dan alias (CNAME) ke DNS untuk server federasi Anda

  1. Di DC1, dari Manajer Server, pada menu Alat , klik DNS untuk membuka snap-in DNS.

  2. Di pohon konsol, perluas DC1, perluas Teruskan Zona Pencarian, klik kanan contoso.com, lalu klik Host Baru (A atau AAAA).

  3. Di Nama, ketik nama yang ingin Anda gunakan untuk farm Layanan Federasi Direktori Aktif Anda. Untuk panduan ini, ketik adfs1.

  4. Di alamat IP, ketik alamat IP server ADFS1. Klik Tambahkan Host.

  5. Klik kanan contoso.com, lalu klik Alias Baru (CNAME).

  6. Dalam kotak dialog Rekaman Sumber Daya Baru, ketik enterpriseregistration di kotak Nama alias.

  7. Dalam kotak Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) host target, ketik adfs1.contoso.com, lalu klik OK.

    Penting

    Dalam penyebaran dunia nyata, jika perusahaan Anda memiliki beberapa akhiran nama prinsipal pengguna (UPN), Anda harus membuat beberapa catatan CNAME, satu untuk masing-masing akhiran UPN tersebut di DNS.

Langkah 3: Mengonfigurasi server web (WebServ1) dan aplikasi berbasis klaim sampel

Siapkan komputer virtual (WebServ1) dengan menginstal sistem operasi Windows Server 2012 R2 dan menyambungkannya ke domain contoso.com. Setelah bergabung ke domain, Anda dapat melanjutkan untuk menginstal dan mengonfigurasi peran Server Web.

Untuk menyelesaikan panduan yang dirujuk sebelumnya dalam topik ini, Anda harus memiliki aplikasi sampel yang diamankan oleh server federasi Anda (ADFS1).

Anda harus menyelesaikan langkah-langkah berikut untuk menyiapkan server web dengan aplikasi berbasis klaim sampel ini.

Catatan

Langkah-langkah ini telah diuji pada server web yang menjalankan sistem operasi Windows Server 2012 R2.

  1. Menginstal Peran Server Web dan Windows Identity Foundation

  2. Menginstal Windows Identity Foundation SDK

  3. Mengonfigurasi aplikasi klaim sederhana di IIS

  4. Membuat kepercayaan pihak yang mengandalkan di server federasi Anda

Menginstal peran Server Web dan Windows Identity Foundation

  1. Catatan

    Anda harus memiliki akses ke media penginstalan Windows Server 2012 R2.

    Masuk ke WebServ1 dengan menggunakan administrator@contoso.com dan kata sandi pass@word1.

  2. Dari Manajer Server, pada tab Mulai Cepat dari petak peta Selamat Datang di halaman Dasbor, klik Tambahkan peran dan fitur. Atau, Anda dapat mengklik Tambahkan Peran dan Fitur pada menu Kelola .

  3. Pada halaman Sebelum Anda memulai, klik Berikutnya.

  4. Pada halaman Pilih jenis penginstalan, klik Penginstalan berbasis peran atau berbasis fitur, lalu klik Berikutnya.

  5. Pada halaman Pilih server tujuan, klik Pilih server dari kumpulan server, verifikasi bahwa komputer target dipilih, lalu klik Berikutnya.

  6. Pada halaman Pilih peran server, pilih kotak centang di samping Server Web (IIS), klik Tambahkan Fitur, lalu klik Berikutnya.

  7. Pada halaman Pilih fitur , pilih Windows Identity Foundation 3.5, lalu klik Berikutnya.

  8. Pada halaman Peran Server Web (IIS), klik Berikutnya.

  9. Pada halaman Pilih layanan peran, pilih dan perluas Pengembangan Aplikasi. Pilih ASP.NET 3.5, klik Tambahkan Fitur, lalu klik Berikutnya.

  10. Pada halaman Konfirmasi pilihan penginstalan, klik Tentukan jalur sumber alternatif. Masukkan jalur ke direktori Sxs yang terletak di media penginstalan Windows Server 2012 R2. Misalnya D:\Sources\Sxs. Klik OK, lalu klik Instal.

Menginstal Windows Identity Foundation SDK

  1. Jalankan WindowsIdentityFoundation-SDK-3.5.msi untuk menginstal Windows Identity Foundation SDK 3.5. Pilih semua opsi default.

Mengonfigurasi aplikasi klaim sederhana di IIS

  1. Instal sertifikat SSL yang valid di penyimpanan sertifikat komputer. Sertifikat harus berisi nama server web Anda, webserv1.contoso.com.

  2. Salin konten C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp to C:\Inetpub\Claimapp.

  3. Edit file Default.aspx.cs sehingga tidak ada pemfilteran klaim yang terjadi. Langkah ini dilakukan untuk memastikan bahwa aplikasi sampel menampilkan semua klaim yang dikeluarkan oleh server federasi. Lakukan:

    1. Buka Default.aspx.cs di editor teks.

    2. Cari file untuk instans kedua .ExpectedClaims

    3. Komentari seluruh IF pernyataan dan kurung kurawalnya. Tunjukkan komentar dengan mengetik "//" (tanpa tanda kutip) di awal baris.

    4. Pernyataan Anda FOREACH sekarang akan terlihat seperti contoh kode ini.

      Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}

    5. Simpan dan tutup Default.aspx.cs.

    6. Buka web.config di editor teks.

    7. Hapus seluruh <microsoft.identityModel> bagian. Hapus semuanya mulai dari including <microsoft.identityModel> dan hingga dan termasuk </microsoft.identityModel>.

    8. Simpan dan tutup web.config.

  4. Mengonfigurasi IIS Manager

    1. Buka Manajer Layanan Informasi Internet (IIS).

    2. Buka Kumpulan Aplikasi, klik kanan DefaultAppPool untuk memilih Pengaturan Tingkat Lanjut. Atur Muat Profil Pengguna ke True, lalu klik OK.

    3. Klik kanan DefaultAppPool untuk memilih Pengaturan Dasar. Ubah Versi .NET CLR menjadi .NET CLR Versi v2.0.50727.

    4. Klik kanan Situs Web Default untuk memilih Edit Pengikatan.

    5. Tambahkan pengikatan HTTPS ke port 443 dengan sertifikat SSL yang telah Anda instal.

    6. Klik kanan Situs Web Default untuk memilih Tambahkan Aplikasi.

    7. Atur alias ke claimapp dan jalur fisik ke c:\inetpub\claimapp.

  5. Untuk mengonfigurasi claimapp agar berfungsi dengan server federasi Anda, lakukan hal berikut:

    1. Jalankan FedUtil.exe, yang terletak di C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5.

    2. Atur lokasi konfigurasi aplikasi ke C:\inetput\claimapp\web.config dan atur URI aplikasi ke URL untuk situs Anda, https://webserv1.contoso.com /claimapp/. Klik Berikutnya.

    3. Pilih Gunakan STS yang sudah ada dan telusuri ke URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xmlmetadata server Layanan Federasi Direktori Aktif Anda . Klik Berikutnya.

    4. Pilih Nonaktifkan validasi rantai sertifikat, lalu klik Berikutnya.

    5. Pilih Tidak ada enkripsi, lalu klik Berikutnya. Pada halaman Klaim yang ditawarkan, klik Berikutnya.

    6. Pilih kotak centang di samping Jadwalkan tugas untuk melakukan pembaruan metadata WS-Federasi harian. Klik Selesai.

    7. Aplikasi sampel Anda sekarang dikonfigurasi. Jika Anda menguji URL https://webserv1.contoso.com/claimappaplikasi , url tersebut akan mengarahkan Anda ke server federasi Anda. Server federasi harus menampilkan halaman kesalahan karena Anda belum mengonfigurasi kepercayaan pihak yang mengandalkan. Dengan kata lain, Anda belum mengamankan aplikasi pengujian ini oleh Ad FS.

Anda sekarang harus mengamankan aplikasi sampel yang berjalan di server web Anda dengan Layanan Federasi Direktori Aktif. Anda dapat melakukan ini dengan menambahkan kepercayaan pihak yang mengandalkan di server federasi Anda (ADFS1). Untuk video, lihat Seri Video Panduan Layanan Federasi Direktori Aktif: Menambahkan Kepercayaan Pihak yang Mengandalkan.

Membuat kepercayaan pihak yang mengandalkan di server federasi Anda

  1. Di server federasi (ADFS1) Anda, di konsol Manajemen Layanan Federasi Direktori Aktif, navigasikan ke Kepercayaan Pihak yang Mengandalkan, lalu klik Tambahkan Kepercayaan Pihak yang Mengandalkan.

  2. Pada halaman Pilih Sumber Data, pilih Impor data tentang pihak yang mengandalkan yang diterbitkan secara online atau di jaringan lokal, masukkan URL metadata untuk claimapp, lalu klik Berikutnya. Menjalankan FedUtil.exe membuat file metadata .xml. Ini terletak di https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

  3. Pada halaman Tentukan Nama Tampilan, tentukan nama tampilan untuk kepercayaan pihak yang mengandalkan Anda, claimapp, lalu klik Berikutnya.

  4. Pada halaman Konfigurasi Autentikasi Multifaktor Sekarang? , pilih Saya tidak ingin menentukan pengaturan autentikasi multifaktor untuk kepercayaan pihak yang mengandalkan ini saat ini, lalu klik Berikutnya.

  5. Pada halaman Pilih Aturan Otorisasi Penerbitan, pilih Izinkan semua pengguna untuk mengakses pihak yang mengandalkan ini, lalu klik Berikutnya.

  6. Pada halaman Siap Menambahkan Kepercayaan , klik Berikutnya.

  7. Pada kotak dialog Edit Aturan Klaim, klik Tambahkan Aturan.

  8. Pada halaman Pilih Jenis Aturan, pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.

  9. Pada halaman Konfigurasikan Aturan Klaim, dalam kotak Nama aturan klaim, ketik Semua Klaim. Dalam kotak Aturan kustom, ketik aturan klaim berikut.

    c:[ ]
=> issue(claim = c);

  10. Klik Selesai, lalu klik OK.

Langkah 4: Mengonfigurasi komputer klien (Client1)

Siapkan komputer virtual lain dan instal Windows 8.1. Komputer virtual ini harus berada di jaringan virtual yang sama dengan komputer lain. Komputer ini TIDAK boleh bergabung ke domain Contoso.

Klien HARUS mempercayai sertifikat SSL yang digunakan untuk server federasi (ADFS1), yang Anda siapkan di Langkah 2: Mengonfigurasi server federasi (ADFS1) dengan Device Registration Service. Ini juga harus dapat memvalidasi informasi pencabutan sertifikat untuk sertifikat.

Anda juga harus menyiapkan dan menggunakan akun Microsoft untuk masuk ke Client1.

Lihat Juga