Elenco di controllo: Configurazione di un server federativo
Questo elenco di controllo include le attività di distribuzione che sono necessari per preparare un server che esegue Windows Server® 2012 per il ruolo server federativo in Active Directory Federation Services (AD FS).
Nota
Completare le attività dell'elenco di controllo nell'ordine indicato. Quando un collegamento a un riferimento porta a una procedura, tornare a questo argomento una volta completati i passaggi della procedura, in modo da poter procedere con le operazioni rimanenti nell'elenco di controllo.
Elenco di controllo: configurazione di un Server federativo
| Attività | Riferimento |
|---|---|
| Prima di iniziare la distribuzione di server federativi ADFS, esaminare il; 1) vantaggi e svantaggi della scelta di Database interno di Windows (WID) o SQL Server per archiviare il database di configurazione di ADFS 2.) Tipi di topologia di distribuzione AD FS e i suggerimenti di layout posizionamento e la rete di server associato. |  Determinare la topologia di distribuzione di AD FS |
| Esaminare la capacità di ADFS sulla pianificazione per determinare il numero corretto di server federativi, che è necessario utilizzare nell'ambiente di produzione. | Pianificazione della capacità per i server federativi |
| Esaminare le informazioni nella Guida alla progettazione di ADFS sulla dove posizionare i server federativi nell'organizzazione | Pianificazione del posizionamento dei server federativi |
| Determinare se un server federativo autonomo o una server farm federativa è migliore per la distribuzione. | Quando creare un server federativo |
| Determinare se verrà creato il nuovo server federativo nell'organizzazione partner account o nell'organizzazione partner risorse. | Rivedere il ruolo del server federativo nel partner account |
| Esaminare le informazioni sul modo in cui i server federativi usano i certificati per le comunicazioni del servizio e per la firma di token al fine di autenticare in modo sicuro le richieste proxy dei client e dei server federativi. Attenzione: sebbene sia da tempo pratica comune usare certificati con nomi host non qualificati come https://myserver, questi certificati non hanno alcun valore di sicurezza e possono consentire a un utente malintenzionato di impersonare il servizio federativo AD FS per i client aziendali. Pertanto, è consigliabile usare un nome di dominio completo (FQDN), ad esempio https://myserver.contoso.com e solo certificati SSL rilasciati per il nome di dominio completo del servizio federativo. | Requisiti dei certificati per i server federativi |
| Esaminare le informazioni sull'aggiornamento della rete aziendale Domain Name System (DNS) in modo che possa essere eseguita la risoluzione dei nomi corretta per i server federativi. | Requisiti per la risoluzione dei nomi per i server federativi |
| Aggiungere il computer che diventerà il server federativo a un dominio nella foresta del partner account o foresta del partner risorse dove verrà utilizzata per autenticare gli utenti della foresta o da foreste trusting. Nota: Se si desidera configurare un server federativo nell'organizzazione partner account, il computer deve essere aggiunto prima di qualsiasi dominio nella foresta in cui il server federativo verrà utilizzato per autenticare gli utenti da una foresta o da foreste trusting. |  Aggiunta di un computer a un dominio |
| Creare un nuovo record di risorse in DNS che punta il nome host DNS del server federativo per l'indirizzo IP del server federativo della rete aziendale. | Aggiungere un record di risorse host (A) al DNS aziendale per un server federativo |
| (Facoltativo) Se si aggiungerà un server federativo a una server farm federativa, è necessario innanzitutto esportare la chiave privata del certificato per la firma di token esistente nel primo server federativo della farm, in modo da disporre di un formato di file del certificato quando gli altri server federativi dovranno importare lo stesso certificato. L'esportazione della chiave privata non è necessaria nel caso in cui il certificato di autenticazione del server rilasciato possa essere riutilizzato da più computer, senza doverlo esportare, oppure nel caso in cui si ottengano certificati di autenticazione del server univoci per ogni server federativo della farm. Nota: Lo snap-in di Gestione AD FS fa riferimento ai certificati di autenticazione server per i server di federazione in qualità di certificati di comunicazione del servizio. |
Esportare la parte di chiave privata di un certificato di autenticazione server |
| Dopo aver ottenuto un certificato di autenticazione server o la chiave privata da un'autorità di certificazione (CA), è necessario importare il file del certificato nel sito Web predefinito per ogni server federativo. Nota: installato questo certificato nel sito Web predefinito è un requisito prima di poter utilizzare Configurazione guidata Server federativo AD FS. | Importare un certificato di autenticazione server nel sito Web predefinito |
| (Facoltativo) In alternativa all'ottenimento di un certificato di autenticazione server da una CA, è possibile utilizzare Internet Information Services (IIS) per creare un certificato di esempio per il server federativo. Attenzione: non è una procedura consigliata per la sicurezza distribuire un server federativo in un ambiente di produzione usando un certificato di autenticazione server autofirmato. | IIS: Creare un certificato del server autofirmato e quindi completare la procedura Importare un certificato di autenticazione server nel sito Web predefinito |
| Se si configurerà un ambiente server farm federativo in un'organizzazione partner account, è necessario creare e configurare un account di servizio dedicato in Active Directory Domain Services (AD DS) in cui risiederà la farm, e configurare ogni server federativo nella farm per l'uso di questo account. Eseguendo questa procedura, si consente ai client nella rete aziendale per l'autenticazione dei server federativi nella farm utilizzando l'autenticazione integrata di Windows. | Configurare manualmente un account di servizio per una server farm federativa |
| Installare il servizio ruolo servizio federativo nel computer che diventerà il server federativo. | Installare il servizio ruolo del servizio federativo |
| Configurare il software ADFS nel computer di agire nel ruolo server federativo utilizzando Configurazione guidata Server federativo AD FS. Eseguire questa procedura quando si desidera configurare un server federativo autonomo, creare il primo server federativo in una nuova farm o aggiungere un computer a una server farm federativa esistente. Nota: per la progettazione Single Sign-On (SSO) Web federativo, è necessario disporre di almeno un server federativo nell'organizzazione partner account e almeno un server federativo nell'organizzazione partner risorse. |
Creare un server federativo autonomo
|
| (Facoltativo) Usare lo snap-in Gestione AD FS per aggiungere e configurare i certificati AD FS necessari per distribuire la progettazione. Per altre informazioni sui casi in cui aggiungere o modificare i certificati usando lo snap-in, vedere Requisiti dei certificati per i server federativi. |  Aggiungere un certificato per la firma di token |
| Se questo è il primo server federativo nell'organizzazione, configurare il servizio federativo in modo che sia conforme alla progettazione di ADFS. | Elenco di controllo: configurazione dell'organizzazione partner account
|
| Da un computer client, verificare che il server federativo sia operativo. | Verificare il funzionamento di un server federativo |