Condividi tramite

Configurare un server federativo

Dopo aver installato il servizio ruolo Active Directory Federation Services (AD FS) nel computer, è possibile configurare il computer in modo che diventi un server federativo. Eseguire una delle operazioni seguenti:

Configurare il primo server federativo in una nuova server farm federativa

Per configurare il primo server federativo in una nuova farm di server federativa utilizzando la Configurazione guidata del Servizio federativo di Active Directory

Nota

Assicurarsi di disporre delle autorizzazioni di amministratore di dominio o di disporre delle credenziali di amministratore di dominio disponibili prima di eseguire questa procedura.

  1. Nella pagina Dashboard di Server Manager fare clic sul flag Notifiche e quindi su Configura il servizio federativo nel server.

    Verrà visualizzata la Procedura guidata di configurazione del servizio federativo Active Directory.

  2. Nella pagina iniziale selezionare Crea il primo server federativo in una server farm federativa e quindi fare clic su Avanti.

  3. Nella pagina Connetti ad Active Directory Domain Services specificare un account usando le autorizzazioni di amministratore di dominio per il dominio di Active Directory (AD) a cui viene aggiunto il computer e quindi fare clic su Avanti.

  4. Nella pagina Specifica proprietà servizio eseguire le operazioni seguenti e quindi fare clic su Avanti:

    • Importare il file pfx contenente il certificato SSL (Secure Socket Layer) e la chiave ottenuti in precedenza. Nel passaggio 2: Registrare un certificato SSL per AD FS, è stato ottenuto questo certificato e copiato nel computer che si desidera configurare come server federativo. Per importare il file con estensione pfx tramite la procedura guidata, fare clic su Importa e quindi passare al percorso del file. Immettere la password per il file pfx quando richiesto.

    • Specificare un nome per il servizio federativo. Ad esempio, fs.contoso.com. Questo nome deve corrispondere a uno dei nomi alternativi dell'oggetto o del soggetto nel certificato.

    • Specificare un nome visualizzato per il servizio federativo. Ad esempio, Contoso Corporation. Gli utenti visualizzano questo nome nella pagina di accesso di Active Directory Federation Services (AD FS).

  5. Nella pagina Specificare l'account del servizio specificare un account del servizio. È possibile creare o usare un account del servizio gestito del gruppo esistente o un account utente di dominio esistente. Selezionando l'opzione per creare un nuovo account di servizio gestito di gruppo (gMSA), specifica un nome per il nuovo account. Selezionando l'opzione per utilizzare un gMSA (account del servizio gestito del gruppo) o un account di dominio esistente, fare clic su Seleziona per selezionare un account.

    Nota

    Il vantaggio dell'uso di un account gMSA è la sua funzionalità di aggiornamento automatico delle password negoziata.

    Avvertimento

    Se si desidera utilizzare un account gMSA, è necessario disporre di almeno un controller di dominio nell'ambiente che sia in esecuzione sul sistema operativo Windows Server 2012.

    Se l'opzione gMSA è disabilitata e viene visualizzato un messaggio di errore, ad esempio Gli account del servizio gestito di gruppo non sono disponibili perché la chiave radice KDS non è stata impostata, è possibile abilitare l'account del servizio gestito del gruppo nel dominio eseguendo il comando di Windows PowerShell seguente in un controller di dominio, che esegue Windows Server 2012 o versione successiva, nel dominio di Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Tornare quindi alla procedura guidata, fare clic su Indietro e quindi fare clic su Avanti per riaccedere alla pagina Specifica account del servizio. L'opzione gMSA dovrebbe ora essere abilitata. È possibile selezionarlo e inserire un nome di account gMSA (servizio gestito del gruppo) che si vuole usare.

  6. Nella pagina Specifica database di configurazione specificare un database di configurazione di AD FS e quindi fare clic su Avanti. È possibile creare un database in questo computer usando database interno di Windows oppure specificare il percorso e il nome dell'istanza di Microsoft SQL Server.

    Per altre informazioni, vedere Ruolo del database di configurazione di AD FS.

    Importante

    Se si vuole creare una farm AD FS e usare SQL Server per archiviare i dati di configurazione, è possibile usare SQL Server 2008 e versioni più recenti, inclusi SQL Server 2012 e SQL Server 2014.

  7. Nella pagina Verifica opzioni verificare le selezioni di configurazione e quindi fare clic su Avanti.

  8. Nella pagina Controlli prerequisiti verificare che tutti i controlli dei prerequisiti siano stati completati correttamente e quindi fare clic su Configura.

  9. Nella pagina Risultati esaminare i risultati e verificare se la configurazione è stata completata correttamente e quindi fare clic su Passaggi successivi necessari per completare la distribuzione del servizio federativo. Per altre informazioni, vedere Passaggi successivi per completare l'installazione di AD FS. Fare clic su Chiudi per uscire dalla procedura guidata.

Per configurare il primo server federativo in una nuova server farm federativa tramite Windows PowerShell

È possibile creare una nuova farm di server federativi utilizzando un account gMSA nuovo o esistente o un account utente di dominio esistente.

  • Se si vuole creare un nuovo server di federazione usando un nuovo account gMSA, procedere come segue:

    Importante

    È necessario disporre delle autorizzazioni di amministratore di dominio per creare il primo server federativo in una nuova server farm federativa.

    1. Nel computer che si vuole configurare come server federativo, assicurarsi che il certificato SSL richiesto sia stato importato nella directory Computer locale\Archivio personale. È possibile verificare se il certificato SSL è stato importato eseguendo il comando seguente nella finestra di comando di Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato è elencato dalla sua impronta digitale nella directory Computer locale\Store personale.

    2. Nel controller di dominio aprire la finestra di comando di Windows PowerShell ed eseguire il comando seguente per verificare se la chiave radice KDS è stata creata nel dominio: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Se non è stato creato in modo che l'output non visualizzi informazioni, eseguire il comando seguente per creare la chiave: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. Nel computer che si vuole configurare come server federativo aprire la finestra di comando di Windows PowerShell ed eseguire il comando seguente:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Avvertimento

      Il $ segno alla fine del comando precedente è obbligatorio.

      Per ottenere il valore per <certificate_thumbprint>, eseguire dir Cert:\LocalMachine\My e quindi selezionare l'impronta digitale del certificato SSL. Il valore di <federation_service_name> è il nome del servizio federativo, ad esempio fs.contoso.com.

      Nota

      Se non è la prima volta che si esegue questo comando, aggiungere il OverwriteConfiguration parametro .

      Nota

      Il comando precedente crea una farm WID. Se si vuole creare una server farm di SQL Server, è necessario disporre di un'istanza di SQL Server già installata e operativa.

      È possibile usare il comando seguente per creare il primo server federativo in una nuova farm che usa un'istanza di SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" dove <SQL_Host_Name> è il nome del server in cui è in esecuzione SQL Server e <SQL_instance_name> è il nome dell'istanza di SQL Server. Se si utilizza l'istanza predefinita di SQL Server, utilizzare un valore SQLConnectionString "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Importante

      Se si vuole creare una farm AD FS e usare SQL Server per archiviare i dati di configurazione, è possibile usare SQL Server 2008 e versioni più recenti, incluso SQL Server 2012.

  • Per creare un nuovo server federativo usando un account utente di dominio esistente, eseguire le operazioni seguenti:

    1. Nel computer che si vuole configurare come server federativo, assicurarsi che il certificato SSL richiesto sia stato importato nella directory Computer locale\Archivio personale. È possibile verificare se il certificato SSL è stato importato eseguendo il comando seguente nella finestra di comando di Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato è elencato dalla sua impronta digitale nella directory Computer locale\Store personale.

    2. Nel computer che si vuole configurare come server federativo aprire la finestra di comando di Windows PowerShell e quindi eseguire il comando seguente: $fscred = Get-Credential. Immettere le credenziali dell'account utente di dominio che si desidera usare per l'account del servizio federativo nel formato dominio\nome utente.

    3. Nella stessa finestra di comando di Windows PowerShell eseguire il comando seguente:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Per ottenere il valore per <certificate_thumbprint>, eseguire dir Cert:\LocalMachine\My e quindi selezionare l'impronta digitale del tuo certificato SSL. Il valore di <federation_service_name> è il nome del servizio federativo, ad esempio fs.contoso.com.

      Nota

      Se non è la prima volta che si esegue questo comando, aggiungere il OverwriteConfiguration parametro .

      Nota

      Il comando precedente crea una farm WID. Se si vuole creare una farm di SQL Server, è necessario che l'istanza di SQL Server sia già installata e operativa.

      È possibile usare il comando seguente per creare il primo server federativo in una nuova farm che usa un'istanza di SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" dove SQL_Host_Name è il nome del server in cui è in esecuzione SQL Server e SQL_instance_name è il nome dell'istanza di SQL Server. Se si utilizza l'istanza predefinita di SQL Server, utilizzare un valore SQLConnectionString "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Importante

      Se si vuole creare una farm AD FS e usare SQL Server per archiviare i dati di configurazione, è possibile usare SQL Server 2008 e versioni più recenti, inclusi SQL Server 2012 e SQL Server 2014.

Aggiungere un server federativo a una server farm federativa esistente

Importante

Assicurarsi di aver completato il passaggio 3: Installare il servizio ruolo AD FS, prima di avviare una delle procedure descritte in questa sezione.

Importante

Assicurarsi di aver ottenuto un certificato di autenticazione server SSL valido prima di completare questa procedura.

Per aggiungere un server federativo a una farm di server federativa esistente tramite la Configurazione guidata del servizio federativo Active Directory

  1. Nella pagina Dashboard di Server Manager fare clic sul flag Notifiche e quindi su Configura il servizio federativo nel server.

    Verrà visualizzata la Procedura guidata di configurazione del servizio federativo Active Directory.

  2. Nella pagina iniziale selezionare Aggiungi un server federativo a una server farm federativa e quindi fare clic su Avanti.

  3. Nella pagina Connetti ad Active Directory Domain Services specificare un account usando le autorizzazioni di amministratore di dominio per il dominio AD a cui è aggiunto il computer e quindi fare clic su Avanti.

  4. Nella pagina Specifica farm specificare il nome del server federativo primario in una farm che utilizza WID o specificare il nome host del database e il nome dell'istanza del database di una server farm federativa esistente che utilizza SQL Server.

    Avvertimento

    In Windows Server® 2012 R2 è disponibile una soluzione alternativa per specificare l'istanza predefinita di SQL Server. La soluzione alternativa consiste nell'non usare l'interfaccia utente. Usare invece i passaggi descritti in Per configurare il primo server federativo in una nuova server farm federativa tramite Windows PowerShell.

    Importante

    Se si vuole creare una farm AD FS e usare SQL Server per archiviare i dati di configurazione, è possibile usare SQL Server 2008 e versioni più recenti, incluso SQL Server 2012.

  5. Nella pagina Specifica certificato SSL importare il file pfx contenente il certificato SSL e la chiave ottenuti in precedenza. Questo certificato è il certificato di autenticazione del servizio richiesto. Nel passaggio 2: Registrare un certificato SSL per AD FS, è stato ottenuto il certificato e copiato nel computer che si desidera configurare come server federativo. Per importare il file con estensione pfx tramite la procedura guidata, fare clic su Importa e passare al percorso del file. Immettere la password per il file pfx quando richiesto.

  6. Nella pagina Specificare l'account del servizio specificare lo stesso account del servizio configurato al momento della creazione del primo server federativo nella farm. È possibile usare un account del servizio gestito del gruppo esistente o un account utente di dominio esistente.

    Importante

    L'account specificato deve essere lo stesso account dell'account utilizzato nel server federativo primario in questa farm.

  7. Nella pagina Verifica opzioni verificare le selezioni di configurazione e quindi fare clic su Avanti.

  8. Nella pagina Controlli prerequisiti verificare che tutti i controlli dei prerequisiti siano stati completati correttamente e quindi fare clic su Configura.

  9. Nella pagina Risultati esaminare i risultati e verificare se la configurazione è stata completata correttamente e quindi fare clic su Passaggi successivi necessari per completare la distribuzione del servizio federativo. Per altre informazioni, vedere Passaggi successivi per completare l'installazione di AD FS. Fare clic su Chiudi per uscire dalla procedura guidata.

Per aggiungere un server federativo a una server farm federativa esistente tramite Windows PowerShell

È possibile aggiungere un server federativo a una farm esistente usando un account gMSA esistente o un account utente di dominio esistente.

  • Se si vuole unire un server di federazione a una farm usando un account esistente del servizio gestito del gruppo, seguire i passaggi seguenti:

    1. Nel computer che si vuole configurare come server federativo, assicurarsi che il certificato SSL richiesto sia stato importato nella directory Computer locale\Archivio personale. È possibile verificare se il certificato SSL è stato importato eseguendo il comando seguente nella finestra di comando di Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato è elencato dalla sua impronta digitale nella directory Computer locale\Store personale.

    2. Nel computer che si vuole configurare come server federativo aprire la finestra di comando di Windows PowerShell ed eseguire il comando seguente.

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> è il tuo dominio AD e il nome dell'account gMSA in tale dominio. <first_federation_server_hostname> è il nome host del server federativo primario in questa farm esistente.

      È possibile ottenere il valore per <certificate_thumbprint> eseguendo dir Cert:\LocalMachine\My nel passaggio precedente.

      Nota

      Se non è la prima volta che si esegue questo comando, aggiungere il OverwriteConfiguration parametro .

      Nota

      Il comando precedente crea un nodo farm WID. Se si vuole creare un nodo della server farm di computer che eseguono SQL Server, è necessario che l'istanza di SQL Server sia già installata e operativa.

      È possibile usare il comando seguente per aggiungere un server federativo a una farm esistente che usa un'istanza di SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" dove SQL_Host_Name è il nome del server in cui è in esecuzione SQL Server e SQL_instance_name è il nome dell'istanza di SQL Server. Se si utilizza l'istanza predefinita di SQL Server, utilizzare un valore SQLConnectionString "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Importante

      Se si vuole creare una farm AD FS e usare SQL Server per archiviare i dati di configurazione, è possibile usare SQL Server 2008 e versioni più recenti, inclusi SQL Server 2012 e SQL Server 2014.

  • Se si vuole aggiungere un server federativo a una farm usando un account utente di dominio esistente, eseguire le operazioni seguenti:

    1. Nel computer che si vuole configurare come server federativo aprire la finestra di comando di Windows PowerShell e quindi eseguire il comando seguente: $fscred = get-credential. Immettere le credenziali dell'account utente di dominio che si desidera usare per l'account del servizio federativo nel formato dominio\nome utente.

    2. Nel computer che si vuole configurare come server federativo, assicurarsi che il certificato SSL richiesto sia stato importato nella directory Computer locale\Archivio personale. È possibile verificare se il certificato SSL è stato importato eseguendo il comando seguente nella finestra di comando di Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato è elencato dalla sua impronta digitale nella directory Computer locale\Store personale.

    3. Nella stessa finestra di comando di Windows PowerShell eseguire il comando seguente.

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Nota

      Se non è la prima volta che si esegue questo comando, aggiungere il OverwriteConfiguration parametro .

      Nota

      Il comando precedente crea un nodo farm WID. Se si vuole creare un nodo della server farm di computer che eseguono SQL Server, è necessario che l'istanza di SQL Server sia già installata e operativa. È possibile usare il comando seguente per aggiungere un server federativo a una farm esistente usando un'istanza di SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" dove SQL_Host_Name è il nome del server in cui è in esecuzione l'istanza di SQL Server e SQL_instance_name è il nome dell'istanza di SQL Server. Se si utilizza l'istanza predefinita di SQL Server, utilizzare un valore SQLConnectionString "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Importante

      Se si vuole creare una farm AD FS e usare SQL Server per archiviare i dati di configurazione, è possibile usare SQL Server 2008 e versioni più recenti, inclusi SQL Server 2012 e SQL Server 2014.

Vedere anche

Distribuzione di AD FS

Guida alla distribuzione di AD FS di Windows Server 2012 R2

Distribuzione di una server farm federativa