Preparar sua infraestrutura de rede para servidores de federação

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

A lista de verificação a seguir inclui as tarefas de preparação que você deve executar para implantar um farm de servidores de federação.

Nota

• Conclua as tarefas nessas listas de verificação em ordem. Quando um link de referência levar você a um procedimento, retorne a este tópico depois de concluir as etapas nesse procedimento para que você possa continuar com as tarefas restantes nesta lista de verificação.
  
  
• A menos que indicado de outra forma, para concluir todas as tarefas usando os procedimentos nesta seção, primeiro você deve ser conectado aos computadores como membro do grupo Administradores ou ter sido delegado permissões equivalentes.
  
  

lista de verificaçãolista de verificaçãolista de verificação do : preparar sua infraestrutura de rede para servidores de federação

Tarefa de implantação	Links para tópicos nesta seção	Concluído
1. Ingresse os computadores que se tornarão servidores de federação em um domínio em que os usuários do Active Directory serão autenticados. Nota Você pode ignorar essa etapa se usar controladores de domínio existentes como servidores de federação.		caixa de seleçãocaixa de seleção
2. Crie e configure um novo nome DNS de cluster NLB ou use um cluster NLB existente na rede corporativa que será usado pelo novo farm de servidores de federação. Em seguida, adicione os computadores do servidor de federação ao cluster NLB. Se você estiver usando a tecnologia do Windows Server para seus hosts NLB atuais, escolha o link apropriado para a direita com base na versão do sistema operacional. Nota Esta etapa é opcional em uma implantação de teste dessa solução de SSO com um único servidor de federação do AD FS.	Para criar e configurar clusters NLB no Windows Server 2003 e no Windows Server 2003 R2, consulte Checklist: Habilitar e configurar o Balanceamento de Carga de Rede. Para criar e configurar clusters NLB no Windows Server 2008, consulte Criando clusters de balanceamento de carga de rede. Para criar e configurar clusters NLB no Windows Server 2008 R2, consulte Criando clusters de balanceamento de carga de rede.	caixa de seleçãocaixa de seleção
3. Crie um novo registro de recurso para o nome DNS do cluster no DNS de rede corporativa que aponta o nome FQDN do cluster NLB para seu endereço IP do cluster.	Adicionar um registro de recurso ao DNS corporativo para o nome DNS do cluster configurado no host NLB corporativo	caixa de seleçãocaixa de seleção
4. Importe o certificado de autenticação do servidor para o Site Padrão para cada servidor de federação no farm. Nota Instalar esse certificado no Site Padrão é um requisito para que você possa usar o Assistente de Configuração do Servidor de Federação do AD FS.	importar um certificado de autenticação de servidor para o site padrão	caixa de seleçãocaixa de seleção
5. Crie e configure uma conta de serviço dedicada no Active Directory em que o farm de servidores de federação residirá e configurará cada servidor de federação no farm para usar essa conta.	configurar manualmente uma conta de serviço para um farm de servidores de federação	caixa de seleçãocaixa de seleção

Ingressar o computador em um domínio

Para que o AD FS funcione, cada computador que funciona como um servidor de federação deve ser ingressado em um domínio. Proxies de servidor de federação podem ser ingressados em um domínio, mas não é um requisito.

Se você quiser usar o AD FS no Windows Server 2012 R2, seu domínio do Active Directory deverá executar um dos seguintes procedimentos:

• Windows Server

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

Para ingressar o computador em um domínio

1. No computador que você deseja ingressar em um domínio, clique em Iniciar, clique em Painel de Controlee clique duas vezes System.

2. Em as configurações de nome, domínio e grupo de trabalho do computador, clique em Alterar configurações.

3. Na guia nome do computador , clique em Alterar.

4. Em Membro do, clique em Domínio, digite o nome do domínio ao qual este computador ingressará e clique em OK.

5. Clique em OKe reinicie o computador.

Adicionar um registro de recurso ao DNS corporativo para o nome DNS do cluster configurado no host NLB corporativo

Para que os clientes na rede corporativa acessem com êxito o Serviço de Federação, um registro de recurso de host (A) deve primeiro ser criado no DNS (Sistema de Nomes de Domínio) corporativo que resolve o nome DNS do cluster do Serviço de Federação (por exemplo, fs.fabrikam.com) para o endereço IP do cluster na rede corporativa (por exemplo, 172.16.1.3). Você pode usar o procedimento a seguir para adicionar um registro de recurso de host (A) ao DNS corporativo para o cluster NLB.

Para adicionar um registro de recurso ao DNS corporativo para o nome DNS do cluster configurado no host NLB corporativo

1. Em um servidor DNS para a rede corporativa, abra o snap-in DNS.

2. Na árvore de console, clique com o botão direito do mouse na zona de pesquisa de encaminhamento aplicável (por exemplo, fabrikam.com) e clique em Novo Host (A ou AAAA).

3. No Name, digite apenas o nome do computador do servidor de federação ou do cluster do servidor de federação; por exemplo, para o fs.fabrikam.com FQDN (nome de domínio totalmente qualificado), digite fs.

4. Em endereço IP, digite o endereço IP do servidor de federação ou do cluster do servidor de federação; por exemplo, 172.16.1.3.

5. Clique em Adicionarde Host.

   Importante

   Supõe-se que você esteja usando um servidor DNS, executando o Windows 2000 Server, o Windows Server 2003 ou o Windows Server 2008 com o serviço DNS Server, para controlar a zona DNS.

Importar um certificado de autenticação de servidor para o site padrão

Depois de obter um certificado de autenticação de servidor de uma AC (autoridade de certificação), você deverá instalar manualmente esse certificado no Site Padrão para cada servidor de federação em seu farm.

Como esse certificado deve ser confiável por clientes do AD FS e dos serviços de nuvem da Microsoft, use um certificado SSL emitido por uma AC pública (de terceiros) ou por uma AC subordinada a uma raiz publicamente confiável; por exemplo, VeriSign ou Thawte. Para obter informações sobre como instalar um certificado de uma AC pública, consulte IIS 7.0: Solicitar um certificado de servidor da Internet.

Nota

O nome da entidade desse certificado de autenticação de servidor deve corresponder ao FQDN do nome DNS do cluster (por exemplo, fs.fabrikam.com) criado anteriormente no host NLB. Se o IIS (Serviços de Informações da Internet) não tiver sido instalado, você deverá instalar o IIS primeiro para concluir essa tarefa. Ao instalar o IIS pela primeira vez, recomendamos que você use as opções de recurso padrão quando solicitado durante a instalação da função de servidor.

Para importar um certificado de autenticação de servidor para o site padrão

1. Clique em Iniciar, aponte para Todos os Programas, aponte para de Ferramentas Administrativas e clique em Gerente dos Serviços de Informações da Internet (IIS).

2. Na árvore de console, clique em ComputerName.

3. No painel central, clique duas vezes Certificados do Servidor.

4. No painel Ações, clique em Importar.

5. Na caixa de diálogo Importar Certificado, clique no botão ....

6. Navegue até o local do arquivo de certificado pfx, realce-o e clique em Abrir.

7. Digite uma senha para o certificado e clique em OK.

Criar uma conta de serviço dedicada para o farm de servidores de federação

Para configurar um ambiente de farm de servidores de federação no AD FS, você deve criar e configurar uma conta de serviço dedicada no Active Directory, onde o farm residirá. Essa conta de serviço dedicada é necessária para garantir que todos os recursos exigidos pelo farm do AD FS tenham acesso a cada um dos servidores de federação no farm.

Em seguida, você configura cada servidor de federação no farm para usar essa mesma conta de serviço. Por exemplo, se a conta de serviço que foi criada for fabrikam\ADFS2SVC, cada computador configurado para a função de servidor de federação e que participará do mesmo farm deverá especificar fabrikam\ADFS2SVC nesta etapa no Assistente de Configuração do Servidor de Federação para que o farm esteja operacional.

Nota

Você precisa executar as tarefas neste procedimento apenas uma vez para todo o farm de servidores de federação. Posteriormente, ao criar um servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS, você deve especificar essa mesma conta na página do assistente da Conta de Serviço em cada servidor de federação no farm.

Para criar uma conta de serviço dedicada para o farm de servidores de federação

1. Crie uma conta de usuário/serviço dedicada na floresta do Active Directory que você usará em sua organização.

2. Edite as propriedades da conta de usuário e selecione a caixa de seleção Senha nunca expira. Essa ação garante que a função dessa conta de serviço não seja interrompida como resultado dos requisitos de alteração de senha de domínio.

   Nota

   • Se você precisar alterar sua senha para a conta de serviço regularmente, consulte Configurando opções avançadas para o AD FS 2.0.
     
     
   • O uso da conta do Serviço de Rede para essa conta dedicada resultará em falhas aleatórias quando o acesso for tentado por meio da autenticação integrada do Windows, como resultado da não validação de tíquetes Kerberos de um servidor para outro.
     
     

Próxima etapa

Agora que você revisou os requisitos para implantar o AD FS, a próxima etapa é concluir as tarefas em qualquer uma das seguintes listas de verificação, dependendo de qual versão do AD FS você deseja usar:

• lista de verificação : implantar o farm de servidores de federação no Windows Server 2012 R2

• lista de verificação : implantar o farm de servidores de federação em versões herdadas do Windows Server

Consulte Também

Conceitos

Lista de verificação: use o AD FS para implementar e gerenciar o logon único