Поделиться через

Настройка первого сервера федерации в ферме серверов федерации

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

С помощью следующих процедур вы можете настроить компьютер как первый сервер федерации в новой ферме, используя мастер настройки сервера федерации AD FS.

Важно!

Службы AD FS можно установить и настроить как отдельный пакет (AD FS 2.0) для платформ под управлением операционных систем Windows Server 2008 и Windows Server 2008 R2. Службы AD FS также можно установить и настроить, добавив роль сервера службы федерации в операционной системе Windows Server 2012.

  • Создание первого сервера федерации в ферме с помощью AD FS 2.0 в Windows Server 2008 или Windows Server 2008 R2

  • Создание первого сервера федерации в ферме с помощью AD FS в Windows Server 2012

Создание первого сервера федерации в ферме с помощью AD FS 2.0 в Windows Server 2008 или Windows Server 2008 R2

Членство в администраторах домена или делегированная учетная запись домена, которой предоставлен доступ на запись к контейнеру данных программы в Active Directory, является минимальным доступом, необходимым для выполнения этой процедуры.

  1. После завершения установки программного обеспечения AD FS 2.0 нажмите кнопку "Пуск", а затем " Администрирование" и " Управление AD FS 2.0 ", чтобы открыть оснастку "Управление AD FS 2.0".

  2. На странице "Обзор" щелкните мастер настройки сервера федерации AD FS 2.0.

  3. На странице Приветствие убедитесь, что установлен флажок Создание новой службы федерации, а затем нажмите кнопку Далее.

  4. На странице Выбор изолированного развертывания или развертывания в ферме щелкните Создать ферму серверов федерации, а затем нажмите кнопку Далее.

  5. На странице Укажите имя службы федерации убедитесь, что показанный SSL-сертификат совпадает с именем сертификата, импортированного на веб-сайт по умолчанию в службах IIS по умолчанию. Если указан неверный сертификат, выберите соответствующий сертификат из списка SSL-сертификат.

    Примечание

    Этот мастер не позволяет переопределить сертификат, если для IIS настроен SSL-сертификат. Это гарантирует сохранность любой нужной конфигурации IIS для SSL-сертификатов. Чтобы обойти это ограничение, можно повторно выполнить импорт сертификата на веб-сайт по умолчанию в службах IIS.

  6. Если вы ранее переустановили AD FS на этом компьютере, откроется страница "Обнаружена существующая база данных конфигурации AD FS ". Если эта страница отображается, щелкните Удалить базу данных, а затем нажмите кнопку Далее.

  7. На странице Указание учетной записи службы щелкните Обзор. В диалоговом окне Обзор найдите доменную учетную запись, которая будет использоваться как учетная запись службы на новой ферме серверов федерации, а затем нажмите кнопку ОК. Введите пароль для этой учетной записи, подтвердите его и нажмите кнопку Далее.

  8. Просмотрите подробные сведения на странице Готовность к применению настроек. Если параметры выглядят правильными, нажмите кнопку "Далее ", чтобы начать настройку AD FS 2.0 с этими параметрами.

  9. Просмотрите результаты на странице Результаты конфигурации. После завершения всех шагов конфигурации нажмите кнопку Закрыть, чтобы выйти из мастера.

    Примечание

    После выполнения действий, описанных в этой процедуре, оснастка управления AD FS 2.0 автоматически откроется, и появится сообщение о том, что требуемая конфигурация является неполной и что необходимо добавить доверенной проверяющей стороны. Это сообщение можно пропустить.

    Доверие проверяющей стороны для Microsoft Azure Active Directory (Microsoft Azure AD) будет добавлено на следующем шаге. Дополнительные сведения см. в разделе Установка Windows PowerShell для единого входа с помощью AD FS. После завершения этого шага это сообщение исчезнет из оснастки управления AD FS 2.0.

  10. В правой области щелкните Изменить свойства службы федерации и измените отображаемое имя службы федерации на собственное имя, например название вашей компании. Это имя будут видеть ваши конечные пользователи при входе для доступа к приложениям с поддержкой единого входа.

Создание первого сервера федерации в ферме с помощью AD FS в Windows Server 2012

  1. Существует два способа запустить мастер настройки сервера федерации AD FS. Чтобы запустить мастер, выполните одно из следующих действий.

    • После завершения установки службы роли службы федерации, откройте оснастку управления AD FS и щелкните ссылку Мастер настройки сервера федерации AD FS на странице Обзор или на панели Действия.

    • В любой момент по окончании работы мастера настройки откройте проводник, найдите папку C:\Windows\ADFS и дважды щелкните FsConfigWizard.exe.

  2. На странице Приветствие убедитесь, что установлен флажок Создание новой службы федерации, а затем нажмите кнопку Далее.

  3. На странице Выбор изолированного развертывания или развертывания в ферме щелкните Создать ферму серверов федерации, а затем нажмите кнопку Далее.

  4. На странице Указание имени службы федерации убедитесь, что отображаемый SSL-сертификат верен. Если указан неверный сертификат, выберите соответствующий сертификат из списка SSL-сертификат.

    Этот сертификат создается на основе параметров SSL для веб-сайта по умолчанию. Если для веб-сайта по умолчанию настроен только один SSL-сертификат, он представлен и автоматически выбран для использования. Если для веб-сайта по умолчанию настроено несколько SSL-сертификатов, все эти сертификаты перечислены здесь и пользователь должен самостоятельно выбрать нужный. Если параметры SSL для веб-сайта по умолчанию не настроены, создается список из сертификатов, доступных в хранилище личных сертификатов на локальном компьютере.

    Примечание

    Этот мастер не позволяет переопределить сертификат, если для IIS настроен SSL-сертификат. Это гарантирует сохранность любой нужной конфигурации IIS для SSL-сертификатов. Для обхода этого ограничения можно удалить сертификат или перенастроить его вручную с помощью консоли управления IIS Management Console.

  5. Если выбранная база данных AD FS уже существует, появится страница Обнаружена существующая база данных настройки AD FS. Если эта страница отображается, щелкните Удалить базу данных, а затем нажмите кнопку Далее.

    Предупреждение

    Выберите этот параметр только если уверены, что данные в этой базе данных AD FS не важны или не используются в рабочей ферме серверов федерации.

  6. На странице Указание учетной записи службы щелкните Обзор. В диалоговом окне Обзор найдите доменную учетную запись, которая будет использоваться как учетная запись службы на новой ферме серверов федерации, а затем нажмите кнопку ОК. Введите пароль для этой учетной записи, подтвердите его и нажмите кнопку Далее.

  7. Просмотрите подробные сведения на странице Готовность к применению настроек. Если параметры верны, щелкните Далее для начала настройки AD FS с помощью этих параметров.

  8. Просмотрите результаты на странице Результаты конфигурации. После завершения всех шагов конфигурации нажмите кнопку Закрыть, чтобы выйти из мастера.

    securityПримечание по безопасности.
    В целях безопасности развертывания разрешение артефактов и обнаружение ответов отключены при использовании мастера конфигурации сервера федерации AD FS для настройки фермы серверов федерации. Мастер автоматически настраивает внутреннюю базу Windows для хранения данных конфигурации службы. Однако по ошибке можно отменить это изменение, включив конечную точку разрешения артефактов с помощью узла Конечные точки в оснастке управления AD FS или командлета Enable-ADFSEndpoint в Windows PowerShell. Следите за тем, чтобы не перенастроить параметры по умолчанию, — эта конечная точка должна оставаться отключенной при совместном использовании фермы серверов федерации и внутренней базы данных Windows.

Примечание

После настройки первого сервера федерации в ферме в правой области щелкните Изменить свойства службы федерации и измените отображаемое имя службы федерации на собственное имя, например название вашей компании. Это имя будут видеть ваши конечные пользователи при входе для доступа к приложениям с поддержкой единого входа.

Следующий шаг

Теперь, когда вы настроили первый сервер федерации в ферме серверов федерации, вернитесь в контрольный список: разверните ферму серверов федерации в устаревших версиях сервера Windows Server и выполните остальные действия.

См. также:

Основные понятия

Контрольный список. Развертывание фермы серверов федерации в устаревших версиях Windows Server
Контрольный список: использование AD FS для внедрения и управления единым входом