Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот контрольный список включает задачи развертывания, необходимые для подготовки сервера под управлением Windows Server® 2012 для роли сервера федерации в службах федерации Active Directory (AD FS).
Примечание.
Выполните задачи в этом контрольном списке по порядку. Когда ссылка переходит к процедуре, вернитесь к этому разделу после выполнения действий, описанных в этой процедуре, чтобы продолжить остальные задачи в этом контрольном списке.
Контрольный список: Настройка сервера федерации
| Задача | Ссылка |
|---|---|
| Прежде чем приступить к развертыванию серверов федерации AD FS, ознакомьтесь с этим вопросом; 1.) преимущества и недостатки выбора внутренней базы данных Windows (WID) или SQL Server для хранения базы данных конфигурации AD FS 2.) Типы топологий развертывания AD FS и связанные с ними рекомендации по размещению сервера и макету сети. |
Определение топологии развертывания AD FS |
| Ознакомьтесь с руководством по планированию емкости AD FS, чтобы определить правильное количество серверов федерации, которые следует использовать в рабочей среде. |
Планирование емкости сервера федерации |
| Просмотрите сведения в руководстве по проектированию AD FS о расположении серверов федерации в организации |
Планирование размещения сервера федерации |
| Определите, что лучше подходит для вашего развертывания: автономный сервер федерации или ферма серверов федерации. |
Когда нужно создать сервер федерации |
| Определите, будет ли этот новый федеративный сервер создан в организации-партнере по учетным записям или в организации-партнере по ресурсам. |
Просмотр роли сервера федерации в партнере учетной записи |
| Изучите информацию о том, как серверы федерации используют сертификаты связи служб и сертификаты подписывания токенов для безопасной аутентификации запросов клиентов и прокси серверов федерации. Осторожность: Хотя уже давно распространена практика использования сертификатов с неквалифицированными именами узлов, такими как https://myserver, эти сертификаты не имеют значения безопасности и могут позволить злоумышленнику олицетворить службу федерации AD FS корпоративным клиентам. Поэтому рекомендуется использовать полное доменное имя (FQDN), например, https://myserver.contoso.com, и использовать только SSL-сертификаты, выданные на полное доменное имя вашей службы федерации. |
Требования к сертификатам для серверов федерации |
| Просмотрите информацию о том, как обновить настройки системы доменных имен (DNS) корпоративной сети для обеспечения успешного разрешения имен на серверах федерации. |
Требования к разрешению имен для серверов федерации |
| Добавьте компьютер, который станет сервером федерации, к домену в лесу партнера по учетным записям или лесу партнера по ресурсам, где он будет использоваться для проверки подлинности пользователей этого леса или доверяющих лесов. Заметка: Если вы хотите настроить сервер федерации в партнерской организации учетной записи, компьютер сначала должен быть присоединен к любому домену в лесу, где ваш сервер федерации будет использован для аутентификации пользователей из этого леса или из доверенных лесов. |
Присоединение компьютера к домену |
| Создайте запись ресурсов в DNS корпоративной сети, указывающую dns-имя узла сервера федерации на IP-адрес сервера федерации. |
Добавление записи ресурсов узла (A) в корпоративный DNS-сервер федерации |
| (Необязательно) Если вы добавите сервер федерации в ферму серверов федерации, вам может потребоваться сначала экспортировать закрытый ключ существующего сертификата для подписи токенов (на первом сервере федерации в ферме), чтобы иметь готовый формат файла сертификата, когда другие серверы федерации должны импортировать тот же сертификат. Экспорт закрытого ключа не требуется, если выданный сертификат проверки подлинности сервера можно повторно использовать на нескольких компьютерах (без необходимости экспорта) или при получении уникальных сертификатов проверки подлинности сервера для каждого сервера федерации в ферме. Примечание: Оснастка управления AD FS называет сертификаты проверки подлинности сервера для серверов федерации как сертификаты связи службы. |
Экспорт части закрытого ключа сертификата проверки подлинности сервера |
| После получения сертификата проверки подлинности сервера (или закрытого ключа) из центра сертификации (ЦС) необходимо импортировать файл сертификата на веб-сайт по умолчанию для каждого сервера федерации. Заметка: Установка этого сертификата на веб-сайте по умолчанию является обязательным требованием, прежде чем использовать мастер настройки сервера федерации AD FS. |
Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию |
| (Необязательно) В качестве альтернативы получению сертификата проверки подлинности сервера из ЦС можно использовать службы IIS для создания примера сертификата для сервера федерации. Предупреждение: Не рекомендуется развертывать сервер федерации в рабочей среде с помощью самозаверенного сертификата аутентификации сервера. |
IIS: Создайте Сертификат Сервера Self-Signed и завершите процедуру Импорт Сертификата Аутентификации Сервера на Веб-сайт по Умолчанию |
| Если вы будете настраивать среду фермы серверов федерации в организации-партнёре по учётным записям, необходимо создать и настроить выделенную учётную запись службы в доменных службах Active Directory (AD DS), где будет размещена ферма, а также настроить каждый сервер федерации в этой ферме на использование этой учётной записи. Выполнив эту процедуру, клиенты корпоративной сети смогут проходить проверку подлинности на любом из серверов федерации в ферме с помощью встроенной проверки подлинности Windows. |
Ручная настройка учетной записи службы для фермы серверов федерации |
| Установите ролевую службу службы федерации на компьютере, который станет сервером федерации. |
Установить службу роли сервиса федерации |
| Настройте программное обеспечение AD FS на компьютере для работы с ролью сервера федерации с помощью мастера настройки сервера федерации AD FS. Следуйте этой процедуре, если вы хотите настроить автономный сервер федерации, создайте первый сервер федерации в новой ферме или присоедините компьютер к существующей ферме серверов федерации. Заметка: Для проектирования федеративного веб-Sign-On (единого входа) необходимо иметь по крайней мере один сервер федерации в партнерской организации учетной записи и по крайней мере один сервер федерации в партнерской организации ресурсов. |
Создание сервера федерации Stand-Alone
|
| (Необязательно) Используйте оснастку управления AD FS, чтобы добавить и настроить сертификаты AD FS, необходимые для внедрения проекта. Дополнительные сведения о добавлении или изменении сертификатов с помощью оснастки см. в разделе "Требования к сертификатам для серверов федерации". |
Добавить сертификат Token-Signing |
| Если это первый сервер федерации в вашей организации, настройте службу федерации таким образом, чтобы она соответствовала дизайну AD FS. |
Контрольный список. Настройка организации партнера по учетной записи
|
| На клиентском компьютере убедитесь, что сервер федерации работает. |
убедитесь, что сервер федерации работает |