Контрольный список. Настройка сервера федерации

  • Статья

Этот список проверка включает задачи развертывания, необходимые для подготовки сервера под управлением Windows Server® 2012 для роли сервера федерации в службы федерации Active Directory (AD FS) (AD FS).

Примечание.

Выполните по порядку задачи в контрольном списке. После выполнения всех шагов процедуры, на которую указывает ссылка, следует вернуться к этому разделу и продолжить выполнение оставшихся задач контрольного списка.

Icon for the Setting up a federation server check list.Контрольный список. Настройка сервера федерации

Задача Справочные материалы
Прежде чем приступить к развертыванию серверов федерации AD FS, ознакомьтесь с этим вопросом; 1.) преимущества и недостатки выбора внутренняя база данных Windows (WID) или SQL Server для хранения базы данных конфигурации AD FS 2.) Типы топологий развертывания AD FS и связанные с ними рекомендации по размещению сервера и макету сети. Icon for the Determine Your AD FS Deployment Topology link you can use in reference to setting up a federation server.Определение топологии развертывания для служб федерации Active Directory

Icon for the AD FS Deployment Topology Considerations link you can use in reference to setting up a federation server.Некоторые аспекты топологии развертывания AD FS
Ознакомьтесь с руководством по планированию емкости AD FS, чтобы определить правильное количество серверов федерации, которые следует использовать в рабочей среде. Icon for the Planning for Federation Server Capacity link you can use in reference to setting up a federation server.Планирование мощности сервера федерации
Просмотрите сведения в руководстве по проектированию AD FS о расположении серверов федерации в организации Icon for the Planning Federation Server Placement link you can use in reference to setting up a federation server.Планирование размещения серверов федерации

Icon for the Where to Place a Federation Server link you can use in reference to setting up a federation server.Размещение сервера федерации
Определите, лучше ли работает автономный сервер федерации или ферма серверов федерации. Icon for the When to Create a Federation Server link you can use in reference to setting up a federation server.Когда нужно создать сервер федерации

Icon for the When to Create a Federation Server Farm link you can use in reference to setting up a federation server.Когда нужно создать ферму серверов федерации
Определите, будет ли этот новый сервер федерации создан в партнерской организации учетной записи или в партнерской организации ресурсов. Icon for the Review the Role of the Federation Server in the Account Partner link you can use in reference to setting up a federation server.Сведения о роли сервера федерации в организации партнера по учетным записям

Icon for the Review the Role of the Federation Server in the Resource Partner link you can use in reference to setting up a federation server.Сведения о роли сервера федерации в организации партнера по ресурсам
Просмотрите сведения о том, как серверы федерации используют сертификаты связи служб и сертификаты подписывания маркеров для безопасной проверки подлинности запросов прокси-сервера клиента и сервера федерации. Внимание. Несмотря на то, что уже давно используется сертификат с неквалифицированными именами узлов, такими как https://myserver, эти сертификаты не имеют значения безопасности и могут позволить злоумышленнику олицетворить службу федерации AD FS корпоративным клиентам. Поэтому рекомендуется использовать полное доменное имя (FQDN), например https://myserver.contoso.com и использовать только SSL-сертификаты, выданные полное доменное имя службы федерации. Icon for the Certificate Requirements for Federation Servers link you can use in reference to setting up a federation server.Требования к сертификатам для серверов федерации
Просмотрите сведения об обновлении системы доменных имен корпоративной сети (DNS), чтобы обеспечить успешное разрешение имен на серверах федерации. Icon for the Name Resolution Requirements for Federation Servers link you can use in reference to setting up a federation server.Требования к разрешению имен для серверов федерации
Присоединитесь к компьютеру, который станет сервером федерации, к домену в лесу партнера учетной записи или лесу партнера-партнера, где он будет использоваться для проверки подлинности пользователей этого леса или из доверенных лесов. Примечание. Если вы хотите настроить сервер федерации в партнерской организации учетной записи, компьютер необходимо сначала присоединиться к любому домену в лесу, где сервер федерации будет использоваться для проверки подлинности пользователей из этого леса или из доверенных лесов. Icon for the Join a Computer to a Domain link you can use in reference to setting up a federation server.Присоединение компьютера к домену
Создайте запись ресурсов в DNS корпоративной сети, указывающую dns-имя узла сервера федерации на IP-адрес сервера федерации. Icon for the Add a Host (A) Resource Record to Corporate DNS for a Federation Server link you can use in reference to setting up a federation server.Добавление записи ресурса (A) узла в корпоративную систему DNS для сервера федерации
(Необязательно) Если вы добавите сервер федерации в ферму серверов федерации, вам может потребоваться сначала экспортировать закрытый ключ существующего сертификата подписи маркеров (на первом сервере федерации в ферме), чтобы иметь формат файла сертификата, готового, когда другие серверы федерации должны импортировать тот же сертификат.

Экспорт закрытого ключа не требуется, если выданный сертификат проверки подлинности сервера можно повторно использовать на нескольких компьютерах (без необходимости экспорта) или при получении уникальных сертификатов проверки подлинности сервера для каждого сервера федерации в ферме. Примечание. Оснастка управления AD FS ссылается на сертификаты проверки подлинности сервера для серверов федерации в качестве сертификатов связи службы.

 Icon for the Export the Private Key Portion of a Server Authentication Certificate link you can use in reference to setting up a federation server.Экспорт части сертификата аутентификации сервера с закрытым ключом
После получения сертификата проверки подлинности сервера (или закрытого ключа) из центра сертификации (ЦС) необходимо импортировать файл сертификата на веб-сайт по умолчанию для каждого сервера федерации. Примечание. Установка этого сертификата на веб-сайте по умолчанию является обязательным требованием, прежде чем использовать мастер настройки сервера федерации AD FS. Icon for the Import a Server Authentication Certificate to the Default Web Site link you can use in reference to setting up a federation server.Импорт сертификата аутентификации сервера на веб-сайт по умолчанию
(Необязательно) В качестве альтернативы получению сертификата проверки подлинности сервера из ЦС можно использовать службы IIS (IIS) для создания примера сертификата для сервера федерации. Внимание. Не рекомендуется развертывать сервер федерации в рабочей среде с помощью самозаверяющего сертификата проверки подлинности сервера. Icon for the IIS: Create a Self-Signed Server Certificate link you can use in reference to setting up a federation server.IIS: создайте самозаверяющий сертификат сервера, а затем выполните процедуру импорта сертификата проверки подлинности сервера на веб-сайт по умолчанию.
Если вы настроите среду фермы серверов федерации в партнерской организации учетной записи, необходимо создать и настроить выделенную учетную запись службы в службах домен Active Directory (AD DS), где ферма будет находиться и настраивать каждый сервер федерации в ферме для использования этой учетной записи. Выполнив эту процедуру, клиенты корпоративной сети смогут проходить проверку подлинности на любом из серверов федерации в ферме с помощью встроенной проверки подлинности Windows. Icon for the Manually Configure a Service Account for a Federation Server Farm link you can use in reference to setting up a federation server.Настройка учетной записи службы для фермы серверов федерации вручную
Установите службу роли службы федерации на компьютере, который станет сервером федерации. Icon for the Install the Federation Service Role Service link you can use in reference to setting up a federation server.Установка службы роли для службы федерации
Настройте программное обеспечение AD FS на компьютере для работы с ролью сервера федерации с помощью мастера настройки сервера федерации AD FS.

Следуйте этой процедуре, если вы хотите настроить автономный сервер федерации, создайте первый сервер федерации в новой ферме или присоедините компьютер к существующей ферме серверов федерации. Примечание. Для разработки федеративного единого входа (SSO) необходимо иметь по крайней мере один сервер федерации в партнерской организации учетной записи и по крайней мере один сервер федерации в партнерской организации ресурсов.

 Icon for the Create a Stand-Alone Federation Server link you can use in reference to setting up a federation server.Создание изолированного сервера федерации

Icon for the Create the First Federation Server in a Federation Server Farm link you can use in reference to setting up a federation server.Создание первого сервера федерации на ферме серверов федерации

Icon for the Add a Federation Server to a Federation Server Farm link you can use in reference to setting up a federation server.Добавление сервера федерации в ферму серверов федерации
(Необязательно) Используйте оснастку управления AD FS, чтобы добавить и настроить необходимые сертификаты AD FS, необходимые для развертывания проекта. Дополнительные сведения о добавлении или изменении сертификатов с помощью оснастки см. в разделе "Требования к сертификатам для серверов федерации". Icon for the Add a Token-Signing Certificate link you can use in reference to setting up a federation server.Добавление сертификата для подписи маркера

Icon for the Add a Token-Decrypting Certificate link you can use in reference to setting up a federation server.Добавление сертификата для расшифровки маркера

Icon for the Set a Service Communications Certificate link you can use in reference to setting up a federation server.Настройка сертификата связи со службой
Если это первый сервер федерации в вашей организации, настройте службу федерации таким образом, чтобы она соответствовала дизайну AD FS. Icon for the Checklist: Configuring the Account Partner Organization link you can use in reference to setting up a federation server.Контрольный список. Настройка организации партнера по учетной записи

Icon for the Checklist: Configuring the Resource Partner Organization link you can use in reference to setting up a federation server.Контрольный список. Настройка организации партнера по ресурсам
На клиентском компьютере убедитесь, что сервер федерации работает. setting up a federated serverПроверка работоспособности сервера федерации