Настройка сервера федерации

После установки службы ролей службы федерации Active Directory (AD FS) (AD FS) на компьютере вы можете настроить этот компьютер для создания сервера федерации. Выполните одно из следующих действий:

• Настройка первого сервера федерации в новой ферме серверов федерации

• Добавление сервера федерации в существующую ферму серверов федерации

Настройка первого сервера федерации в новой ферме серверов федерации

Настройка первого сервера федерации в новой ферме серверов федерации с помощью мастера настройки службы федерации Active Directory

Примечание.

Перед выполнением этой процедуры убедитесь, что у вас есть разрешения администратора домена или у вас есть учетные данные администратора домена.

1. На странице Панель мониторинга диспетчера серверов щелкните флажок Уведомления , а затем щелкните Настроить службу федерации на сервере.

   Откроется Мастер конфигурации служб федерации Active Directory .

2. На странице Приветствие щелкните Создать первый сервер федерации на ферме серверов федерациии нажмите кнопку Далее.

3. На странице Подключение ad DS укажите учетную запись с помощью разрешений администратора домена Active Directory (AD), к которому присоединен этот компьютер, и нажмите кнопку "Далее".

4. На странице Укажите свойства службы выполните следующее, а затем нажмите кнопку Далее.

   • Импортируйте PFX-файл, содержащий сертификат SSL и ключ, полученный ранее. На шаге 2. Регистрация SSL-сертификата для AD FS, вы получили этот сертификат и скопировали его на компьютер, который требуется настроить в качестве сервера федерации. Чтобы импортировать PFX-файл через мастер, нажмите кнопку "Импорт", а затем перейдите к расположению файла. Введите пароль для PFX-файла при появлении запроса.

   • Укажите имя службы федерации. Например, fs.contoso.com. Это имя должно соответствовать одному из альтернативных имен субъекта или субъекта в сертификате.

   • Укажите отображаемое имя службы федерации. Например, Contoso Corporation. Пользователи видят это имя на странице входа службы федерации Active Directory (AD FS) (AD FS).

5. На странице "Указание учетной записи службы" укажите учетную запись службы. Вы можете создать или использовать существующую управляемую учетную запись службы группы (gMSA) или использовать существующую учетную запись пользователя домена. Если выбрать параметр для создания новой учетной записи gMSA, укажите имя новой учетной записи. Если выбрать параметр для использования существующей учетной записи gMSA или домена, нажмите кнопку "Выбрать ", чтобы выбрать учетную запись.

   Примечание.

   Преимущество использования учетной записи gMSA — это функция автоматического обновления пароля.

   Предупреждение

   Если вы хотите использовать учетную запись gMSA, необходимо иметь по крайней мере один контроллер домена в вашей среде под управлением операционной системы Windows Server 2012.

   Если параметр gMSA отключен, и вы увидите сообщение об ошибке, например групповые управляемые учетные записи служб, так как корневой ключ KDS не задан, вы можете включить gMSA в домене, выполнив следующую команду Windows PowerShell на контроллере домена, которая запускает Windows Server 2012 или более поздней версии в домене Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Затем вернитесь в мастер, нажмите кнопку "Назад", а затем нажмите кнопку "Далее ", чтобы повторно ввести страницу "Указать учетную запись службы". Теперь параметр gMSA должен быть включен. Ее можно выбрать и ввести имя учетной записи gMSA, которую вы хотите использовать.

6. На странице "Указание базы данных конфигурации" укажите базу данных конфигурации AD FS и нажмите кнопку "Далее". Вы можете создать базу данных на этом компьютере с помощью внутренняя база данных Windows (WID), либо указать расположение и имя экземпляра Microsoft SQL Server.

   Дополнительные сведения см. в статье The Role of the AD FS Configuration Database (Роль базы данных конфигурации AD FS).

   Внимание

   Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

7. На странице Просмотр параметров проверьте выбранные параметры конфигурации и нажмите кнопку Далее.

8. На странице предварительных проверок убедитесь, что все необходимые проверка успешно завершены, а затем нажмите кнопку "Настроить".

9. На странице "Результаты" просмотрите результаты и проверка успешность настройки, а затем нажмите кнопку "Дальнейшие действия", необходимые для завершения развертывания службы федерации. Дополнительные сведения см. в разделе "Дальнейшие действия по завершению установки AD FS". Нажмите кнопку Закрыть, чтобы выйти из мастера.

Настройка первого сервера федерации в новой ферме серверов федерации с помощью Windows PowerShell

Вы можете создать ферму серверов федерации с помощью новой или существующей учетной записи gMSA или существующей учетной записи пользователя домена.

• Если вы хотите создать новый сервер федерации с помощью новой учетной записи gMSA, сделайте следующее:

  Внимание

  У вас должны быть разрешения администратора домена для создания первого сервера федерации в новой ферме серверов федерации.

  1. На компьютере, который требуется настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог Local Computer\My Store . Можно проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My Сертификат отображается по отпечатку в каталоге Local Computer\My Store .

  2. На контроллере домена откройте командное окно Windows PowerShell и выполните следующую команду, чтобы проверить, был ли в домене создан корневой ключ KDS: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Если он не был создан таким образом, чтобы выходные данные не отображались, выполните следующую команду, чтобы создать ключ: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

  3. На компьютере, который вы хотите настроить в качестве сервера федерации, откройте командное окно Windows PowerShell и выполните следующую команду:

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
     

     Предупреждение

     Знак $ в конце предыдущей команды является обязательным.

     Чтобы получить значение для <certificate_thumbprint>, выполните и dir Cert:\LocalMachine\Myвыберите отпечаток SSL-сертификата. Значением <federation_service_name> является имя службы федерации, например fs.contoso.com.

     Примечание.

     Если это не первый раз при выполнении OverwriteConfiguration этой команды, добавьте этот параметр.

     Примечание.

     Предыдущая команда создает ферму WID. Если вы хотите создать ферму серверов SQL Server, у вас должен быть экземпляр SQL Server, который уже установлен и работает.

     Следующую команду можно использовать для создания первого сервера федерации в новой ферме, использующей экземпляр SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" где< SQL_Host_Name> имя сервера, на котором выполняется SQL Server, и <SQL_instance_name> — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQL Подключение ionString значения Data Source=<SQL_Host_Name>; Встроенная безопасность=True.

     Внимание

     Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, то можете использовать SQL Server 2008 или более поздние версии, включая SQL Server 2012.

• Если вы хотите создать новый сервер федерации с помощью существующей учетной записи пользователя домена, сделайте следующее:

  1. На компьютере, который требуется настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог Local Computer\My Store . Можно проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My Сертификат отображается по отпечатку в каталоге Local Computer\My Store .

  2. На компьютере, который требуется настроить в качестве сервера федерации, откройте окно командной строки Windows PowerShell и выполните следующую команду: $fscred = Get-Credential Введите учетные данные учетной записи пользователя домена, которые вы хотите использовать для учетной записи службы федерации в формате домен\имя пользователя.

  3. В том же окне команд Windows PowerShell выполните следующую команду:

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
     

     Чтобы получить значение для <certificate_thumbprint>, запустите dir Cert:\LocalMachine\Myи выберите отпечаток SSL-сертификата. Значение <federation_service_name> — это имя службы федерации, например fs.contoso.com.

     Примечание.

     Если это не первый раз при выполнении OverwriteConfiguration этой команды, добавьте этот параметр.

     Примечание.

     Предыдущая команда создает ферму WID. Если вы хотите создать ферму SQL Server, у вас должен быть экземпляр SQL Server, который уже установлен и работает.

     Следующая команда позволяет создать первый сервер федерации в новой ферме, использующей экземпляр SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" где SQL_Host_Name — имя сервера, на котором выполняется SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQL Подключение ionString значения Data Source=<SQL_Host_Name>; Встроенная безопасность=True.

     Внимание

     Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

Добавление сервера федерации в существующую ферму серверов федерации

Внимание

Убедитесь, что вы выполнили шаг 3. Установите службу ролей AD FS, прежде чем начать любую из процедур в этом разделе.

Внимание

Перед выполнением этой процедуры убедитесь, что вы получили действительный сертификат проверки подлинности SSL-сервера.

Добавление сервера федерации в существующую ферму серверов федерации с помощью мастера настройки службы федерации Active Directory

1. На странице Панель мониторинга диспетчера серверов щелкните флажок Уведомления , а затем щелкните Настроить службу федерации на сервере.

   Откроется Мастер конфигурации служб федерации Active Directory .

2. На странице приветствия выберите "Добавить сервер федерации" в ферму серверов федерации и нажмите кнопку "Далее".

3. На странице Подключение ad DS укажите учетную запись с помощью разрешений администратора домена для домена AD, к которому присоединен этот компьютер, и нажмите кнопку "Далее".

4. На странице "Указание фермы" укажите имя сервера первичной федерации в ферме, которая использует WID или укажите имя узла базы данных и имя экземпляра базы данных существующей фермы серверов федерации, использующую SQL Server.

   Предупреждение

   В Windows Server® 2012 R2 существует обходное решение для указания экземпляра SQL Server по умолчанию. Решение заключается в том, чтобы не использовать пользовательский интерфейс. Вместо этого выполните действия, описанные в разделе "Настройка первого сервера федерации в новой ферме серверов федерации" с помощью Windows PowerShell.

   Внимание

   Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, то можете использовать SQL Server 2008 или более поздние версии, включая SQL Server 2012.

5. На странице "Указание SSL-сертификата" импортируйте PFX-файл, содержащий SSL-сертификат и ключ, полученный ранее. Этот сертификат является необходимым сертификатом аутентификации службы. На шаге 2. Регистрация SSL-сертификата для AD FS, вы получили этот сертификат и скопировали его на компьютер, который требуется настроить в качестве сервера федерации. Чтобы импортировать PFX-файл через мастер, нажмите кнопку "Импорт " и перейдите к расположению файла. Введите пароль для PFX-файла при появлении запроса.

6. На странице "Указание учетной записи службы" укажите ту же учетную запись службы, которую вы настроили при создании первого сервера федерации в ферме. Вы можете использовать существующую управляемую учетную запись службы группы или существующую учетную запись пользователя домена.

   Внимание

   Указанная учетная запись должна быть той же учетной записью, что и учетная запись, используемая на сервере основной федерации в этой ферме.

7. На странице Просмотр параметров проверьте выбранные параметры конфигурации и нажмите кнопку Далее.

8. На странице предварительных проверок убедитесь, что все необходимые проверка успешно завершены, а затем нажмите кнопку "Настроить".

9. На странице "Результаты" просмотрите результаты и проверка успешность настройки, а затем нажмите кнопку "Дальнейшие действия", необходимые для завершения развертывания службы федерации. Дополнительные сведения см. в разделе "Дальнейшие действия по завершению установки AD FS". Нажмите кнопку Закрыть, чтобы выйти из мастера.

Добавление сервера федерации в существующую ферму серверов федерации с помощью Windows PowerShell

Сервер федерации можно добавить в существующую ферму с помощью существующей учетной записи gMSA или существующей учетной записи пользователя домена.

• Если вы хотите присоединить сервер федерации к ферме с помощью существующей учетной записи gMSA, сделайте следующее:

  1. На компьютере, который требуется настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог Local Computer\My Store . Можно проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My Сертификат отображается по отпечатку в каталоге Local Computer\My Store .

  2. На компьютере, который требуется настроить в качестве сервера федерации, откройте окно командной строки Windows PowerShell и выполните следующую команду.

     Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     <domain>\<GMSA_name> — это домен AD и имя учетной записи gMSA в этом домене. <first_federation_server_hostname> — имя узла основного сервера федерации в этой существующей ферме.

     Значение можно получить <certificate_thumbprint> , выполнив dir Cert:\LocalMachine\My на предыдущем шаге.

     Примечание.

     Если это не первый раз при выполнении OverwriteConfiguration этой команды, добавьте этот параметр.

     Примечание.

     Предыдущая команда создает узел фермы WID. Если вы хотите создать узел фермы серверов на компьютерах под управлением SQL Server, у вас должен быть экземпляр SQL Server, уже установленный и операционный.

     Следующая команда позволяет добавить сервер федерации в существующую ферму, использующую экземпляр SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" где SQL_Host_Name имя сервера, на котором выполняется SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQL Подключение ionString значения Data Source=<SQL_Host_Name>; Встроенная безопасность=True.

     Внимание

     Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

• Если вы хотите присоединить сервер федерации к ферме с помощью существующей учетной записи пользователя домена, сделайте следующее:

  1. На компьютере, который вы хотите настроить в качестве сервера федерации, откройте окно Windows PowerShellcommand, а затем выполните следующую команду: $fscred = get-credential Введите учетные данные учетной записи пользователя домена, которые вы хотите использовать для учетной записи службы федерации в формате домен\имя пользователя.

  2. На компьютере, который требуется настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог Local Computer\My Store . Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в окне Windows PowerShellcommand: dir Cert:\LocalMachine\My Сертификат отображается по отпечатку в каталоге Local Computer\My Store .

  3. В том же командном окне Windows PowerShell выполните следующую команду.

     Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     Примечание.

     Если это не первый раз при выполнении OverwriteConfiguration этой команды, добавьте этот параметр.

     Примечание.

     Предыдущая команда создает узел фермы WID. Если вы хотите создать узел фермы серверов на компьютерах под управлением SQL Server, у вас должен быть экземпляр SQL Server, уже установленный и операционный. Следующая команда позволяет добавить сервер федерации в существующую ферму с помощью экземпляра SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" где SQL_Host_Name — имя сервера, на котором выполняется экземпляр SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQL Подключение ionString значения Data Source=<SQL_Host_Name>; Встроенная безопасность=True.

     Внимание

     Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

См. также

Развертывание AD FS

Руководство по развертыванию Windows Server 2012 R2 AD FS

Развертывание фермы серверов федерации