Поделиться через

Настройка сервера федерации

После установки службы ролей служб федерации Active Directory (AD FS) на компьютере вы можете настроить этот компьютер, чтобы стать сервером федерации. Выполните одно из следующих действий:

Настройка первого сервера федерации в новой ферме серверов федерации

Настройка первого сервера федерации в новой ферме серверов федерации с помощью мастера настройки службы федерации Active Directory

Примечание.

Перед выполнением этой процедуры убедитесь, что у вас есть разрешения администратора домена или у вас есть учетные данные администратора домена.

  1. На странице панели мониторинга диспетчера серверов щелкните флаг уведомлений и выберите службу федерации на сервере.

    Откроется мастер настройки службы федерации Active Directory .

  2. На странице приветствия выберите "Создать первый сервер федерации" в ферме серверов федерации и нажмите кнопку "Далее".

  3. На странице "Подключение к AD DS " укажите учетную запись с помощью разрешений администратора домена Active Directory (AD), к которому присоединен этот компьютер, и нажмите кнопку "Далее".

  4. На странице "Указание свойств службы " выполните указанные ниже действия и нажмите кнопку "Далее".

    • Импортируйте PFX-файл, содержащий сертификат SSL и ключ, полученный ранее. На шаге 2. Регистрация SSL-сертификата для AD FS, вы получили этот сертификат и скопировали его на компьютер, который требуется настроить в качестве сервера федерации. Чтобы импортировать PFX-файл через мастер, нажмите кнопку "Импорт", а затем перейдите к расположению файла. Введите пароль для .pfx-файла, когда будет предложено.

    • Укажите имя службы федерации. Например, fs.contoso.com. Это имя должно соответствовать одному из имен субъекта или альтернативных имен субъекта в сертификате.

    • Укажите отображаемое имя службы федерации. Например, Contoso Corporation. Пользователи видят это имя на странице входа в службы федерации Active Directory (AD FS).

  5. На странице "Указание учетной записи службы" укажите учетную запись службы. Вы можете создать или использовать существующую управляемую учетную запись службы группы (gMSA) или использовать существующую учетную запись пользователя домена. Если вы выбрали параметр для создания новой учетной записи gMSA, укажите имя нового аккаунта. Если вы выберете параметр использования существующей учетной записи gMSA или учетной записи домена, нажмите «Выбрать», чтобы выбрать учетную запись.

    Примечание.

    Преимущество использования учетной записи gMSA — это функция автоматического обновления пароля.

    Предупреждение

    Если вы хотите использовать учетную запись gMSA, необходимо иметь по крайней мере один контроллер домена в вашей среде под управлением операционной системы Windows Server 2012.

    Если параметр gMSA отключен, и вы увидите сообщение об ошибке, например групповые управляемые учетные записи служб недоступны, потому что корневой ключ KDS не задан, вы можете включить gMSA в своем домене, выполнив следующую команду Windows PowerShell на контроллере домена, который работает под управлением Windows Server 2012 или более поздней версии, в вашем домене Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Затем вернитесь в мастер, нажмите Назад, а затем нажмите Далее, чтобы повторно открыть страницу Указать учетную запись службы. Теперь параметр gMSA должен быть включен. Ее можно выбрать и ввести имя учетной записи gMSA, которую вы хотите использовать.

  6. На странице "Указание базы данных конфигурации" укажите базу данных конфигурации AD FS и нажмите кнопку "Далее". Вы можете создать базу данных на этом компьютере с помощью внутренней базы данных Windows (WID), или указать расположение и имя экземпляра Microsoft SQL Server.

    Дополнительные сведения см. в разделе "Роль базы данных конфигурации AD FS".

    Это важно

    Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

  7. На странице "Параметры проверки " проверьте выбранные параметры конфигурации и нажмите кнопку "Далее".

  8. На странице предварительных проверок убедитесь, что все проверки предварительных требований успешно завершены, а затем нажмите кнопку "Настроить".

  9. На странице "Результаты " просмотрите результаты и проверьте, выполнена ли конфигурация успешно, а затем нажмите кнопку "Дальнейшие действия", необходимые для завершения развертывания службы федерации. Дополнительные сведения см. в разделе "Дальнейшие действия по завершению установки AD FS". Нажмите кнопку "Закрыть", чтобы выйти из мастера.

Настройка первого сервера федерации в новой ферме серверов федерации с помощью Windows PowerShell

Вы можете создать ферму серверов федерации с помощью новой или существующей учетной записи gMSA или существующей учетной записи пользователя домена.

  • Если вы хотите создать новый сервер федерации с помощью новой учетной записи gMSA, сделайте следующее:

    Это важно

    У вас должны быть разрешения администратора домена для создания первого сервера федерации в новой ферме серверов федерации.

    1. На компьютере, который требуется настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог Local Computer\My Store . Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My. Сертификат отображается по отпечатку в каталоге Local Computer\My Store .

    2. На контроллере домена откройте окно командной строки Windows PowerShell и выполните следующую команду, чтобы проверить, был ли в домене создан корневой ключ KDS: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Если он не был создан таким образом, чтобы выходные данные не отображались, выполните следующую команду, чтобы создать ключ: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. На компьютере, который вы хотите настроить в качестве сервера федерации, откройте командное окно Windows PowerShell и выполните следующую команду:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Предупреждение

      Требуется знак $ в конце предыдущей команды.

      Чтобы получить значение для <certificate_thumbprint>, выполните dir Cert:\LocalMachine\Myи выберите отпечаток SSL-сертификата. Значением <federation_service_name> является имя службы федерации, например fs.contoso.com.

      Примечание.

      Если это НЕ первый раз при выполнении этой команды, добавьте параметр OverwriteConfiguration.

      Примечание.

      Предыдущая команда создает ферму WID. Если вы хотите создать ферму серверов SQL Server, у вас должен быть экземпляр SQL Server, который уже установлен и работает.

      Следующая команда позволяет создать первый сервер федерации в новой ферме, использующей экземпляр SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" где <SQL_Host_Name> — имя сервера, на котором выполняется SQL Server, и <SQL_instance_name> — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Источник данных=<SQL_Host_Name>; Встроенная безопасность=True.

      Это важно

      Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012.

  • Если вы хотите создать новый сервер федерации с помощью существующей учетной записи пользователя домена, сделайте следующее:

    1. На компьютере, который требуется настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог Local Computer\My Store . Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My. Сертификат отображается по отпечатку в каталоге Local Computer\My Store .

    2. На компьютере, который требуется настроить в качестве сервера федерации, откройте окно командной строки Windows PowerShell, а затем выполните следующую команду: $fscred = Get-Credential. Введите учетные данные учетной записи пользователя домена, которые вы хотите использовать для учетной записи службы федерации в формате домен\имя пользователя.

    3. В том же командном окне Windows PowerShell выполните следующую команду:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Чтобы получить значение для <certificate_thumbprint>, запустите dir Cert:\LocalMachine\Myи выберите отпечаток SSL-сертификата. Значение <federation_service_name> — это имя службы федерации, например fs.contoso.com.

      Примечание.

      Если это НЕ первый раз при выполнении этой команды, добавьте параметр OverwriteConfiguration.

      Примечание.

      Предыдущая команда создает ферму WID. Если вы хотите создать ферму SQL Server, у вас должен быть экземпляр SQL Server, который уже установлен и работает.

      Следующую команду можно использовать для создания первого сервера федерации в новой ферме, использующей экземпляр SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" где SQL_Host_Name имя сервера, на котором выполняется SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Источник данных=<SQL_Host_Name>; Встроенная безопасность=True.

      Это важно

      Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

Добавление сервера федерации в существующую ферму серверов федерации

Это важно

Убедитесь, что вы выполнили шаг 3. Установите службу ролей AD FS, прежде чем начать любую из процедур в этом разделе.

Это важно

Перед выполнением этой процедуры убедитесь, что вы получили действительный сертификат проверки подлинности SSL-сервера.

Добавление сервера федерации в существующую ферму серверов федерации с помощью мастера настройки службы федерации Active Directory

  1. На странице панели мониторинга диспетчера серверов щелкните флаг уведомлений и выберите службу федерации на сервере.

    Откроется мастер настройки службы федерации Active Directory .

  2. На странице приветствия выберите "Добавить сервер федерации" в ферму серверов федерации и нажмите кнопку "Далее".

  3. На странице "Подключение к AD DS " укажите учетную запись с помощью разрешений администратора домена домена AD, к которому присоединен этот компьютер, и нажмите кнопку "Далее".

  4. На странице "Указание фермы" укажите имя сервера первичной федерации в ферме, которая использует WID или укажите имя узла базы данных и имя экземпляра базы данных существующей фермы серверов федерации, использующую SQL Server.

    Предупреждение

    В Windows Server® 2012 R2 существует обходное решение для указания экземпляра SQL Server по умолчанию. Решение заключается в том, чтобы не использовать пользовательский интерфейс. Вместо этого выполните действия, описанные в разделе "Настройка первого сервера федерации в новой ферме серверов федерации" с помощью Windows PowerShell.

    Это важно

    Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012.

  5. На странице "Указание SSL-сертификата " импортируйте PFX-файл, содержащий SSL-сертификат и ключ, полученный ранее. Этот сертификат является обязательным сертификатом проверки подлинности службы. На шаге 2. Регистрация SSL-сертификата для AD FS, вы получили этот сертификат и скопировали его на компьютер, который требуется настроить в качестве сервера федерации. Чтобы импортировать файл .pfx через мастер, нажмите «Импорт» и перейдите в папку, где находится файл. Введите пароль для .pfx-файла, когда будет предложено.

  6. На странице "Указание учетной записи службы" укажите ту же учетную запись службы, которую вы настроили при создании первого сервера федерации в ферме. Вы можете использовать существующую управляемую учетную запись службы группы или существующую учетную запись пользователя домена.

    Это важно

    Указанная учетная запись должна быть той же, что и учетная запись, использованная на сервере основной федерации в этой ферме.

  7. На странице "Параметры проверки " проверьте выбранные параметры конфигурации и нажмите кнопку "Далее".

  8. На странице предварительных проверок убедитесь, что все проверки предварительных требований успешно завершены, а затем нажмите кнопку "Настроить".

  9. На странице "Результаты " просмотрите результаты и проверьте, выполнена ли конфигурация успешно, а затем нажмите кнопку "Дальнейшие действия", необходимые для завершения развертывания службы федерации. Дополнительные сведения см. в разделе "Дальнейшие действия по завершению установки AD FS". Нажмите кнопку "Закрыть", чтобы выйти из мастера.

Добавление сервера федерации в существующую ферму серверов федерации с помощью Windows PowerShell

Сервер федерации можно добавить в существующую ферму с помощью существующей учетной записи gMSA или существующей учетной записи пользователя домена.

  • Если вы хотите присоединить сервер федерации к ферме с помощью существующей учетной записи gMSA, сделайте следующее:

    1. На компьютере, который требуется настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог Local Computer\My Store . Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My. Сертификат отображается по отпечатку в каталоге Local Computer\My Store .

    2. На компьютере, который требуется настроить в качестве сервера федерации, откройте окно командной строки Windows PowerShell и выполните следующую команду.

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> — это домен AD и имя учетной записи gMSA в этом домене. <first_federation_server_hostname> — это имя узла основного сервера федерации в этой существующей ферме.

      Значение <certificate_thumbprint> можно получить, выполнив dir Cert:\LocalMachine\My на предыдущем шаге.

      Примечание.

      Если это НЕ первый раз при выполнении этой команды, добавьте параметр OverwriteConfiguration.

      Примечание.

      Предыдущая команда создает узел фермы WID. Если вы хотите создать узел фермы серверов на компьютерах под управлением SQL Server, у вас должен быть экземпляр SQL Server, уже установленный и операционный.

      Следующую команду можно использовать для добавления сервера федерации в существующую ферму, использующую экземпляр SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" где SQL_Host_Name — имя сервера, на котором выполняется SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Источник данных=<SQL_Host_Name>; Встроенная безопасность=True.

      Это важно

      Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

  • Если вы хотите присоединить сервер федерации к ферме с помощью существующей учетной записи пользователя домена, сделайте следующее:

    1. На компьютере, который требуется настроить в качестве сервера федерации, откройте окно Windows PowerShellcommand, а затем выполните следующую команду: $fscred = get-credential. Введите учетные данные учетной записи пользователя домена, которые вы хотите использовать для учетной записи службы федерации в формате домен\имя пользователя.

    2. На компьютере, который требуется настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог Local Computer\My Store . Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в окне Windows PowerShellcommand: dir Cert:\LocalMachine\My. Сертификат отображается по отпечатку в каталоге Local Computer\My Store .

    3. В том же командном окне Windows PowerShell выполните следующую команду.

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Примечание.

      Если это НЕ первый раз при выполнении этой команды, добавьте параметр OverwriteConfiguration.

      Примечание.

      Предыдущая команда создает узел фермы WID. Если вы хотите создать узел фермы серверов на компьютерах под управлением SQL Server, у вас должен быть экземпляр SQL Server, уже установленный и операционный. Следующую команду можно использовать для добавления сервера федерации в существующую ферму с помощью экземпляра SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"где SQL_Host_Name — имя сервера, на котором выполняется экземпляр SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Источник данных=<SQL_Host_Name>; Встроенная безопасность=True.

      Это важно

      Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

См. также

Развертывание AD FS

Руководство по развертыванию Windows Server 2012 R2 AD FS

Развертывание фермы серверов федерации