Поделиться через

Создание первого сервера федерации на ферме серверов федерации

  • Статья

После установки службы ролей службы федерации и настройки необходимых сертификатов на компьютере можно настроить компьютер, чтобы стать сервером федерации. Для настройки компьютера можно использовать следующую процедуру, чтобы стать первым сервером федерации в новой ферме серверов федерации с помощью мастера настройки сервера федерации AD FS.

Во время создания первого сервера федерации на ферме также создается новая служба федерации, а этот компьютер становится основным сервером федерации. Это означает, что компьютер будет настроен с экземпляром базы данных конфигурации AD FS с поддержкой чтения и записи. Все остальные серверы федерации на этой ферме должны реплицировать любые изменения, внесенные на основном сервере федерации, в свои базы данных конфигурации AD FS, доступные только для чтения и хранимые локально. Дополнительные сведения об этом процессе репликации см. в разделе The Role of the AD FS Configuration Database.

Примечание.

Для разработки федеративного единого входа (SSO) необходимо иметь по крайней мере один сервер федерации в партнерской организации учетной записи и по крайней мере один сервер федерации в партнерской организации ресурсов. Дополнительные сведения см. в разделе Where to Place a Federation Server.

Минимальным требованием для выполнения этой процедуры является членство в группе доменных администраторов или делегированная доменная учетная запись, которой был предоставлен доступ к контейнеру программных данных в Active Directory с возможностью записи.

Создание первого сервера федерации на ферме серверов федерации

  1. Существует два способа запуска мастера настройки сервера федерации AD FS. Чтобы запустить мастер, выполните одно из следующих действий.

    • После завершения установки службы роли федерации откройте оснастку управления AD FS и щелкните ссылку мастера настройки сервера федерации AD FS на странице обзора или на панели действий .

    • В любой момент по окончании работы мастера настройки откройте проводник, найдите папку C:\Windows\ADFS и дважды щелкните FsConfigWizard.exe.

  2. На странице Приветствие убедитесь, что установлен флажок Создание новой службы федерации, а затем нажмите кнопку Далее.

  3. На странице Выбор изолированного развертывания или развертывания в ферме щелкните Создать ферму серверов федерации, а затем нажмите кнопку Далее.

  4. На странице Указание имени службы федерации убедитесь, что отображаемый SSL-сертификат верен. Если указан неверный сертификат, выберите соответствующий сертификат из списка SSL-сертификат.

    Этот сертификат создается на основе параметров SSL для веб-сайта по умолчанию. Если для веб-сайта по умолчанию настроен только один SSL-сертификат, он представлен и автоматически выбран для использования. Если для веб-сайта по умолчанию настроено несколько SSL-сертификатов, все эти сертификаты перечислены здесь и пользователь должен самостоятельно выбрать нужный. Если параметры SSL для веб-сайта по умолчанию не настроены, создается список из сертификатов, доступных в хранилище личных сертификатов на локальном компьютере.

    Примечание.

    Этот мастер не позволяет переопределить сертификат, если для IIS настроен SSL-сертификат. Это гарантирует сохранность любой нужной конфигурации IIS для SSL-сертификатов. Для обхода этого ограничения можно удалить сертификат или перенастроить его вручную с помощью консоли управления IIS Management Console.

  5. Если выбранная база данных AD FS уже существует, откроется страница "Обнаруженная база данных конфигурации AD FS". Если эта страница отображается, щелкните Удалить базу данных, а затем нажмите кнопку Далее.

    Внимание

    Выберите этот параметр, только если вы уверены, что данные в этой базе данных AD FS не важны или не используются в рабочей ферме серверов федерации.

  6. На странице Указание учетной записи службы щелкните Обзор. В диалоговом окне Обзор найдите доменную учетную запись, которая будет использоваться как учетная запись службы на новой ферме серверов федерации, а затем нажмите кнопку ОК. Введите пароль для этой учетной записи, подтвердите его и нажмите кнопку Далее.

    Примечание.

    Дополнительные сведения об указании учетной записи службы для фермы серверов федерации см. в статье "Настройка учетной записи службы для фермы серверов федерации". Каждый сервер федерации в ферме серверов федерации должен указывать одну учетную запись службы для работы фермы. Например, если созданная учетная запись службы была contoso\ADFS2SVC, каждый компьютер, настроенный для роли сервера федерации, и который будет участвовать в той же ферме, должен указать contoso\ADFS2SVC на этом шаге в мастере настройки сервера федерации для работы фермы.

  7. Просмотрите подробные сведения на странице Готовность к применению настроек. Если параметры отображаются правильными, нажмите кнопку "Далее ", чтобы начать настройку AD FS с помощью этих параметров.

  8. Просмотрите результаты на странице Результаты конфигурации. Завершив все действия по настройке конфигурации, щелкните Закрыть, чтобы выйти из мастера.

    Внимание

    В целях безопасности развертывания разрешение артефактов и обнаружение ответов отключены при использовании мастера конфигурации сервера федерации AD FS для настройки фермы серверов федерации. Мастер автоматически настраивает внутреннюю базу Windows для хранения данных конфигурации службы. Однако по ошибке можно отменить это изменение, включив конечную точку разрешения артефактов с помощью узла Конечные точки в оснастке управления AD FS или командлета Enable-ADFSEndpoint в Windows PowerShell. Следите за тем, чтобы не перенастроить параметры по умолчанию, — эта конечная точка должна оставаться отключенной при совместном использовании фермы серверов федерации и внутренней базы данных Windows.

Дополнительная справка

Контрольный список. Настройка сервера федерации