Förbereda nätverksinfrastrukturen för federationsservrar

Gäller för: Azure, Office 365, Power BI, Windows Intune

Följande checklista innehåller de förberedelseuppgifter som du måste utföra för att distribuera en federationsservergrupp.

Not

• Slutför uppgifterna i dessa checklistor i ordning. När en referenslänk tar dig till en procedur går du tillbaka till det här avsnittet när du har slutfört stegen i den proceduren så att du kan fortsätta med de återstående uppgifterna i den här checklistan.
  
  
• Om inget annat anges måste du först loggas in på datorerna som medlem i gruppen Administratörer eller har delegerats motsvarande behörigheter för att slutföra alla uppgifter med hjälp av procedurerna i det här avsnittet.
  
  

checklista: Förbered nätverksinfrastrukturen för federationsservrar

Distributionsuppgift	Länkar till ämnen i det här avsnittet	Fullbordad
1. Anslut de datorer som ska bli federationsservrar till en domän där Active Directory-användare kommer att autentiseras. Not Du kan ignorera det här steget om du vill använda befintliga domänkontrollanter som federationsservrar.
2. Skapa och konfigurera ett nytt DNS-namn för NLB-klustret eller använd ett befintligt NLB-kluster i företagsnätverket som ska användas av den nya federationsservergruppen. Lägg sedan till federationsserverdatorerna i NLB-klustret. Om du använder Windows Server-teknik för dina aktuella NLB-värdar väljer du lämplig länk till höger baserat på operativsystemversionen. Not Det här steget är valfritt i en testdistribution av den här SSO-lösningen med en enda AD FS-federationsserver.	Information om hur du skapar och konfigurerar NLB-kluster på Windows Server 2003 och Windows Server 2003 R2 finns i Checklista: Aktivera och konfigurera belastningsutjämning för nätverk. Information om hur du skapar och konfigurerar NLB-kluster på Windows Server 2008 finns i Skapa kluster för utjämning av nätverksbelastning. Information om hur du skapar och konfigurerar NLB-kluster på Windows Server 2008 R2 finns i Skapa kluster för utjämning av nätverksbelastning.
3. Skapa en ny resurspost för klustrets DNS-namn i företagsnätverkets DNS som pekar FQDN-namnet på NLB-klustret till dess kluster-IP-adress.	Lägg till en resurspost i företagets DNS för klustrets DNS-namn som konfigurerats på företagets NLB-värd
4. Importera serverautentiseringscertifikatet till standardwebbplatsen för varje federationsserver i servergruppen. Not Att installera det här certifikatet på standardwebbplatsen är ett krav innan du kan använda konfigurationsguiden för AD FS-federationsservern.	Importera ett certifikat för serverautentisering till standardwebbplatsen
5. Skapa och konfigurera ett dedikerat tjänstkonto i Active Directory där federationsservergruppen ska finnas och konfigurera varje federationsserver i servergruppen att använda det här kontot.	Konfigurera ett tjänstkonto manuellt för en federationsservergrupp

Ansluta datorn till en domän

För att AD FS ska fungera måste varje dator som fungerar som en federationsserver vara ansluten till en domän. Federationsserverproxy kan vara anslutna till en domän, men det är inte ett krav.

Om du vill använda AD FS i Windows Server 2012 R2 måste active directory-domänen köra något av följande:

• Windows Server

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

Ansluta datorn till en domän

1. På den dator som du vill ansluta till en domän klickar du på Starta, klickar på Kontrollpanelenoch dubbelklickar sedan på System.

2. Under Datornamn, domän och arbetsgruppsinställningarklickar du på Ändra inställningar.

3. På fliken Datornamn klickar du på Ändra.

4. Under Medlem iklickar du på Domän, anger namnet på den domän som datorn ska ansluta till och klickar sedan på OK.

5. Klicka på OKoch starta sedan om datorn.

Lägg till en resurspost i företagets DNS för klustrets DNS-namn som konfigurerats på företagets NLB-värd

För att klienter i företagsnätverket ska kunna komma åt federationstjänsten måste först en värdresurspost (A) skapas i företagets DNS (Domain Name System) som löser klustrets DNS-namn för federationstjänsten (till exempel fs.fabrikam.com) till klustrets IP-adress i företagsnätverket (till exempel 172.16.1.3). Du kan använda följande procedur för att lägga till en värdresurspost (A) i företagets DNS för NLB-klustret.

Så här lägger du till en resurspost i företagets DNS för klustrets DNS-namn som konfigurerats på företagets NLB-värd

1. Öppna DNS-snapin-modulen på en DNS-server för företagsnätverket.

2. Högerklicka på den aktuella uppslagszonen (till exempel fabrikam.com) i konsolträdet och klicka sedan på ny värd (A eller AAAA).

3. I Nameanger du endast datornamnet för federationsservern eller federationsserverklustret. För det fullständigt kvalificerade domännamnet (FQDN) fs.fabrikam.com skriver du till exempel fs.

4. I IP-adressanger du IP-adressen för federationsservern eller federationsserverklustret. till exempel 172.16.1.3.

5. Klicka på Lägg till värd.

   Viktig

   Det antas att du använder en DNS-server som kör Windows 2000 Server, Windows Server 2003 eller Windows Server 2008 med DNS Server-tjänsten för att styra DNS-zonen.

Importera ett serverautentiseringscertifikat till standardwebbplatsen

När du har fått ett certifikat för serverautentisering från en certifikatutfärdare måste du manuellt installera certifikatet på standardwebbplatsen för varje federationsserver i servergruppen.

Eftersom det här certifikatet måste vara betrott av klienter för AD FS- och Microsoft-molntjänster använder du ett SSL-certifikat som utfärdas av en offentlig (tredje part) CA eller av en certifikatutfärdare som är underordnad en offentligt betrodd rot. till exempel VeriSign eller Thawte. Information om hur du installerar ett certifikat från en offentlig certifikatutfärdare finns i IIS 7.0: Begära ett Internet Server-certifikat.

Not

Ämnesnamnet för det här serverautentiseringscertifikatet måste matcha FQDN för klustrets DNS-namn (till exempel fs.fabrikam.com) som du skapade tidigare på NLB-värden. Om Internet Information Services (IIS) inte har installerats måste du först installera IIS för att slutföra den här uppgiften. När du installerar IIS för första gången rekommenderar vi att du använder standardalternativen när du uppmanas att installera serverrollen.

Importera ett serverautentiseringscertifikat till standardwebbplatsen

1. Klicka på Starta, peka på Alla program, peka på Administrationsverktygoch klicka sedan på IIS-hanteraren (Internet Information Services).

2. I konsolträdet klickar du på ComputerName.

3. Dubbelklicka på servercertifikat i mittenfönstret.

4. I fönstret Åtgärder klickar du på Importera.

5. I dialogrutan Importera certifikat klickar du på knappen ....

6. Bläddra till platsen för pfx-certifikatfilen, markera den och klicka sedan på Öppna.

7. Skriv ett lösenord för certifikatet och klicka sedan på OK.

Skapa ett dedikerat tjänstkonto för federationsservergruppen

För att konfigurera en federationsservergruppsmiljö i AD FS måste du skapa och konfigurera ett dedikerat tjänstkonto i Active Directory där servergruppen ska finnas. Det här dedikerade tjänstkontot är nödvändigt för att säkerställa att alla resurser som krävs av AD FS-servergruppen beviljas åtkomst till var och en av federationsservrarna i servergruppen.

Sedan konfigurerar du varje federationsserver i servergruppen att använda samma tjänstkonto. Om tjänstkontot som skapades till exempel var fabrikam\ADFS2SVC måste varje dator som du konfigurerar för federationsserverrollen och som ska delta i samma servergrupp ange fabrikam\ADFS2SVC i det här steget i konfigurationsguiden för federationsserver för att servergruppen ska fungera.

Not

Du behöver bara utföra uppgifterna i den här proceduren en gång för hela federationsservergruppen. När du senare skapar en federationsserver med hjälp av konfigurationsguiden för AD FS-federationsservern måste du ange samma konto på sidan servicekonto på varje federationsserver i servergruppen.

Skapa ett dedikerat tjänstkonto för federationsservergruppen

1. Skapa ett dedikerat användar-/tjänstkonto i den Active Directory-skog som du ska använda i din organisation.

2. Redigera egenskaperna för användarkontot och markera kryssrutan Lösenordet upphör aldrig att gälla. Den här åtgärden säkerställer att det här tjänstkontots funktion inte avbryts till följd av krav på ändring av domänlösenord.

   Not

   • Om du behöver ändra ditt lösenord för tjänstkontot regelbundet kan du läsa Konfigurera avancerade alternativ för AD FS 2.0.
     
     
   • Om du använder nätverkstjänstkontot för det här dedikerade kontot resulterar det i slumpmässiga fel när åtkomsten görs via integrerad Windows-autentisering, till följd av att Kerberos-biljetter inte verifieras från en server till en annan.
     
     

Nästa steg

Nu när du har granskat kraven för att distribuera AD FS är nästa steg att slutföra uppgifterna i någon av följande checklistor beroende på vilken version av AD FS du vill använda:

• Checklista: Distribuera federationsservergruppen på Windows Server 2012 R2

• Checklista: Distribuera federationsservergruppen i äldre versioner av Windows Server

Se även

Begrepp

checklista: Använd AD FS för att implementera och hantera enkel inloggning