檢查清單:設定同盟伺服器
此檢查清單包含必要的部署工作,用來為 Active Directory 同盟服務 (AD FS) 中的同盟伺服器角色準備執行 Windows Server® 2012 的伺服器。
注意
請依序完成此檢查清單中的工作。 當某個參考連結帶您進入某個程序時,請在完成該程序中的步驟之後返回本主題,讓您可以繼續進行此檢查清單中其餘的工作。
檢查清單:設定同盟伺服器
| Task | 參考 |
|---|---|
| 開始部署 AD FS 同盟伺服器之前,請先檢閱:1.) 選擇 Windows 內部資料庫 (WID) 或 SQL Server 來儲存 AD FS 設定資料庫的優點和缺點 2.) AD FS 部署拓撲類型及其相關聯的伺服器放置和網路配置建議。 |  決定您的 AD FS 部署拓撲 |
| 檢閱 AD FS 容量規劃指引,以確定您應該在實際執行環境中使用的適當同盟伺服器數目。 | 規劃同盟伺服器容量 |
| 檢閱《AD FS 設計指南》中有關在組織中何處放置同盟伺服器的資訊 | 規劃同盟伺服器的位置 |
| 確定獨立同盟伺服器還是同盟伺服器陣列更適合您的部署。 | 建立同盟伺服器的時機 |
| 確定將在帳戶夥伴組織還是資源夥伴組織中建立這部新的同盟伺服器。 | 檢閱帳戶夥伴中的同盟伺服器角色 |
| 檢閱同盟伺服器如何使用服務通訊憑證和權杖簽署憑證,安全地驗證用戶端和同盟伺服器 Proxy 要求的相關資訊。 注意:雖然使用憑證搭配非完整主機名稱 (例如 https://myserver) 是長久以來的常見做法,但這些憑證沒有任何安全性價值,而且可讓攻擊者對企業用戶端模擬 AD FS 同盟服務。 因此,建議您使用完整網域名稱 (FQDN),例如 https://myserver.contoso.com,並且只使用發給同盟服務 FQDN 的 SSL 憑證。 | 同盟伺服器的憑證需求 |
| 檢閱如何更新公司網路網域名稱系統 (DNS) 的相關資訊,以便可對同盟伺服器進行成功的名稱解析。 | 同盟伺服器的名稱解析需求 |
| 將成為同盟伺服器的電腦加入帳戶夥伴樹系或資源夥伴樹系中的網域,其中該電腦將用來驗證該樹系的使用者或來自信任樹系的使用者。 注意:如果您想要在帳戶夥伴組織中設定同盟伺服器,必須先將電腦加入樹系中的任何網域,其中您的同盟伺服器將用來驗證來自該樹系或信任樹系的使用者。 |  將電腦加入網域 |
| 在公司網路 DNS 中建立新的資源記錄,其會將同盟伺服器的 DNS 主機名稱指向同盟伺服器的 IP 位址。 | 將主機 (A) 資源記錄新增至同盟伺服器的公司 DNS |
| (選用) 如果您要將同盟伺服器新增至同盟伺服器陣列,則可能必須先匯出現有權杖簽署憑證的私密金鑰 (在伺服器陣列中的第一部同盟伺服器上),以便當其他同盟伺服器必須匯入相同的憑證時,您已備妥該憑證的檔案格式。 當您發行的伺服器驗證憑證可由多部電腦重複使用時,或當您為伺服器陣列中的每部同盟伺服器取得唯一的伺服器驗證憑證時,不需要匯出私密金鑰。 注意:AD FS 管理嵌入式管理單元會將同盟伺服器的伺服器驗證憑證稱為服務通訊憑證。 |
匯出伺服器驗證憑證的私密金鑰部分 |
| 從憑證授權單位 (CA) 取得伺服器驗證憑證 (私密金鑰) 之後,您必須將該憑證檔案匯入至每部同盟伺服器的預設網站。 注意:需要在預設網站上安裝這個憑證,然後您才能使用 AD FS 同盟伺服器設定精靈。 | 將伺服器驗證憑證匯入預設的網站中 |
| (選用) 作為從 CA 取得伺服器驗證憑證的替代方案,您可以使用 Internet Information Services (IIS),為您的同盟伺服器建立範例憑證。 注意:使用自我簽署的伺服器驗證憑證,在實際執行環境中部署同盟伺服器不是安全性最佳做法。 | IIS:建立自我簽署伺服器憑證,然後完成將伺服器驗證憑證匯入至預設網站的程序 |
| 如果您將在帳戶夥伴組織中設定同盟伺服器陣列環境,則必須在 Active Directory Domain Services (AD DS) (伺服器陣列所在位置) 中建立和設定專用服務帳戶,並將伺服器陣列中的每部同盟伺服器設定為使用此帳戶。 藉由執行此程序,您將允許公司網路上的用戶端使用 Windows 整合式驗證,對伺服器陣列中的任何同盟伺服器進行驗證。 | 手動設定同盟伺服器陣列的服務帳戶 |
| 在將成為同盟伺服器的電腦上安裝同盟服務角色服務。 | 安裝同盟服務角色服務 |
| 使用 AD FS 同盟伺服器設定精靈,將電腦上的 AD FS 軟體設定為在同盟伺服器角色中運作。 當您想要設定獨立同盟伺服器、在新伺服器陣列中建立第一部同盟伺服器,或將電腦加入現有的同盟伺服器陣列時,請遵循此程序。 注意:對於同盟網頁單一登入 (SSO) 設計,帳戶夥伴組織中至少需要一部同盟伺服器,而資源夥伴組織中至少需要一部同盟伺服器。 |
建立獨立同盟伺服器 |
| (選用) 使用 AD FS 管理嵌入式管理單元,來新增和設定部署設計所需的必要 AD FS 憑證。 如需何時使用嵌入式管理單元新增或變更憑證的詳細資訊,請參閱同盟伺服器的憑證需求。 |  新增權杖簽署憑證 |
| 如果這是您組織中的第一部同盟伺服器,請設定同盟服務,使其符合您的 AD FS 設計。 | 檢查清單:設定帳戶夥伴組織 |
| 從用戶端電腦中,驗證同盟伺服器是否可以運作。 | 驗證同盟伺服器運作正常 |