在 Windows Server 2012 R2 中向联合服务器场添加联合服务器

适用于:Azure、Office 365、Power BI、Windows Intune

在运行 Windows Server 2012 R2 的计算机上安装 Active Directory 联合身份验证服务 (AD FS) 角色服务后,便可以将此计算机配置为联合服务器。

完成下列过程可将此计算机作为第一台联合服务器添加到现有的联合服务器场中。

将联合服务器添加到现有的联合服务器场中

重要

在完成此过程之前,请确保已获取有效的 SSL 服务器身份验证证书。 有关详细信息,请参阅 查看部署 AD FS 的要求

通过 Active Directory 联合身份验证服务配置向导将联合服务器添加到现有的联合服务器场中

  1. 在服务器管理器的“仪表板”页上,单击“通知”标志,然后单击“在服务器上配置联合身份验证服务”

    此时将启动“Active Directory 联合身份验证服务配置向导”

  2. “欢迎”页上,选择“将联合服务器添加到联合服务器场中”,然后单击“下一步”

  3. “连接到 AD DS”页上,指定对此计算机加入到的 AD 域拥有域管理员权限的帐户,然后单击“下一步”

  4. “指定场”页上,提供使用 WID 的场中的主联合服务器的名称,或者指定使用 SQL 的现有联合服务器场的数据库主机名和数据库实例名称。

    警告

    在 中,可以使用一种方法来指定 SQL Server 默认实例。 此方法不是使用用户界面, 请改用中的步骤,通过Windows PowerShell在新联合服务器场中配置第一个联合服务器

  5. “指定 SSL 证书”页上,导入包含你前面获取的 SSL 证书和密钥的 .pfx 文件。 这是必需的服务身份验证证书。 如“证书要求”部分所述, 查看部署 AD FS 的要求 ,必须获取此证书并将其复制到要配置为联合服务器的计算机上。 若要通过向导导入该 .pfx 文件,请单击“导入”并浏览到该文件的位置。 出现提示时,请指定该 .pfx 文件的密码。

  6. “指定服务帐户”页上,指定你在创建场中的第一台联合服务器时配置的同一个服务帐户。 可以使用现有的组托管服务帐户或现有的域用户帐户。

    重要

    指定的帐户必须与此场中主联合服务器上使用的帐户相同。

  7. “查看选项”页上确认你的配置选择,然后单击“下一步”

  8. “先决条件检查”页上,确认是否已成功完成所有先决条件检查,然后单击“配置”

  9. “结果”页上,查看结果以及是否已成功完成配置,然后单击“完成联合身份验证服务部署所需的后续步骤”。 有关详细信息,请参阅 完成 AD FS 安装的后续步骤。 单击“关闭”退出向导。

通过 Windows PowerShell 将联合服务器添加到现有的联合服务器场中

可以使用现有的 gMSA 或现有的域用户帐户将联合服务器添加到现有的场中。

  • 如果要使用现有的 gMSA 帐户将联合服务器加入到场中,请执行以下操作:

    1. 在要配置为联合服务器的计算机上,确保已将所需的 SSL 证书导入到“本地计算机\我的存储”中。 可以通过在Windows PowerShell命令窗口中运行以下命令来验证 SSL 证书是否已导入: dir Cert:\LocalMachine\My 证书按本地计算机\My Microsoft Store中的指纹列出。

    2. 在要配置为联合服务器的计算机上,打开 Windows PowerShell 命令窗口并运行以下命令:

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
      

      <domain>\<GMSA_name> 是 AD 域,也是该域中 GMSA 帐户的名称。 <first_federation_server_hostname> 是此现有场中主联合服务器的主机名。

      在上述步骤中运行 <certificate_thumbprint> 可以获取 dir Cert:\LocalMachine\My 的值。

      注意

      如果这不是第一次运行此命令,请添加 –OverwriteConfiguration

      注意

      上述命令将创建一个 WID 场节点。 如果要创建 SQL Server 场节点,则必须已安装 SQL Server 并确保它正常运行。 可以使用以下命令使用 SQL 服务器将联合服务器添加到现有场:Add-AdfsFarmNode -GroupServiceAccountIdentifier <GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name><SQL_instance_ name>;Integrated Security=True"其中SQL_Host_Name是运行SQL服务器的服务器的名称,SQL_instance_name是SQL实例的名称。 如果使用默认SQL Server实例,请使用“Data Source=<SQL_Host_Name>;Integrated Security=True”的 SQLConnectionString 值。

  • 如果要使用现有的域用户帐户将联合服务器加入到场中,请执行以下操作:

    1. 在要配置为联合服务器的计算机上,打开Windows PowerShell命令窗口并运行以下命令: $fscred = get-credential 以域\用户名格式输入要用于联合身份验证服务帐户的域用户帐户凭据。

    2. 在要配置为联合服务器的计算机上,确保已将所需的 SSL 证书导入到“本地计算机\我的存储”中。 可以通过在Windows PowerShell命令窗口中运行以下命令来验证 SSL 证书是否已导入: dir Cert:\LocalMachine\My 证书按本地计算机\My Microsoft Store中的指纹列出。

    3. 在同一个 Windows PowerShell 命令窗口中运行以下命令:

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
      

      注意

      如果这不是第一次运行此命令,请添加 –OverwriteConfiguration

      注意

      上述命令将创建一个 WID 场节点。 如果要创建 SQL Server 场节点,则必须已安装 SQL Server 并确保它正常运行。 可以使用以下命令使用 SQL 服务器将联合服务器添加到现有场:Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>&lt;SQL_instance_ name>;Integrated Security=True"其中SQL_Host_Name是运行SQL服务器的服务器的名称,SQL_instance_name是SQL实例的名称。 如果使用默认SQL Server实例,请使用“Data Source=<SQL_Host_Name>;Integrated Security=True”的 SQLConnectionString 值。

后续步骤

安装 AD FS 软件后,请导航回清单:在 Windows Server 2012 R2 上部署联合服务器场并完成其余步骤。

另请参阅

概念

清单:在 Windows Server 2012 R2 上部署联合服务器场
清单:使用 AD FS 实现和管理单一登录