清单:设置联合服务器

  • 项目

此清单包含为 Active Directory 联合身份验证服务 (AD FS) 中的联合身份验证服务器角色准备运行 Windows Server® 2012 的服务器而需要完成的部署任务。

注意

请按顺序完成本清单中的任务。 当某个参考连接将你转至某个过程时,应在完成该过程中的步骤之后返回此主题,以便你可以继续执行此清单中的其他任务。

Icon for the Setting up a federation server check list.清单:设置联合服务器

任务 参考
在开始部署 AD FS 联合服务器之前,请查看:1.) 选择 Windows 内部数据库 (WID) 或 SQL Server 来存储 AD FS 配置数据库的优点和缺点 2.) AD FS 部署拓扑类型和关联的服务器位置和网络布局建议。 Icon for the Determine Your AD FS Deployment Topology link you can use in reference to setting up a federation server.确定 AD FS 部署拓扑

Icon for the AD FS Deployment Topology Considerations link you can use in reference to setting up a federation server.AD FS 部署拓扑注意事项
查看 AD FS 容量规划指南以确定应在生产环境中使用的联合服务器的正确数量。 Icon for the Planning for Federation Server Capacity link you can use in reference to setting up a federation server.规划联合服务器容量
查看 AD FS 设计指南中有关将联合服务器放在组织中的哪个位置的信息 Icon for the Planning Federation Server Placement link you can use in reference to setting up a federation server.规划联合服务器放置

Icon for the Where to Place a Federation Server link you can use in reference to setting up a federation server.在何处放置联合服务器
确定是独立联合服务器还是联合服务器场更适合你的部署。 Icon for the When to Create a Federation Server link you can use in reference to setting up a federation server.何时创建联合服务器

Icon for the When to Create a Federation Server Farm link you can use in reference to setting up a federation server.何时创建联合服务器场
确定是要在帐户伙伴组织还是在资源伙伴组织中创建此新的联合服务器。 Icon for the Review the Role of the Federation Server in the Account Partner link you can use in reference to setting up a federation server.了解联合服务器在帐户伙伴中的角色

Icon for the Review the Role of the Federation Server in the Resource Partner link you can use in reference to setting up a federation server.查看联合服务器在资源伙伴中的角色
查看有关联合服务器如何使用服务通信证书和令牌签名证书安全地对客户端和联合服务器代理请求进行身份验证的信息。 注意:虽然使用主机名称不合格(例如 https://myserver)的证书是长期以来的普遍做法,但这些证书没有安全价值,并且可以使攻击者在企业客户端中模拟 AD FS 联合身份验证服务。 因此,建议使用完全限定的域名 (FQDN)(例如 https://myserver.contoso.com),并仅使用颁发给联合身份验证服务 FQDN 的 SSL 证书。 Icon for the Certificate Requirements for Federation Servers link you can use in reference to setting up a federation server.联合服务器的证书要求
查看有关如何更新企业网络域名系统 (DNS) 的信息,以便成功对联合服务器进行名称解析。 Icon for the Name Resolution Requirements for Federation Servers link you can use in reference to setting up a federation server.联合服务器的名称解析要求
将充当联合服务器的计算机加入帐户伙伴林或资源伙伴林中的某个域,在其中,该计算机将用于对该林或信任林中的用户进行身份验证。 注意:如果要在帐户伙伴组织中设置某个联合服务器,必须先将计算机加入林中的任一域,在其中,该联合服务器将用于对该林或信任林的用户进行身份验证。 Icon for the Join a Computer to a Domain link you can use in reference to setting up a federation server.将计算机加入域
在企业网络 DNS 中创建新的资源记录,用于将联合服务器的 DNS 主机名指向联合服务器的 IP 地址。 Icon for the Add a Host (A) Resource Record to Corporate DNS for a Federation Server link you can use in reference to setting up a federation server.将主机 (A) 资源记录添加到联合服务器的企业 DNS
(可选)如果要将联合服务器添加到联合服务器场,可能必须先导出现有令牌签名证书的私钥(在场中的第一台联合服务器上),以便在其他联合服务器必须导入同一证书时准备好证书的文件格式。

如果颁发的服务器身份验证证书可由多个计算机重复使用(无需导出),或者你要为场中每个联合服务器获取唯一的服务器身份验证证书,则不需要导出私钥。 注意:“AD FS 管理”管理单元是指用作服务通信证书的联合服务器的服务器身份验证证书。

 Icon for the Export the Private Key Portion of a Server Authentication Certificate link you can use in reference to setting up a federation server.导出服务器身份验证证书的私钥部分
从证书颁发机构 (CA) 获取服务器身份验证证书(或私钥)后,必须将证书文件导入到每个联合服务器的默认网站。 注意:在使用 AD FS 联合服务器配置向导之前,必须先在默认网站上安装此证书。 Icon for the Import a Server Authentication Certificate to the Default Web Site link you can use in reference to setting up a federation server.将服务器身份验证证书导入默认网站
(可选)除了从 CA 获取服务器身份验证证书之外,还可以使用 Internet Information Services (IIS) 为联合服务器创建示例证书。 注意:使用自签名服务器身份验证证书在生产环境中部署联合服务器不是最佳安全做法。 Icon for the IIS: Create a Self-Signed Server Certificate link you can use in reference to setting up a federation server.IIS:创建自签名服务器证书然后完成将服务器身份验证证书导入默认网站过程
如果要在帐户伙伴组织中配置联合服务器场环境,则必须在场所在的 Active Directory 域服务 (AD DS) 中创建并配置一个专用服务帐户,然后将场中的每个联合服务器配置为使用此帐户。 执行此过程后,企业网络中的客户端可以使用 Windows 集成身份验证对场中的任何联合服务器进行身份验证。 Icon for the Manually Configure a Service Account for a Federation Server Farm link you can use in reference to setting up a federation server.手动配置联合服务器场的服务帐户
在要成为联合服务器的计算机上安装联合身份验证服务角色服务。 Icon for the Install the Federation Service Role Service link you can use in reference to setting up a federation server.安装联合身份验证服务角色服务
使用 AD FS 联合服务器配置向导在要充当联合服务器角色的计算机上配置 AD FS 软件。

如果你要设置独立联合服务器、在新场中创建第一个联合服务器,或者将计算机加入现有的联合服务器场,请遵循此过程。 注意:对于联合 Web 单一登录 (SSO) 设计,必须至少在帐户伙伴组织中具有一个联合服务器,并至少在资源伙伴组织中具有一个联合服务器。

 Icon for the Create a Stand-Alone Federation Server link you can use in reference to setting up a federation server.创建独立联合服务器

Icon for the Create the First Federation Server in a Federation Server Farm link you can use in reference to setting up a federation server.在联合服务器场中创建第一个联合服务器

Icon for the Add a Federation Server to a Federation Server Farm link you can use in reference to setting up a federation server.将联合服务器添加到联合服务器场
(可选)使用“AD FS 管理”管理单元添加和配置用于部署设计的 AD FS 证书。 有关何时使用该管理单元添加或更改证书的详细信息,请参阅联合服务器的证书要求 Icon for the Add a Token-Signing Certificate link you can use in reference to setting up a federation server.添加令牌签名证书

Icon for the Add a Token-Decrypting Certificate link you can use in reference to setting up a federation server.添加令牌解密证书

Icon for the Set a Service Communications Certificate link you can use in reference to setting up a federation server.设置服务通信证书
如果这是组织中的第一个联合服务器,请配置联合身份验证服务,使其符合你的 AD FS 设计。 Icon for the Checklist: Configuring the Account Partner Organization link you can use in reference to setting up a federation server.清单:配置帐户伙伴组织

Icon for the Checklist: Configuring the Resource Partner Organization link you can use in reference to setting up a federation server.清单︰ 配置资源伙伴组织
在客户端计算机中,验证联合服务器是否正常运行。 setting up a federated server验证联合服务器是否正常运行