設定同盟伺服器陣列中的第一部同盟伺服器
適用于:Azure、Office 365、Power BI、Windows Intune
您可以使用下列程序,使用 [AD FS Federation Server 設定精靈] 設定電腦,使其成為新同盟伺服器陣列中的第一部同盟伺服器。
重要
AD FS 可以安裝與設定為 Windows Server 2008 和 Windows Server 2008 R2 作業系統平台的個別套件 (稱為 AD FS 2.0)。 也可以透過將同盟服務伺服器角色新增為 Windows Server 2012 作業系統的一部分,藉以安裝和設定 AD FS。
在 Windows Server 2008 或 Windows Server 2008 R2 上,使用 AD FS 2.0 以在同盟伺服器陣列中建立第一部同盟伺服器
在 Windows Server 2012 上,使用 AD FS 以在同盟伺服器陣列中建立第一部同盟伺服器
在 Windows Server 2008 或 Windows Server 2008 R2 上,使用 AD FS 2.0 以在同盟伺服器陣列中建立第一部同盟伺服器
Domain Admins 的成員資格,或已獲授與 Active Directory 中 Program Data 容器寫入權限的委派網域帳戶,是完成此程式所需的最低存取權。
AD FS 2.0 軟體安裝完成後,按一下 [ 開始]、[ 系統管理工具] 和 [ AD FS 2.0 管理] 以開啟 AD FS 2.0 管理嵌入式管理單元。
在 [ 概觀 ] 頁面上,按一下 [AD FS 2.0 同盟伺服器組態精靈]。
在 [歡迎使用] 頁面上,驗證已選取 [建立新的同盟服務],然後按 [下一步]。
在 [選取獨立或伺服器陣列部署] 頁面上,按一下 [新的同盟伺服器陣列],然後按 [下一步],
在 [指定同盟服務名稱] 頁面上,驗證顯示的 [SSL 憑證] 符合先前匯入至 IIS 中 [預設網站] 的憑證名稱。 如果這不是正確憑證,請從 [SSL 憑證] 清單中選取適當的憑證。
注意
若已為 IIS 設定 SSL 憑證,精靈將不會允許您覆寫該憑證。 這樣可確保先前為 IIS 設定的 SSL 憑證都會被保留。 若要解決這個問題,您可以返回,然後將憑證再匯入 IIS 的預設網站一次。
如果您先前在此電腦上重新安裝 AD FS,則會出現 [現有的 AD FS 設定資料庫偵測到 ] 頁面。 如果顯示該頁面,請按一下 [刪除資料庫],然後按 [下一步]。
在 [指定服務帳戶] 頁面上,按一下 [瀏覽] 。 在 [瀏覽] 對話方塊中,尋找這個新同盟伺服器陣列中要當成服務帳戶使用的網域帳戶,然後按一下 [確定]。 輸入此帳戶的密碼,並確認密碼,然後按 [下一步]。
在 [已可套用設定] 頁面上,檢閱詳細資料。 如果設定看起來正確,請按一下 [ 下一步 ] 開始使用這些設定來設定 AD FS 2.0。
在 [設定結果] 頁面上檢閱結果。 當所有設定步驟都完成之後,請按一下 [關閉] 以結束精靈。
注意
當您完成此程式中的步驟時,AD FS 2.0 管理嵌入式管理單元會自動開啟,並會出現一則訊息,指出 [必要設定不完整 ],而且您應該 新增信任的信賴憑證者。 您可以忽略此訊息。
Microsoft Azure Active Directory (Microsoft Azure AD) 的信賴憑證者信任將會在稍後的步驟中新增。 如需詳細資訊,請參閱安裝 Windows PowerShell 以搭配 AD FS 使用單一登入。 完成此步驟之後,此訊息將會從 AD FS 2.0 管理嵌入式管理單元消失。在右窗格中,按一下 [編輯同盟服務內容],然後將 [同盟服務顯示名稱] 欄位修改為同盟廠牌名稱的名稱 (例如,您的公司名稱)。 使用者登入以存取您已啟用 SSO 的應用程式時,可以看到此名稱。
在 Windows Server 2012 上,使用 AD FS 以在同盟伺服器陣列中建立第一部同盟伺服器
有兩種方式可以啟動 AD FS 同盟伺服器設定精靈。 若要啟動該精靈,請執行下列其中一個動作:
完成同盟服務角色服務安裝之後,請開啟 [AD FS 管理] 嵌入式管理單元,然後按一下 [概觀] 頁面上或 [執行] 窗格中的 [AD FS Federation Server 設定精靈] 連結。
安裝精靈完成之後,請開啟 Windows 檔案總管,並導覽至 C:\Windows\ADFS 資料夾,然後連按兩下 [FsConfigWizard.exe]。
在 [歡迎使用] 頁面上,驗證已選取 [建立新的同盟服務],然後按 [下一步]。
在 [選取獨立或伺服器陣列部署] 頁面上,按一下 [新的同盟伺服器陣列],然後按 [下一步],
在 [指定同盟服務名稱] 頁面上,驗證顯示的 [SSL 憑證] 正確。 如果這不是正確憑證,請從 [SSL 憑證] 清單中選取適當的憑證。
此憑證是從 [預設網站] 的安全通訊端層 (SSL) 設定所產生。 若「預設的網站」只設定一個 SSL 憑證,則會出示該憑證並自動選取該憑證以供使用。 若已為「預設的網站」設定多個 SSL 憑證,則此處會列出所有那些憑證,而且您必須從中選取一個憑證。 若沒有為「預設的網站」設定 SSL 設定,則會從本機電腦上個人憑證存放區中可用的憑證產生清單。
注意
若已為 IIS 設定 SSL 憑證,精靈將不會允許您覆寫該憑證。 這樣可確保先前為 IIS 設定的 SSL 憑證都會被保留。 為因應此限制,您可以移除該憑證或使用 [IIS 管理主控台] 手動重新設定憑證。
如果您選取的 AD FS 資料庫已存在,則會出現 [偵測到現有的 AD FS 組態資料庫] 頁面。 如果顯示該頁面,請按一下 [刪除資料庫],然後按 [下一步]。
警告
只有在您確定此 AD FS 資料庫中的資料不重要,或資料未用於生產同盟伺服器陣列時,才選取此選項。
在 [指定服務帳戶] 頁面上,按一下 [瀏覽] 。 在 [瀏覽] 對話方塊中,尋找這個新同盟伺服器陣列中要當成服務帳戶使用的網域帳戶,然後按一下 [確定]。 輸入此帳戶的密碼,並確認密碼,然後按 [下一步]。
在 [已可套用設定] 頁面上,檢閱詳細資料。 如果顯示的設定正確無誤,請按 [下一步],開始以這些設定進行 AD FS 的設定。
在 [設定結果] 頁面上檢閱結果。 當所有設定步驟都完成之後,請按一下 [關閉] 以結束精靈。
安全性注意事項 基於安全的部署目的,當您使用 [AD FS 同盟伺服器設定精靈] 來設定同盟伺服器陣列時,會停用成品解析與回覆偵測。 此精靈會自動設定「Windows 內部資料庫」來儲存服務設定資料。 不過,您可能會使用 [端點] 節點 (在 [AD FS 管理] 嵌入式管理單元中) 或 Enable-ADFSEndpoint Cmdlet (在 Windows PowerShell 中) 啟用 [成品解析] 端點,錯誤地復原這項變更。 請小心,不要重新設定預設設定,這樣當您使用同盟伺服器陣列搭配「Windows 內部資料庫」時,此端點才能維持停用狀態。
注意
設定伺服器陣列中的第一部同盟伺服器之後,在右窗格中,按一下 [編輯同盟服務內容],然後將 [同盟服務顯示名稱] 欄位修改為同盟廠牌名稱的名稱 (例如,您的公司名稱)。 使用者登入以存取您已啟用 SSO 的應用程式時,可以看到此名稱。
後續步驟
既然您已在同盟伺服器陣列中設定第一部同盟伺服器,請流覽回檢查清單:在舊版的 Windows Server 上部署同盟伺服器陣列,並完成其餘步驟。