Sdílet prostřednictvím

Přidání federačního serveru do farmy federačních serverů v Windows Server 2012 R2

  • Článek

Platí pro: Azure, Office 365, Power BI, Windows Intune

Po instalaci služby role Ad FS (Active Directory Federation Service) do počítače se systémem Windows Server 2012 R2 jste připraveni tento počítač nakonfigurovat tak, aby se stal federačním serverem.

Pokud chcete přidat tento počítač jako první federační server do existující farmy federačních serverů, můžete dokončit následující postupy.

Přidání federačního serveru do existující farmy federačních serverů

Důležité

Před dokončením tohoto postupu se ujistěte, že jste získali platný ověřovací certifikát serveru SSL. Další informace najdete v tématu Kontrola požadavků na nasazení služby AD FS.

Přidání federačního serveru do existující farmy federačních serverů prostřednictvím Průvodce konfigurací služby AD FS (Active Directory Federation Service)

  1. Na stránce řídicího panelu Správce serveru klikněte na příznak Oznámení a potom klikněte na Konfigurovat federační službu na serveru.

    Spustí se Průvodce konfigurací služby AD FS (Active Directory Federation Service ).

  2. Na úvodní stránce vyberte Přidat federační server do farmy federačních serverů a klikněte na Další.

  3. Na stránce Připojení na stránku AD DS zadejte účet s oprávněními správce domény pro doménu AD, ke které je tento počítač připojený, a potom klikněte na tlačítko Další.

  4. Na stránce Zadat farmu zadejte název primárního federačního serveru ve farmě pomocí Interní databáze Windows nebo zadejte název hostitele databáze a název instance databáze existující farmy federačních serverů pomocí SQL.

    Upozornění

    Existuje alternativní řešení pro zadání výchozí instance SQL serveru. Alternativním řešením je nepoužívat uživatelské rozhraní. Místo toho použijte postup konfigurace prvního federačního serveru v nové farmě federačních serverů prostřednictvím Windows PowerShell.

  5. Na stránce Zadat certifikát SSL naimportujte soubor .pfx obsahující certifikát SSL a klíč, který jste získali dříve. Jedná se o požadovaný ověřovací certifikát služby. Jak je uvedeno v části Požadavky na certifikáty v části Kontrola požadavků na nasazení služby AD FS , musíte tento certifikát získat a zkopírovat ho do počítače, který chcete nakonfigurovat jako federační server. Chcete-li importovat soubor .pfx prostřednictvím průvodce, klikněte na Importovat a přejděte do umístění souboru. Po zobrazení výzvy zadejte heslo pro soubor .pfx.

  6. Na stránce Zadat účet služby zadejte stejný účet služby, který jste nakonfigurovali při hodnocení prvního federačního serveru ve farmě. Můžete použít existující skupinový účet spravované služby nebo existující uživatelský účet domény.

    Důležité

    Zadaný účet musí být stejný jako účet použitý na primárním federačním serveru v této farmě.

  7. Na stránce Zkontrolovat možnosti ověřte výběry konfigurace a klikněte na Tlačítko Další.

  8. Na stránce Kontroly předpokladů ověřte, zda byly všechny požadované kontroly úspěšně dokončeny, a poté klepněte na tlačítko Konfigurovat.

  9. Na stránce Výsledky zkontrolujte výsledky a zkontrolujte, jestli se konfigurace úspěšně dokončila, a potom klikněte na další kroky potřebné k dokončení nasazení služby FS. Další informace najdete v tématu Další kroky pro dokončení instalace služby AD FS. Průvodce ukončíte kliknutím na Zavřít .

Přidání federačního serveru do existující farmy federačních serverů prostřednictvím Windows PowerShell

Federační server můžete přidat do existující farmy pomocí existujícího účtu gMSA nebo existujícího uživatelského účtu domény.

  • Pokud chcete připojit federační server k farmě pomocí existujícího účtu gMSA, postupujte takto:

    1. Na počítači, který chcete nakonfigurovat jako federační server, se ujistěte, že byl požadovaný certifikát SSL importován do místního počítače\Úložiště osobních údajů. Certifikát SSL můžete ověřit spuštěním následujícího příkazu v příkazovém okně Windows PowerShell: dir Cert:\LocalMachine\My. Certifikát je uveden jeho kryptografickým otiskem v místním počítači\My Store.

    2. Na počítači, který chcete nakonfigurovat jako federační server, otevřete Windows PowerShell příkazové okno a spusťte následující příkaz:

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> je vaše doména AD a název účtu GMSA v této doméně. <first_federation_server_hostname> je název hostitele primárního federačního serveru v této stávající farmě.

      Hodnotu <certificate_thumbprint> můžete získat spuštěním dir Cert:\LocalMachine\My výše uvedeného kroku.

      Poznámka

      Pokud tento příkaz nespustíte poprvé, přidejte –OverwriteConfiguration.

      Poznámka

      Výše uvedený příkaz vytvoří uzel Interní databáze Windows farmy. Pokud chcete vytvořit uzel SQL serverové farmy, musíte mít server SQL už nainstalovaný a funkční. Pomocí následujícího příkazu můžete přidat federační server do existující farmy pomocí serveru SQL: Add-AdfsFarmNode -GroupServiceAccountIdentifier <GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name><SQL_instance_ name>;Integrated Security=True" kde SQL_Host_Name je název serveru, na kterém je spuštěný SQL server, aSQL_instance_name je název instance SQL. Pokud používáte výchozí instanci SQL Server, použijte hodnotu SQLConnectionString"Data Source=<SQL_Host_Name>;Integrated Security=True".

  • Pokud chcete připojit federační server k farmě pomocí existujícího uživatelského účtu domény, postupujte takto:

    1. Na počítači, který chcete nakonfigurovat jako federační server, otevřete okno příkazu Windows PowerShell a spusťte následující příkaz: $fscred = get-credential. Zadejte přihlašovací údaje k uživatelskému účtu domény, které chcete použít pro účet federační služby ve formátu doména\uživatelské jméno.

    2. Na počítači, který chcete nakonfigurovat jako federační server, se ujistěte, že byl požadovaný certifikát SSL importován do místního počítače\Úložiště osobních údajů. Certifikát SSL můžete ověřit spuštěním následujícího příkazu v příkazovém okně Windows PowerShell: dir Cert:\LocalMachine\My. Certifikát je uveden jeho kryptografickým otiskem v místním počítači\My Store.

    3. Ve stejném okně příkazového řádku Windows PowerShellu spusťte následující příkaz:

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Poznámka

      Pokud tento příkaz nespustíte poprvé, přidejte –OverwriteConfiguration.

      Poznámka

      Výše uvedený příkaz vytvoří uzel Interní databáze Windows farmy. Pokud chcete vytvořit uzel SQL serverové farmy, musíte mít server SQL už nainstalovaný a funkční. Pomocí následujícího příkazu můžete přidat federační server do existující farmy pomocí serveru SQL: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>&lt;SQL_instance_ name>;Integrated Security=True" kde SQL_Host_Name je název serveru, na kterém je spuštěný SQL server, aSQL_instance_name je název instance SQL. Pokud používáte výchozí instanci SQL Server, použijte hodnotu SQLConnectionString"Data Source=<SQL_Host_Name>;Integrated Security=True".

Další krok

Teď, když jste nainstalovali software služby AD FS, přejděte zpět na kontrolní seznam: Nasaďte farmu federačních serverů na Windows Server 2012 R2 a dokončete zbývající kroky.

Viz také

Koncepty

Kontrolní seznam: Nasazení farmy federačních serverů na Windows Server 2012 R2
Kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování