Sdílet prostřednictvím

Konfigurace prvního federačního serveru ve farmě federačních serverů v Windows Server 2012

  • Článek

Platí pro: Azure, Office 365, Power BI, Windows Intune

Po instalaci služby role Ad FS (Active Directory Federation Service) do počítače se systémem Windows Server 2012 R2 jste připraveni tento počítač nakonfigurovat tak, aby se stal federačním serverem.

Pomocí následujících postupů můžete tento počítač nakonfigurovat jako první federační server ve farmě federačních serverů.

Konfigurace prvního federačního serveru v nové farmě federačních serverů

Konfigurace prvního federačního serveru v nové farmě federačních serverů pomocí Průvodce konfigurací služby AD FS (Active Directory Federation Service)

Poznámka

Před provedením tohoto postupu se ujistěte, že máte oprávnění správce domény nebo máte k dispozici přihlašovací údaje správce domény.

  1. Na stránce řídicího panelu Správce serveru klikněte na příznak Oznámení a potom klikněte na Konfigurovat federační službu na serveru.

    Spustí se Průvodce konfigurací služby AD FS (Active Directory Federation Service ).

  2. Na úvodní stránce vyberte Vytvořit první federační server ve farmě federačních serverů a klikněte na Další.

  3. Na stránce Připojení na stránku AD DS zadejte účet s oprávněními správce domény pro doménu AD, ke které je tento počítač připojený, a potom klikněte na tlačítko Další.

  4. Na stránce Zadat vlastnosti služby proveďte následující kroky a klepněte na tlačítko Další:

    • Importujte soubor .pfx obsahující certifikát SSL a klíč, který jste získali dříve. Jak je uvedeno v části Požadavky na certifikáty v části Kontrola požadavků na nasazení služby AD FS , musí tento certifikát získat a zkopírovat ho do počítače, který chcete nakonfigurovat jako federační server. Chcete-li importovat soubor .pfx prostřednictvím průvodce, klikněte na Importovat a přejděte do umístění souboru. Po zobrazení výzvy zadejte heslo pro soubor .pfx.

    • Zadejte název vaší federační služby. Například fs.contoso.com. Tento název musí odpovídat jednomu z alternativních názvů předmětu nebo subjektu v certifikátu.

    • Zadejte zobrazovaný název vaší federační služby. Například Contoso Corporation. Tento název se uživatelům zobrazí na přihlašovací stránce služby AD FS.

  5. Na stránce Zadat účet služby zadejte účet služby. Můžete vytvořit nebo použít existující účet spravované služby (gMSA) nebo použít existující uživatelský účet domény. Pokud vyberete možnost vytvořit novou gMSA, zadejte název nového účtu. Pokud vyberete možnost použít existující účet gMSA nebo doména, klikněte na tlačítko Vybrat... a vyberte účet.

    Poznámka

    Výhodou použití gMSA je funkce automatického vyjednání aktualizace hesel.

    Upozornění

    Pokud chcete použít gMSA, musíte mít ve svém prostředí alespoň jeden řadič domény, na kterém běží Windows Server 2012 operační systém.

    Pokud je možnost gMSA zakázaná a zobrazí se chybová zpráva podobná účtům spravované služby skupiny nejsou k dispozici, protože kořenový klíč KDS není nastavený, můžete gMSA ve vaší doméně povolit spuštěním následujícího příkazu Windows PowerShell na Windows Server 2012 nebo novějším řadiči domény ve vaší doméně služby Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Pak se vraťte do průvodce a klikněte na předchozí tlačítko následované tlačítkem Další a znovu zadejte stránku Zadat účet služby. Účet gMSA by teď měl být povolený a můžete ho vybrat a zadat požadovaný název účtu gMSA.

  6. Na stránce Zadat konfigurační databázi zadejte konfigurační databázi služby AD FS a klepněte na tlačítko Další. Na tomto počítači můžete vytvořit databázi pomocí Interní databáze Windows (Interní databáze Windows), nebo můžete zadat umístění a název instance SQL serveru.

    Další informace najdete v tématu Role konfigurační databáze AD FS.

  7. Na stránce Zkontrolovat možnosti ověřte výběry konfigurace a klikněte na Tlačítko Další.

  8. Na stránce Kontroly předpokladů ověřte, zda byly všechny požadované kontroly úspěšně dokončeny, a poté klepněte na tlačítko Konfigurovat.

  9. Na stránce Výsledky zkontrolujte výsledky a zkontrolujte, jestli se konfigurace úspěšně dokončila, a potom klikněte na další kroky potřebné k dokončení nasazení služby FS. Další informace najdete v tématu Další kroky pro dokončení instalace služby AD FS. Průvodce ukončíte kliknutím na Zavřít .

Konfigurace prvního federačního serveru v nové farmě federačních serverů prostřednictvím Windows PowerShell

Novou farmu federačních serverů můžete vytvořit pomocí nového nebo existujícího účtu gMSA nebo existujícího uživatelského účtu domény.

  • Pokud chcete vytvořit nový federační server pomocí nového účtu gMSA, postupujte takto:

    Důležité

    Abyste mohli vytvořit první federační server v nové farmě federačních serverů, musíte mít oprávnění správce domény.

    1. Na počítači, který chcete nakonfigurovat jako federační server, se ujistěte, že byl požadovaný certifikát SSL importován do místního počítače\Úložiště osobních údajů. Certifikát SSL můžete ověřit spuštěním následujícího příkazu v příkazovém okně Windows PowerShell: dir Cert:\LocalMachine\My. Certifikát je uveden jeho kryptografickým otiskem v místním počítači\My Store.

    2. Na řadiči domény otevřete příkazové okno Windows PowerShell a spuštěním následujícího příkazu ověřte, jestli byl v doméně vytvořen kořenový klíč KDS: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Pokud nebyl vytvořen (výstup nezobrazuje žádné informace), spuštěním následujícího příkazu vytvořte klíč:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. Na počítači, který chcete nakonfigurovat jako federační server, otevřete Windows PowerShell příkazové okno a spusťte následující příkaz:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Upozornění

      Je vyžadován parametr $na konci výše uvedeného příkazu.

      Hodnotu <certificate_thumbprint> můžete získat spuštěním dir Cert:\LocalMachine\My a výběrem kryptografického otisku certifikátu SSL. Hodnota <federation_service_name> je název vaší federační služby, například fs.contoso.com.

      Poznámka

      Pokud tento příkaz nespustíte poprvé, přidejte –OverwriteConfiguration.

      Poznámka

      Výše uvedený příkaz vytvoří Interní databáze Windows farmu. Pokud chcete vytvořit serverovou farmu SQL, musíte mít server SQL už nainstalovaný a funkční.

      Pomocí následujícího příkazu můžete vytvořit první federační server v nové farmě pomocí serveru SQL: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"kde< SQL_Host_Name> je název serveru, na kterém je spuštěný SQL server, a<SQL_instance_name> je název instance SQL. Pokud používáte výchozí instanci SQL Server, použijte hodnotu SQLConnectionString"Data Source=<SQL_Host_Name>;Integrated Security=True".

  • Pokud chcete vytvořit nový federační server pomocí existujícího uživatelského účtu domény, postupujte takto:

    1. Na počítači, který chcete nakonfigurovat jako federační server, se ujistěte, že byl požadovaný certifikát SSL importován do místního počítače\Úložiště osobních údajů. Certifikát SSL můžete ověřit spuštěním následujícího příkazu v příkazovém okně Windows PowerShell: dir Cert:\LocalMachine\My. Certifikát je uveden jeho kryptografickým otiskem v místním počítači\My Store.

    2. Na počítači, který chcete nakonfigurovat jako federační server, otevřete okno příkazu Windows PowerShell a spusťte následující příkaz: $fscred = get-credential. Zadejte přihlašovací údaje k uživatelskému účtu domény, které chcete použít pro účet federační služby ve formátu doména\uživatelské jméno.

    3. Ve stejném okně příkazového řádku Windows PowerShellu spusťte následující příkaz:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Hodnotu pro< certificate_thumbprint> můžete získat spuštěním dir Cert:\LocalMachine\My a výběrem kryptografického otisku certifikátu SSL. Hodnota <federation_service_name> je název vaší federační služby, například fs.contoso.com.

      Poznámka

      Pokud tento příkaz nespustíte poprvé, přidejte –OverwriteConfiguration.

      Poznámka

      Výše uvedený příkaz vytvoří Interní databáze Windows farmu. Pokud chcete vytvořit serverovou farmu SQL, musíte mít server SQL už nainstalovaný a funkční.

      Pomocí následujícího příkazu můžete vytvořit první federační server v nové farmě pomocí serveru SQL: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"kde SQL_Host_Name je název serveru, na kterém je spuštěný SQL server, aSQL_instance_name je název instance SQL. Pokud používáte výchozí instanci SQL Server, použijte hodnotu SQLConnectionString"Data Source=<SQL_Host_Name>;Integrated Security=True".

Další krok

Teď, když jste nakonfigurovali první federační server ve farmě federačních serverů, přejděte zpět na kontrolní seznam: Nasaďte farmu federačních serverů ve starších verzích Windows Serveru a dokončete zbývající kroky.

Viz také

Koncepty

Kontrolní seznam: Nasazení farmy federačních serverů na Windows Server 2012 R2
Kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování