Manuelle Konfiguration eines Dienstkontos für eine Verbundserverfarm
Wenn Sie beabsichtigen, eine Verbundserverfarm-Umgebung in Active Directory-Verbunddienste (AD FS) zu konfigurieren, müssen Sie ein dediziertes Dienstkonto in den Active Directory-Domänendiensten (AD DS) erstellen, in denen sich die Farm befinden wird. Dann legen Sie in der Konfiguration jedes Verbundservers in der Farm fest, dass dieses Konto verwendet wird. Sie müssen die folgenden Aufgaben in Ihrer Organisation abschließen, wenn zulassen möchten, dass sich Clients im Unternehmensnetzwerk über die integrierte Windows-Authentifizierung bei einem der Verbunddienste in einer AD FS-Farm authentifizieren können.
Wichtig
Ab AD FS 3.0 (Windows Server 2012 R2) unterstützt AD FS die Verwendung eines gruppenverwalteten Dienstkontos (Group Managed Service Account, gMSA) als Dienstkonto. Dies ist die empfohlene Option, da dabei die Verwaltung des Dienstkontokennworts im Laufe der Zeit entfällt. Dieses Dokument behandelt den alternativen Fall der Verwendung eines herkömmlichen Dienstkontos, z. B. in Domänen, in denen noch eine Windows Server 2008 R2 oder eine frühere Domänenfunktionsebene ausgeführt wird.
Hinweis
Die Aufgaben in dieser Prozedur müssen Sie nur einmal für die gesamte Verbundserverfarm ausführen. Wenn Sie später einen Verbundserver mithilfe des Assistenten für die Konfiguration des AD FS-Verbundservers erstellen, müssen Sie dieses Konto auf der Assistentenseite Dienstkonto für jeden Verbundserver in der Farm angeben.
Erstellen eines dedizierten Dienstkontos
Erstellen Sie ein dediziertes Benutzer-/Dienstkonto in der Active Directory-Gesamtstruktur, die sich in der Identitätsanbieterorganisation befindet. Dieses Konto ist erforderlich, damit das Kerberos-Authentifizierungsprotokoll in einem Farmszenario funktionieren und die Pass-Through-Authentifizierung auf jedem der Verbundserver zulassen kann. Verwenden Sie dieses Konto nur für die Zwecke der Verbundserverfarm.
Bearbeiten Sie die Benutzerkonteneigenschaften, und aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab. Mit dieser Aktion stellen Sie sicher, dass die Funktion dieses Dienstkontos nicht aufgrund von Änderungsanforderungen für das Domänenkennwort unterbrochen wird.
Hinweis
Die Verwendung des Netzwerkdienstkontos für dieses dedizierte Konto führt zu beliebigen Fehlern, wenn ein Zugriff über die integrierte Windows-Authentifizierung versucht wird, da Kerberos-Tickets nicht von einem Server zu einem anderen validiert werden.
Sie richten Sie den SPN des Dienstkontos ein
Da die Anwendungspoolidentität für den AD FS-AppPool als Domänenbenutzer-/Dienstkonto ausgeführt wird, müssen Sie den Dienstprinzipalnamen für dieses Konto in der Domäne mit dem Befehlszeilentool „Setspn.exe“ konfigurieren. Setspn.exe wird standardmäßig auf Computern installiert, auf denen Windows Server 2008 ausgeführt wird. Führen Sie den folgenden Befehl auf einem Computer aus, der zu derselben Domäne gehört, in dem sich das Benutzer-/Dienstkonto befindet:
setspn -a host/<server name> <service account>
Geben Sie beispielsweise in einem Szenario, in dem sich alle Verbundserver in einem Cluster unter dem Domain Name System (DNS)-Hostnamen „fs.fabrikam.com“ befinden und der dem AD FS-AppPool zugewiesene Dienstkontoname „adfs2farm“, den Befehl wie folgt ein, und drücken Sie dann die EINGABETASTE:
setspn -a host/fs.fabrikam.com adfs2farm
Sie müssen diese Aufgabe für dieses Konto nur einmal durchführen.
Nachdem die AD FS-AppPool-Identität in das Dienstkonto geändert wurde, legen Sie fest, dass die Zugriffssteuerungslisten in der SQL Server-Datenbank einen Lesezugriff auf dieses neue Konto zulassen, damit der AD FS-AppPool die Richtliniendaten lesen kann.