Windows Server 2008 Active Directory Federation Services 逐步指南 - 步驟 1 : 安裝前的準備工作
步驟1:安裝前的準備工作
在你安裝 Active Directory Federation Services (AD FS)之前,你需要設定四個主要的虛擬機器(virtual machine)電腦作為將評估ADFS技術之用。
安裝前的準備工作包含下列:
• |
組態電腦作業系統與網路環境。 |
• |
安裝與設定AD DS。 |
管理員權限
為了執行本步驟中的工作,請在這四台中個別以本機管理員身份登入,為了在Active Directory Domain Services (AD DS)中建立帳戶,請使用網域管理員登入。
組態電腦作業系統與網路設定
使用下表來設定需要在本指南中完成各步驟所必須之合適電腦名稱,作業系統與網路設定。
重要 : |
|
在你設定你的電腦的靜態IP位址前,我們建議你先執行: |
• |
設定三個新的VM為具有至少512MB的可用記憶體。 |
• |
當你的電腦仍有Internet連線時,完成 Windows XP 或 Windows Vista與 Windows Server 2008 的產品啟用。 |
• |
確定每台電腦的時鐘都是相同的時間或是誤差在五分鐘內,這在確保符記時戳(token timestamp)永遠有效的功能中是重要的。 |
電腦名稱 |
AD FS 用戶端或伺服器角色 |
作業系統需求 |
IPv4 設定 |
DNS 設定 |
|---|---|---|---|---|
adfsclient |
用戶端 |
Windows XP with Service Pack 2 (SP2) or Windows Vista |
IP位址: 192.168.1.1 子網路遮罩: 255.255.255.0 |
慣用: 192.168.1.3 替代: 192.168.1.4 |
adfsweb |
Web 伺服器 |
Windows Server 2008 Standard, or Windows Server 2008 Enterprise |
IP位址: 192.168.1.2 子網路遮罩: 255.255.255.0 |
慣用: 192.168.1.4 |
adfsaccount |
聯邦伺服器與網域控制站 |
Windows Server 2008 Enterprise |
IP位址: 192.168.1.3 子網路遮罩: 255.255.255.0 |
慣用: 192.168.1.3 |
adfsresource |
聯邦伺服器與網域控制站 |
Windows Server 2008 Enterprise |
IP位址: 192.168.1.4 子網路遮罩: 255.255.255.0 |
慣用: 192.168.1.4 |
注意 : |
|
確保在用戶端中有設定慣用與替代的網域名稱系統 (DNS)伺服器設定,如果兩個類型都沒有按指定值設定,則ADFS的情境將無法運作。 |
安裝與設定 AD DS
本區段包含下列程序:
• |
安裝AD DS |
• |
建立使用者帳戶 |
• |
加入測試電腦到合適的網域 |
安裝AD DS
你可以使用新增伺服器角色精靈在兩個聯邦伺服器上建立兩個新的Active Directory Forest,當你在精靈頁中輸入數值時,使用下表的公司名稱與Active Directory網域名稱。要啟動新增伺服器角色精靈,請點選開始功能表,點選管理工具,點選伺服器管理員,並在右邊的視窗中,點選新增角色。.
重要 : |
|
在安裝AD DS前,必須要組態在前一個表格中所指定的IP位址,這將可以確保DNS記錄能夠被合適的設定。 |
注意 : |
|
為了安全性的最佳作法(best practices),請勿在生產環境中將網域控制站設定為同時執行網路控制站與聯邦伺服器。 |
電腦名稱 |
公司名稱 |
Active Directory 網域名稱(新的forest) |
DNS 組態 |
|---|---|---|---|
adfsaccount |
A. Datum Corporation |
adatum.com |
當被指示時,安裝DNS伺服器。 |
adfsresource |
Trey Research |
treyresearch.net |
當被指示時,安裝DNS伺服器。 |
注意 : |
|
在本指南中,A. Datum 代表會計夥伴組織(account partner organization),而Trey Research 代表資源夥伴組織(resource partner organization)。 |
建立帳戶
在完成兩個AD Forest的設定後,請啟動Active Directory使用者與電腦嵌入式管理單元(snap-in)來建立一些帳戶,讓你能夠用來測試與檢核跨兩個Forest的聯邦存取功能,請在adfsaccount電腦中設定下表中的數值。
要建立的物件 |
名稱 |
使用者名稱 |
動作 |
|---|---|---|---|
安全性全域群組 |
TreyClaimAppUsers |
不需要 |
不需要 |
使用者 |
Alan Shen |
alansh (alansh 會用來作為需要存取宣告感知應用程式的聯邦使用者) |
將alansh設為TreyClaimAppUsers 全域群組的成員。 |
加入測試電腦到合適的網域
使用下表中的數值來設定要加入網域的電腦,請在adfsclient與adfsweb電腦中執行這個工作。
注意 : |
|
你可能要在你能夠加入下列電腦到合適的網域前,需要關閉兩個網域控制站的防火牆。 |
電腦名稱 |
加入到 |
|---|---|
adfsclient |
adatum.com |
adfsweb |
treyresearch.net |