Configurare un server federativo

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Dopo l'installazione del servizio ruolo Active Directory Federation Service (ADFS) sul computer, si è pronti per configurare il computer come server federativo. Eseguire una delle operazioni seguenti:

• Configurare il primo server federativo in una nuova server farm federativa

• Aggiungere un server federativo a una server farm federativa esistente

Configurare il primo server federativo in una nuova server farm federativa

Per configurare il primo server federativo in una nuova server farm federativa tramite la configurazione guidata di Active Directory Federation Service

Nota

Prima di eseguire questa procedura, verificare di disporre di autorizzazioni di amministratore di dominio o di avere accesso alle credenziali di amministratore di dominio.

1. Nella pagina Dashboard di Server Manager fare clic sul flag Notifiche e quindi su Configurare il servizio federativo nel server.

   Viene aperta la Configurazione guidata Servizi di dominio Active Directory .

2. Nella pagina iniziale selezionare Crea il primo server di federazione di una server farm di federazionee quindi fare clic su Avanti.

3. Nella pagina Connetti ad Active Directory Domain Services specificare un account usando le autorizzazioni di amministratore di dominio per il dominio di Active Directory (AD) a cui viene aggiunto il computer e quindi fare clic su Avanti.

4. Nella pagina Impostazione proprietà del servizio eseguire le operazioni seguenti e quindi fare clic su Avanti:

   • Importare il file .pfx contenente il certificato SSL (Secure Socket Layer) e la chiave ottenuti in precedenza. Nel passaggio 2: Registrare un certificato SSL per AD FS, è stato ottenuto questo certificato e copiato nel computer che si desidera configurare come server federativo. Per importare il file con estensione .pfx tramite la procedura guidata, fare clic su Importa e poi specificare il percorso del file. Immettere la password per il file .pfx quando richiesto.

   • Specificare un nome per il servizio federativo, ad esempio fs.contoso.com. Il nome deve corrispondere a uno dei nomi di soggetto o di soggetto alternativo nel certificato.

   • Specificare un nome visualizzato per il servizio federativo, ad esempio Contoso Corporation. Gli utenti visualizzano questo nome nella pagina di accesso di Active Directory Federation Services (AD FS).

5. Nella pagina Impostazione account servizio specificare un account di servizio. È possibile creare o utilizzare un account del servizio gestito di gruppo esistente oppure utilizzare un account utente di dominio esistente. Se si seleziona l'opzione per la creazione di un nuovo account del servizio gestito di gruppo, specificare un nome per il nuovo account. Se invece si seleziona l'opzione per l'utilizzo di un account del servizio gestito di gruppo o di un account di dominio esistente, fare clic su Seleziona per selezionare un account.

   Nota

   Utilizzando l'account del servizio gestito di gruppo è possibile usufruire della funzionalità di aggiornamento delle password con negoziazione automatica.

   Avviso

   Se si desidera utilizzare un account del servizio gestito di gruppo, è necessario disporre almeno di un controller di dominio nell'ambiente in cui è in esecuzione il sistema operativo Windows Server 2012.

   Se l'opzione relativa all'account del servizio gestito di gruppo è disabilitata e viene visualizzato un messaggio di errore simile a Gli account del servizio gestito di gruppo non sono disponibili, perché non è stata impostata la chiave radice KDS, è possibile abilitare l'account del servizio gestito di gruppo nel dominio eseguendo il comando di Windows PowerShell riportato di seguito in un controller di dominio Windows Server 2012 o versioni successive nel dominio di Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Tornare quindi alla procedura guidata, fare clic su Indietro e quindi fare clic su Avanti per immettere nuovamente la pagina Specifica account del servizio. L'opzione servizio gestito di gruppo dovrebbe ora essere abilitata. È possibile selezionarlo e immettere un nome per l’account del servizio gestito del gruppo che si vuole usare.

6. Nella pagina Impostazione database di configurazione specificare un database di configurazione ADFS e quindi fare clic su Avanti. È possibile creare un database in questo computer utilizzando Database interno di Windows oppure è possibile specificare il percorso e il nome dell'istanza di Microsoft SQL Server.

   Per altre informazioni, vedere Ruolo del database di configurazione di AD FS.

   Importante

   Se si desidera creare una farm AD FS e utilizzare SQL Server per archiviare i dati di configurazione, è possibile utilizzare SQL Server 2008 e versioni successive, incluso SQL Server 2012 e SQL Server 2014.

7. Nella pagina Verifica opzioni verificare le opzioni di configurazione selezionate e quindi fare clic su Avanti.

8. Nella pagina Controlli dei prerequisiti verificare che tutti i controlli dei prerequisiti siano stati completati correttamente e quindi fare clic su Configura.

9. Nella pagina Risultati verificare i risultati e controllare se la configurazione è stata completata correttamente e quindi fare clic su Passaggi successivi necessari per completare la distribuzione del servizio di federazione. Per altre informazioni, vedere Passaggi successivi per il completamento dell'installazione di AD FS. Fare clic su Chiudi per uscire dalla procedura guidata.

Per configurare il primo server federativo in una nuova server farm federativa tramite Windows PowerShell

È possibile creare una nuova server farm federativa utilizzando un account del servizio gestito di gruppo nuovo o esistente oppure un account utente di dominio esistente.

• Se si desidera creare un nuovo server federativo utilizzando un nuovo account del servizio gestito di gruppo, effettuare le seguenti operazioni:

  Importante

  È necessario disporre delle autorizzazioni di amministratore di dominio per creare il primo server federativo in una nuova server farm federativa.

  1. Nel computer che si desidera configurare come server federativo verificare che il certificato SSL necessario sia stato importato nella directory Computer locale\Archivio personale. Per verificare che il certificato SSL sia stato importato, eseguire il seguente comando nella finestra di comando di Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato è elencato dalla relativa identificazione personale nella directory Computer locale\Archivio personale.

  2. Nel controller di dominio aprire la finestra di comando di Windows PowerShell ed eseguire il seguente comando per controllare se nel dominio è stata creata la chiave radice KDS: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Se non è stato creato in modo che l'output non visualizzi informazioni, eseguire il comando seguente per creare la chiave: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

  3. Nel computer che si desidera configurare come server federativo aprire la finestra di comando di Windows PowerShell ed eseguire il seguente comando:

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
     

     Avviso

     Il segno $ alla fine del comando precedente è obbligatorio.

     Per ottenere il valore per <certificate_thumbprint>, eseguire dir Cert:\LocalMachine\My e quindi selezionare l'identificazione personale del certificato SSL. Il valore di <federation_service_name> è il nome del servizio federativo, ad esempio fs.contoso.com.

     Nota

     Se non è la prima volta che si esegue questo comando, aggiungere il parametro OverwriteConfiguration.

     Nota

     Il comando precedente crea una farm WID. Se si vuole creare una server farm di SQL Server, è necessario disporre di un'istanza di SQL Server già installata e operativa.

     È possibile usare il comando seguente per creare il primo server federativo in una nuova farm che usa un'istanza di SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" dove <SQL_Host_Name> è il nome del server in cui è in esecuzione SQL Server e <SQL_instance_name> è il nome dell'istanza di SQL Server. Se si usa l'istanza predefinita di SQL Server, usare un valore SQLConnectionString di "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Importante

     Se si desidera creare una farm ADFS e utilizzare SQL Server per archiviare i dati di configurazione, è possibile utilizzare SQL Server 2008 e versioni successive, incluso SQL Server 2012.

• Se si desidera creare un nuovo server federativo utilizzando un account utente di dominio esistente, effettuare le seguenti operazioni:

  1. Nel computer che si desidera configurare come server federativo verificare che il certificato SSL necessario sia stato importato nella directory Computer locale\Archivio personale. Per verificare che il certificato SSL sia stato importato, eseguire il seguente comando nella finestra di comando di Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato è elencato dalla relativa identificazione personale nella directory Computer locale\Archivio personale.

  2. Nel computer che si desidera configurare come server federativo aprire la finestra di comando di Windows PowerShell ed eseguire il seguente comando: $fscred = Get-Credential. Immettere le credenziali dell'account utente di dominio che si desidera usare per l'account del servizio federativo nel formato dominio\nome utente.

  3. Nella stessa finestra di comando di Windows PowerShell eseguire il comando seguente:

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
     

     Per ottenere il valore per <certificate_thumbprint>, eseguire dir Cert:\LocalMachine\My e quindi selezionare l'identificazione personale del certificato SSL. Il valore di <federation_service_name> è il nome del servizio federativo, ad esempio fs.contoso.com.

     Nota

     Se non è la prima volta che si esegue questo comando, aggiungere il parametro OverwriteConfiguration.

     Nota

     Il comando precedente crea una farm WID. Se si vuole creare una farm di SQL Server, è necessario che l'istanza di SQL Server sia già installata e operativa.

     È possibile usare il comando seguente per creare il primo server federativo in una nuova farm che usa un'istanza di SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" dove SQL_Host_Name è il nome del server in cui è in esecuzione SQL Server e SQL_instance_name è il nome dell'istanza di SQL Server. Se si usa l'istanza predefinita di SQL Server, usare un valore SQLConnectionString di "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Importante

     Se si desidera creare una farm AD FS e utilizzare SQL Server per archiviare i dati di configurazione, è possibile utilizzare SQL Server 2008 e versioni successive, incluso SQL Server 2012 e SQL Server 2014.

Aggiungere un server federativo a una server farm federativa esistente

Importante

Assicurarsi di aver completato Passaggio 3: Installare il servizio ruolo AD FS, prima di avviare una delle procedure descritte in questa sezione.

Importante

Prima di eseguire questa procedura, verificare di disporre di un certificato di autenticazione server SSL valido.

Per aggiungere un server federativo a una server farm federativa esistente tramite la configurazione guidata di Active Directory Federation Service

1. Nella pagina Dashboard di Server Manager fare clic sul flag Notifiche e quindi su Configurare il servizio federativo nel server.

   Viene aperta la Configurazione guidata Servizi di dominio Active Directory .

2. Nella pagina iniziale selezionare Aggiungi un server di federazione a una server farm di federazione e fare clic su Avanti.

3. Nella pagina Connessione a Servizi di dominio Active Directory specificare un account con autorizzazioni di amministratore di dominio per il dominio di AD a cui viene aggiunto il computer e quindi fare clic su Avanti.

4. Nella pagina Impostazione farm specificare il nome del server federativo primario di una farm con Database interno di Windows oppure specificare il nome host di database e il nome dell'istanza di database di una server farm federativa esistente con SQL.

   Avviso

   In Windows Server® 2012 R2 è disponibile una soluzione alternativa per specificare l'istanza predefinita di SQL Server. A tale scopo non viene utilizzata l'interfaccia utente. Usare invece i passaggi descritti in Per configurare il primo server federativo in una nuova server farm federativa tramite Windows PowerShell.

   Importante

   Se si desidera creare una farm ADFS e utilizzare SQL Server per archiviare i dati di configurazione, è possibile utilizzare SQL Server 2008 e versioni successive, incluso SQL Server 2012.

5. Nella pagina Impostazione certificato SSL importare il file .pfx contenente il certificato SSL e la chiave ottenuti in precedenza. Questo è certificato di autenticazione del servizio obbligatorio. Nel Passaggio 2: Registrare un certificato SSL per AD FS, è stato ottenuto il certificato e copiato nel computer che si desidera configurare come server federativo. Per importare il file con estensione .pfx tramite la procedura guidata, fare clic su Importa e specificare il percorso del file. Immettere la password per il file .pfx quando richiesto.

6. Nella pagina Impostazione account servizio specificare lo stesso account del servizio configurato quando è stato creato il primo server federativo nella farm. È possibile utilizzare un account del servizio gestito di gruppo esistente oppure un account utente di dominio esistente.

   Importante

   L'account specificato deve essere lo stesso account dell'account utilizzato nel server federativo primario in questa farm.

7. Nella pagina Verifica opzioni verificare le opzioni di configurazione selezionate e quindi fare clic su Avanti.

8. Nella pagina Controlli dei prerequisiti verificare che tutti i controlli dei prerequisiti siano stati completati correttamente e quindi fare clic su Configura.

9. Nella pagina Risultati verificare i risultati e controllare se la configurazione è stata completata correttamente e quindi fare clic su Passaggi successivi necessari per completare la distribuzione del servizio di federazione. Per altre informazioni, vedere Passaggi successivi per il completamento dell'installazione di AD FS. Fare clic su Chiudi per uscire dalla procedura guidata.

Per aggiungere un server federativo a una server farm federativa esistente tramite Windows PowerShell

È possibile aggiungere un server federativo a una farm esistente utilizzando un account del servizio gestito di gruppo esistente o un account utente di dominio esistente.

• Se si desidera aggiungere un server federativo a una farm con un account del servizio gestito di gruppo esistente, effettuare le seguenti operazioni:

  1. Nel computer che si desidera configurare come server federativo verificare che il certificato SSL necessario sia stato importato nella directory Computer locale\Archivio personale. Per verificare che il certificato SSL sia stato importato, eseguire il seguente comando nella finestra di comando di Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato è elencato dalla relativa identificazione personale nella directory Computer locale\Archivio personale.

  2. Nel computer che si desidera configurare come server federativo aprire la finestra di comando di Windows PowerShell ed eseguire il seguente comando.

     Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     <domain>\<GMSA_name> è il dominio di ACTIVE Directory e il nome dell'account del servizio gestito del gruppo in tale dominio. <first_federation_server_hostname> è il nome host del server federativo primario in questa farm esistente.

     È possibile ottenere il valore per <certificate_thumbprint> eseguendo dir Cert:\LocalMachine\My nel passaggio precedente.

     Nota

     Se non è la prima volta che si esegue questo comando, aggiungere il parametro OverwriteConfiguration.

     Nota

     Il comando precedente crea un nodo farm WID. Se si vuole creare un nodo della server farm di computer che eseguono SQL Server, è necessario che l'istanza di SQL Server sia già installata e operativa.

     È possibile usare il comando seguente per aggiungere un server federativo a una farm esistente che usa un'istanza di SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" dove SQL_Host_Name è il nome del server in cui è in esecuzione SQL Server e SQL_instance_name è il nome dell'istanza di SQL Server. Se si usa l'istanza predefinita di SQL Server, usare un valore SQLConnectionString di "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Importante

     Se si desidera creare una farm AD FS e utilizzare SQL Server per archiviare i dati di configurazione, è possibile utilizzare SQL Server 2008 e versioni successive, incluso SQL Server 2012 e SQL Server 2014.

• Se si desidera aggiungere un server federativo a una farm con un account utente di dominio esistente, effettuare le seguenti operazioni:

  1. Nel computer che si desidera configurare come server federativo aprire la finestra di comando di Windows PowerShell ed eseguire il seguente comando: $fscred = get-credential. Immettere le credenziali dell'account utente di dominio che si desidera usare per l'account del servizio federativo nel formato dominio\nome utente.

  2. Nel computer che si desidera configurare come server federativo verificare che il certificato SSL necessario sia stato importato nella directory Computer locale\Archivio personale. Per verificare che il certificato SSL sia stato importato, eseguire il seguente comando nella finestra di comando di Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato è elencato dalla relativa identificazione personale nella directory Computer locale\Archivio personale.

  3. Nella stessa finestra di comando di Windows PowerShell, eseguire il comando seguente.

     Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     Nota

     Se non è la prima volta che si esegue questo comando, aggiungere il parametro OverwriteConfiguration.

     Nota

     Il comando precedente crea un nodo farm WID. Se si vuole creare un nodo della server farm di computer che eseguono SQL Server, è necessario che l'istanza di SQL Server sia già installata e operativa. È possibile usare il comando seguente per aggiungere un server federativo a una farm esistente usando un'istanza di SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" dove SQL_Host_Name è il nome del server in cui è in esecuzione l'istanza di SQL Server e SQL_instance_name è il nome dell'istanza di SQL Server. Se si usa l'istanza predefinita di SQL Server, usare un valore SQLConnectionString di "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Importante

     Se si desidera creare una farm AD FS e utilizzare SQL Server per archiviare i dati di configurazione, è possibile utilizzare SQL Server 2008 e versioni successive, incluso SQL Server 2012 e SQL Server 2014.

Vedi anche

Distribuzione di AD FS

Guida alla distribuzione di AD FS in Windows Server 2012 R2

Distribuzione di una server farm federativa