Delen via

Uw netwerkinfrastructuur voorbereiden voor federatieservers

  • Artikel

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

De volgende controlelijst bevat de voorbereidingstaken die u moet uitvoeren om een federatieserverfarm te implementeren.

Notitie

  • Voltooi de taken in deze controlelijsten op volgorde. Wanneer een verwijzingskoppeling u naar een procedure leidt, gaat u terug naar dit onderwerp nadat u de stappen in die procedure hebt voltooid, zodat u verder kunt gaan met de resterende taken in deze controlelijst.

  • Tenzij anders vermeld, moet u eerst als lid van de groep Administrators zijn aangemeld bij de computers als lid van de groep Administrators of gelijkwaardige machtigingen zijn gedelegeerd om alle taken uit te voeren met behulp van de procedures in deze sectie.

Checklist Checklist: Bereid uw netwerkinfrastructuur voor voor federatieservers

Implementatietaak Koppelingen naar onderwerpen in deze sectie Volbracht

1. Koppel de computers die federatieservers worden aan een domein waar Active Directory-gebruikers worden geverifieerd.

Notitie

U kunt deze stap negeren als u bestaande domeincontrollers als federatieservers gebruikt.

selectievakje

2. Maak en configureer een nieuwe DNS-naam voor het NLB-cluster of gebruik een bestaand NLB-cluster in het bedrijfsnetwerk dat wordt gebruikt door de nieuwe federatieserverfarm. Voeg vervolgens de federatieservercomputers toe aan het NLB-cluster. Als u Windows Server-technologie gebruikt voor uw huidige NLB-hosts, kiest u de juiste koppeling naar rechts op basis van uw besturingssysteemversie.

Notitie

Deze stap is optioneel in een testimplementatie van deze SSO-oplossing met één AD FS-federatieserver.

Als u NLB-clusters wilt maken en configureren in Windows Server 2003 en Windows Server 2003 R2, raadpleegt u Controlelijst: Netwerktaakverdeling inschakelen en configureren. Als u NLB-clusters wilt maken en configureren in Windows Server 2008, raadpleegt u Netwerktaakverdelingsclusters maken.

Zie Netwerktaakverdelingsclusters maken en configureren in Windows Server 2008 R2.

 selectievakje

3. Maak een nieuwe bronrecord voor de DNS-naam van het cluster in de DNS van het bedrijfsnetwerk die de FQDN-naam van het NLB-cluster naar het IP-adres van het cluster verwijst.

een resourcerecord toevoegen aan de bedrijfs-DNS voor de DNS-naam van het cluster die is geconfigureerd op de host van het bedrijf

 selectievakje

4. Importeer het certificaat voor serververificatie naar de standaardwebsite voor elke federatieserver in de farm.

Notitie

Het installeren van dit certificaat op de standaardwebsite is een vereiste voordat u de wizard AD FS-federatieserverconfiguratie kunt gebruiken.

een serververificatiecertificaat importeren in de standaardwebsite

 selectievakje

5. Maak en configureer een toegewezen serviceaccount in Active Directory waarin de federatieserverfarm zich bevindt en configureer elke federatieserver in de farm om dit account te gebruiken.

handmatig een serviceaccount configureren voor een federatieve serverfarm

 selectievakje

De computer toevoegen aan een domein

Ad FS werkt alleen als elke computer die fungeert als een federatieserver moet worden toegevoegd aan een domein. Federatieserverproxy's kunnen worden toegevoegd aan een domein, maar dit is geen vereiste.

Als u AD FS in Windows Server 2012 R2 wilt gebruiken, moet uw Active Directory-domein een van de volgende handelingen uitvoeren:

  • Windows Server

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

De computer toevoegen aan een domein

  1. Klik op de computer die u wilt toevoegen aan een domein op Start, klik op Configuratieschermen dubbelklik vervolgens op System.

  2. Klik onder computernaam, domein- en werkgroepinstellingenop Instellingen wijzigen.

  3. Klik op het tabblad Computernaam op wijzigen.

  4. Klik onder Lid vanop Domein, typ de naam van het domein waaraan deze computer deelneemt en klik vervolgens op OK.

  5. Klik op OKen start de computer opnieuw op.

Een resourcerecord toevoegen aan de bedrijfs-DNS voor de cluster-DNS-naam die is geconfigureerd op de host van de bedrijfs-NLB

Clients in het bedrijfsnetwerk moeten eerst een hostbronrecord (A) maken in het bedrijfsdomeinnaamsysteem (DNS) waarmee de DNS-naam van het cluster van de Federation Service (bijvoorbeeld fs.fabrikam.com) wordt omgezet in het ip-adres van het cluster (bijvoorbeeld 172.16.1.1.3). U kunt de volgende procedure gebruiken om een hostbronrecord (A) toe te voegen aan de bedrijfs-DNS voor het NLB-cluster.

Een resourcerecord toevoegen aan bedrijfs-DNS voor de cluster-DNS-naam die is geconfigureerd op de bedrijfs-NLB-host

  1. Open de DNS-module op een DNS-server voor het bedrijfsnetwerk.

  2. Klik in de consolestructuur met de rechtermuisknop op de toepasselijke zone voor forward lookup (bijvoorbeeld fabrikam.com) en klik vervolgens op Nieuwe host (A of AAAA).

  3. Typ in namealleen de computernaam van de federatieserver of het federatieservercluster; Typ bijvoorbeeld voor de FQDN-fs.fabrikam.com (Fully Qualified Domain Name) fs.

  4. Typ in IP-adreshet IP-adres voor de federatieserver of het federatieservercluster; bijvoorbeeld 172.16.1.3.

  5. Klik op Host toevoegen.

    Belangrijk

    Er wordt vanuit gegaan dat u een DNS-server gebruikt met Windows 2000 Server, Windows Server 2003 of Windows Server 2008 met de DNS Server-service om de DNS-zone te beheren.

Een serververificatiecertificaat importeren in de standaardwebsite

Nadat u een serververificatiecertificaat van een certificeringsinstantie (CA) hebt verkregen, moet u dat certificaat handmatig installeren op de standaardwebsite voor elke federatieserver in uw farm.

Omdat dit certificaat moet worden vertrouwd door clients van AD FS en Microsoft-cloudservices, gebruikt u een SSL-certificaat dat is uitgegeven door een openbare (externe) CA of door een CA die ondergeschikt is aan een openbaar vertrouwde basis; Bijvoorbeeld VeriSign of Thawte. Zie IIS 7.0 voor informatie over het installeren van een certificaat van een openbare CA: Een internetservercertificaat aanvragen.

Notitie

De onderwerpnaam van dit serververificatiecertificaat moet overeenkomen met de FQDN van de DNS-naam van het cluster (bijvoorbeeld fs.fabrikam.com) die u eerder op de NLB-host hebt gemaakt. Als IIS (Internet Information Services) niet is geïnstalleerd, moet u IIS eerst installeren om deze taak te voltooien. Wanneer u IIS voor de eerste keer installeert, wordt u aangeraden de standaardfunctieopties te gebruiken wanneer u hierom wordt gevraagd tijdens de installatie van de serverfunctie.

Een serververificatiecertificaat importeren op de standaardwebsite

  1. Klik op Start, wijs Alle programma'saan, wijs systeembeheeraan en klik vervolgens op IIS-beheer.

  2. Klik in de consolestructuur op ComputerName.

  3. Dubbelklik in het middelste deelvenster op Servercertificaten.

  4. Klik in het deelvenster Acties op importeren.

  5. Klik in het dialoogvenster Certificaat importeren op de knop ....

  6. Blader naar de locatie van het pfx-certificaatbestand, markeer het en klik vervolgens op Openen.

  7. Typ een wachtwoord voor het certificaat en klik vervolgens op OK.

Een toegewezen serviceaccount maken voor de federatieserverfarm

Als u een federatieserverfarmomgeving in AD FS wilt configureren, moet u een toegewezen serviceaccount maken en configureren in Active Directory waar de farm zich bevindt. Dit toegewezen serviceaccount is nodig om ervoor te zorgen dat alle resources die vereist zijn voor de AD FS-farm toegang krijgen tot elk van de federatieservers in de farm.

Vervolgens configureert u elke federatieserver in de farm om hetzelfde serviceaccount te gebruiken. Als het serviceaccount dat is gemaakt bijvoorbeeld fabrikam\ADFS2SVC is, moet elke computer die u configureert voor de federatieserverfunctie en die deelneemt aan dezelfde farm fabrikam\ADFS2SVC opgeven in deze stap in de wizard Federatieserverconfiguratie, zodat de farm operationeel is.

Notitie

U moet de taken in deze procedure slechts één keer uitvoeren voor de hele federatieserverfarm. Wanneer u later een federatieserver maakt met behulp van de wizard AD FS-federatieserverconfiguratie, moet u ditzelfde account opgeven op de pagina Serviceaccount wizard op elke federatieserver in de farm.

Een toegewezen serviceaccount maken voor de federatieserverfarm

  1. Maak een toegewezen gebruikers-/serviceaccount in het Active Directory-forest dat u in uw organisatie gaat gebruiken.

  2. Bewerk de eigenschappen van het gebruikersaccount en schakel het selectievakje Wachtwoord nooit verloopt in. Deze actie zorgt ervoor dat de functie van dit serviceaccount niet wordt onderbroken als gevolg van de vereisten voor het wijzigen van domeinwachtwoorden.

    Notitie

    • Als u regelmatig uw wachtwoord voor het serviceaccount wilt wijzigen, raadpleegt u Geavanceerde opties configureren voor AD FS 2.0.

    • Het gebruik van het netwerkserviceaccount voor dit toegewezen account leidt tot willekeurige fouten wanneer toegang wordt geprobeerd via geïntegreerde Windows-verificatie, omdat Kerberos-tickets niet van de ene server naar de andere valideren.

Volgende stap

Nu u de vereisten voor het implementeren van AD FS hebt gecontroleerd, is de volgende stap het voltooien van de taken in een van de volgende controlelijsten, afhankelijk van de versie van AD FS die u wilt gebruiken:

Zie ook

Concepten

Checklist: AD FS gebruiken voor het implementeren en beheren van eenmalige aanmelding