Een federatieserver toevoegen aan de federatieserverfarm in Windows Server 2012 R2
Van toepassing op: Azure, Office 365, Power BI, Windows Intune
Nadat u de functieservice Active Directory Federation Service (AD FS) op uw computer met Windows Server 2012 R2 hebt geïnstalleerd, kunt u deze computer configureren om een federatieserver te worden.
U kunt de volgende procedures voltooien om deze computer toe te voegen als een eerste federatieserver aan een bestaande federatieserverfarm.
Een federatieserver toevoegen aan een bestaande federatieserverfarm
Belangrijk
Zorg ervoor dat u een geldig SSL-serververificatiecertificaat hebt verkregen voordat u deze procedure voltooit. Zie De vereisten voor het implementeren van AD FS controleren voor meer informatie.
Een federatieserver toevoegen aan een bestaande federatieserverfarm via de wizard Active Directory Federation Service-configuratie
Klik op de pagina Serverbeheer Dashboard op de vlag Meldingen en klik vervolgens op De federation-service op de server configureren.
De wizard Active Directory Federation Service-configuratie wordt gestart.
Selecteer op de welkomstpaginaeen federatieserver toevoegen aan een federatieserverfarm en klik op Volgende.
Geef op de pagina Verbinding maken naar AD DS een account op met domeinbeheerdersmachtigingen voor het AD-domein waaraan deze computer is toegevoegd en klik vervolgens op Volgende.
Geef op de pagina Farm opgeven de naam op van de primaire federatieserver in een farm met WID of geef de hostnaam van de database en de naam van het database-exemplaar van een bestaande federatieserverfarm op met behulp van SQL.
Waarschuwing
Er is een tijdelijke oplossing voor het opgeven van het standaardexemplaren van de SQL-server. De tijdelijke oplossing is om de gebruikersinterface niet te gebruiken. Gebruik in plaats daarvan de stappen in Om de eerste federatieserver in een nieuwe federatieserverfarm te configureren via Windows PowerShell.
Importeer op de pagina SSL-certificaat opgeven het PFX-bestand met het SSL-certificaat en de sleutel die u eerder hebt verkregen. Dit is het vereiste certificaat voor serviceverificatie. Zoals vermeld in de sectie 'Certificaatvereisten' van Controleer de vereisten voor het implementeren van AD FS moet u dit certificaat verkrijgen en kopiëren naar de computer die u wilt configureren als federatieserver. Als u het PFX-bestand wilt importeren via de wizard, klikt u op Importeren en bladert u naar de locatie van het bestand. Geef het wachtwoord op voor het PFX-bestand wanneer hierom wordt gevraagd.
Geef op de pagina Serviceaccount opgeven hetzelfde serviceaccount op dat u hebt geconfigureerd toen u de eerste federatieserver in de farm crated. U kunt een bestaand beheerd serviceaccount of een bestaand domeingebruikersaccount gebruiken.
Belangrijk
Het account dat u opgeeft, moet hetzelfde account zijn als het account dat is gebruikt op de primaire federatieserver in deze farm.
Controleer uw configuratieselecties op de pagina Opties controleren en klik op Volgende.
Controleer op de pagina Vereiste controles of alle vereiste controles zijn voltooid en klik vervolgens op Configureren.
Controleer de resultaten op de pagina Resultaten en controleer of de configuratie is voltooid en klik vervolgens op Volgende stappen die nodig zijn voor het voltooien van de implementatie van de federation-service. Zie De volgende stappen voor het voltooien van uw AD FS-installatie voor meer informatie. Klik op Sluiten om de wizard af te sluiten.
Een federatieserver toevoegen aan een bestaande federatieserverfarm via Windows PowerShell
U kunt een federatieserver toevoegen aan een bestaande farm met behulp van een bestaande gMSA of een bestaand domeingebruikersaccount.
Als u een federatieserver wilt toevoegen aan een farm met behulp van een bestaand gMSA-account, gaat u als volgt te werk:
Controleer op de computer die u wilt configureren als federatieserver of het vereiste SSL-certificaat is geïmporteerd in de lokale computer\Mijn winkel. U kunt controleren of het SSL-certificaat is geïmporteerd door de volgende opdracht uit te voeren in het Windows PowerShell opdrachtvenster:
dir Cert:\LocalMachine\My. Het certificaat wordt vermeld met de vingerafdruk in de lokale computer\Mijn winkel.Open op de computer die u wilt configureren als federatieserver het Windows PowerShell opdrachtvenster en voer de volgende opdracht uit:
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint><domain>\<GMSA_name>is uw AD-domein en de naam van uw GMSA-account in dat domein.<first_federation_server_hostname>is de hostnaam van de primaire federatieserver in deze bestaande farm.U kunt de waarde verkrijgen
<certificate_thumbprint>door in de bovenstaande stap uit te voerendir Cert:\LocalMachine\My.Notitie
Als dit niet de eerste keer is dat u deze opdracht uitvoert, voegt u toe
–OverwriteConfiguration.Notitie
Met de bovenstaande opdracht maakt u een WID-farmknooppunt. Als u een SQL serverfarmknooppunt wilt maken, moet de SQL server al zijn geïnstalleerd en operationeel zijn. U kunt de volgende opdracht gebruiken om een federatieserver toe te voegen aan een bestaande farm met behulp van SQL server:
Add-AdfsFarmNode -GroupServiceAccountIdentifier <GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name><SQL_instance_ name>;Integrated Security=True"waarbij SQL_Host_Name de naam is van de server waarop SQL server wordt uitgevoerd enSQL_instance_name de naam van het SQL exemplaar is. Als u het standaard-SQL Server-exemplaar gebruikt, gebruikt u een SQLConnectionString-waarde van 'Data Source=<SQL_Host_Name>;Integrated Security=True'.
Als u een federatieserver wilt toevoegen aan een farm met behulp van een bestaand domeingebruikersaccount, gaat u als volgt te werk:
Open op de computer die u wilt configureren als federatieserver het opdrachtvenster Windows PowerShell en voer de volgende opdracht uit:
$fscred = get-credentialVoer de referenties van het domeingebruikersaccount in die u wilt gebruiken voor het federation-serviceaccount in de indeling domein\gebruikersnaam.Controleer op de computer die u wilt configureren als federatieserver of het vereiste SSL-certificaat is geïmporteerd in de lokale computer\Mijn winkel. U kunt controleren of het SSL-certificaat is geïmporteerd door de volgende opdracht uit te voeren in het Windows PowerShell opdrachtvenster:
dir Cert:\LocalMachine\My. Het certificaat wordt vermeld met de vingerafdruk in de lokale computer\Mijn winkel.Voer in hetzelfde Windows PowerShell-opdrachtvenster de volgende opdracht uit:
Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>Notitie
Als dit niet de eerste keer is dat u deze opdracht uitvoert, voegt u toe
–OverwriteConfiguration.Notitie
Met de bovenstaande opdracht maakt u een WID-farmknooppunt. Als u een SQL serverfarmknooppunt wilt maken, moet de SQL server al zijn geïnstalleerd en operationeel zijn. U kunt de volgende opdracht gebruiken om een federatieserver toe te voegen aan een bestaande farm met behulp van SQL server:
Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name><SQL_instance_ name>;Integrated Security=True"waarbij SQL_Host_Name de naam is van de server waarop SQL server wordt uitgevoerd enSQL_instance_name de naam van het SQL exemplaar is. Als u het standaard-SQL Server-exemplaar gebruikt, gebruikt u een SQLConnectionString-waarde van 'Data Source=<SQL_Host_Name>;Integrated Security=True'.
Volgende stap
Nu u de AD FS-software hebt geïnstalleerd, gaat u terug naar Controlelijst: Implementeer uw federatieserverfarm op Windows Server 2012 R2 en voltooi de rest van de stappen.
Zie ook
Concepten
Controlelijst: Uw federatieserverfarm implementeren op Windows Server 2012 R2
Controlelijst: AD FS gebruiken om eenmalige aanmelding te implementeren en beheren