Configureer de eerste federatieserver in de federatieserverfarm in Windows Server 2012
Van toepassing op: Azure, Office 365, Power BI, Windows Intune
Nadat u de functieservice Active Directory Federation Service (AD FS) op uw computer met Windows Server 2012 R2 hebt geïnstalleerd, kunt u deze computer configureren om een federatieserver te worden.
U kunt de volgende procedures voltooien om deze computer te configureren als de eerste federatieserver in uw federatieserverfarm.
De eerste federatieserver configureren in een nieuwe federatieserverfarm
De eerste federatieserver configureren in een nieuwe federatieserverfarm met behulp van de wizard Active Directory Federation Service-configuratie
Notitie
Zorg ervoor dat u domeinbeheerdersmachtigingen hebt of dat er domeinbeheerdersreferenties beschikbaar zijn voordat u deze procedure uitvoert.
Klik op de pagina Serverbeheer Dashboard op de vlag Meldingen en klik vervolgens op De federation-service op de server configureren.
De wizard Active Directory Federation Service-configuratie wordt gestart.
Selecteer op de welkomstpaginade optie De eerste federatieserver maken in een federatieserverfarm en klik op Volgende.
Geef op de pagina Verbinding maken naar AD DS een account op met domeinbeheerdersmachtigingen voor het AD-domein waaraan deze computer is toegevoegd en klik vervolgens op Volgende.
Ga als volgt te werk op de pagina Service-eigenschappen opgeven en klik vervolgens op Volgende:
Importeer het PFX-bestand met het SSL-certificaat en de sleutel die u eerder hebt verkregen. Zoals vermeld in de sectie Certificaatvereisten in Controleer de vereisten voor het implementeren van AD FS moet dit certificaat verkrijgen en kopiëren naar de computer die u wilt configureren als federatieserver. Als u het PFX-bestand wilt importeren via de wizard, klikt u op Importeren en bladert u naar de locatie van het bestand. Geef het wachtwoord op voor het PFX-bestand wanneer hierom wordt gevraagd.
Geef een naam op voor uw federation-service. Bijvoorbeeld fs.contoso.com. Deze naam moet overeenkomen met een van de alternatieve namen van het onderwerp of onderwerp in het certificaat.
Geef een weergavenaam op voor uw federation-service. Bijvoorbeeld Contoso Corporation. Deze naam wordt weergegeven voor gebruikers op de aanmeldingspagina van AD FS.
Geef op de pagina Serviceaccount opgeven een serviceaccount op. U kunt een bestaand beheerd serviceaccount (gMSA) voor een groep maken of gebruiken of een bestaand domeingebruikersaccount gebruiken. Als u de optie selecteert om een nieuwe gMSA te maken, geeft u een naam op voor het nieuwe account. Als u de optie selecteert om een bestaand gMSA- of domeinaccount te gebruiken, klikt u op de knop Selecteren... om een account te selecteren.
Notitie
Het voordeel van het gebruik van een gMSA is de functie voor het automatisch onderhandelen over wachtwoordupdates.
Waarschuwing
Als u een gMSA wilt gebruiken, moet u ten minste één domeincontroller in uw omgeving hebben waarop Windows Server 2012 besturingssysteem wordt uitgevoerd.
Als de optie gMSA is uitgeschakeld en er een foutbericht wordt weergegeven dat vergelijkbaar is met beheerde serviceaccounts voor groepen, omdat de KDS-hoofdsleutel niet is ingesteld, kunt u gMSA in uw domein inschakelen door de volgende Windows PowerShell opdracht uit te voeren op een Windows Server 2012 of hoger domeincontroller in uw Active Directory-domein:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)Ga vervolgens terug naar de wizard en klik op de knop Vorige, gevolgd door de knop Volgende om de pagina Serviceaccount opgeven opnieuw in te voeren. De gMSA moet nu zijn ingeschakeld en u kunt deze selecteren en een gewenste gMSA-accountnaam invoeren.Geef op de pagina Configuratiedatabase opgeven een AD FS-configuratiedatabase op en klik vervolgens op Volgende. U kunt een database op deze computer maken met behulp van Windows Interne database (WID) of u kunt de locatie en de exemplaarnaam van de SQL-server opgeven.
Voor meer informatie raadpleegt u De rol van de AD FS-configuratiedatabase.
Controleer uw configuratieselecties op de pagina Opties controleren en klik op Volgende.
Controleer op de pagina Vereiste controles of alle vereiste controles zijn voltooid en klik vervolgens op Configureren.
Controleer de resultaten op de pagina Resultaten en controleer of de configuratie is voltooid en klik vervolgens op Volgende stappen die nodig zijn voor het voltooien van de implementatie van de federation-service. Zie De volgende stappen voor het voltooien van uw AD FS-installatie voor meer informatie. Klik op Sluiten om de wizard af te sluiten.
De eerste federatieserver configureren in een nieuwe federatieserverfarm via Windows PowerShell
U kunt een nieuwe federatieserverfarm maken met behulp van een nieuwe of bestaande gMSA of een bestaand domeingebruikersaccount.
Als u een nieuwe federatieserver wilt maken met een nieuw gMSA-account, gaat u als volgt te werk:
Belangrijk
U moet domeinbeheerdersmachtigingen hebben om de eerste federatieserver te maken in een nieuwe federatieserverfarm.
Controleer op de computer die u wilt configureren als federatieserver of het vereiste SSL-certificaat is geïmporteerd in de lokale computer\Mijn winkel. U kunt controleren of het SSL-certificaat is geïmporteerd door de volgende opdracht uit te voeren in het Windows PowerShell opdrachtvenster:
dir Cert:\LocalMachine\My. Het certificaat wordt vermeld met de vingerafdruk in de lokale computer\Mijn winkel.Open op uw domeincontroller het Windows PowerShell opdrachtvenster en voer de volgende opdracht uit om te controleren of de KDS-hoofdsleutel is gemaakt in uw domein:
Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Als deze niet is gemaakt (de uitvoer geeft geen informatie weer), voert u de volgende opdracht uit om de sleutel te maken:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).Open op de computer die u wilt configureren als federatieserver het Windows PowerShell opdrachtvenster en voer de volgende opdracht uit:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$Waarschuwing
De '$' aan het einde van de bovenstaande opdracht is vereist.
U kunt de waarde verkrijgen
<certificate_thumbprint>door de vingerafdruk van uw SSL-certificaat uit te voerendir Cert:\LocalMachine\Myen te selecteren. De waarde is<federation_service_name>de naam van uw federation-service, bijvoorbeeld fs.contoso.com.Notitie
Als dit niet de eerste keer is dat u deze opdracht uitvoert, voegt u toe
–OverwriteConfiguration.Notitie
Met de bovenstaande opdracht maakt u een WID-farm. Als u een SQL serverfarm wilt maken, moet de SQL server al zijn geïnstalleerd en operationeel zijn.
U kunt de volgende opdracht gebruiken om de eerste federatieserver in een nieuwe farm te maken met behulp van SQL server:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"waarbij <SQL_Host_Name> de naam is van de server waarop SQL server wordt uitgevoerd en<SQL_instance_name> de naam van het SQL exemplaar is. Als u het standaard-SQL Server-exemplaar gebruikt, gebruikt u een SQLConnectionString-waarde van 'Data Source=<SQL_Host_Name>;Integrated Security=True'.
Als u een nieuwe federatieserver wilt maken met behulp van een bestaand domeingebruikersaccount, gaat u als volgt te werk:
Controleer op de computer die u wilt configureren als federatieserver of het vereiste SSL-certificaat is geïmporteerd in de lokale computer\Mijn winkel. U kunt controleren of het SSL-certificaat is geïmporteerd door de volgende opdracht uit te voeren in het Windows PowerShell opdrachtvenster:
dir Cert:\LocalMachine\My. Het certificaat wordt vermeld met de vingerafdruk in de lokale computer\Mijn winkel.Open op de computer die u wilt configureren als federatieserver het opdrachtvenster Windows PowerShell en voer de volgende opdracht uit:
$fscred = get-credentialVoer de referenties van het domeingebruikersaccount in die u wilt gebruiken voor het federation-serviceaccount in de indeling domein\gebruikersnaam.Voer in hetzelfde Windows PowerShell-opdrachtvenster de volgende opdracht uit:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredU kunt de waarde voor <certificate_thumbprint> verkrijgen door de vingerafdruk van uw SSL-certificaat uit te voeren
dir Cert:\LocalMachine\Myen te selecteren. De waarde van <federation_service_name> is de naam van uw federation-service, bijvoorbeeld fs.contoso.com.Notitie
Als dit niet de eerste keer is dat u deze opdracht uitvoert, voegt u toe
–OverwriteConfiguration.Notitie
Met de bovenstaande opdracht maakt u een WID-farm. Als u een SQL serverfarm wilt maken, moet de SQL server al zijn geïnstalleerd en operationeel zijn.
U kunt de volgende opdracht gebruiken om de eerste federatieserver in een nieuwe farm te maken met behulp van SQL server:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"waarbij SQL_Host_Name de naam is van de server waarop SQL server wordt uitgevoerd enSQL_instance_name de naam van het SQL exemplaar is. Als u het standaard-SQL Server-exemplaar gebruikt, gebruikt u een SQLConnectionString-waarde van 'Data Source=<SQL_Host_Name>;Integrated Security=True'.
Volgende stap
Nu u de eerste federatieserver in uw federatieserverfarm hebt geconfigureerd, gaat u terug naar Controlelijst: Implementeer uw federatieserverfarm op oudere versies van Windows Server en voltooi de rest van de stappen.
Zie ook
Concepten
Controlelijst: Uw federatieserverfarm implementeren op Windows Server 2012 R2
Controlelijst: AD FS gebruiken om eenmalige aanmelding te implementeren en beheren