Controlelijst: Een federatieserver instellen
Deze controlelijst bevat de implementatietaken die nodig zijn om een server met Windows Server® 2012 voor te bereiden voor de federatieserverfunctie in Active Directory Federation Services (AD FS).
Notitie
Voltooi de taken in deze controlelijst op volgorde. Wanneer een verwijzingskoppeling u naar een procedure leidt, gaat u terug naar dit onderwerp nadat u de stappen in die procedure hebt voltooid, zodat u verder kunt gaan met de resterende taken in deze controlelijst.
Controlelijst: Een federatieserver instellen
| Opdracht | Referentie |
|---|---|
| Voordat u begint met het implementeren van uw AD FS-federatieservers, controleert u de; 1.) voor- en nadelen van het kiezen van Windows Internal Database (WID) of SQL Server voor het opslaan van de AD FS-configuratiedatabase 2.) Ad FS-implementatietopologietypen en de bijbehorende aanbevelingen voor serverplaatsing en netwerkindeling. |
Uw AD FS-implementatietopologie bepalen |
| Raadpleeg de richtlijnen voor ad FS-capaciteitsplanning om het juiste aantal federatieservers te bepalen dat u moet gebruiken in uw productieomgeving. |
Planning voor federatieservercapaciteit |
| Informatie bekijken in de AD FS-ontwerphandleiding over waar federatieservers in uw organisatie moeten worden geplaatst |
Plaatsing van federatieve server plannen |
| Bepaal of een zelfstandige federatieserver of een federatieserverfarm beter is voor uw implementatie. |
Wanneer moet u een federatieserver maken |
| Bepaal of deze nieuwe federatieserver wordt gemaakt in de organisatie van de accountpartner of in de bronpartnerorganisatie. |
Controleer de rol van de federatieserver in de accountpartner
|
| Lees informatie over hoe federatieservers servicecommunicatiecertificaten en certificaten voor tokenondertekening gebruiken om client- en federatieserverproxyaanvragen veilig te verifiëren. Voorzichtigheid: Hoewel het al lang gebruikelijk is om certificaten te gebruiken met niet-gekwalificeerde hostnamen, zoals https://myserver, deze certificaten hebben geen beveiligingswaarde en kan een aanvaller in staat stellen om de AD FS Federation Service te imiteren voor enterprise-clients. Daarom wordt u aangeraden een FQDN (Fully Qualified Domain Name) te gebruiken, zoals https://myserver.contoso.com en alleen SSL-certificaten te gebruiken die zijn uitgegeven aan de FQDN van uw Federation Service. |
Certificaatvereisten voor federatieservers |
| Lees informatie over het bijwerken van het domain name system (DNS) van het bedrijfsnetwerk, zodat een geslaagde naamomzetting naar federatieservers kan plaatsvinden. |
Vereisten voor naamomzetting voor federatieservers |
| Koppel de computer die de federatieserver wordt, aan een domein in het accountpartnerforest of het resource partner forest, waarop deze wordt gebruikt om de gebruikers van dat forest of van vertrouwende forests te verifiëren. Notitie: Als u een federatieserver wilt instellen in de organisatie van de accountpartner, moet de computer eerst lid zijn van een domein in het forest waar uw federatieserver wordt gebruikt om gebruikers van dat forest of van vertrouwende forests te verifiëren. |
Een computer toevoegen aan een domein |
| Maak een nieuwe bronrecord in de DNS van het bedrijfsnetwerk die de DNS-hostnaam van de federatieserver verwijst naar het IP-adres van de federatieserver. |
Een hostbronrecord (A) toevoegen aan bedrijfs-DNS voor een federatieserver |
| (Optioneel) Als u een federatieserver toevoegt aan een federatieserverfarm, moet u mogelijk eerst de persoonlijke sleutel van het bestaande certificaat voor tokenondertekening (op de eerste federatieserver in de farm) exporteren, zodat u een bestandsindeling van het certificaat hebt die gereed is wanneer andere federatieservers hetzelfde certificaat moeten importeren. Het exporteren van de persoonlijke sleutel is niet vereist wanneer uw uitgegeven serververificatiecertificaat opnieuw kan worden gebruikt door meerdere computers (zonder de noodzaak om te exporteren) of wanneer u unieke serververificatiecertificaten voor elke federatieserver in de farm krijgt. Opmerking: De AD FS-beheermodule verwijst naar serververificatiecertificaten voor federatieservers als servicecommunicatiecertificaten. |
Het privésleutelgedeelte van een serververificatiecertificaat exporteren |
| Nadat u een serververificatiecertificaat (of persoonlijke sleutel) van een certificeringsinstantie (CA) hebt verkregen, moet u het certificaatbestand vervolgens importeren naar de standaardwebsite voor elke federatieserver. Notitie: Het installeren van dit certificaat op de standaardwebsite is een vereiste voordat u de wizard AD FS-federatieserverconfiguratie kunt gebruiken. |
Een serververificatiecertificaat importeren op de standaardwebsite |
| (Optioneel) Als alternatief voor het verkrijgen van een serververificatiecertificaat van een CA, kunt u Internet Information Services (IIS) gebruiken om een voorbeeldcertificaat voor uw federatieserver te maken. Voorzichtigheid: Het is geen best practice voor beveiliging om een federatieserver in een productieomgeving te implementeren met behulp van een zelfondertekend serververificatiecertificaat. |
IIS: Maak een Self-Signed Servercertificaat en voltooi vervolgens de procedure Een serververificatiecertificaat importeren naar de standaardwebsite |
| Als u een federatieserverfarmomgeving configureert in een organisatie van een accountpartner, moet u een toegewezen serviceaccount maken en configureren in Active Directory Domain Services (AD DS) waar de farm zich bevindt en elke federatieserver in de farm configureert om dit account te gebruiken. Door deze procedure uit te voeren, stelt u clients in het bedrijfsnetwerk in staat om te verifiëren bij een van de federatieservers in de farm met behulp van geïntegreerde Windows-verificatie. |
Handmatig een serviceaccount configureren voor een federatieserverfarm |
| Installeer de functieservice Federation Service op de computer die de federatieserver wordt. |
Installeer de rolservice Federation Service |
| Configureer de AD FS-software op de computer om te handelen in de federatieserverfunctie met behulp van de ad FS-federatieserverconfiguratiewizard. Volg deze procedure als u een zelfstandige federatieserver wilt instellen, de eerste federatieserver in een nieuwe farm wilt maken of een computer wilt toevoegen aan een bestaande federatieserverfarm. Notitie: Voor het ontwerp van federatieve web single Sign-On (SSO) moet u ten minste één federatieserver hebben in de organisatie van de accountpartner en ten minste één federatieserver in de organisatie van de bronpartner. |
Een Stand-Alone federatieserver maken |
| (Optioneel) Gebruik de module AD FS-beheer om de benodigde AD FS-certificaten toe te voegen en te configureren die nodig zijn om uw ontwerp te implementeren. Zie Certificaatvereisten voor federatieservers voor meer informatie over het toevoegen of wijzigen van certificaten met behulp van de module. |
Een Token-Signing-certificaat toevoegen |
| Als dit de eerste federatieserver in uw organisatie is, configureert u de Federation-service zodat deze voldoet aan uw AD FS-ontwerp. |
Controlelijst: De organisatie van de accountpartner configureren |
| Controleer vanaf een clientcomputer of de federatieserver operationeel is. |
Controleren of een federatieserver operationeel is |