Lista kontrolna: Konfigurowanie serwera federacyjnego
Ta lista kontrolna zawiera zadania wdrażania niezbędne do przygotowania serwera z systemem Windows Server® 2012 dla roli serwera federacyjnego w usługach Active Directory Federation Services (AD FS).
Uwaga
Wykonaj zadania z tej listy kontrolnej w kolejności. Gdy odsyłacz spowoduje przejście do procedury, wróć do tej sekcji po wykonaniu jej kroków, aby móc kontynuować pozostałe zadania na tej liście zadań.
Lista kontrolna: Konfigurowanie serwera federacyjnego
| Zadanie | Źródło |
|---|---|
| Przed rozpoczęciem wdrażania serwerów federacyjnych usług AD FS przejrzyj następujące elementy: 1.) zalety i wady wyboru wewnętrznej bazy danych systemu Windows (WID) lub programu SQL Server do przechowywania bazy danych konfiguracji usług AD FS 2. Typy topologii wdrażania usług AD FS i skojarzone z nimi umieszczanie serwera i zalecenia dotyczące układu sieciowego. |
określić topologię wdrażania usług AD FS |
| Zapoznaj się ze wskazówkami dotyczącymi planowania pojemności usług AD FS, aby określić odpowiednią liczbę serwerów federacyjnych, których należy użyć w środowisku produkcyjnym. |
Planowanie pojemności serwera federacyjnego |
| Przejrzyj informacje w przewodniku projektowania usług AD FS o tym, gdzie należy umieścić serwery federacyjne w organizacji |
Planowanie Umieszczania Serwera Federacyjnego |
| Określ, czy autonomiczny serwer federacyjny, czy farma serwerów federacyjnych jest lepsza dla danego wdrożenia. |
Kiedy utworzyć serwer federacyjny |
| Określ, czy ten nowy serwer federacyjny zostanie utworzony w organizacji partnera kont, czy w organizacji partnera zasobów. |
Przejrzyj rolę serwera federacyjnego w partnerze kont
|
| Przejrzyj informacje o sposobie używania certyfikatów komunikacji usług i certyfikatów podpisywania tokenów w celu bezpiecznego uwierzytelniania żądań serwera proxy klienta i serwera federacyjnego. Przestroga: Chociaż od dawna powszechną praktyką jest używanie certyfikatów z niekwalifikowanymi nazwami hostów takimi jak https://myserver, te certyfikaty nie mają wartości bezpieczeństwa i mogą umożliwić atakującemu podszywanie się pod Usługi AD FS do klientów przedsiębiorstwa. Dlatego zaleca się używanie w pełni kwalifikowanej nazwy domeny (FQDN), takiej jak https://myserver.contoso.com i używanie tylko certyfikatów SSL wystawionych dla nazwy FQDN usługi federacyjnej. |
|
| Przejrzyj informacje o sposobie aktualizowania systemu nazw domen sieci firmowej (DNS), tak aby pomyślne rozpoznawanie nazw na serwerach federacyjnych mogło wystąpić. |
dla serwerów federacyjnych |
| Dołącz komputer, który stanie się serwerem federacyjnym, do domeny w lesie partnera kont lub w lesie partnera zasobów, gdzie będzie używany do uwierzytelniania użytkowników tego konkretnego lasu lub z lasów zaufanych. Uwaga: Jeśli chcesz skonfigurować serwer federacyjny w organizacji partnera kont, komputer musi najpierw zostać przyłączony do dowolnej domeny w lesie, w którym serwer federacyjny będzie używany do uwierzytelniania użytkowników z tego lasu lub z zaufanych lasów. |
Dołącz Komputer do Domeny |
| Utwórz nowy rekord zasobu w systemie DNS sieci firmowej, który wskazuje nazwę hosta DNS serwera federacyjnego na adres IP serwera federacyjnego. | pl-PL: Dodaj rekord zasobu hosta (A) do firmowej usługi DNS dla serwera federacyjnego |
| (Opcjonalnie) Jeśli do farmy serwerów federacyjnych zostanie dodany serwer federacyjny, może być konieczne najpierw wyeksportowanie klucza prywatnego istniejącego certyfikatu podpisywania tokenów (na pierwszym serwerze federacyjnym w farmie), aby mieć format pliku certyfikatu gotowy, gdy inne serwery federacyjne muszą zaimportować ten sam certyfikat. Eksportowanie klucza prywatnego nie jest wymagane, gdy wystawiony certyfikat uwierzytelniania serwera może być ponownie używany przez wiele komputerów (bez konieczności eksportowania) lub gdy uzyskasz unikatowe certyfikaty uwierzytelniania serwera dla każdego serwera federacyjnego w farmie. Uwaga: przystawka Zarządzanie usługami AD FS nazywa certyfikaty uwierzytelniania serwera dla serwerów federacyjnych certyfikatami komunikacji usług. |
Eksportować część klucza prywatnego certyfikatu uwierzytelniania serwera |
| Po uzyskaniu certyfikatu uwierzytelniania serwera (lub klucza prywatnego) z urzędu certyfikacji należy następnie zaimportować plik certyfikatu do domyślnej witryny sieci Web dla każdego serwera federacyjnego. Uwaga: Instalowanie tego certyfikatu w domyślnej witrynie sieci Web jest wymagane przed użyciem Kreatora konfiguracji serwera federacyjnego usług AD FS. |
Zaimportować certyfikat uwierzytelniania serwera do domyślnej witryny sieci Web |
| (Opcjonalnie) Alternatywą dla uzyskania certyfikatu uwierzytelniania serwera z urzędu certyfikacji jest użycie usług Internet Information Services (IIS) do utworzenia przykładowego certyfikatu dla serwera federacyjnego. Przestroga: Najlepszym rozwiązaniem w zakresie zabezpieczeń nie jest wdrożenie serwera federacyjnego w środowisku produkcyjnym przy użyciu certyfikatu uwierzytelniania serwera z podpisem własnym. | pl-PL: IIS: utwórz Self-Signed certyfikat serwera, a następnie wykonaj procedurę importowania certyfikatu uwierzytelniania serwera do domyślnej witryny sieci Web |
| Jeśli skonfigurujesz środowisko farmy serwerów federacyjnych w organizacji partnera kont, musisz utworzyć i skonfigurować dedykowane konto usługi w usługach Active Directory Domain Services (AD DS), w których będzie znajdować się farma i skonfigurować każdy serwer federacyjny w farmie do korzystania z tego konta. Wykonując tę procedurę, można zezwolić klientom w sieci firmowej na uwierzytelnianie do dowolnego z serwerów federacyjnych w farmie przy użyciu zintegrowanego uwierzytelniania systemu Windows. |
Ręczne konfigurowanie konta usługi dla farmy serwerów federacyjnych |
| Zainstaluj usługę roli usługi federacyjnej na komputerze, który stanie się serwerem federacyjnym. |
Zainstaluj usługę roli serwisu federacyjnego |
| Skonfiguruj oprogramowanie usług AD FS na komputerze do działania w roli serwera federacyjnego za pomocą Kreatora konfiguracji serwera federacyjnego usług AD FS. Wykonaj tę procedurę, jeśli chcesz skonfigurować autonomiczny serwer federacyjny, utwórz pierwszy serwer federacyjny w nowej farmie lub dołącz komputer do istniejącej farmy serwerów federacyjnych. Uwaga: w przypadku projektu federacyjnego Web Single Sign-On (SSO) musisz mieć co najmniej jeden serwer federacyjny w organizacji partnera konta oraz co najmniej jeden serwer federacyjny w organizacji partnera zasobów. |
tworzenie serwera federacyjnego Stand-Alone
|
| (Opcjonalnie) Użyj przystawki Zarządzanie usługami AD FS, aby dodać i skonfigurować niezbędne certyfikaty usług AD FS wymagane do wdrożenia projektu. Aby uzyskać więcej informacji na temat dodawania lub zmieniania certyfikatów przy użyciu przystawki, zobacz Wymagania dotyczące certyfikatów dla serwerów federacyjnych. |
Dodaj certyfikat Token-Signing |
| Jeśli jest to pierwszy serwer federacyjny w organizacji, skonfiguruj usługę federacyjną tak, aby była zgodna z projektem usług AD FS. |
Lista kontrolna: Konfigurowanie organizacji partnera konta |
| Z komputera klienckiego sprawdź, czy serwer federacyjny działa. |
sprawdź, czy serwer federacyjny działa |