Konfigurowanie serwera federacyjnego

• Dotyczy:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Po zainstalowaniu usługi roli Active Directory Federation Services (AD FS) na komputerze można przystąpić do konfigurowania tego komputera, aby stał się serwerem federacyjnym. Możesz wykonać jedną z następujących czynności:

• Konfigurowanie pierwszego serwera federacyjnego w nowej farmie serwerów federacyjnych

• dodawanie serwera federacyjnego do istniejącej farmy serwerów federacyjnych

Konfigurowanie pierwszego serwera federacyjnego w nowej farmie serwerów federacyjnych

Aby skonfigurować pierwszy serwer federacyjny w nowej farmie serwerów federacyjnych, użyj Kreatora konfiguracji usługi federacyjnej Active Directory.

Uwaga

Przed wykonaniem tej procedury upewnij się, że masz uprawnienia administratora domeny lub masz dostępne poświadczenia administratora domeny.

1. Na stronie Pulpit nawigacyjny Menedżera serwera kliknij flagę Powiadomienia, a następnie kliknij Skonfiguruj usługę federacyjną na serwerze.

   Zostanie otwarty Kreator konfiguracji usługi federacyjnej Active Directory.

2. Na stronie powitalnej wybierz Utwórz pierwszy serwer federacyjny w farmie serwerów, a następnie kliknij Dalej.

3. Na stronie Connect to AD DS określ konto przy użyciu uprawnień administratora domeny dla domeny usługi Active Directory (AD), do której jest przyłączony ten komputer, a następnie kliknij przycisk Dalej.

4. Na stronie Określ właściwości usługi wykonaj następujące czynności, a następnie kliknij przycisk Dalej:

   • Zaimportuj plik pfx zawierający wcześniej uzyskany certyfikat i klucz Secure Socket Layer (SSL). W Krok 2: Rejestrowanie certyfikatu SSL dla usług AD FS, uzyskano ten certyfikat i skopiowano go na komputer, który chcesz skonfigurować jako serwer federacyjny. Aby zaimportować plik PFX za pośrednictwem kreatora, kliknij przycisk Importuj, a następnie przejdź do lokalizacji pliku. Wprowadź hasło do pliku pfx, gdy pojawi się monit.

   • Podaj nazwę usługi federacyjnej. Na przykład fs.contoso.com. Ta nazwa musi być zgodna z jedną z nazw podmiotu lub alternatywnych nazw podmiotu w certyfikacie.

   • Podaj wyświetlaną nazwę dla swojej usługi federacyjnej. Na przykład Contoso Corporation. Użytkownicy widzą tę nazwę na stronie logowania usług Active Directory Federation Services (AD FS).

5. Na stronie Określ konto usługi podaj konto usługi. Możesz utworzyć lub użyć istniejącego konta usługi zarządzanego przez grupę (gMSA) lub użyć istniejącego konta użytkownika domeny. Jeśli wybierzesz opcję utworzenia nowego grupowego konta zarządzanego, określ nazwę nowego konta. Jeśli wybierzesz opcję używania istniejącego konta gMSA lub konta domeny, kliknij przycisk Wybierz, aby wybrać konto.

   Uwaga

   Zaletą korzystania z konta usługi gMSA jest funkcja automatycznego negocjowania aktualizacji haseł.

   Ostrzeżenie

   Jeśli chcesz użyć konta gMSA, musisz mieć co najmniej jeden kontroler domeny w środowisku z systemem operacyjnym Windows Server 2012.

   Jeśli opcja gMSA jest wyłączona i zostanie wyświetlony komunikat o błędzie, taki jak konta usługi zarządzane przez grupę nie są dostępne, ponieważ klucz główny KDS nie został ustawiony, można włączyć gMSA w domenie, uruchamiając następujące polecenie programu Windows PowerShell na kontrolerze domeny z systemem Windows Server 2012 lub nowszym, w domenie usługi Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Następnie wróć do kreatora, kliknij przycisk Poprzednie, a następnie kliknij przycisk Następne, aby przejść ponownie na stronę Określ konto usługi. Opcja gMSA powinna być teraz włączona. Możesz go zaznaczyć i wprowadzić nazwę konta gMSA, którego chcesz użyć.

6. Na stronie Określ bazę danych konfiguracji określ bazę danych konfiguracji usług AD FS, a następnie kliknij przycisk Dalej. Bazę danych można utworzyć na tym komputerze przy użyciu wewnętrznej bazy danych systemu Windows (WID) lub określić lokalizację i nazwę wystąpienia programu Microsoft SQL Server.

   Aby uzyskać więcej informacji, zobacz Rola bazy danych konfiguracji usług AD FS.

   Ważne

   Jeśli chcesz utworzyć farmę usług AD FS i użyć programu SQL Server do przechowywania danych konfiguracji, możesz użyć programu SQL Server 2008 i nowszych wersji, w tym programu SQL Server 2012 i programu SQL Server 2014.

7. Na stronie Przejrzyj opcje sprawdź wybrane konfiguracje, a następnie kliknij przycisk Dalej.

8. Na stronie Sprawdzanie wymagań wstępnych sprawdź, czy wszystkie testy wymagań wstępnych zostały ukończone pomyślnie, a następnie kliknij przycisk Konfiguruj.

9. Na stronie Wyniki przejrzyj wyniki i sprawdź, czy konfiguracja została ukończona pomyślnie, a następnie kliknij Następne kroki wymagane do ukończenia wdrożenia usługi federacyjnej. Aby uzyskać więcej informacji, zobacz Następne kroki umożliwiające ukończenie instalacji usług AD FS. Kliknij przycisk Zamknij, aby zamknąć kreatora.

Aby skonfigurować pierwszy serwer federacyjny w nowej farmie serwerów federacyjnych za pośrednictwem programu Windows PowerShell

Nową farmę serwerów federacyjnych można utworzyć przy użyciu nowego lub istniejącego konta usługi gMSA lub istniejącego konta użytkownika domeny.

• Jeśli chcesz utworzyć nowy serwer federacyjny przy użyciu nowego konta usługi gMSA, wykonaj następujące czynności:

  Ważne

  Aby utworzyć pierwszy serwer federacyjny w nowej farmie serwerów federacyjnych, musisz mieć uprawnienia administratora domeny.

  1. Na komputerze, który chcesz skonfigurować jako serwer federacyjny, upewnij się, że wymagany certyfikat SSL został zaimportowany do katalogu Komputer lokalny\My Store. Możesz sprawdzić, czy certyfikat SSL został zaimportowany, uruchamiając następujące polecenie w oknie polecenia programu Windows PowerShell: dir Cert:\LocalMachine\My. Certyfikat jest wymieniony według jego odcisku palca w katalogu Komputer lokalny\Mój magazyn.

  2. Na kontrolerze domeny otwórz okno polecenia programu Windows PowerShell i uruchom następujące polecenie, aby sprawdzić, czy klucz główny KDS został utworzony w domenie: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Jeśli nie został utworzony tak, aby dane wyjściowe nie wyświetlały żadnych informacji, uruchom następujące polecenie, aby utworzyć klucz: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

  3. Na komputerze, który chcesz skonfigurować jako serwer federacyjny, otwórz okno polecenia programu Windows PowerShell i uruchom następujące polecenie:

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
     

     Ostrzeżenie

     Znak $ na końcu poprzedniego polecenia jest wymagany.

     Aby uzyskać wartość <certificate_thumbprint>, uruchom dir Cert:\LocalMachine\My, a następnie wybierz odcisk palca certyfikatu SSL. Wartość <federation_service_name> to nazwa usługi federacyjnej, na przykład fs.contoso.com.

     Uwaga

     Jeśli nie jest to pierwszy raz, gdy uruchomisz to polecenie, dodaj parametr OverwriteConfiguration.

     Uwaga

     Poprzednie polecenie tworzy farmę WID. Jeśli chcesz utworzyć farmę serwerów programu SQL Server, musisz mieć już zainstalowane i działające wystąpienie programu SQL Server.

     Możesz użyć następującego polecenia, aby utworzyć pierwszy serwer federacyjny w nowej farmie, która używa wystąpienia programu SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True", gdzie <SQL_Host_Name> jest nazwą serwera, na którym działa program SQL Server, a <SQL_instance_name> jest nazwą wystąpienia programu SQL Server. Jeśli używasz domyślnego wystąpienia programu SQL Server, użyj wartości SQLConnectionString o wartości "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Ważne

     Jeśli chcesz utworzyć farmę usług AD FS i użyć programu SQL Server do przechowywania danych konfiguracji, możesz użyć programu SQL Server 2008 i nowszych wersji, w tym programu SQL Server 2012.

• Jeśli chcesz utworzyć nowy serwer federacyjny przy użyciu istniejącego konta użytkownika domeny, wykonaj następujące czynności:

  1. Na komputerze, który chcesz skonfigurować jako serwer federacyjny, upewnij się, że wymagany certyfikat SSL został zaimportowany do katalogu Komputer lokalny\My Store. Możesz sprawdzić, czy certyfikat SSL został zaimportowany, uruchamiając następujące polecenie w oknie polecenia programu Windows PowerShell: dir Cert:\LocalMachine\My. Certyfikat znajduje się na liście na podstawie jego odcisku palca w katalogu Komputer lokalny\Mój Sklep.

  2. Na komputerze, który chcesz skonfigurować jako serwer federacyjny, otwórz okno polecenia programu Windows PowerShell, a następnie uruchom następujące polecenie: $fscred = Get-Credential. Wprowadź poświadczenia konta użytkownika domeny, które mają być używane dla konta usługi federacyjnej w formacie domena\nazwa użytkownika.

  3. W tym samym oknie polecenia programu Windows PowerShell uruchom następujące polecenie:

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
     

     Aby uzyskać wartość <certificate_thumbprint>, uruchom polecenie dir Cert:\LocalMachine\My, a następnie wybierz odcisk palca certyfikatu SSL. Wartość <federation_service_name> to nazwa usługi federacyjnej, na przykład fs.contoso.com.

     Uwaga

     Jeśli nie jest to pierwszy raz, gdy uruchomisz to polecenie, dodaj parametr OverwriteConfiguration.

     Uwaga

     Poprzednie polecenie tworzy farmę WID. Jeśli chcesz utworzyć farmę programu SQL Server, musisz mieć już zainstalowane i działające wystąpienie programu SQL Server.

     Możesz użyć następującego polecenia, aby utworzyć pierwszy serwer federacyjny w nowej farmie, która używa wystąpienia programu SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True", gdzie SQL_Host_Name jest nazwą serwera, na którym działa program SQL Server, a SQL_instance_name jest nazwą wystąpienia programu SQL Server. Jeśli używasz domyślnej instancji programu SQL Server, użyj wartości SQLConnectionString jako "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Ważne

     Jeśli chcesz utworzyć farmę usług AD FS i użyć programu SQL Server do przechowywania danych konfiguracji, możesz użyć programu SQL Server 2008 i nowszych wersji, w tym programu SQL Server 2012 i programu SQL Server 2014.

Dodawanie serwera federacyjnego do istniejącej farmy serwerów federacyjnych

Ważne

Upewnij się, że ukończono Krok 3: Zainstaluj usługę roli AD FS, przed rozpoczęciem jakiejkolwiek procedury opisanej w tej sekcji.

Ważne

Przed wykonaniem tej procedury upewnij się, że uzyskano prawidłowy certyfikat uwierzytelniania serwera SSL.

Aby dodać serwer federacyjny do istniejącej farmy serwerów federacyjnych za pomocą Kreatora konfiguracji usług federacyjnych Active Directory

1. Na stronie Menedżera serwera , na zakładce Pulpit nawigacyjny, kliknij ikonę Powiadomienia, a następnie wybierz Konfiguruj usługę federacyjną na serwerze.

   Kreator konfiguracji usługi federacyjnej Active Directory zostanie otwarty.

2. Na stronie powitalnej wybierz pozycję Dodaj serwer federacyjny do farmy serwerów federacyjnych, a następnie kliknij przycisk Dalej.

3. Na stronie Connect to AD DS określ konto przy użyciu uprawnień administratora domeny dla domeny AD DS, z którą ten komputer jest połączony, a następnie kliknij przycisk Dalej.

4. Na stronie Określ farmę podaj nazwę podstawowego serwera federacyjnego w farmie używającej identyfikatora WID lub określ nazwę hosta bazy danych oraz nazwę wystąpienia bazy danych istniejącej farmy serwerów federacyjnych używającej programu SQL Server.

   Ostrzeżenie

   W systemie Windows Server® 2012 R2 istnieje obejście określające domyślne wystąpienie programu SQL Server. Obejście polega na tym, że nie należy używać interfejsu użytkownika. Zamiast tego wykonaj kroki opisane w Aby skonfigurować pierwszy serwer federacyjny w nowej farmie serwerów federacyjnych za pośrednictwem programu Windows PowerShell.

   Ważne

   Jeśli chcesz utworzyć farmę usług AD FS i użyć programu SQL Server do przechowywania danych konfiguracji, możesz użyć programu SQL Server 2008 i nowszych wersji, w tym programu SQL Server 2012.

5. Na stronie Określ certyfikat SSL zaimportuj plik pfx zawierający wcześniej uzyskany certyfikat SSL i klucz. Ten certyfikat jest wymaganym certyfikatem uwierzytelniania usługi. W kroku 2 : Zarejestruj certyfikat SSL dla usług AD FS, uzyskałeś ten certyfikat i skopiowałeś go na komputer, który chcesz skonfigurować jako serwer federacyjny. Aby zaimportować plik .pfx za pośrednictwem kreatora, kliknij przycisk Importuj i przejdź do lokalizacji pliku. Wprowadź hasło do pliku .pfx, gdy pojawi się monit.

6. Na stronie Określ konto usługi określ to samo konto usługi skonfigurowane podczas tworzenia pierwszego serwera federacyjnego w farmie. Możesz użyć istniejącego konta usługi zarządzanego przez grupę lub istniejącego konta użytkownika domeny.

   Ważne

   Określone konto musi być tym samym kontem co konto, które zostało użyte na serwerze federacyjnym podstawowym w tej farmie.

7. Na stronie Przegląd opcji zweryfikuj swoje ustawienia konfiguracji, a następnie kliknij przycisk Dalej.

8. Na stronie Sprawdzanie wymagań wstępnych sprawdź, czy wszystkie testy wymagań wstępnych zostały ukończone pomyślnie, a następnie kliknij przycisk Konfiguruj.

9. Na stronie Wyniki przejrzyj wyniki i sprawdź, czy konfiguracja została ukończona pomyślnie, a następnie kliknij Następne kroki wymagane do ukończenia wdrożenia usługi federacyjnej. Aby uzyskać więcej informacji, zobacz Następne kroki umożliwiające ukończenie instalacji usług AD FS. Kliknij przycisk Zamknij, aby zamknąć kreatora.

Aby dodać serwer federacyjny do istniejącej farmy serwerów federacyjnych za pośrednictwem programu Windows PowerShell

Serwer federacyjny można dodać do istniejącej farmy przy użyciu istniejącego konta usługi gMSA lub istniejącego konta użytkownika domeny.

• Jeśli chcesz dołączyć serwer federacyjny do farmy przy użyciu istniejącego konta usługi gMSA, wykonaj następujące czynności:

  1. Na komputerze, który chcesz skonfigurować jako serwer federacyjny, upewnij się, że wymagany certyfikat SSL został zaimportowany do katalogu Komputer lokalny\My Store. Możesz sprawdzić, czy certyfikat SSL został zaimportowany, uruchamiając następujące polecenie w oknie polecenia programu Windows PowerShell: dir Cert:\LocalMachine\My. Certyfikat znajduje się na liście według odcisku palca w katalogu Komputer lokalny\My Store.

  2. Na komputerze, który chcesz skonfigurować jako serwer federacyjny, otwórz okno polecenia programu Windows PowerShell i uruchom następujące polecenie.

     Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     <domain>\<GMSA_name> to domena usługi AD i nazwa konta usługi gMSA w tej domenie. <first_federation_server_hostname> jest nazwą hosta podstawowego serwera federacyjnego w tej istniejącej farmie.

     Wartość <certificate_thumbprint> można uzyskać, uruchamiając dir Cert:\LocalMachine\My w poprzednim kroku.

     Uwaga

     Jeśli nie jest to pierwszy raz, gdy uruchomisz to polecenie, dodaj parametr OverwriteConfiguration.

     Uwaga

     Poprzednie polecenie tworzy węzeł farmy WID. Jeśli chcesz utworzyć węzeł farmy serwerów komputerów działających na SQL Server, musisz mieć już zainstalowaną i działającą instalację SQL Server.

     Możesz użyć następującego polecenia, aby dodać serwer federacyjny do istniejącej farmy używającej wystąpienia programu SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True", gdzie SQL_Host_Name jest nazwą serwera, na którym działa program SQL Server, a SQL_instance_name jest nazwą wystąpienia programu SQL Server. Jeśli używasz domyślnego wystąpienia programu SQL Server, użyj wartości SQLConnectionString o wartości "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Ważne

     Jeśli chcesz utworzyć farmę usług AD FS i użyć programu SQL Server do przechowywania danych konfiguracji, możesz użyć programu SQL Server 2008 i nowszych wersji, w tym programu SQL Server 2012 i programu SQL Server 2014.

• Jeśli chcesz dołączyć serwer federacyjny do farmy przy użyciu istniejącego konta użytkownika domeny, wykonaj następujące czynności:

  1. Na komputerze, który chcesz skonfigurować jako serwer federacyjny, otwórz okno poleceń programu Windows PowerShell, a następnie uruchom następujące polecenie: $fscred = get-credential. Wprowadź poświadczenia konta użytkownika domeny, które mają być używane dla konta usługi federacyjnej w formacie domena\nazwa użytkownika.

  2. Na komputerze, który chcesz skonfigurować jako serwer federacyjny, upewnij się, że wymagany certyfikat SSL został zaimportowany do katalogu Komputer lokalny\My Store. Możesz sprawdzić, czy certyfikat SSL został zaimportowany, uruchamiając następujące polecenie w oknie poleceń programu Windows PowerShell: dir Cert:\LocalMachine\My. Certyfikat jest wymieniony wg odcisku palca w katalogu Komputer lokalny\Mój Sklep.

  3. W tym samym oknie polecenia programu Windows PowerShell uruchom następujące polecenie.

     Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     Uwaga

     Jeśli nie jest to pierwszy raz, gdy uruchomisz to polecenie, dodaj parametr OverwriteConfiguration.

     Uwaga

     Poprzednie polecenie tworzy węzeł farmy WID. Jeśli chcesz utworzyć węzeł farmy serwerów komputerów z programem SQL Server, musisz mieć już zainstalowane i operacyjne wystąpienie programu SQL Server. Możesz użyć następującego polecenia, aby dodać serwer federacyjny do istniejącej farmy przy użyciu wystąpienia programu SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True", gdzie SQL_Host_Name jest nazwą serwera, na którym jest uruchomione wystąpienie programu SQL Server, a SQL_instance_name jest nazwą wystąpienia programu SQL Server. Jeśli używasz domyślnego wystąpienia programu SQL Server, użyj wartości SQLConnectionString "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Ważne

     Jeśli chcesz utworzyć farmę usług AD FS i użyć programu SQL Server do przechowywania danych konfiguracji, możesz użyć programu SQL Server 2008 i nowszych wersji, w tym programu SQL Server 2012 i programu SQL Server 2014.

Zobacz też

Wdrażanie AD FS

przewodnik wdrażania usług AD FS systemu Windows Server 2012 R2

wdrażanie farmy serwerów federacyjnych