Tworzenie pierwszego serwera federacyjnego w farmie serwerów federacyjnych
Po zainstalowaniu roli usługi federacyjnej i skonfigurowaniu wymaganych certyfikatów na komputerze, można skonfigurować komputer, aby stał się serwerem federacyjnym. Możesz użyć poniższej procedury, aby skonfigurować komputer jako pierwszy serwer federacyjny w nowej farmie serwerów federacyjnych, używając Kreatora konfiguracji serwera federacyjnego AD FS.
Czynność tworzenia pierwszego serwera federacyjnego w farmie tworzy również nową usługę federacyjną i sprawia, że ten komputer jest podstawowym serwerem federacyjnym. Oznacza to, że ten komputer zostanie skonfigurowany z kopią odczytu/zapisu bazy danych konfiguracji usług AD FS. Wszystkie inne serwery federacyjne w tej farmie muszą replikować wszelkie zmiany wprowadzone na serwerze federacyjnym podstawowym do swoich kopii bazy danych konfiguracji AD FS, które są tylko do odczytu i które przechowują lokalnie. Aby uzyskać więcej informacji na temat tego procesu replikacji, zobacz Rola bazy danych konfiguracji usług AD FS.
Uwaga
W przypadku projektowania scentralizowanego logowania jednokrotnego w sieci (Federated Web Single-Sign-On, SSO), należy mieć co najmniej jeden serwer federacyjny w organizacji partnera kont i co najmniej jeden serwer federacyjny w organizacji partnera zasobów. Aby uzyskać więcej informacji, zobacz Gdzie umieścić serwer federacyjny.
Członkostwo w grupie Administratorzy domeny lub delegowane konto domeny, któremu udzielono dostępu do zapisu do kontenera danych programu w usłudze Active Directory, jest minimalnym wymaganiem do wykonania tej procedury.
Aby utworzyć pierwszy serwer federacyjny w farmie serwerów federacyjnych
Istnieją dwa sposoby, aby uruchomić Kreatora konfiguracji serwera federacyjnego usług AD FS. Aby uruchomić kreatora, wykonaj jedną z następujących czynności:
Po zakończeniu instalacji roli usługi Federation Service, otwórz przystawkę Zarządzanie usługami AD FS i kliknij łącze Kreator konfiguracji serwera federacyjnego AD FS na stronie Przegląd lub w okienku Akcje.
Każdorazowo po ukończeniu kreatora instalacji otwórz Eksploratora Windows, przejdź do folderu C:\Windows\ADFS, a następnie kliknij dwukrotnie FsConfigWizard.exe.
Na stronie powitalnej sprawdź, czy wybrano Utwórz nową usługę federacyjną, a następnie kliknij przycisk Dalej.
Na stronie Wybierz Stand-Alone lub Wdrożenie farmy kliknij pozycję Nowa farma serwerów federacyjnych, a następnie kliknij przycisk Dalej.
Na stronie Określ nazwę usługi federacyjnej, sprawdź, czy wyświetlany certyfikat SSL jest poprawny. Jeśli nie jest to prawidłowy certyfikat, wybierz odpowiedni certyfikat z listy certyfikatów SSL .
Ten certyfikat jest generowany na podstawie ustawień protokołu SSL (Secure Sockets Layer) dla domyślnej witryny sieci Web. Jeśli domyślna witryna sieci Web ma skonfigurowany tylko jeden certyfikat SSL, ten certyfikat jest prezentowany i automatycznie wybierany do użycia. Jeśli skonfigurowano wiele certyfikatów SSL dla domyślnej witryny sieci Web, wszystkie te certyfikaty są wymienione tutaj i należy wybrać spośród nich. Jeśli nie skonfigurowano ustawień protokołu SSL dla domyślnej witryny sieci Web, lista zostanie wygenerowana na podstawie certyfikatów dostępnych w magazynie certyfikatów osobistych na komputerze lokalnym.
Uwaga
Menedżer nie pozwoli na zastąpienie certyfikatu, jeśli dla serwisów IIS skonfigurowano certyfikat SSL. Zapewnia to zachowanie każdej zamierzonej wcześniejszej konfiguracji usług IIS dla certyfikatów SSL. Aby obejść to ograniczenie, możesz usunąć certyfikat lub ponownie skonfigurować go ręcznie za pomocą konsoli zarządzania usług IIS.
Jeśli wybrana baza danych usług AD FS już istnieje, zostanie wyświetlona strona Wykryto istniejącą bazę danych konfiguracji usług AD FS. Jeśli zostanie wyświetlona ta strona, kliknij pozycję Usuń bazę danych, a następnie kliknij przycisk Dalej.
Ostrożność
Wybierz tę opcję tylko wtedy, gdy masz pewność, że dane w tej bazie danych usług AD FS nie są ważne lub że nie są używane w produkcyjnej farmie serwerów federacyjnych.
Na stronie Określanie konta usługi kliknij przycisk Przeglądaj. W oknie dialogowym Przeglądaj znajdź konto domeny, które będzie używane jako konto usługi w tej nowej farmie serwerów federacyjnych, a następnie kliknij przycisk OK. Wpisz hasło dla tego konta, potwierdź je, a następnie kliknij przycisk Dalej.
Uwaga
Aby uzyskać więcej informacji na temat określania konta usługi dla farmy serwerów federacyjnych, zobacz Ręczne konfigurowanie konta usługi dla farmy serwerów federacyjnych. Każdy serwer federacyjny w farmie serwerów federacyjnych musi określić to samo konto serwisowe, aby farma działała. Jeśli na przykład konto usługi, które zostało utworzone, zostało contoso\ADFS2SVC, każdy komputer skonfigurowany dla roli serwera federacyjnego i który będzie uczestniczyć w tej samej farmie, musi określić contoso\ADFS2SVC w tym kroku w Kreatorze konfiguracji serwera federacyjnego, aby farma była operacyjna.
Na stronie Gotowe do zastosowania ustawień przejrzyj szczegóły. Jeśli ustawienia wydają się być poprawne, kliknij przycisk Dalej, aby rozpocząć konfigurowanie usług AD FS przy użyciu tych ustawień.
Na stronie wyników konfiguracji dokonaj przeglądu wyników. Po zakończeniu wszystkich kroków konfiguracji kliknij przycisk Zamknij, aby zamknąć kreatora.
Ważne
W celach bezpiecznego wdrażania rozpoznawanie artefaktów i wykrywanie odpowiedzi są wyłączone podczas konfigurowania farmy serwerów federacyjnych usług AD FS za pomocą Kreatora konfiguracji serwera federacyjnego. Ten kreator automatycznie konfiguruje bazę danych systemu Windows wewnętrzną do przechowywania danych dotyczących konfiguracji usług. Można jednak błędnie cofnąć tę zmianę, włączając punkt końcowy rozpoznawania artefaktów przy użyciu węzła Punkty końcowe w przystawce zarządzania usługami AD FS lub polecenia cmdlet Enable-ADFSEndpoint w programie Windows PowerShell. Należy zachować ostrożność, aby nie ponownie skonfigurować ustawienia domyślnego, aby ten punkt końcowy pozostał wyłączony podczas używania farmy serwerów federacyjnych i wewnętrznej bazy danych systemu Windows razem.