Configurar o primeiro servidor de federação no farm de servidores de federação no Windows Server 2012
Aplica-se a: Azure, Office 365, Power BI Windows Intune
Após instalar o serviço da função do Serviço de Federação do Active Directory (AD FS) no seu computador executando o Windows Server 2012 R2, você está pronto para configurar este computador para torná-lo um servidor de federação.
É possível completar os procedimentos a seguir para configurar este computador como primeiro servidor de federação em um farm de servidores de federação.
Configurar o primeiro servidor de federação em um farm de servidores de federação
Para configurar o primeiro servidor de federação em um farm de servidores de federação novo usando o Assistente de Configuração do Serviço de Federação do Active Directory
Observação
Assegure-se de ter permissões de administrador de domínio ou ter credenciais de administrador de domínio disponíveis antes de realizar este procedimento.
Na página Painel do do Gerenciador do Servidores, clique no sinalizador Notificações e, em seguida, clique em Configurar o serviço de federação no servidor.
O Assistente de Configuração de Serviço de Federação do Active Directory é iniciado.
Na página Bem-vindo, selecione Criar o primeiro servidor de federação em um farm de servidores de federação e clique em Avançar.
Na página Conectar a um AD DS, especifique uma conta com permissões de administrador do domínio para o domínio do AD ao qual este computador foi ingressado e clique Avançar.
Na página Especificar Propriedades do Serviço, faça o seguinte e, em seguida, clique em Avançar:
Importe o arquivo .pfx contendo o certificado SSL e a chave que você obteve anteriormente. Conforme indicado na seção 'Requisitos de Certificado' em Examinar os requisitos para implantar o AD FS , é necessário obter esse certificado e copiá-lo no computador que você deseja configurar como um servidor de federação. Para importar o arquivo .pfx via o assistente, clique em Importar e navegue até a localização do arquivo. Especifique a senha para o arquivo .pfx, quando solicitado.
Forneça um nome para seu serviço de federação. Por exemplo, fs.contoso.com. Este nome deve corresponder a um dos nomes da entidade ou nomes alternativos da entidade no certificado.
Forneça um nome para exibição para seu serviço de federação. Por exemplo, Corporação Contoso. Este nome será mostrado para os usuários na página de entrada do AD FS.
Na página Especificar Conta do Serviço, especifique a conta do serviço. É possível criar ou usar uma Conta de Serviço Gerenciada (gMSA) do grupo existente ou usar uma conta de usuário do domínio existente. Se selecionou a opção de criar uma gMSA nova, especifique o nome da conta nova. Se selecionou a opção para usar uma gMSA ou conta de domínio existente, clique no botão Selecionar... para selecionar uma conta.
Observação
O beneficio de usar uma gMSA é seu recurso de atualização de senha auto-negociável.
Aviso
Se desejar usar uma gMSA, será necessário ter pelo menos um controlador de domínio no seu ambiente que esteja executando o sistema operacional Windows Server 2012.
Se a opção gMSA estiver desabilitada e você vir uma mensagem de erro semelhante às Contas de Serviço Gerenciado de Grupo não estiver disponível porque a Chave Raiz do KDS não foi definida, você poderá habilitar o gMSA em seu domínio executando o seguinte comando Windows PowerShell em um controlador de domínio Windows Server 2012 ou posterior em seu domínio do Active Directory:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
. Em seguida, retorne ao assistente e clique no botão Anterior seguido do botão Avançar para inserir novamente a página Especificar Conta de Serviço. A gMSA agora deverá estar habilitada e será possível selecioná-la e inserir um nome de conta gMSA desejado.Na página Especificar o Banco de Dados da Configuração, especifique o banco de dados da configuração do AD FS e clique em Avançar. É possível criar um banco de dados neste computador usando um Banco de Dados Interno do Windows (WID) ou especificar a localização e o nome da instância do SQL server.
Para saber mais, confira A função do banco de dados de configuração de AD FS.
Na página Examinar Opções, verifique suas seleções de configuração e clique em Avançar.
Na página Verificações de Pré-requisitos, verifique se todas as verificações dos pré-requisitos foram concluídas com sucesso e, em seguida, clique em Configurar.
Na página Resultados, verifique os resultados e se a configuração foi concluída com sucesso e, em seguida, clique em As próximas etapas são necessárias para concluir a implantação do serviço de federação. Para obter mais informações, consulte As próximas etapas para concluir a instalação do AD FS. Clique em Fechar para sair do assistente.
Para configurar o primeiro servidor de federação em um farm de servidores de federação via o Windows PowerShell.
É possível criar um novo farm de servidores de federação usando uma gMSA nova ou existente ou uma conta de usuário de domínio existente.
Se desejar criar um servidor de federação novo usando uma nova conta gMSA, faça o seguinte:
Importante
Você deve ter permissões de administrador de domínio para criar o primeiro servidor de federação em um farm de servidores de federação novo.
No computador que deseja configurar como o servidor de federação, assegure-se que o certificado SSL necessário foi importado no Computador Local\Meu Repositório. Você pode verificar se o certificado SSL foi importado executando o seguinte comando na janela de comando Windows PowerShell:
dir Cert:\LocalMachine\My
. O certificado é listado por sua impressão digital no Computador Local\Minha Loja.No controlador de domínio, abra a janela de comando Windows PowerShell e execute o seguinte comando para verificar se a Chave Raiz do KDS foi criada em seu domínio:
Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
. Se ele não tiver sido criado (a saída não exibirá nenhuma informação), execute o seguinte comando para criar a chave:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
.No computador que deseja configurar como o servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
Aviso
O “$” no final do comando anterior é requerido.
É possível obter um valor de
<certificate_thumbprint>
executando odir Cert:\LocalMachine\My
e selecionando a impressão digital do seu certificado SSL. O valor de<federation_service_name>
é o nome do seu serviço de federação, por exemplo, fs.contoso.com.Observação
Se esta não for a primeira vez que você executa este comando, adicione
–OverwriteConfiguration
.Observação
O comando anterior cria um farm WID. Se desejar criar um farm do SQL server, será necessário ter o SQL server instalado e operacional.
Você pode usar o seguinte comando para criar o primeiro servidor de federação em um novo farm usando SQL servidor:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"
onde <SQL_Host_Name> é o nome do servidor no qual SQL servidor está em execução e<SQL_instance_name> é o nome da instância de SQL. Se você estiver usando a instância de SQL Server padrão, use um valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".
Se desejar criar um servidor de federação novo usando uma conta de domínio do usuário, faça o seguinte:
No computador que deseja configurar como o servidor de federação, assegure-se que o certificado SSL necessário foi importado no Computador Local\Meu Repositório. Você pode verificar se o certificado SSL foi importado executando o seguinte comando na janela de comando Windows PowerShell:
dir Cert:\LocalMachine\My
. O certificado é listado por sua impressão digital no Computador Local\Minha Loja.No computador que você deseja configurar como um servidor de federação, abra a janela de comando Windows PowerShell e execute o seguinte comando:
$fscred = get-credential
. Insira as credenciais da conta de usuário de domínio que você deseja usar para a conta de serviço de federação no formato domínio\nome de usuário.Na mesma janela de comando do Windows PowerShell, execute o seguinte comando:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
Você pode obter o valor para <certificate_thumbprint> executando
dir Cert:\LocalMachine\My
e selecionando a impressão digital do certificado SSL. O valor de <federation_service_name> é o nome do serviço de federação, por exemplo, fs.contoso.com.Observação
Se esta não for a primeira vez que você executa este comando, adicione
–OverwriteConfiguration
.Observação
O comando anterior cria um farm WID. Se desejar criar um farm do SQL server, será necessário ter o SQL server instalado e operacional.
Você pode usar o seguinte comando para criar o primeiro servidor de federação em um novo farm usando SQL servidor:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
onde SQL_Host_Name é o nome do servidor no qual SQL servidor está em execução eSQL_instance_name é o nome da instância SQL. Se você estiver usando a instância de SQL Server padrão, use um valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".
Próxima etapa
Agora que você configurou o primeiro servidor de federação em seu farm de servidores de federação, navegue de volta para Checklist: implante o farm de servidores de federação em versões herdadas do servidor Windows e conclua o restante das etapas.
Consulte Também
Conceitos
Lista de verificação: implantar o farm de servidores de federação no Windows Server 2012 R2
Lista de verificação: usar o AD FS para implementar e gerenciar o logon único