Preparar sua infraestrutura de rede para servidores de federação

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

A lista de verificação a seguir inclui as tarefas de preparação que você deve executar para implantar um farm de servidores de federação.

Observação

• Conclua as tarefas nestas listas de verificação em ordem. Quando um link de referência leva você a um procedimento, retorne a este tópico depois de concluir as etapas desse procedimento para que você possa prosseguir com as tarefas restantes nesta lista de verificação.
  
  
• Salvo indicação em contrário, para concluir todas as tarefas utilizando os procedimentos desta secção, tem primeiro de iniciar sessão nos computadores como membro do grupo Administradores ou de lhe terem sido delegadas permissões equivalentes.
  
  

Lista de verificação: Preparar sua infraestrutura de rede para servidores de federação

Tarefa de implantação	Links para tópicos nesta seção	Concluída |
1. Junte os computadores que se tornarão servidores de federação a um domínio onde os utilizadores do Ative Directory serão autenticados. Observação Você pode ignorar esta etapa se usar controladores de domínio existentes como servidores de federação.
2. Crie e configure um novo nome DNS de cluster NLB ou use um cluster NLB existente na rede corporativa que será usado pelo novo farm de servidores de federação. Em seguida, adicione os computadores do servidor de federação ao cluster NLB. Se você estiver usando a tecnologia Windows Server para seus hosts NLB atuais, escolha o link apropriado à direita com base na versão do sistema operacional. Observação Esta etapa é opcional em uma implantação de teste dessa solução de SSO com um único servidor de federação do AD FS.	Para criar e configurar clusters NLB no Windows Server 2003 e no Windows Server 2003 R2, consulte Lista de verificação: Habilitando e configurando o balanceamento de carga de rede. Para criar e configurar clusters NLB no Windows Server 2008, consulte Criando clusters de balanceamento de carga de rede. Para criar e configurar clusters NLB no Windows Server 2008 R2, consulte Criando clusters de balanceamento de carga de rede.
3. Crie um novo registro de recurso para o nome DNS do cluster no DNS da rede corporativa que aponte o nome FQDN do cluster NLB para seu endereço IP do cluster.	Adicionar um registro de recurso ao DNS corporativo para o nome DNS do cluster configurado no host NLB corporativo
4. Importe o certificado de autenticação do servidor para o Site Padrão para cada servidor de federação no farm. Observação A instalação deste certificado no Site Padrão é um requisito antes de poder usar o Assistente de Configuração do Servidor de Federação do AD FS.	importar um certificado de autenticação do servidor para o site padrão
5. Crie e configure uma conta de serviço dedicada no Ative Directory onde o farm de servidores de federação residirá e configure cada servidor de federação no farm para usar essa conta.	configurar manualmente uma conta de serviço para um farm de servidores de federação

Associar o computador a um domínio

Para que o AD FS funcione, cada computador que funciona como um servidor de federação deve estar associado a um domínio. Os proxies do servidor de federação podem ser associados a um domínio, mas não é um requisito.

Se você quiser usar o AD FS no Windows Server 2012 R2, seu domínio do Ative Directory deverá executar uma das seguintes opções:

• Servidor Windows

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

Para associar o computador a um domínio

1. No computador que pretende associar a um domínio, clique em Iniciar, clique Painel de Controloe, em seguida, faça duplo clique Sistema .

2. Em Configurações de nome do computador, domínio e grupo de trabalho, clique em Alterar configurações.

3. No separador Nome do Computador, clique em Alterar.

4. Em Membro da, clique em de Domínio , escreva o nome do domínio ao qual este computador irá aderir e, em seguida, clique em OK.

5. Clique em OKe, em seguida, reinicie o computador.

Adicionar um registro de recurso ao DNS corporativo para o nome DNS do cluster configurado no host NLB corporativo

Para que os clientes na rede corporativa acessem com êxito o Serviço de Federação, um registro de recurso de host (A) deve primeiro ser criado no DNS (Sistema de Nomes de Domínio) corporativo que resolve o nome DNS do cluster do Serviço de Federação (por exemplo, fs.fabrikam.com) para o endereço IP do cluster na rede corporativa (por exemplo, 172.16.1.3). Você pode usar o procedimento a seguir para adicionar um registro de recurso de host (A) ao DNS corporativo para o cluster NLB.

Para adicionar um registro de recurso ao DNS corporativo para o nome DNS do cluster configurado no host NLB corporativo

1. Em um servidor DNS para a rede corporativa, abra o snap-in DNS.

2. Na árvore de console, clique com o botão direito do mouse na zona de pesquisa direta aplicável (por exemplo, fabrikam.com) e clique em Novo Host (A ou AAAA).

3. Em Nome , digite apenas o nome do computador do servidor de federação ou do cluster de servidores de federação; por exemplo, para o nome de domínio totalmente qualificado (FQDN) fs.fabrikam.com, digite fs.

4. Em endereço IP, digite o endereço IP do servidor de federação ou do cluster de servidores de federação; por exemplo, 172.16.1.3.

5. Clique Adicionar Host.

   Importante

   Presume-se que você esteja usando um servidor DNS, executando o Windows 2000 Server, Windows Server 2003 ou Windows Server 2008 com o serviço Servidor DNS, para controlar a zona DNS.

Importar um certificado de autenticação do servidor para o Web Site Predefinido

Depois de obter um certificado de autenticação de servidor de uma autoridade de certificação (CA), você deve instalar manualmente esse certificado no Site Padrão para cada servidor de federação em seu farm.

Como esse certificado deve ser confiável para clientes do AD FS e dos serviços de nuvem da Microsoft, use um certificado SSL emitido por uma autoridade de certificação pública (de terceiros) ou por uma autoridade de certificação subordinada a uma raiz publicamente confiável; por exemplo, VeriSign ou Thawte. Para obter informações sobre como instalar um certificado de uma autoridade de certificação pública, consulte IIS 7.0: Solicitar um certificado de servidor de Internet.

Observação

O nome do assunto deste certificado de autenticação de servidor deve corresponder ao FQDN do nome DNS do cluster (por exemplo, fs.fabrikam.com) criado anteriormente no host NLB. Se o IIS (Serviços de Informações da Internet) não tiver sido instalado, você deverá instalar o IIS primeiro para concluir essa tarefa. Ao instalar o IIS pela primeira vez, recomendamos que você use as opções de recurso padrão quando solicitado durante a instalação da função de servidor.

Para importar um certificado de autenticação de servidor para o Site Padrão

1. Clique Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativase, em seguida, clique em Gerenciador dos Serviços de Informações da Internet (IIS).

2. Na árvore de console, clique em ComputerName.

3. No painel central, clique duas vezes em Certificados de Servidor.

4. No painel Ações , clique em Importar.

5. Na caixa de diálogo Importar Certificado, clique no botão ....

6. Navegue até o local do arquivo de certificado pfx, destaque-o e clique em Abrir.

7. Digite uma senha para o certificado e clique em OK.

Criar uma conta de serviço dedicada para o farm de servidores de federação

Para configurar um ambiente de farm de servidores de federação no AD FS, você deve criar e configurar uma conta de serviço dedicada no Ative Directory onde o farm residirá. Essa conta de serviço dedicada é necessária para garantir que todos os recursos exigidos pelo farm do AD FS tenham acesso a cada um dos servidores de federação no farm.

Em seguida, você configura cada servidor de federação no farm para usar essa mesma conta de serviço. Por exemplo, se a conta de serviço criada for fabrikam\ADFS2SVC, cada computador configurado para a função de servidor de federação e que participará do mesmo farm deverá especificar fabrikam\ADFS2SVC nesta etapa do Assistente de Configuração do Servidor de Federação para que o farm esteja operacional.

Observação

Você precisa executar as tarefas neste procedimento apenas uma vez para todo o farm de servidores de federação. Mais tarde, ao criar um servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS, você deve especificar essa mesma conta na página do assistente de de Conta de Serviço em cada servidor de federação no farm.

Para criar uma conta de serviço dedicada para o farm de servidores de federação

1. Crie uma conta de usuário/serviço dedicada na floresta do Ative Directory que você usará em sua organização.

2. Edite as propriedades da conta de usuário e marque a caixa de seleção Senha nunca expira. Essa ação garante que a função dessa conta de serviço não seja interrompida como resultado de requisitos de alteração de senha de domínio.

   Observação

   • Se você precisar alterar sua senha para a conta de serviço regularmente, consulte Configurando opções avançadas para AD FS 2.0.
     
     
   • O uso da conta do Serviço de Rede para essa conta dedicada resultará em falhas aleatórias quando o acesso for tentado por meio da autenticação integrada do Windows, como resultado de tíquetes Kerberos não serem validados de um servidor para outro.
     
     

Próximo passo

Agora que você analisou os requisitos para implantar o AD FS, a próxima etapa é concluir as tarefas em uma das seguintes listas de verificação, dependendo da versão do AD FS que você deseja usar:

• Lista de verificação: Implantar seu farm de servidores de federação no Windows Server 2012 R2

• Lista de verificação: Implantar seu farm de servidores de federação em versões herdadas do Windows Server

Ver também

Conceitos

Lista de verificação: Usar o AD FS para implementar e gerenciar de logon único