Configure o primeiro servidor da federação na fazenda de servidores da federação em Windows Server 2012
Aplica-se a: Azure, Office 365, Power BI, Windows Intune
Depois de instalar o serviço de função Ative Directory Federation (AD FS) no seu computador em execução Windows Server 2012 R2, está pronto para configurar este computador para se tornar um servidor da federação.
Pode completar os seguintes procedimentos para configurar este computador como o primeiro servidor da federação na sua fazenda de servidores da federação.
Configure o primeiro servidor da federação numa nova fazenda de servidores da federação
Para configurar o primeiro servidor da federação numa nova fazenda de servidores da federação usando o Assistente de Configuração de Serviço da Federação de Diretório Ativo
Nota
Certifique-se de que tem permissões de administrador de domínio ou tem credenciais de administrador de domínio disponíveis antes de realizar este procedimento.
Na página Gestor de Servidor Dashboard, clique na bandeira de Notificações e, em seguida, clique em Configurar o serviço da federação no servidor.
É lançado o Assistente de Configuração de Serviço da Federação de Diretório Ativo .
Na página Welcome , selecione Criar o primeiro servidor da federação numa fazenda de servidores da federação e clique em Seguinte.
Na página Ligação DS da AD, especifique uma conta com permissões de administrador de domínio para o domínio AD a que este computador se junta e, em seguida, clique em Seguinte.
Na página 'Especificar propriedades de serviço ', faça o seguinte e, em seguida, clique em Seguinte:
Importe o ficheiro .pfx contendo o certificado SSL e a chave que obteve anteriormente. Tal como indicado na secção "Requisitos de Certificado" em Revisão, os requisitos para a implantação de FS AD devem obter este certificado e copiá-lo no computador que pretende configurar como servidor da federação. Para importar o ficheiro .pfx através do assistente, clique em Importar e navegue na localização do ficheiro. Especifique a palavra-passe para o ficheiro .pfx quando solicitado.
Forneça um nome para o seu serviço de federação. Por exemplo, fs.contoso.com. Este nome deve corresponder a um dos nomes alternativos do sujeito ou ao assunto no certificado.
Forneça um nome de exibição para o seu serviço de federação. Por exemplo, a Corporação Contoso. Este nome será mostrado aos utilizadores na página de sposição da AD FS.
Na página 'Especifique a Conta de Serviço ', especifique uma conta de serviço. Pode criar ou utilizar uma conta de serviço gerida (gMSA) do grupo existente ou utilizar uma conta de utilizador de domínio existente. Se selecionar a opção de criar um novo gMSA, especifique um nome para a nova conta. Se selecionar a opção de utilização de uma conta gMSA ou de domínio existente, clique no botão Select... para selecionar uma conta.
Nota
O benefício da utilização de um gMSA é a sua funcionalidade de atualização de senha negociada automaticamente.
Aviso
Se quiser utilizar um gMSA, deve ter pelo menos um controlador de domínio no seu ambiente que esteja a funcionar Windows Server 2012 sistema operativo.
Se a opção gMSA for desativada e vir uma mensagem de erro semelhante às contas de serviço geridas pelo grupo não estiver disponível porque a Chave Raiz KDS não foi definida, pode ativar o gMSA no seu domínio executando o seguinte comando Windows PowerShell num controlador de domínio Windows Server 2012 ou posterior no seu domínio de Diretório Ativo:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
. Em seguida, volte ao assistente e clique no botão Anterior seguido do botão Seguinte para reintroduir a página 'Especar'. O gMSA deve agora ser ativado, e pode selecioná-lo e introduzir um nome de conta gMSA pretendido.Na página 'Especificar a base de dados de configuração ', especifique uma base de dados de configuração AD FS e, em seguida, clique em Seguinte. Pode criar uma base de dados neste computador utilizando Base de Dados Interna do Windows (WID) ou pode especificar a localização e o nome do SQL servidor.
Para obter mais informações, veja The Role of the AD FS Configuration Database (A Função da Base de Dados de Configuração do AD FS).
Na página 'Opções de Revisão ', verifique as seleções de configuração e clique em Seguinte.
Na página 'Verificações Prévias ', verifique se todos os controlos pré-necessários foram concluídos com sucesso e, em seguida, clique em Configurar.
Na página Resultados , reveja os resultados e se a configuração foi concluída com sucesso e, em seguida, clique nos próximos passos necessários para completar a implementação do serviço da federação. Para mais informações, consulte os próximos passos para completar a sua instalação AD FS. Clique em Fechar para sair do assistente.
Para configurar o primeiro servidor da federação numa nova fazenda de servidores da federação através de Windows PowerShell
Pode criar uma nova fazenda de servidores da federação utilizando uma nova ou existente gMSA ou uma conta de utilizador de domínio existente.
Se pretender criar um novo servidor da federação utilizando uma nova conta gMSA, faça o seguinte:
Importante
Tem de ter permissões de administrador de domínio para criar o primeiro servidor da federação numa nova fazenda de servidores da federação.
No computador que pretende configurar como servidor da federação, certifique-se de que o certificado SSL necessário foi importado para o Computador Local\My Store. Pode verificar se o certificado SSL foi importado executando o seguinte comando na janela de comando Windows PowerShell:
dir Cert:\LocalMachine\My
. O certificado está listado pela sua impressão digital no Computador Local\My Store.No seu controlador de domínio, abra a janela de comando Windows PowerShell e execute o seguinte comando para verificar se a chave raiz KDS foi criada no seu domínio:
Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
. Se não tiver sido criada (a saída não apresenta nenhuma informação), executar o seguinte comando para criar a tecla:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
.No computador que pretende configurar como servidor da federação, abra a janela de comando Windows PowerShell e execute o seguinte comando:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
Aviso
O '$' no final do comando acima é necessário.
Pode obter o valor através da execução
<certificate_thumbprint>
dir Cert:\LocalMachine\My
e seleção da impressão digital do seu certificado SSL. O valor do<federation_service_name>
nome do seu serviço de federação, por exemplo, fs.contoso.com.Nota
Se esta não for a primeira vez que dirige este comando, adicione
–OverwriteConfiguration
.Nota
O comando acima cria uma fazenda wid. Se pretender criar uma SQL fazenda de servidores, tem de ter o servidor SQL já instalado e operacional.
Pode utilizar o seguinte comando para criar o primeiro servidor da federação numa nova fazenda utilizando SQL servidor:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"
onde <SQL_Host_Name> é o nome do servidor em que SQL servidor está em execução, e<SQL_instance_name> é o nome da SQL instância. Se estiver a utilizar o SQL Server caso padrão, utilize um valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Segurança Integrada=Verdade".
Se pretender criar um novo servidor da federação utilizando uma conta de utilizador de domínio existente, faça o seguinte:
No computador que pretende configurar como servidor da federação, certifique-se de que o certificado SSL necessário foi importado para o Computador Local\My Store. Pode verificar se o certificado SSL foi importado executando o seguinte comando na janela de comando Windows PowerShell:
dir Cert:\LocalMachine\My
. O certificado está listado pela sua impressão digital no Computador Local\My Store.No computador que pretende configurar como servidor da federação, abra a janela de comando Windows PowerShell e execute o seguinte comando:
$fscred = get-credential
. Introduza as credenciais de conta de utilizador de domínio que pretende utilizar para a conta de serviço da federação no nome de utilizador do domínio de formato\.Na mesma janela de comando do Windows PowerShell, execute o seguinte comando:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
Pode obter o valor para <certificate_thumbprint> executando
dir Cert:\LocalMachine\My
e selecionando a impressão digital do seu certificado SSL. O valor de <federation_service_name> é o nome do seu serviço de federação, por exemplo, fs.contoso.com.Nota
Se esta não for a primeira vez que dirige este comando, adicione
–OverwriteConfiguration
.Nota
O comando acima cria uma fazenda wid. Se pretender criar uma SQL fazenda de servidores, tem de ter o servidor SQL já instalado e operacional.
Pode utilizar o seguinte comando para criar o primeiro servidor da federação numa nova fazenda utilizando SQL servidor:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
onde SQL_Host_Name é o nome do servidor em que SQL servidor está em execução, eSQL_instance_name é o nome da SQL instância. Se estiver a utilizar o SQL Server caso padrão, utilize um valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Segurança Integrada=Verdade".
Passo seguinte
Agora que configuraste o primeiro servidor da federação na quinta do servidor da federação, voltas para a Lista de Verificação: Implementa a quinta do servidor da federação nas versões antigas do Windows Server e completa o resto dos passos.
Consulte também
Conceitos
Lista de verificação: Implemente a sua fazenda de servidores da federação em Windows Server 2012 R2
Lista de verificação: Utilize FS AD para implementar e gerir um único sinal