Поделиться через

Настройка сервера федерации

После установки службы ролей служб федерации Active Directory (AD FS) на компьютере вы можете настроить этот компьютер, чтобы стать сервером федерации. Выполните одно из следующих действий:

Настройка первого сервера федерации в новой ферме серверов федерации

Настройка первого сервера федерации в новой ферме серверов федерации с помощью мастера настройки службы федерации Active Directory

Примечание.

Перед выполнением этой процедуры убедитесь, что у вас есть разрешения администратора домена или у вас есть учетные данные администратора домена.

  1. На странице панели мониторинга диспетчера серверов щелкните флаг уведомлений, а затем щелкните Настроить службу федерации на сервере.

    Откроется мастер настройки службы федерации Active Directory .

  2. На странице приветствия выберите Создать первый сервер федерации в ферме серверов федерации, а затем нажмите кнопку Далее.

  3. На странице подключения к AD DS укажите учетную запись с помощью разрешений администратора домена Active Directory (AD), к которому присоединен этот компьютер, и нажмите кнопку Далее.

  4. На странице Укажите свойства службы выполните следующие действия, а затем нажмите кнопку Далее:

    • Импортируйте PFX-файл, содержащий сертификат SSL и ключ, полученный ранее. На шаге 2: Регистрация SSL-сертификата для AD FS, вы получили этот сертификат и скопировали его на компьютер, который хотите настроить как сервер федерации. Чтобы импортировать PFX-файл через мастер, нажмите Импорт, а затем перейдите к расположению файла. Введите пароль для .pfx-файла, когда будет предложено.

    • Укажите имя службы федерации. Например, fs.contoso.com. Это имя должно соответствовать одному из имен субъекта или альтернативных имен субъекта в сертификате.

    • Укажите отображаемое имя службы федерации. Например, Contoso Corporation. Пользователи видят это имя на странице входа в службы федерации Active Directory (AD FS).

  5. На странице Указание учетной записи службы укажите учетную запись службы. Вы можете создать или использовать существующую управляемую учетную запись службы группы (gMSA) или использовать существующую учетную запись пользователя домена. Если вы выбрали параметр для создания новой учетной записи gMSA, укажите имя нового аккаунта. Если выбрать параметр для использования существующей учетной записи gMSA или домена, щелкните Выберите, чтобы выбрать учетную запись.

    Примечание.

    Преимущество использования учетной записи gMSA — это функция автоматического обновления пароля.

    Предупреждение

    Если вы хотите использовать учетную запись gMSA, необходимо иметь по крайней мере один контроллер домена в вашей среде под управлением операционной системы Windows Server 2012.

    Если параметр gMSA отключен и отображается сообщение об ошибке, например групповые управляемые учетные записи служб, недоступны, так как корневой ключ KDS не установлен, вы можете включить gMSA в домене, выполнив следующую команду Windows PowerShell на контроллере домена, которая запускает Windows Server 2012 или более поздней версии, в домене Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Затем вернитесь к мастеру, щелкните Назад, а затем нажмите кнопку Далее, чтобы повторно перейти на страницу Указать учетную запись службы. Теперь параметр gMSA должен быть включен. Ее можно выбрать и ввести имя учетной записи gMSA, которую вы хотите использовать.

  6. На странице Указание базы данных конфигурации укажите базу данных конфигурации AD FS, а затем нажмите кнопку Далее. Вы можете создать базу данных на этом компьютере с помощью внутренней базы данных Windows (WID), или указать расположение и имя экземпляра Microsoft SQL Server.

    Дополнительные сведения см. в статье The Role of the AD FS Configuration Database (Роль базы данных конфигурации AD FS).

    Это важно

    Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

  7. На странице параметры проверки проверьте выбранные параметры конфигурации и нажмите кнопку Далее.

  8. На странице Проверки предварительных условий убедитесь, что все проверки успешно завершены, а затем нажмите Настроить.

  9. На странице результатов просмотрите результаты и убедитесь в успешности выполнения конфигурации, а затем нажмите кнопку Последующие шаги, необходимые для завершения развертывания службы федерации. Для получения дополнительной информации см. раздел "Следующие шаги для завершения установки AD FS". Нажмите кнопку Закрыть, чтобы выйти из мастера.

Настройка первого сервера федерации в новой ферме серверов федерации с помощью Windows PowerShell

Вы можете создать ферму серверов федерации с помощью новой или существующей учетной записи gMSA или существующей учетной записи пользователя домена.

  • Если вы хотите создать новый сервер федерации с помощью новой учетной записи gMSA, сделайте следующее:

    Это важно

    У вас должны быть разрешения администратора домена для создания первого сервера федерации в новой ферме серверов федерации.

    1. На компьютере, который вы хотите настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог локальный компьютер\My Store. Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My. Сертификат указан по отпечатку в каталоге Local Computer\My Store.

    2. На контроллере домена откройте окно командной строки Windows PowerShell и выполните следующую команду, чтобы проверить, был ли в домене создан корневой ключ KDS: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Если он не был создан таким образом, чтобы выходные данные не отображались, выполните следующую команду, чтобы создать ключ: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. На компьютере, который вы хотите настроить в качестве сервера федерации, откройте командное окно Windows PowerShell и выполните следующую команду:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Предупреждение

      Требуется знак $ в конце предыдущей команды.

      Чтобы получить значение для <certificate_thumbprint>, выполните dir Cert:\LocalMachine\Myи выберите отпечаток SSL-сертификата. Значение <federation_service_name> — это имя службы федерации, например fs.contoso.com.

      Примечание.

      Если это НЕ первый раз при выполнении этой команды, добавьте параметр OverwriteConfiguration.

      Примечание.

      Предыдущая команда создает ферму WID. Если вы хотите создать ферму серверов SQL Server, у вас должен быть экземпляр SQL Server, который уже установлен и работает.

      Следующая команда позволяет создать первый сервер федерации в новой ферме, использующей экземпляр SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True", где <SQL_Host_Name> — имя сервера, на котором выполняется SQL Server, и <SQL_instance_name> — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Источник данных=<SQL_Host_Name>;Встроенная безопасность=True".

      Это важно

      Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012.

  • Если вы хотите создать новый сервер федерации с помощью существующей учетной записи пользователя домена, сделайте следующее:

    1. На компьютере, который вы хотите настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог локальный компьютер\My Store. Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My. Сертификат указан по отпечатку в каталоге Local Computer\My Store.

    2. На компьютере, который требуется настроить в качестве сервера федерации, откройте окно командной строки Windows PowerShell, а затем выполните следующую команду: $fscred = Get-Credential. Введите учетные данные учетной записи пользователя домена, которые вы хотите использовать для учетной записи службы федерации в формате домен\имя пользователя.

    3. В том же командном окне Windows PowerShell выполните следующую команду:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Чтобы получить значение для <certificate_thumbprint>, выполните dir Cert:\LocalMachine\Myи выберите отпечаток SSL-сертификата. Значение <federation_service_name> — это имя службы федерации, например fs.contoso.com.

      Примечание.

      Если это НЕ первый раз при выполнении этой команды, добавьте параметр OverwriteConfiguration.

      Примечание.

      Предыдущая команда создает ферму WID. Если вы хотите создать ферму SQL Server, у вас должен быть экземпляр SQL Server, который уже установлен и работает.

      Следующую команду можно использовать для создания первого сервера федерации в новой ферме, использующей экземпляр SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True", где SQL_Host_Name — имя сервера, на котором выполняется SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Источник данных=<SQL_Host_Name>;Встроенная безопасность=True".

      Это важно

      Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

Добавление сервера федерации в существующую ферму серверов федерации

Это важно

Убедитесь, что вы завершили шаге 3. Установите службу ролей AD FS, прежде чем запускать какие-либо процедуры в этом разделе.

Это важно

Перед выполнением этой процедуры убедитесь, что вы получили действительный сертификат проверки подлинности SSL-сервера.

Добавление сервера федерации в существующую ферму серверов федерации с помощью мастера настройки службы федерации Active Directory

  1. На странице панели управления диспетчера серверов щелкните значок уведомлений, а затем щелкните Настроить службу федерации на сервере.

    Откроется мастер настройки службы федерации Active Directory .

  2. На странице приветствия выберите Добавить сервер федерации в ферму серверов федерации, а затем нажмите кнопку Далее.

  3. На странице Connect to AD DS укажите аккаунт, используя права администратора домена AD, к которому присоединен этот компьютер, и нажмите кнопку Далее.

  4. На странице Определение фермы укажите имя основного сервера федерации в ферме, которая использует WID, или укажите имя узла базы данных и имя экземпляра базы данных существующей фермы серверов федерации, использующей SQL Server.

    Предупреждение

    В Windows Server® 2012 R2 существует обходное решение для указания экземпляра SQL Server по умолчанию. Решение заключается в том, чтобы не использовать пользовательский интерфейс. Вместо этого выполните действия, описанные в , чтобы настроить первый сервер федерации в новой ферме серверов федерации с помощьюWindows PowerShell.

    Это важно

    Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012.

  5. На странице Укажите SSL-сертификат, импортируйте PFX-файл, содержащий SSL-сертификат и ключ, который вы получили ранее. Этот сертификат является обязательным сертификатом проверки подлинности службы. На шаге 2: Регистрация SSL-сертификата для AD FS, вы получили этот сертификат и скопировали его на компьютер, который вы хотите настроить в качестве сервера федерации. Чтобы импортировать PFX-файл через Мастер, щелкните Import и перейдите в папку с файлом. Введите пароль для .pfx-файла, когда вас попросят.

  6. На странице Спецификация сервисной учетной записи укажите ту же сервисную учетную запись, которую вы настроили при создании первого сервера федерации в ферме. Вы можете использовать существующую управляемую учетную запись службы группы или существующую учетную запись пользователя домена.

    Это важно

    Указанная учетная запись должна быть той же, что и учетная запись, использованная на сервере основной федерации в этой ферме.

  7. На странице Обзор параметров проверьте выбранные параметры конфигурации и нажмите Далее.

  8. На странице Предварительные условия убедитесь, что все проверки предварительных условий успешно завершены, а затем нажмите Настроить.

  9. На странице результатов просмотрите результаты и проверьте, успешно ли выполнена конфигурация, а затем нажмите кнопку Дальнейшие действия, необходимые для завершения развертывания службы федерации. Дополнительные сведения см. в дальнейших шагах по выполнениюустановки AD FS. Нажмите кнопку Закрыть, чтобы выйти из мастера.

Добавление сервера федерации в существующую ферму серверов федерации с помощью Windows PowerShell

Сервер федерации можно добавить в существующую ферму с помощью существующей учетной записи gMSA или существующей учетной записи пользователя домена.

  • Если вы хотите присоединить сервер федерации к ферме с помощью существующей учетной записи gMSA, сделайте следующее:

    1. На компьютере, который вы хотите настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог локальный компьютер\My Store. Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My. Сертификат указан по отпечатку пальца в каталоге Local Computer\My Store.

    2. На компьютере, который требуется настроить в качестве сервера федерации, откройте окно командной строки Windows PowerShell и выполните следующую команду.

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> — это домен AD и имя учетной записи gMSA в этом домене. <first_federation_server_hostname> — это имя узла основного сервера федерации в этой существующей ферме.

      Значение <certificate_thumbprint> можно получить, выполнив dir Cert:\LocalMachine\My на предыдущем шаге.

      Примечание.

      Если это НЕ первый раз при выполнении этой команды, добавьте параметр OverwriteConfiguration.

      Примечание.

      Предыдущая команда создает узел фермы WID. Если вы хотите создать узел фермы серверов на компьютерах под управлением SQL Server, у вас должен быть экземпляр SQL Server, уже установленный и операционный.

      Следующую команду можно использовать для добавления сервера федерации в существующую ферму, использующую экземпляр SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True", где SQL_Host_Name — имя сервера, на котором выполняется SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Источник данных=<SQL_Host_Name>;Встроенная безопасность=True".

      Это важно

      Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

  • Если вы хотите присоединить сервер федерации к ферме с помощью существующей учетной записи пользователя домена, сделайте следующее:

    1. На компьютере, который требуется настроить в качестве сервера федерации, откройте окно Windows PowerShellcommand, а затем выполните следующую команду: $fscred = get-credential. Введите учетные данные учетной записи пользователя домена, которые вы хотите использовать для учетной записи службы федерации в формате домен\имя пользователя.

    2. На компьютере, который вы хотите настроить в качестве сервера федерации, убедитесь, что необходимый SSL-сертификат импортирован в каталог локальный компьютер\My Store. Вы можете проверить, импортирован ли SSL-сертификат, выполнив следующую команду в окне Windows PowerShellcommand: dir Cert:\LocalMachine\My. Сертификат перечислен по его отпечатку в директории Local Computer\My Store.

    3. В том же командном окне Windows PowerShell выполните следующую команду.

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Примечание.

      Если это НЕ первый раз при выполнении этой команды, добавьте параметр OverwriteConfiguration.

      Примечание.

      Предыдущая команда создает узел фермы WID. Если вы хотите создать узел фермы серверов на компьютерах под управлением SQL Server, у вас должен быть экземпляр SQL Server, уже установленный и операционный. Следующую команду можно использовать для добавления сервера федерации в существующую ферму с помощью экземпляра SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True", где SQL_Host_Name — имя сервера, на котором выполняется экземпляр SQL Server, и SQL_instance_name — имя экземпляра SQL Server. Если вы используете экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Источник данных=<SQL_Host_Name>;Встроенная безопасность=True".

      Это важно

      Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.

См. также

AD FS развертывание

руководство по развертыванию Windows Server 2012 R2 AD FS

развертывание фермы серверов федерации