Создание первого сервера федерации в ферме серверов федерации
После установки службы ролей службы федерации и настройки необходимых сертификатов на компьютере можно настроить компьютер, чтобы стать сервером федерации. Для настройки компьютера можно использовать следующую процедуру, чтобы стать первым сервером федерации в новой ферме серверов федерации с помощью мастера настройки сервера федерации AD FS.
Процесс создания первого сервера федерации в ферме также создает новую службу федерации и делает этот компьютер основным сервером федерации. Это означает, что на этом компьютере будет настроена копия базы данных конфигурации AD FS, поддерживающая чтение и запись. Все остальные серверы федерации в этой ферме должны реплицировать все изменения, внесенные на основном сервере федерации, в их только для чтения копии базы данных конфигурации AD FS, которые они хранят локально. Дополнительные сведения об этом процессе репликации см. в разделе Роль базы данных конфигурации AD FS.
Примечание.
Для проектирования федеративного веб-Sign-On (единой системы входа, SSO) в партнёрской организации по учётной записи необходимо иметь по крайней мере один сервер федерации, а также как минимум один сервер федерации в партнёрской организации ресурсов. Дополнительную информацию см. в разделе Где разместить сервер федерации.
Членство в группе Domain Admins или учетная запись домена с делегированными полномочиями и предоставленным доступом на запись в контейнер Program Data в Active Directory является минимально необходимым для выполнения этой процедуры.
Создание первого сервера федерации в ферме серверов федерации
Существует два способа запуска мастера настройки сервера федерации AD FS. Чтобы запустить мастер, выполните одно из следующих действий:
После завершения установки службы роли AD FS откройте оснастку управления AD FS и щелкните по ссылке Мастер настройки сервера федерации AD FS на странице Обзор или на панели действий AD FS .
Когда мастер установки завершится, откройте проводник Windows, перейдите в папку C:\Windows\ADFS, а затем дважды щелкните FsConfigWizard.exe.
На странице приветствие убедитесь, что выбрано Создать новую службу федерации, а затем нажмите Далее.
На странице Выбор Stand-Alone фермы или её развертывания щелкните Новую ферму серверов федерации, а затем нажмите кнопку Далее.
На странице Укажите имя службы федерации убедитесь, что отображаемый SSL-сертификат правильный. Если это не правильный сертификат, выберите соответствующий сертификат из списка SSL-сертификатов.
Этот сертификат создается на основе параметров SSL для веб-сайта по умолчанию. Если веб-сайт по умолчанию настроен только один SSL-сертификат, этот сертификат будет представлен и автоматически выбран для использования. Если для веб-сайта по умолчанию настроено несколько SSL-сертификатов, все эти сертификаты перечислены здесь, и необходимо выбрать один из них. Если для веб-сайта по умолчанию нет параметров SSL, список создается из сертификатов, доступных в хранилище личных сертификатов на локальном компьютере.
Примечание.
Мастер не позволит переопределить сертификат, если SSL-сертификат настроен для IIS. Это гарантирует сохранение любой предварительной конфигурации IIS для SSL-сертификатов. Чтобы обойти это ограничение, можно удалить сертификат или перенастроить его вручную с помощью консоли управления IIS.
Если выбранная база данных AD FS уже существует, появится страница , на которой будет указано, что обнаружена существующая база данных конфигурации AD FS. Если откроется эта страница, щелкните Удалить базу данных, затем нажмите Далее.
Осторожность
Выберите этот параметр, только если вы уверены, что данные в этой базе данных AD FS не важны или не используются в рабочей ферме серверов федерации.
На странице Указание учетной записи службы щелкните Обзор. В диалоговом окне Обзор найдите учетную запись домена, которая будет использоваться в качестве учетной записи службы в этой новой ферме серверов федерации, а затем нажмите кнопку ОК. Введите пароль для этой учетной записи, подтвердите его и нажмите кнопку Далее.
Примечание.
См. о ручной настройке учетной записи службы для фермы серверов федерации для получения более подробной информации о задавании учетной записи службы для фермы серверов федерации. Каждый сервер федерации в ферме серверов федерации должен указывать ту же самую учетную запись службы, чтобы ферма была рабочей. Например, если была создана учетная запись службы contoso\ADFS2SVC, то каждый компьютер, который будет участвовать в той же ферме и будет настроен для роли сервера федерации, необходимо указать contoso\ADFS2SVC на этом шаге в мастере настройки сервера федерации, чтобы ферма могла функционировать.
На странице Готово к применению параметров просмотрите сведения. Если параметры отображаются правильными, нажмите кнопку Далее, чтобы начать настройку AD FS с этими параметрами.
На странице результатов конфигурации просмотрите результаты. По завершении всех действий по настройке нажмите кнопку Закрыть, чтобы выйти из мастера.
Это важно
В целях безопасного развертывания разрешение артефактов и обнаружение ответов отключены при использовании мастера настройки сервера федерации AD FS для настройки фермы серверов федерации. Этот мастер автоматически настраивает внутреннюю базу данных Windows для хранения данных конфигурации службы. Однако вы можете ошибочно отменить это изменение, включив конечную точку разрешения артефактов с помощью узла конечных точек в оснастке управления AD FS или командлете Enable-ADFSEndpoint в Windows PowerShell. Будьте осторожны, чтобы не перенастроить параметр по умолчанию, чтобы эта конечная точка оставалась отключенной при использовании фермы серверов федерации и внутренней базы данных Windows вместе.