Konfigurera ett tjänstkonto manuellt för en federationsservergrupp

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Om du tänker konfigurera en federationsservergruppsmiljö i Active Directory Federation Services (AD FS) måste du skapa och konfigurera ett dedikerat tjänstkonto i Active Directory Domain Services (AD DS) där servergruppen finns. Sedan konfigurerar du varje federationsserver i servergruppen så att den använder det här kontot. Du måste utföra följande uppgifter i din organisation när du vill tillåta att klientdatorer i företagsnätverket autentiserar mot någon av federationsservrarna i en AD FS-servergrupp med hjälp av Windows-integrerad autentisering.

Viktigt!

Från och med AD FS 3.0 (Windows Server 2012 R2) stöder AD FS användning av ett grupphanterat tjänstkonto (gMSA) som tjänstkonto. Det här är det rekommenderade alternativet eftersom det tar bort behovet av att hantera lösenordet för tjänstkontot över tid. Det här dokumentet beskriver det alternativa fallet med att använda ett traditionellt tjänstkonto, till exempel i domäner som fortfarande kör en Windows Server 2008 R2 eller tidigare domänfunktionsnivå (DFL).

Anmärkning

Du behöver bara utföra uppgifterna i den här proceduren en gång för hela federationsservergruppen. När du senare skapar en federationsserver med hjälp av konfigurationsguiden för AD FS-federationsserver måste du ange samma konto på sidan Tjänstkontoguiden på varje federationsserver i servergruppen.

Skapa ett dedikerat tjänstkonto

1. Skapa ett dedikerat användar-/tjänstkonto i Active Directory-skogen som finns i identitetsproviderorganisationen. Det här kontot är nödvändigt för att Kerberos-autentiseringsprotokollet ska fungera i ett servergruppsscenario och tillåta direktautentisering på var och en av federationsservrarna. Använd endast det här kontot för federationsservergruppen.

2. Redigera egenskaperna för användarkontot och markera kryssrutan Lösenord upphör aldrig att gälla . Den här åtgärden säkerställer att det här tjänstkontots funktion inte avbryts till följd av krav på ändring av domänlösenord.

   Anmärkning

   Om du använder nätverkstjänstkontot för det här dedikerade kontot resulterar det i slumpmässiga fel när åtkomst görs via Windows-integrerad autentisering, till följd av att Kerberos-biljetter inte verifieras från en server till en annan.

Så här anger du SPN för tjänstkontot

1. Eftersom programpoolens identitet för AD FS AppPool körs som ett domänanvändar-/tjänstkonto måste du konfigurera TJÄNSTENs huvudnamn (SPN) för det kontot i domänen med kommandoradsverktyget Setspn.exe. Setspn.exe installeras som standard på datorer som kör Windows Server 2008 . Kör följande kommando på en dator som är ansluten till samma domän där användar-/tjänstkontot finns:

   setspn -a host/<server name> <service account>
   

   I ett scenario där alla federationsservrar grupperas under DNS-värdnamnet (Domain Name System) fs.fabrikam.com och tjänstkontonamnet som har tilldelats AD FS AppPool heter adfs2farm skriver du kommandot på följande sätt och trycker sedan på RETUR:

   setspn -a host/fs.fabrikam.com adfs2farm
   

   Det är nödvändigt att bara slutföra den här uppgiften en gång för det här kontot.

2. När AD FS AppPool-identiteten har ändrats till tjänstkontot anger du åtkomstkontrollistorna (ACL:er) i SQL Server-databasen så att läsåtkomst till det nya kontot tillåts så att AD FS AppPool kan läsa principdata.