在联合服务器场中创建第一个联合服务器
在安装联合身份验证服务角色服务并在计算机上配置所需的证书后,你就能够配置计算机,使其成为联合服务器。 你可以通过执行以下过程,使用 AD FS 联合服务器配置向导将计算机设置成为新联合服务器场中的第一台联合服务器。
在服务器场中创建第一个联合服务器的操作还将创建一个新的联合身份验证服务,并使此计算机成为主联合服务器。 这意味着此计算机将配置为具有 AD FS 配置数据库的读/写副本。 此服务器场中的所有其他联合服务器必须将主联合服务器上所做的任何更改复制到它们在本地存储的 AD FS 配置数据库的只读副本。 有关这一复制过程的详细信息,请参阅 AD FS 配置数据库的角色。
注意
对于联合 Web 单一登录 (SSO) 设计,你必须至少在帐户伙伴组织中具有一台联合服务器,并至少在资源伙伴组织中具有一台联合服务器。 有关详细信息,请参阅放置联合服务器的位置。
Domain Admins 中的成员身份或委派的域帐户已被授予对 Active Directory 中的程序数据容器的写访问权限,这是完成此过程所需的最低要求。
在联合服务器场中创建第一个联合服务器
可通过两种方法启动 AD FS 联合服务器配置向导。 若要启动该向导,请执行下列操作之一:
完成联合身份验证服务角色服务的安装后,打开“AD FS 管理”管理单元,然后在“概述”页或“操作”窗格中单击“AD FS 联合服务器配置向导”链接。
在安装向导完成后的任意时间,打开 Windows 资源管理器、导航至“C:\Windows\ADFS”文件夹,然后再双击“FsConfigWizard.exe”。
在“欢迎使用”页上,验证是否已选中“创建新的联合身份验证服务”,然后单击“下一步”。
在“选择独立部署或服务器场部署”页上,单击“新的联合服务器场”,然后单击“下一步”。
在“指定联合身份验证服务名称”页上,验证“SSL 证书”是否显示正确。 如果这不是正确的证书,请从“SSL 证书”列表中选择相应的证书。
此证书从默认网站的安全套接字层 (SSL) 设置中生成。 如果默认网站只具有一个配置的 SSL 证书,则显示该证书并自动选择它以供使用。 如果为默认网站配置了多个 SSL 证书,此处将列出所有这些证书,并且你必须从中进行选择。 如果没有配置默认网站的 SSL 设置,则从本地计算机上的个人证书存储中的可用证书生成列表。
注意
如果为 IIS 配置了 SSL 证书,则该向导将不允许覆盖证书。 这可确保之前计划对 SSL 证书所做的任何 IIS 配置将得以保留。 若要解决此限制,可以删除证书,或使用 IIS 管理控制台手动对其重新配置。
如果选择的 AD FS 数据库已存在,会显示“检测到现有的 AD FS 配置数据库”页。 如果出现该页面,请单击“删除数据库”,然后单击“下一步”。
注意
仅当你确定此 AD FS 数据库中的数据不重要,或者不在生产联合服务器场中使用时,才应选择此选项。
在“指定服务帐户”页上,单击“浏览”。 在“浏览”对话框中,找到将在这个新的联合服务器场中用作服务帐户的域帐户,然后单击“确定”。 键入此帐户的密码、进行确认,然后单击“下一步”。
注意
若要详细了解如何为联合服务器场指定服务帐户,请参阅手动配置联合服务器场的服务帐户。 联合服务器场中的每个联合服务器必须为服务器场指定相同的服务帐户才能正常运行。 例如,如果已创建的服务帐户是 contoso\ADFS2SVC,则为联合服务器角色配置的并且将在同一个服务器场中参与的每台计算机,都必须在联合服务器配置向导的此步骤中指定 contoso\ADFS2SVC,这样服务器场才能正常运行。
在“已准备好应用设置”页上,查看详细信息。 如果设置看上去没有问题,请单击“下一步”,以开始使用这些设置配置 AD FS。
在“配置结果”页上,查看结果。 完成所有配置步骤后,单击“关闭”退出向导。
重要
出于安全部署的目的,在你使用 AD FS 联合服务器配置向导来配置联合服务器场时,将禁用项目分辨率和回复检测。 此向导将自动配置 Windows 内部数据库以供存储服务配置数据。 但是,你可能会通过使用“AD FS 管理”管理单元中的“终结点”节点或 Windows PowerShell 中的 Enable-ADFSEndpoint cmdlet 启用项目分辨率终结点,而错误地撤消此更改。 请注意,不要重新配置默认设置,以便在你同时使用联合服务器场和 Windows 内部数据库时,此终结点仍为禁用状态。