準備同盟伺服器的網路基礎結構
適用於:Azure、Office 365、Power BI、Windows Intune
下列檢查清單包含您必須執行的準備工作,才能部署同盟伺服器陣列。
注意
- 依序完成這些檢查清單中的工作。 當參考連結帶您前往程式時,請在完成該程式中的步驟之後返回本主題,以便繼續進行此檢查清單中的其餘工作。
- 除非另有說明,否則若要使用本節中的程式完成所有工作,您必須先以 Administrators 群組的成員身分登入計算機,或已委派對等許可權。
.gif "檢查清單")
檢查清單:準備同盟伺服器的網路基礎結構
| 部署工作 | 本節中主題的連結 | 完成 |
|---|---|---|
1.將成為同盟伺服器的計算機加入 Active Directory 使用者將驗證的網域。 注意 如果您使用現有的域控制器作為同盟伺服器,則可以忽略此步驟。 |
.gif "複選框")
|
|
2.建立並設定新的 NLB 叢集 DNS 名稱,或使用新同盟伺服器陣列將使用的公司網路中現有的 NLB 叢集。 然後將同盟伺服器電腦新增至 NLB 叢集。 如果您針對目前的 NLB 主機使用 Windows Server 技術,請根據您的作業系統版本選擇正確的連結。 注意 這個步驟在搭配單一 AD FS 同盟伺服器的 SSO 解決方案測試部署中是選擇性的。 |
若要在 Windows Server 2003 和 Windows Server 2003 R2 上建立及設定 NLB 叢集,請參閱 檢查清單:啟用和設定網路負載平衡。 若要在 Windows Server 2008 上建立及設定 NLB 叢集,請參閱 建立網路負載平衡叢集。 若要在 Windows Server 2008 R2 上建立及設定 NLB 叢集,請參閱 建立網路負載平衡叢集。 |
|
3.在公司網路 DNS 中建立叢集 DNS 名稱的新資源記錄,以將 NLB 叢集的 FQDN 名稱指向其叢集 IP 位址。 |
|
|
4.將伺服器驗證憑證匯入伺服器數位中每個同盟伺服器的默認網站。 注意 在預設網站上安裝此憑證是使用AD FS同盟伺服器設定精靈之前的需求。 |
|
|
5.在 Active Directory 中建立並設定專用服務帳戶,其中同盟伺服器數位將位於其中,並將伺服器數位中的每個同盟伺服器設定為使用此帳戶。 |
|
將電腦加入網域
若要讓 AD FS 能夠運作,每個做為同盟伺服器的電腦都必須加入網域。 同盟伺服器 Proxy 可以加入網域,但並非必要專案。
如果您想要在 Windows Server 2012 R2 中使用 AD FS,Active Directory 網域必須執行下列其中一項:
Windows Server
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
將電腦加入網域
在您要加入網域的計算機上,按兩下 [開始]
, 按兩下 [控制面板] ,然後按兩下 [System ]。在 [計算機名稱、網域和工作組設定下,按兩下 [[變更設定]。
在 [計算機名稱] 索引標籤上,按兩下 [[變更]。
在 [
成員] 底下,按兩下 [ 網域 ],輸入這部計算機將加入的網域名稱,然後按兩下 [確定]。 按兩下 [確定] [確定],然後重新啟動電腦。
針對在公司 NLB 主機上設定的叢集 DNS 名稱,將資源記錄新增至公司 DNS
若要讓公司網路上的用戶端成功存取同盟服務,必須先在公司域名系統 (DNS) 中建立主機 (A) 資源記錄,將同盟服務的叢集 DNS 名稱(例如,fs.fabrikam.com)解析為公司網路中叢集 IP 位址(例如 172.16.1.3)。 您可以使用下列程式,將主機 (A) 資源記錄新增至 NLB 叢集的公司 DNS。
若要將資源記錄新增至公司 DNS,以取得在公司 NLB 主機上設定的叢集 DNS 名稱
在公司網路的 DNS 伺服器上,開啟 DNS 嵌入式管理單元。
在主控台樹中,以滑鼠右鍵按兩下適用的正向對應區域(例如,fabrikam.com),然後按兩下 [[新增主機] [A] 或 [AAAA]。
在 Name中,只輸入同盟伺服器或同盟伺服器叢集的計算機名稱;例如,針對完整功能變數名稱 (FQDN) fs.fabrikam.com,輸入 fs。
在 IP 位址中,輸入同盟伺服器或同盟伺服器叢集的 IP 位址;例如,172.16.1.3。
點選 [[新增主機]。
重要
假設您使用 DNS 伺服器執行 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008 與 DNS Server 服務,以控制 DNS 區域。
將伺服器驗證憑證匯入默認網站
從證書頒發機構單位 (CA) 取得伺服器驗證憑證之後,您必須在伺服器陣列中每個同盟伺服器的預設網站上手動安裝該憑證。
由於此憑證必須由AD FS和 Microsoft 雲端服務的用戶端信任,因此請使用由公用 (第三方) CA 所簽發的 SSL 憑證,或由隸屬於公開信任根目錄的 CA 所簽發的 SSL 憑證:例如,VeriSign 或 Thawte。 如需從公用 CA 安裝憑證的相關信息,請參閱 IIS 7.0:要求因特網伺服器證書。
注意
此伺服器驗證憑證的主體名稱必須符合您稍早在 NLB 主機上建立的叢集 DNS 名稱 FQDN(例如,fs.fabrikam.com)。 如果尚未安裝 Internet Information Services (IIS),您必須先安裝 IIS 才能完成這項工作。 第一次安裝 IIS 時,建議您在安裝伺服器角色期間出現提示時,使用預設功能選項。
將伺服器驗證憑證匯入默認網站
按兩下 [開始]
,指向 [所有程式] ,指向 [系統管理工具 ],然後按兩下 [Internet Information Services [IIS] 管理員 。在主控台樹中,按兩下 ComputerName。
在中央窗格中,按兩下 伺服器憑證。
在 [
動作 ] 窗格中,按兩下 [匯入]。 在 [匯入憑證] 對話框中,按兩下 [...] 按鈕。
瀏覽至 pfx 憑證檔案的位置,反白顯示它,然後按兩下 [開啟]。
輸入憑證的密碼,然後按下 [確定] [確定]。
建立同盟伺服器陣列的專用服務帳戶
若要在 AD FS 中設定同盟伺服器數位環境,您必須在伺服器陣列所在的 Active Directory 中建立和設定專用服務帳戶。 此專用服務帳戶是必要的,以確保AD FS 伺服器陣列所需的所有資源都獲得伺服器陣列中每個同盟伺服器的存取權。
接著,您會將伺服器陣列中的每個同盟伺服器設定為使用相同的服務帳戶。 例如,如果建立的服務帳戶是 fabrikam\ADFS2SVC,則您為同盟伺服器角色設定且將參與相同伺服器陣列的每部電腦都必須在 [同盟伺服器設定精靈] 中指定 fabrikam\ADFS2SVC,才能讓伺服器陣列運作。
注意
您必須只針對整個同盟伺服器數位執行此程式中的工作一次。 稍後,當您使用 AD FS 同盟伺服器組態精靈建立同盟伺服器時,您必須在伺服器陣列中每個同盟伺服器的 [服務帳戶] 精靈頁面上指定這個相同的帳戶。
建立同盟伺服器陣列的專用服務帳戶
在您將用於組織的 Active Directory 樹系中建立專用的使用者/服務帳戶。
編輯使用者帳戶屬性,然後選取 [密碼永遠不會過期] 複選框。 此動作可確保此服務帳戶的函式不會因為網域密碼變更需求而中斷。
注意
- 如果您需要定期變更服務帳戶的密碼,請參閱 設定 AD FS 的進階選項 2.0。
- 透過整合式 Windows 驗證嘗試存取時,使用此專用帳戶的網路服務帳戶會導致隨機失敗,因為 Kerberos 票證無法從一部伺服器驗證到另一部伺服器。
- 如果您需要定期變更服務帳戶的密碼,請參閱 設定 AD FS 的進階選項 2.0。
下一步
既然您已檢閱部署AD FS的需求,下一個步驟是根據您想要使用的AD FS版本,完成下列任一檢查清單中的工作:
檢查清單:在 Windows Server 2012 R2 上部署同盟伺服器陣列
檢查清單:在舊版 Windows Server 上部署同盟伺服器陣列