在同盟伺服器陣列中建立第一個同盟伺服器
安裝同盟服務角色服務並在計算機上安裝必要的憑證之後,您就可以設定計算機成為同盟伺服器。 您可以使用下列程式,使用AD FS 同盟伺服器組態精靈,將電腦設定為新同盟伺服器陣列中的第一部同盟伺服器。
在伺服器陣列中建立第一個同盟伺服器時,也會建立新的同盟服務,並使這部電腦成為主要同盟伺服器。 這表示此電腦將配置為可讀取和寫入的 AD FS 設定資料庫副本。 此伺服器陣列中的所有其他同盟伺服器都必須將主要同盟伺服器上所做的任何變更複寫到它們儲存在本機之 AD FS 組態資料庫的唯讀複本。 如需此複寫程式的詳細資訊,請參閱 AD FS 組態資料庫的角色。
備註
針對同盟 Web 單一Sign-On (SSO) 設計,您必須在帳戶夥伴組織和資源夥伴組織中至少有一部同盟伺服器。 如需詳細資訊,請參閱 放置同盟伺服器的位置。
Domain Admins 中的成員資格,或已授與 Active Directory 中 Program Data 容器寫入許可權的委派網域帳戶,是完成此程式所需的最低需求。
在同盟伺服器陣列中建立第一個同盟伺服器
有兩種方式可以啟動AD FS同盟伺服器設定精靈。 若要啟動精靈,請執行下列其中一項:
完成 [同盟服務角色服務安裝] 之後,開啟 [AD FS 管理] 嵌入式管理單元,然後按兩下 [ 概觀] 頁面或 [動作] 窗格中的 [AD FS 同盟伺服器組態精靈] 連結 連結。
安裝精靈完成之後,請開啟 Windows 檔案總管,流覽至 C:\Windows\ADFS 資料夾,然後按兩下 FsConfigWizard.exe。
在 [歡迎使用] 頁面上,確認已選取 [建立新的同盟服務],然後按兩下 [下一步]。
在 [選取 Stand-Alone] 或 [伺服器陣列部署] 頁面上,按一下 [新增同盟伺服器陣列],然後按一下 [下一步 ]。
在 [[指定同盟服務名稱] 頁面上,確認顯示的 SSL 憑證 正確。 如果這不是正確的憑證,請從 SSL 憑證 清單中選取適當的憑證。
此憑證是從預設網站的安全套接字層 (SSL) 設定產生。 如果默認網站只設定了一個 SSL 憑證,則會顯示該憑證並自動選取以供使用。 如果已針對預設網站設定多個 SSL 憑證,則此處會列出所有這些憑證,您必須從其中選取。 如果沒有針對默認網站設定 SSL 設定,則會從本機電腦上個人證書存儲中可用的憑證產生清單。
備註
如果已為 IIS 設定 SSL 憑證,精靈將不允許您覆寫憑證。 這可確保保留任何先前針對 SSL 憑證的 IIS 組態。 若要解決此問題,您可以移除憑證,或使用 IIS 管理控制台手動重新設定憑證。
如果您選取的 AD FS 資料庫已經存在,[偵測到的現有 AD FS 組態資料庫] 頁面隨即出現。 如果該頁面出現,請按兩下 [刪除資料庫],然後按兩下 [下一步]。
謹慎
只有在您確定此 AD FS 資料庫中的數據並不重要,或未用於生產同盟伺服器陣列時,才選取此選項。
在 [指定服務帳戶] 頁面上,按下 [瀏覽]。 在 [流覽] 對話框中,找出將作為這個新的同盟伺服器陣列中服務帳戶的網域帳戶,然後按 [確定]。 輸入此帳戶的密碼,確認密碼,然後按下 [下一步]。
備註
如需指定同盟伺服器陣列服務帳戶的詳細資訊,請參閱 手動設定同盟伺服器陣列的服務帳戶。 同盟伺服器陣列中的每個同盟伺服器都必須為伺服器陣列指定相同的服務帳戶才能運作。 例如,如果建立的服務帳戶是 contoso\ADFS2SVC,則您為同盟伺服器角色設定且將參與相同伺服器陣列的每部電腦都必須在 [同盟伺服器組態精靈] 中指定 contoso\ADFS2SVC,才能讓伺服器陣列運作。
在 [[準備套用設定] 頁面上,檢視詳細資訊。 如果設定看起來正確,請按兩下 [[下一步],以使用這些設定開始設定AD FS。
在 [組態結果] 頁面上,查看結果。 當所有設定步驟都完成時,請按一下 [關閉] 以離開設定程式。
這很重要
為了安全部署,當您使用 AD FS 聯盟伺服器配置精靈來設定聯盟伺服器陣列時,會停用資源解析和回應偵測。 此精靈會自動設定 Windows 內部資料庫來儲存服務組態數據。 不過,您可能會透過 AD FS 管理嵌入式管理單元中的 端點 或 Windows PowerShell 中的 Enable-ADFSEndpoint Cmdlet,啟用構件解析端點,從而錯誤地復原這項變更。 請小心不要重新設定預設設定,如此一來,當您同時使用同盟伺服器陣列和 Windows 內部資料庫時,此端點仍會保持停用。