檢查清單:設定同盟伺服器代理器
此檢查清單包含部署工作,旨在為執行 Windows Server® 2012 的伺服器準備 Active Directory 同盟服務 (AD FS) 中的同盟伺服器代理程式角色。
備註
依序完成此檢查清單中的工作。 當參考連結帶您前往程式時,請在完成該程式中的步驟之後返回本主題,以便繼續進行此檢查清單中的其餘工作。
檢查清單:設定同盟伺服器 Proxy
| 任務 | 參考文獻 |
|---|---|
| 開始部署AD FS 同盟伺服器 Proxy 之前,請先檢閱AD FS部署拓撲類型及其相關聯的伺服器放置和網路配置建議。 |
判斷 AD FS 部署拓撲 |
| 檢閱 AD FS 容量規劃指引,以判斷您應該在生產環境中使用的適當同盟伺服器 Proxy 數目。 |
規劃聯盟伺服器代理容量 |
| 判斷單一同盟伺服器 Proxy 或同盟伺服器 Proxy 伺服器陣列是否適合您的部署。 注意: 同盟伺服器也會執行同盟伺服器代理功能。 |
何時建立同盟伺服器代理 |
| 判斷這個新的同盟伺服器代理將會在帳戶夥伴組織的周邊網路還是資源夥伴組織的周邊網路中建立。 | zh-TW: 檢閱在帳戶夥伴中的同盟伺服器代理角色 |
| 在將成為聯盟伺服器代理的計算機上安裝 AD FS 之前,請先閱讀取得伺服器驗證憑證的重要性——對於聯盟伺服器代理伺服器陣列,請在伺服器陣列中的所有伺服器上新增或共用憑證。 |
同盟伺服器 Proxy 的憑證需求 |
| 請檢閱AD FS設計指南中有關如何更新周邊網路中域名系統 (DNS) 的資訊,以便成功解析同盟伺服器和同盟伺服器 Proxy 的名稱。 |
名稱解析需求 |
| 判斷同盟伺服器 Proxy 是否必須加入網域。 雖然同盟伺服器代理不必加入網域,但若加入網域,透過遠端管理和群組原則功能會更容易管理。 |
將電腦加入網域 |
| 根據周邊網路中 DNS 基礎結構的設定方式,在您於組織中部署同盟伺服器 proxy 之前,請先完成右邊議題中的其中一個程序。 注意: 請勿執行這兩個程式。 請閱讀 同盟伺服器代理的名稱解析需求,以判斷哪一個程序最符合貴組織的需求。 |
在只提供周邊網路的 DNS 區域中,設定同盟伺服器 Proxy 的名稱解析 |
| 取得伺服器驗證憑證之後,您必須在同盟伺服器 Proxy 的默認網站上將其安裝在 Internet Information Services (IIS) 中。 |
將伺服器驗證憑證匯入至預設網站 |
| (選擇性)作為從證書頒發機構單位 (CA) 取得伺服器驗證憑證的替代方案,您可以使用 IIS 來取得同盟伺服器 Proxy 的範例憑證。 因為 IIS 會產生不是源自受信任來源的自我簽署憑證,所以只有在下列案例中才使用它來建立自我簽署憑證: - 當您必須建立伺服器與有限、已知使用者群組之間的安全套接字層 (SSL) 通道時 |
IIS:建立 Self-Signed 伺服器證書 |
| 在要成為同盟伺服器代理的電腦上,將安裝同盟服務代理角色服務。 |
安裝同盟服務 Proxy 角色服務 |
| 使用AD FS 同盟伺服器 Proxy 設定精靈,設定電腦上的AD FS軟體以在同盟伺服器 Proxy 角色中運作。 |
為同盟伺服器 Proxy 角色設定電腦 |
| 使用事件查看器,確認同盟伺服器 Proxy 服務已啟動。 |
確認同盟伺服器 Proxy 是否可運作 |