設定同盟伺服器

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

在電腦上安裝 Active Directory 同盟服務 (AD FS) 角色服務之後，您就可以準備將這部電腦設定為同盟伺服器。 您可以執行下列其中一個步驟：

• 在新的同盟伺服器陣列中設定第一部同盟伺服器

• 新增同盟伺服器至現有的同盟伺服器陣列

在新的同盟伺服器陣列中設定第一部同盟伺服器

使用 Active Directory 同盟服務組態精靈，在新的同盟伺服器陣列中設定第一部同盟伺服器

注意

在執行此程序之前，請確定您具有網域系統管理員權限或網域系統管理員認證。

1. 在 [伺服器管理員] 的 [儀表板] 頁面上，按一下 [通知] 旗標，然後按一下 [設定伺服器上的 Federation Service] 。

   [Active Directory Federation Service 設定精靈] 隨即開啟。

2. 在 [歡迎] 頁面上，選取 [在同盟伺服器陣列中建立第一部同盟伺服器] ，然後按一下 [下一步] 。

3. 在 [連接到 AD DS] 頁面上，使用此電腦所加入之 Active Directory (AD) 網域的網域系統管理員權限來指定帳戶，然後按 [下一步]。

4. 在 [指定服務內容] 頁面上執行下列動作，然後按一下 [下一步] ：

   • 匯入 .pfx 檔案，其包含您先前取得的安全通訊端層 (SSL) 憑證和金鑰。 在步驟 2：註冊 AD FS 的 SSL 憑證中，您已取得此憑證，並將它複製到您想要設定為同盟伺服器的電腦。 若要透過精靈匯入 .pfx 檔案，請按一下 [匯入]，然後瀏覽至檔案的位置。 出現提示時，請輸入 .pfx 檔案的密碼。

   • 提供同盟服務的名稱。 例如，fs.contoso.com。 此名稱必須符合憑證中的其中一個主體名稱或主體別名。

   • 提供同盟服務的顯示名稱。 例如，Contoso Corporation。 使用者會在 Active Directory 同盟服務 (AD FS) 登入頁面上看到此名稱。

5. 在 [指定服務帳戶] 頁面上，指定服務帳戶。 您可以建立或使用現有群組受管理的服務帳戶 (gMSA)，或使用現有的網域使用者帳戶。 如果您選取建立新 gMSA 帳戶的選項，請指定新帳戶的名稱。 如果您選取使用現有 gMSA 或網域帳戶的選項，請按一下 [選取帳戶] 來選取帳戶。

   注意

   使用 gMSA 帳戶的好處在於其自動交涉的密碼更新功能。

   警告

   如果想要使用 gMSA 帳戶，則您的環境中必須至少有一個執行 Windows Server 2012 作業系統的網域控制站。

   如果 gMSA 選項已停用，而且您看到 [無法使用群組受管理的服務帳戶，因為未設定 KDS 根金鑰] 之類的錯誤訊息，則可以在網域中啟用 gMSA，方法是在您 Active Directory 網域中執行 Windows Server 2012 或更新版本的網域控制站上，執行下列 Windows PowerShell 命令來啟用 gMSA：Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。 然後返回精靈並按一下 [上一步]，接著再按 [下一步] 以重新進入 [指定服務帳戶] 頁面。 此時 gMSA 選項應該已啟用。 您可以選取該選項，然後輸入您要使用的 gMSA 帳戶名稱。

6. 在 [指定組態資料庫] 頁面上，指定 AD FS 組態資料庫，然後按 [下一步]。 您可以在這部電腦上使用 Windows Internal Database (WID) 來建立一個資料庫，也可以指定 Microsoft SQL Server 的位置和執行個體名稱。

   如需詳細資訊，請參閱 The Role of the AD FS Configuration Database。

   重要

   如果您要建立 AD FS 陣列並使用 SQL Server 儲存您的組態資料，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012 和 SQL Server 2014。

7. 在 [檢閱選項] 頁面上，檢查您的設定選項，然後按一下 [下一步] 。

8. 在 [必要條件檢查] 頁面上，確認所有必要條件檢查都已順利完成，然後按一下 [設定]。

9. 在 [結果] 頁面上，檢閱結果並檢查設定是否已順利完成，然後按一下 [完成同盟服務部署所需的後續步驟]。 如需詳細資訊，請參閱完成 AD FS 安裝的後續步驟。 按一下 [關閉] 結束精靈。

透過 Windows PowerShell 在新的同盟伺服器陣列中設定第一部同盟伺服器

您可以使用新的或現有的 gMSA 帳戶或是現有的網域使用者帳戶，來建立新的同盟伺服器陣列。

• 如果想要使用新的 gMSA 帳戶建立新的同盟伺服器，請執行以下動作：

  重要

  您必須具有網域系統管理員權限，才能在新的同盟伺服器陣列中建立第一部同盟伺服器。

  1. 在您要設定為同盟伺服器的電腦上，確定必要的 SSL 憑證已匯入至 Local Computer\My Store 目錄。 您可以在 Windows PowerShell 命令視窗中執行下列命令，驗證是否已匯入 SSL 憑證：dir Cert:\LocalMachine\My。 憑證會依其指紋列在 Local Computer\My Store 目錄中。

  2. 在網域控制站上，開啟 Windows PowerShell 命令視窗並執行下列命令，驗證是否已在您的網域中建立 KDS 根金鑰：Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。 如果尚未建立以致輸出未顯示任何資訊，請執行下列命令來建立金鑰：Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。

  3. 在要設定為同盟伺服器的電腦上開啟 Windows PowerShell 命令視窗，然後執行下列命令：

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
     

     警告

     上一個命令的結尾需有 $ 符號。

     若要取得 <certificate_thumbprint> 的值，請執行 dir Cert:\LocalMachine\My，然後選取 SSL 憑證的指紋。 <federation_service_name> 的值是同盟服務的名稱，例如 fs.contoso.com。

     注意

     如果這不是您第一次執行此命令，請新增 OverwriteConfiguration 參數。

     注意

     上一個命令會建立 WID 伺服器陣列。 如果想要建立 SQL Server 伺服器陣列，您必須已安裝並運作 SQL Server 的執行個體。

     您可以使用下列命令，在使用 SQL Server 執行個體的新伺服器陣列中建立第一部同盟伺服器：Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"，其中 <SQL_Host_Name> 是 SQL Server 執行所在伺服器的名稱，而 <SQL_instance_name> 是 SQL Server 執行個體的名稱。 如果您使用 SQL Server 預設執行個體，請使用這個 SQLConnectionString 值："Data Source=<SQL_Host_Name>;Integrated Security=True"。

     重要

     如果您要建立一個 AD FS 陣列並使用 SQL Server 儲存您的設定資料，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012。

• 如果想要使用現有的網域使用者帳戶建立新的同盟伺服器，請執行下列動作：

  1. 在您要設定為同盟伺服器的電腦上，確定必要的 SSL 憑證已匯入至 Local Computer\My Store 目錄。 您可以在 Windows PowerShell 命令視窗中執行下列命令，驗證是否已匯入 SSL 憑證：dir Cert:\LocalMachine\My。 憑證會依其指紋列在 Local Computer\My Store 目錄中。

  2. 在要設定為同盟伺服器的電腦上開啟 Windows PowerShell 命令視窗，然後執行下列命令：$fscred = Get-Credential。 以 domain\user name 格式輸入要用於同盟服務帳戶的網域使用者帳戶認證。

  3. 在相同的 Windows PowerShell 命令視窗中，執行下列命令：

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
     

     若要取得 <certificate_thumbprint> 的值，請執行 dir Cert:\LocalMachine\My，然後選取 SSL 憑證的指紋。 <federation_service_name> 的值是同盟服務的名稱，例如 fs.contoso.com。

     注意

     如果這不是您第一次執行此命令，請新增 OverwriteConfiguration 參數。

     注意

     上一個命令會建立 WID 伺服器陣列。 如果想要建立 SQL Server 伺服器陣列，您必須已安裝並運作 SQL Server 的執行個體。

     您可以使用下列命令，在使用 SQL Server 執行個體的新伺服器陣列中建立第一部同盟伺服器：Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"，其中 SQL_Host_Name 是 SQL Server 執行所在伺服器的名稱，而 SQL_instance_name 是 SQL Server 執行個體的名稱。 如果您使用 SQL Server 預設執行個體，請使用這個 SQLConnectionString 值："Data Source=<SQL_Host_Name>;Integrated Security=True"。

     重要

     如果您要建立 AD FS 陣列並使用 SQL Server 儲存您的組態資料，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012 和 SQL Server 2014。

新增同盟伺服器至現有的同盟伺服器陣列

重要

在開始本節的任何程序之前，請確定您已完成 步驟 3：安裝 AD FS 角色服務。

重要

請確定您已取得有效的 SSL 伺服器驗證憑證，然後再完成這個程序。

透過 Active Directory Federation Service 組態精靈新增同盟伺服器至現有的同盟伺服器陣列

1. 在 [伺服器管理員] 的 [儀表板] 頁面上，按一下 [通知] 旗標，然後按一下 [設定伺服器上的 Federation Service] 。

   [Active Directory Federation Service 設定精靈] 隨即開啟。

2. 在 [歡迎] 頁面上，選取 [新增同盟伺服器至同盟伺服器陣列]，然後按 [下一步]。

3. 在 [連接到 AD DS] 頁面上，使用此電腦所加入之 AD 網域的網域系統管理員權限來指定帳戶，然後按 [下一步]。

4. 在 [指定伺服器陣列] 頁面上，提供使用 WID 之伺服器陣列中主要同盟伺服器的名稱，或指定使用 SQL Server 之現有同盟伺服器陣列的資料庫主機名稱和資料庫執行個體名稱。

   警告

   在 Windows Server® 2012 R2 中，可採用一項因應措施來指定 SQL Server 的預設執行個體。 此因應措施為不使用使用者介面。 請改用透過 Windows PowerShell 在新的同盟伺服器陣列中設定第一部同盟伺服器中的步驟。

   重要

   如果您要建立一個 AD FS 陣列並使用 SQL Server 儲存您的設定資料，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012。

5. 在 [指定 SSL 憑證] 頁面上，匯入包含您先前取得之 SSL 憑證和金鑰的 .pfx 檔案。 此憑證是必要的服務驗證憑證。 在步驟 2：註冊 AD FS 的 SSL 憑證中，您已取得此憑證，並將其複製到您想要設定為同盟伺服器的電腦。 若要透過精靈匯入 .pfx 檔案，請按一下 [匯入]，然後瀏覽至檔案的位置。 出現提示時，請輸入 .pfx 檔案的密碼。

6. 在 [指定服務帳戶] 頁面上，指定您在伺服器陣列中建立第一部同盟伺服器時所設定的相同服務帳戶。 您可以使用現有群組受管理的服務帳戶或現有的網域使用者帳戶。

   重要

   您指定的帳戶必須與此伺服器陣列中主要同盟伺服器上所使用的帳戶相同。

7. 在 [檢閱選項] 頁面上，檢查您的設定選項，然後按一下 [下一步] 。

8. 在 [必要條件檢查] 頁面上，確認所有必要條件檢查都已順利完成，然後按一下 [設定]。

9. 在 [結果] 頁面上，檢閱結果並檢查設定是否已順利完成，然後按一下 [完成同盟服務部署所需的後續步驟]。 如需詳細資訊，請參閱完成 AD FS 安裝的後續步驟。 按一下 [關閉] 結束精靈。

透過 Windows PowerShell 新增同盟伺服器至現有的同盟伺服器陣列

您可以使用現有的 gMSA 帳戶或現有的網域使用者帳戶，將同盟伺服器新增至現有的伺服器陣列。

• 如果想要使用現有的 gMSA 帳戶將同盟伺服器加入伺服器陣列，請執行以下動作：

  1. 在您要設定為同盟伺服器的電腦上，確定必要的 SSL 憑證已匯入至 Local Computer\My Store 目錄。 您可以在 Windows PowerShell 命令視窗中執行下列命令，驗證是否已匯入 SSL 憑證：dir Cert:\LocalMachine\My。 憑證會依其指紋列在 Local Computer\My Store 目錄中。

  2. 在要設定為同盟伺服器的電腦上開啟 Windows PowerShell 命令視窗，然後執行下列命令。

     Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     <domain>\<GMSA_name> 是您的 AD 網域以及該網域中的 gMSA 帳戶名稱。 <first_federation_server_hostname> 是這個現有伺服器陣列中主要同盟伺服器的主機名稱。

     您可以在上述步驟中執行 dir Cert:\LocalMachine\My，以取得 <certificate_thumbprint> 的值。

     注意

     如果這不是您第一次執行此命令，請新增 OverwriteConfiguration 參數。

     注意

     上一個命令會建立 WID 伺服器陣列節點。 如果想要為執行 SQL Server 的電腦建立伺服器陣列節點，您必須已安裝並運作 SQL Server 的執行個體。

     您可以使用下列命令，將同盟伺服器新增至使用 SQL Server 執行個體的現有伺服器陣列：Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"，其中 SQL_Host_Name 是 SQL Server 執行所在伺服器的名稱，而 SQL_instance_name 是 SQL Server 執行個體的名稱。 如果您使用 SQL Server 預設執行個體，請使用這個 SQLConnectionString 值："Data Source=<SQL_Host_Name>;Integrated Security=True"。

     重要

     如果您要建立 AD FS 陣列並使用 SQL Server 儲存您的組態資料，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012 和 SQL Server 2014。

• 如果想要使用現有的網域使用者帳戶將同盟伺服器加入伺服器陣列，請執行以下動作：

  1. 在要設定為同盟伺服器的電腦上開啟 Windows PowerShell 命令視窗，然後執行下列命令：$fscred = get-credential。 以 domain\user name 格式輸入要用於同盟服務帳戶的網域使用者帳戶認證。

  2. 在您要設定為同盟伺服器的電腦上，確定必要的 SSL 憑證已匯入至 Local Computer\My Store 目錄。 您可以在 Windows PowerShell 命令視窗中執行下列命令，驗證是否已匯入 SSL 憑證：dir Cert:\LocalMachine\My。 憑證會依其指紋列在 Local Computer\My Store 目錄中。

  3. 在相同的 Windows PowerShell 命令視窗中，執行下列命令。

     Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     注意

     如果這不是您第一次執行此命令，請新增 OverwriteConfiguration 參數。

     注意

     上一個命令會建立 WID 伺服器陣列節點。 如果想要為執行 SQL Server 的電腦建立伺服器陣列節點，您必須已安裝並運作 SQL Server 的執行個體。 您可以使用下列命令，透過 SQL Server 執行個體將同盟伺服器新增至現有的伺服器陣列：Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" 其中 SQL_Host_Name 是執行 SQL Server 執行個體的伺服器名稱，而 SQL_instance_name 是 SQL Server 執行個體的名稱。 如果您使用 SQL Server 預設執行個體，請使用這個 SQLConnectionString 值："Data Source=<SQL_Host_Name>;Integrated Security=True"。

     重要

     如果您要建立 AD FS 陣列並使用 SQL Server 儲存您的組態資料，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012 和 SQL Server 2014。

另請參閱

AD FS 部署

Windows Server 2012 R2 AD FS 部署指南

部署同盟伺服器陣列