建立獨立聯盟伺服器
安裝同盟服務角色服務並在計算機上安裝必要的憑證之後,您就可以設定計算機成為同盟伺服器。 您可以使用下列程式來設定電腦成為獨立同盟伺服器。 建立獨立同盟伺服器的行為也會建立新的同盟服務。 您可以使用AD FS 同盟伺服器組態精靈建立同盟伺服器。
備註
針對聯邦 Web 單一登入(SSO)設計,您必須在帳戶夥伴組織中至少有一台同盟伺服器,並在資源夥伴組織中至少有一台同盟伺服器。 如需詳細資訊,請參閱 放置同盟伺服器的位置。
在本機電腦上,Administrators群組或等效群組的成員資格是完成此程序所需的最低要求。 請檢閱在本機和網域預設群組 使用適當帳戶和群組成員資格的詳細數據(http://go.microsoft.com/fwlink/?LinkId=83477).
建立獨立同盟伺服器
有兩種方式可以啟動AD FS同盟伺服器設定精靈。 若要啟動精靈,請執行下列其中一項:
完成 [同盟服務角色服務安裝] 之後,開啟 [AD FS 管理] 嵌入式管理單元,然後在 [概觀] 頁面或 [動作] 窗格中按一下 [AD FS 同盟伺服器組態精靈] 連結。
在安裝精靈完成之後,請開啟 Windows 檔案總管,流覽至 C:\Windows\ADFS 資料夾,然後按兩下 FsConfigWizard.exe。
在 [歡迎使用] 頁面上,確認已選取 [建立新的同盟服務],然後按兩下 [下一步]。
在 [選取 Stand-Alone 或伺服器陣列部署] 頁面上,按一下 [獨立同盟伺服器],然後按一下 [下一步]。
這很重要
當您在 AD FS 同盟伺服器設定精靈中選取 [獨立同盟伺服器] 選項時,與這個同盟服務相關聯的服務帳戶會自動指派給 NETWORK SERVICE 帳戶。 只有在您在測試實驗室環境中評估AD FS的情況下,才建議使用NETWORK SERVICE作為服務帳戶。 如果您想要使用 [獨立同盟伺服器] 選項在生產環境中部署同盟伺服器,請務必將此服務帳戶變更為更適當的服務帳戶,以專門提供這個新同盟服務服務的要求。 將服務帳戶變更為 NETWORK SERVICE 以外的帳戶,可降低可能的攻擊媒介,否則您的同盟伺服器容易受到惡意攻擊。
在 [[指定同盟服務名稱] 頁面上,確認顯示的 SSL 憑證 正確。 如果沒有,請從 SSL 憑證 列表中選取適當的憑證。
此憑證是從預設網站的安全套接字層 (SSL) 設定產生。 如果默認網站只設定了一個 SSL 憑證,則會顯示該憑證並自動選取以供使用。 如果已針對預設網站設定多個 SSL 憑證,則此處會列出所有這些憑證,您必須從其中選取。 如果沒有針對默認網站設定 SSL 設定,則會從本機電腦上個人證書存儲中可用的憑證產生清單。
備註
如果已為 IIS 設定 SSL 憑證,精靈將不允許您覆寫憑證。 這可確保保留任何先前針對 SSL 憑證的 IIS 組態。 若要解決此問題,您可以使用 IIS 管理主控台移除憑證或手動重新設定憑證。
如果您選取的 AD FS 資料庫已經存在,[偵測到的現有 AD FS 組態資料庫] 頁面隨即出現。 如果發生這種情況,請按一下 刪除資料庫,然後按一下 下一步。
謹慎
只有在您確定此 AD FS 資料庫中的數據並不重要,或未用於生產同盟伺服器陣列時,才選取此選項。
在 [[準備套用設定] 頁面上,檢視詳細資訊。 如果設定看起來正確,請按兩下 [[下一步],以使用這些設定開始設定AD FS。
在 [組態結果] 頁面上,查看結果。 當所有設定步驟都完成時,請按一下 [關閉] 以離開設定程式。