在 Windows Server 2012 R2 中設定 AD FS 的實驗室環境

本篇文章概述了配置測試環境所需的步驟，這些環境可用來完成下列指南中的逐步操作：

• 操作指南：透過 iOS 裝置加入職場

• 指南：使用 Windows 裝置加入工作區域

• 逐步解說指南：使用條件式訪問控制管理風險

• 逐步解說指南：使用敏感性應用程式的其他多重要素驗證來管理風險

備註

我們不建議您在同一部計算機上安裝網頁伺服器和同盟伺服器。

若要設定此測試環境，請完成下列步驟：

1. 步驟 1：設定域控制器 （DC1）

2. 步驟 2：使用裝置註冊服務設定同盟伺服器 （ADFS1）

3. 步驟 3：設定網頁伺服器 （WebServ1） 和範例宣告型應用程式

4. 步驟 4：設定用戶端電腦 （Client1）

步驟 1：設定域控制器 （DC1）

針對此測試環境的目的，您可以呼叫根 Active Directory 網域 contoso.com，並將 pass@word1 指定為系統管理員密碼。

• 安裝 AD DS 角色服務，並安裝 Active Directory Domain Services （AD DS），讓您的電腦成為 Windows Server 2012 R2 中的域控制器。 此動作在建立網域控制站時升級您的 AD DS 架構。 如需詳細資訊和逐步指示，請參閱https://technet.microsoft.com/library/hh472162.aspx。

建立測試 Active Directory 帳戶

域控制器正常運作之後，您可以在此網域中建立測試群組和測試用戶帳戶，並將用戶帳戶新增至群組帳戶。 您使用這些帳戶來完成本主題稍早提到的逐步解說指南。

建立下列帳戶：

• 具有以下憑證的使用者：Robert Hatley，用戶名稱：RobertH 和密碼：P@ssword

• 群組：財務

如需如何在 Active Directory 中建立使用者和組帳戶的詳細資訊，請參閱 https://technet.microsoft.com/library/cc783323%28v.aspx。

將 Robert Hatley 帳戶新增至 Finance 群組。 如需如何將使用者新增至 Active Directory 中群組的資訊，請參閱 https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx。

建立 GMSA 帳戶

在 Active Directory 同盟服務 （AD FS） 安裝和設定期間，需要群組受控服務帳戶 （GMSA） 帳戶。

建立 GMSA 帳戶

1. 開啟 Windows PowerShell 命令視窗，然後輸入：

   Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
   New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
   
   

步驟 2：使用裝置註冊服務設定同盟伺服器 （ADFS1）

若要設定另一部虛擬機，請安裝 Windows Server 2012 R2，並將它連線到網域 contoso.com。 將計算機加入網域後，先設置計算機，然後繼續安裝及設定 AD FS 角色。

如需影片，請參閱 Active Directory 同盟服務 How-To 影片系列：安裝 AD FS 伺服器陣列。

安裝伺服器 SSL 憑證

您必須在本機電腦存放區的ADFS1伺服器上安裝伺服器安全套接字層 （SSL） 憑證。 憑證必須具有下列屬性：

• 主體名稱（CN）:adfs1.contoso.com

• 主體別名 （DNS）:adfs1.contoso.com

• 主體別名 （DNS）:enterpriseregistration.contoso.com

如需設定 SSL 憑證的詳細資訊，請參閱使用企業 CA 在網域的網站上設定 SSL/TLS。

Active Directory 聯合服務 How-To 影片系列：憑證更新。

安裝 AD FS 伺服器角色

安裝同盟服務角色服務

1. 使用網域系統管理員帳戶 administrator@contoso.com登入伺服器。

2. 啟動 [伺服器管理員]。 若要啟動伺服器管理員，請按下 Windows [開始] 畫面上的 [伺服器管理員]，或按兩下 Windows 桌面上 Windows 任務欄上的 [伺服器管理員]。 在 [儀錶板] 頁面的 [歡迎] 圖塊中的 [快速入門] 索引標籤上，點擊 [新增角色和功能]。 或者，您可以在 [管理 ] 功能表上單擊 [[新增角色和功能]。

3. 在 開始之前 頁面上，按 下一步。

4. 在 選取安裝類型 頁面，點擊 角色型或功能型安裝，然後點擊 下一步。

5. 在 [選取目的地伺服器] 頁面上，按一下 [從伺服器集區選取伺服器]，確認已選取目標電腦，然後按一下 [下一步]。

6. 在 [選取伺服器角色] 頁面上，按兩下 [Active Directory 同盟服務]，然後按兩下 [下一步]。

7. 在 [選取功能] 頁面上，點擊 下一步。

8. 在 [Active Directory 同盟服務 （AD FS） 頁面上，點擊 [下一步] 。

9. 確認 [確認安裝選項] 頁面上的信息之後，請選取 [ 視需要重新啟動目的地伺服器] 複選框，然後按兩下 [安裝]。

10. 在 [安裝進度] 頁面上，確認所有專案都已正確安裝，然後按兩下 [關閉] 。

設定同盟伺服器

下一個步驟是設定同盟伺服器。

設定同盟伺服器

1. 在 [伺服器管理員 儀錶板] 頁面上，按一下 [通知] 符號，然後按一下 [在伺服器上設定同盟服務]。

   Active Directory 同盟服務組態精靈 隨即開啟。

2. 在 [歡迎] 頁面上，選取 [在同盟伺服器陣列中建立第一個同盟伺服器]，然後按兩下 [下一步]。

3. 在 [[連線到 AD DS] 頁面上，為這部計算機加入的 contoso.com Active Directory 網域指定網域系統管理員許可權的帳戶，然後按一下 [下一步]。

4. 在 [指定服務屬性] 頁面上，執行下列動作，然後按 下一步：

   • 匯入您稍早取得的 SSL 憑證。 此憑證是必要的服務驗證憑證。 流覽至 SSL 憑證的位置。

   • 若要提供同盟服務的名稱，請輸入 adfs1.contoso.com。 此值與您在 Active Directory 憑證服務 （AD CS） 中註冊 SSL 憑證時所提供的值相同。

   • 若要提供同盟服務的顯示名稱，請輸入 Contoso Corporation。

5. 在 [指定服務帳戶] 頁面上，選取 [使用現有的網域使用者帳戶或群組受管理的服務帳戶]，然後指定您在建立域控制器時所建立的 GMSA 帳戶 fsgmsa。

6. 在 [指定組態資料庫] 頁面上，選取 [使用 Windows 內部資料庫在此伺服器上建立資料庫]，然後按一下 [下一步]。

7. 在 [檢閱選項] 頁面上，確認您的設定選項，然後按一下 下一步。

8. 在 [必要條件檢查] 頁面上，確認所有必要條件檢查都已順利完成，然後點選 [設定 ]。

9. 在 [結果] 頁面上，檢閱結果、檢查組態是否已順利完成，然後按兩下 [完成同盟服務部署所需的後續步驟。

設定裝置註冊服務

下一個步驟是在ADFS1伺服器上設定裝置註冊服務。 如需影片，請參閱 Active Directory 同盟服務 How-To 影片系列：啟用裝置註冊服務。

設定 Windows Server 2012 RTM 的裝置註冊服務

1. 這很重要

   下列步驟適用於 Windows Server 2012 R2 RTM 組建。

   開啟 Windows PowerShell 命令視窗，然後輸入：

   Initialize-ADDeviceRegistration
   

   當系統提示您輸入服務帳戶時，請輸入 contoso\fsgmsa$。

   現在執行 Windows PowerShell Cmdlet。

   Enable-AdfsDeviceRegistration
   

2. 在 ADFS1 伺服器上，在 AD FS 管理 控制台中，瀏覽至 [驗證原則]。 選取 編輯全域主要驗證。 選取 [啟用裝置驗證]旁的複選框，然後按兩下 [確定] 。

將主機 （A） 和別名 （CNAME） 資源記錄新增至 DNS

在 DC1 上，您必須確定已為裝置註冊服務建立下列域名系統 （DNS） 記錄。

入口	類型	位址
adfs1	主機 （A）	AD FS 伺服器的IP位址
企業登記	別名 （CNAME）	adfs1.contoso.com

您可以使用下列程式，將主機 （A） 資源記錄新增至同盟伺服器和裝置註冊服務的公司 DNS 名稱伺服器。

成為 Administrators 群組或具相同權限的其他群組的成員是完成此程序的最低要求。 檢閱有關在「https://go.microsoft.com/fwlink/?LinkId=83477」本機和網域預設群組（https://go.microsoft.com/fwlink/p/?LinkId=83477）中使用適當帳戶和群組成員資格的詳細資訊。

將主機（A）和別名（CNAME）資源記錄新增至您的同盟伺服器 DNS 系統中

1. 在 DC1 上，從 [伺服器管理員] 的 [工具] 功能表上，按兩下 [DNS] 以開啟 DNS 嵌入式管理單元。

2. 在主控台樹狀目錄中，依序展開 DC1、正向查閱區域，右鍵按一下 contoso.com，然後選取 新增主機 (A 或 AAAA)。

3. 在 [名稱] 中， 輸入您想要用於AD FS 伺服器陣列名稱。 在這個操作指引中，輸入 adfs1。

4. 在 IP 位址中，輸入 ADFS1 伺服器的 IP 位址。 點選 新增主機。

5. 以滑鼠右鍵按兩下 [contoso.com]，然後按兩下 [[新增別名][CNAME]。

6. 在 [新增資源記錄] 對話框中，於 [別名名稱] 方塊中鍵入 enterpriseregistration。

7. 在目標主機的 [完整功能變數名稱 (FQDN)] 中，輸入 adfs1.contoso.com，然後按一下 [確定]。

   這很重要

   在真實世界的部署中，如果您的公司有多個用戶主體名稱 （UPN） 後綴，您必須為 DNS 中的每個 UPN 後綴建立多個 CNAME 記錄。

步驟 3：設定網頁伺服器 （WebServ1） 和範例宣告型應用程式

安裝 Windows Server 2012 R2作系統並將其連線到網域 contoso.com，以設定虛擬機 （WebServ1）。 加入網域之後，您可以繼續安裝及設定 Web 伺服器角色。

若要完成本主題稍早所參考的逐步解說，您必須有受同盟伺服器 #ADFS1 保護的範例應用程式。

您必須完成下列步驟，才能使用此範例宣告型應用程式來設定網頁伺服器。

備註

這些步驟已在執行 Windows Server 2012 R2作系統的網頁伺服器上進行測試。

1. 安裝 Web Server 角色和 Windows Identity Foundation

2. 安裝 Windows Identity Foundation SDK

3. 在 IIS 中設定簡單的宣告應用程式

4. 在聯邦伺服器上建立信賴方信任

安裝 Web Server 角色和 Windows Identity Foundation

1. 備註

   您必須能夠存取 Windows Server 2012 R2 安裝媒體。

   使用 administrator@contoso.com 和密碼 pass@word1登入 WebServ1。

2. 在 [伺服器管理員] 的 [快速入門] 索引卷 標上，於 [儀錶板] 頁面上的 [歡迎] 圖格上，按兩下 [[新增角色和功能]。 或者，您可以在 [管理 ] 功能表上單擊 [[新增角色和功能]。

3. 在開始前準備頁面上，按一下下一步。

4. 在 [選取安裝類型] 頁面上，按一下 [以角色為基礎或以功能為基礎的安裝]，然後按一下 下一步。

5. 在 [選取目的地伺服器] 頁面上，按一下 [從伺服器集區選取伺服器]，確認已選取目標電腦，然後按一下 [下一步]。

6. 在 [選取伺服器角色] 頁面上，選取 [網頁伺服器 （IIS）旁的複選框，單擊 [新增功能]，然後按兩下 [下一步]。

7. 在 [選取功能] 頁面上，選取 [Windows Identity Foundation 3.5]，然後按一下 [下一步] 。

8. 在 [Web 伺服器角色（IIS）] 頁面上，按一下 [下一步] 。

9. 在 [選取角色服務] 頁面上，選取並展開 [應用程式開發]。 選取 [ASP.NET 3.5]，按一下 [新增功能]，然後按一下 [下一步]。

10. 在 [確認安裝選取專案] 頁面上，按一下 [指定替代來源路徑]。 輸入 Windows Server 2012 R2 安裝媒體中 Sxs 目錄的路徑。 例如 D：\Sources\Sxs。 按一下 [確定] ，然後按一下 [安裝] 。

安裝 Windows Identity Foundation SDK

1. 執行 WindowsIdentityFoundation-SDK-3.5.msi 以安裝 Windows Identity Foundation SDK 3.5。 選擇所有預設選項。

在 IIS 中設定簡單的憑證應用程式

1. 在計算機證書存儲中安裝有效的SSL憑證。 憑證應包含網頁伺服器的名稱，webserv1.contoso.com。

2. 將 C：\Program Files （x86）\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp 的內容複製到 C：\Inetpub\Claimapp。

3. 編輯 Default.aspx.cs 檔案，以確保不會進行任何宣告篩選。 此步驟會執行，以確保範例應用程式會顯示同盟伺服器發出的所有宣告。 執行下列動作：

   1. 在文字編輯器中開啟 Default.aspx.cs。

   2. 搜尋檔案中第二次出現的 ExpectedClaims。

   3. 將整個 IF 語句及其大括號註解掉。 在行開頭輸入 「「來指出批注（不含引號）。

   4. 您的 FOREACH 語句現在看起來應該像這個程式代碼範例。

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      

   5. 儲存並關閉 Default.aspx.cs。

   6. 在文字編輯器中開啟 web.config。

   7. 拿掉整個 <microsoft.identityModel> 區段。 從 including <microsoft.identityModel> 開始，移除一切內容，直至並包括 </microsoft.identityModel>。

   8. 儲存並關閉 web.config。

4. 設定 IIS 管理工具

   1. 開啟 Internet Information Services （IIS） 管理器。

   2. 移至 [應用程式集區]，以滑鼠右鍵按兩下 [DefaultAppPool]，選取 [進階設定]。 將 [使用者配置檔] 設定為 [True ]，然後點擊 [確定] 。

   3. 以滑鼠右鍵按兩下 defaultAppPool ，以選取 [基本設定] 。 將 .NET CLR 版本 變更為 .NET CLR 版本 v2.0.50727。

   4. 以滑鼠右鍵按 預設網站 選取 [編輯繫結]。

   5. 使用您安裝的 SSL 憑證，將 HTTPS 系結新增至埠 443。

   6. 以滑鼠右鍵按下 [預設網站 ]，然後選擇 [新增應用程式]。

   7. 將別名設定為 claimapp，並將實體路徑設定為 c：\inetpub\claimapp。

5. 若要將 claimapp 設定以在同盟伺服器上運作，請執行下列動作：

   1. 執行 FedUtil.exe，其位於 C：\Program Files （x86）\Windows Identity Foundation SDK\v3.5中。

   2. 將應用程式組態位置設定為 C:\inetpub\claimapp\web.config，並將應用程式 URI 設定為網站的 URL，https://webserv1.contoso.com /claimapp/。 按一下 [下一步]。

   3. 選擇[使用現有的 STS，並瀏覽至 AD FS 伺服器的元資料 URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml。 按一下 [下一步]。

   4. 選取 [停用憑證鏈結驗證]，然後按兩下 [下一步]。

   5. 選取 [[沒有加密]，然後按兩下 [下一步]。 在 提供的宣告 頁面上，按一下 下一步。

   6. 選取 排程工作的複選框，以執行每日的 WS-Federation 元數據更新。 按一下完成。

   7. 您的範例應用程式現已設定完成。 如果您測試應用程式 URL https://webserv1.contoso.com/claimapp，它應該會將您重新導向至同盟伺服器。 同盟伺服器應該會顯示錯誤頁面，因為您尚未設定信賴方信任。 換句話說，您尚未透過AD FS保護此測試應用程式。

您現在必須使用AD FS來保護在 Web 伺服器上執行的範例應用程式。 您可以透過在您的同盟伺服器（ADFS1）上新增信賴方信任來完成此操作。 如需影片，請參閱 Active Directory 同盟服務 How-To 影片系列：新增信賴方信任。

在同盟伺服器上建立信賴方信任

1. 在同盟伺服器 （ADFS1） 的 AD FS 管理控制台中，流覽至 [信賴憑證者信任]，然後按兩下 [新增信賴憑證者信任]。

2. 在 [選取數據源] 頁面上，選取 [[匯入在線發行的信賴憑證者數據] 或 [] ，輸入 [claimapp的元數據 URL]，然後按兩下 [下一步] []。 執行 FedUtil.exe 建立元數據 .xml 檔案。 它位於 https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml。

3. 在 [指定顯示名稱] 頁面上，指定信賴憑證者信任的 [顯示名稱]、[claimapp]，然後按一下 [下一步]。

4. 在 [立即設定 Multi-Factor Authentication？ 頁面，選取 [我不想指定此信賴憑證者信任的多重要素驗證設定，此時，然後按兩下 [下一步]。

5. 在 選擇發行授權規則 頁面上，選取 允許所有使用者存取此信賴方，然後按一下 下一步。

6. 在 [準備新增信任] 頁面上，按兩下 [下一步]。

7. 在 [編輯宣告規則] 對話框中，按一下 [新增規則]。

8. 在 [選擇規則類型] 頁面上，選取 [使用自定義規則傳送宣告項目]，然後按一下 [下一步]。

9. 在 [設定宣告規則] 頁面上，於 [宣告規則名稱] 方塊中，輸入 [所有宣告]。 在 [自定義規則] 方塊中，輸入下列宣告規則。

   c:[ ]
   => issue(claim = c);
   
   

10. 按一下 [完成]，然後按一下 [確定]。

步驟 4：設定用戶端電腦 （Client1）

設定另一部虛擬機並安裝 Windows 8.1。 此虛擬機必須與其他機器位於相同的虛擬網路上。 此電腦不應加入 Contoso 網域。

客戶端必須信任用於同盟伺服器（ADFS1）的 SSL 憑證，這是在 步驟 2：使用裝置註冊服務設定同盟伺服器（ADFS1）時設置的。 它也必須能夠驗證憑證吊銷資訊。

您也必須設定並使用Microsoft帳戶登入 Client1。

另請參閱

• Active Directory Federation Services How-To 影片系列：安裝 AD FS 伺服器陣列
• Active Directory Federation Services How-To 影片系列：更新憑證
• Active Directory 聯盟服務 How-To 影片系列：新增信賴方信任關係
• Active Directory 同盟服務 How-To 影片系列：啟用裝置註冊服務
• Active Directory Federation Services How-To 影片系列：安裝網路應用程式代理