Exportovat (0) Tisk
Rozbalit vše

Naplánování a nasazení služby AD FS 2.0 pro použití s jednotným přihlašováním

Publikováno: červen 2012

Aktualizováno: červen 2012

Platí pro: Office 365, Windows Intune

notePoznámka
V tomto tématu je k dispozici obsah online nápovědy, který se vztahuje na více cloudových služeb společnosti Microsoft, včetně služby Windows Intune a služeb Office 365.

Tento článek poskytuje pokyny ohledně efektivního plánování a nasazení pro správce cloudové služby společnosti Microsoft, kteří dle svého zjištění potřebují přístup prostřednictvím jednotného přihlašování a kteří momentálně nemají ve své organizaci nasazenu infrastrukturu služby Active Directory Federation Services (AD FS) 2.0.

Pokud momentálně máte provozní prostředí služby AD FS 2.0 a chtěli byste uživatelům k některým cloudovým službám společnosti Microsoft poskytnout přístup prostřednictvím jednotného přihlašování, můžete přejít přímo k dalšímu kroku: Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0.

Další přehled a informace o konfiguraci týkající se služby AD FS 2.0 naleznete v části 7. Další krok a odkazy.

Přehled řešení jednotného přihlašování služby AD FS 2.0 pro cloudové služby společnosti Microsoft

Můžete nasadit novou infrastrukturu služby AD FS 2.0 a poskytnout tak uživatelům služby Active Directory, kteří jsou přihlášeni počítačům k nacházejícím se fyzicky v podnikové síti nebo kteří jsou k podnikové síti přihlášeni vzdáleně, přístup ke cloudovým službám společnosti Microsoft prostřednictvím jednotného přihlašování pomocí jejich pověření podnikové domény.

Po místním nasazení provozního prostředí služby AD FS 2.0 bude třeba vytvořit vztah důvěryhodnosti předávající strany mezi federační serverovou farmou služby AD FS 2.0 a službou Windows Azure Active Directory. Tento vztah důvěryhodnosti předávající strany funguje jako zabezpečený kanál, jímž mohou ověřovací tokeny bezpečně procházet mezi vaší organizací a službou Windows Azure AD a vytvořit tak přístup ke cloudovým službám společnosti Microsoft, které máte předplaceny, prostřednictvím jednotného přihlašování.

Následující obrázek ilustruje způsob, jímž mohou místní uživatele služby Active Directory získat nezbytné ověřovací tokeny z místních federačních serverů služby AD FS 2.0, které mohou požadavek uživatele přesměrovat prostřednictvím důvěryhodnosti předávající strany a umožnit jim přístup ke cloudovým službám společnosti Microsoft prostřednictvím jednotného přihlašování.

Důvěryhodnost předávající strany se službou Windows Azure AD

Postupujte podle následujících kroků:

1. Seznámit se s kontrolním seznamem pro nasazení služby AD FS 2.0

Tento článek využívá řadu kontrolních seznamů, které vás v rámci nasazení pomohou provést jednotlivými důležitými úkoly. Je důležité, abyste se jimi řídili v chronologickém pořadí, neboť vám to umožní implementovat provozní prostředí služby AD FS 2.0, které může poskytovat přístup ke cloudové službě prostřednictvím jednotného přihlašování. Následující kontrolní seznam nejvyšší úrovně obsahuje úkoly nasazení na vysoké úrovni, které jsou nezbytné pro nejefektivnější místní nasazení nové infrastruktury služby AD FS 2.0.

Kontrolní seznam Krok 1 – Kontrolní seznam 1: Nasazení místní infrastruktury služby AD FS 2.0

 

Úloha nasazení Odkazy na části tohoto článku Dokončeno

1. Prohlédněte si tabulku terminologie služby AD FS 2.0 a seznamte se s termíny používanými v tomto článku.

2. Seznámit se s terminologií služby AD FS 2.0

Zaškrtávací políčko

2. Seznamte se s jednotlivými možnostmi nasazení služby AD FS 2.0, které lze u vašeho nového nasazení použít. Bude třeba zvážit, kolik serverů chcete nasadit a kde bude nutné federační servery a proxy federačního serveru umístit v rámci intranetu či extranetu, případně obojí.

3. Naplánovat nasazení služby AD FS 2.0

Zaškrtávací políčko

3. Seznamte se s požadavky na nasazení služby AD FS 2.0 pro použití se službami cloudová služba. Tyto informace vám pomohou pochopit, jak bude třeba nakonfigurovat podnikovou síťovou infrastrukturu tak, aby u účtů, překladu IP adres, certifikátů atd. podporovala službu AD FS 2.0.

4. Postupovat podle požadavků na nasazení služby AD FS 2.0

Zaškrtávací políčko

4. Nasadit federační serverovou farmu služby AD FS 2.0. Postupy uvedené v této části vás provedou nastavením a konfigurací nejméně dvou počítačů pro roli federačního serveru. Doporučujeme použít federační serverovou farmu obsahující nejméně dva servery, která zajistí odolnost proti chybám a vysokou dostupnost.

5. Nasadit federační serverovou farmu

Zaškrtávací políčko

5. Nasaďte proxy federačního serveru, které umožní klientům připojení z míst mimo podnikovou síť. Postupy v této části vás provedou nastavením jednotlivých počítačů v roli proxy serveru federačního serveru.

6. Nasadit proxy federačního serveru

Zaškrtávací políčko

Po nasazení

Po úspěšném nasazení infrastruktury služby AD FS 2.0 pokračujte krokem Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0. Tento článek vás provede nastavením vztahu důvěryhodnosti předávající strany mezi vašimi novými místními servery služby AD FS 2.0 a službou Windows Azure AD.

Informace týkající se průběžné správy serveru služby AD FS 2.0 – například správy změn certifikátů – naleznete v části Ověření a správa jednotného přihlašování pomocí služby AD FS 2.0.

Další informace (například informace týkající se přizpůsobení přihlašovací stránky služby AD FS 2.0, použití silného ověřování (také nazývaného dvojúrovňové ověřování) či konfigurace reverzních proxy serverů v síti pro službu AD FS 2.0 naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0.

Postupujte podle následujících kroků:

2. Seznámit se s terminologií služby AD FS 2.0

Dříve, než začnete pomocí tohoto obsahu provádět nasazení služby AD FS 2.0 pro jednotné přihlašování ke službám cloudová služba, nejprve doporučujeme seznámit se s termíny služeb AD FS 2.0 používanými v tomto článku.

 

Termín služby AD FS 2.0 Definice

Konfigurační databáze služby AD FS 2.0

Databáze sloužící k uložení veškerých konfiguračních dat, která představují jednu instanci služby AD FS 2.0, neboli služby FS (Federation Service). Tato konfigurační data mohou být uložena pomocí funkce Interní databáze systému Windows (WID), která je součástí systému Windows Server 2008 a Windows Server 2008 R2, nebo pomocí databáze systému Microsoft SQL Server.

Deklarace identity

Prohlášení učiněné jedním subjektem o sobě nebo o jiném subjektu. Toto prohlášení se může týkat například jména, e-mailu, skupiny, oprávnění či schopnosti. Deklarace identity mají poskytovatele, jímž jsou vydávána (v tomto případě zákazník cloudové služby společnosti Microsoft), a je jim přiřazena jedna či více hodnot. Jsou rovněž definována typem hodnoty deklarace identity a případně přidruženými metadaty.

Služba FS (Federation Service)

Logická instance služby AD FS 2.0. Služba FS (Federation Service) může být nasazena jako samostatný federační server nebo jako federační serverová farma s vyrovnaným zatížením. Výchozím názvem služby FS (Federation Service) je název předmětu certifikátu SSL. Název DNS služby FS (Federation Service) musí být použit v názvu předmětu certifikátu protokolu SSL (Secure Sockets Layer).

Federační server

Počítač se spuštěným systémem Windows Server 2008 nebo Windows Server 2008 R2, který byl nakonfigurován tak, aby působil v roli federačního serveru pro službu AD FS 2.0. Federační server slouží jako součást služby FS (Federation Service), která může vydávat, spravovat a ověřovat požadavky na tokeny zabezpečení a správu identit. Tokeny zabezpečení sestávají z kolekce deklarací identity, jako je jméno či role uživatele.

Federační serverová farma

Dva či více federačních serverů v téže síti, které jsou nakonfigurovány tak, aby působily jako jedna instance služby FS (Federation Service).

Proxy federačního serveru

Počítač se spuštěným systémem Windows Server 2008 nebo Windows Server 2008 R2, který byl nakonfigurován tak, aby vystupoval jako zprostředkující služba proxy mezi klientem na Internetu a službou FS (Federation Service) umístěnou za bránou firewall v podnikové síti. Chcete-li umožnit vzdálený přístup k cloudové službě, například pomocí smartphonu, domácího počítače nebo z internetového kiosku, je třeba nasadit proxy federačního serveru.

Předávající strana

Služba FS (Federation Service) nebo aplikace, která při konkrétní transakci využívá deklarace identity.

Důvěryhodnost předávající strany

V modulu snap-in Správa služby AD FS 2.0 je důvěryhodnost předávající strany objekt důvěryhodnosti, který je vytvořen za účelem udržování vztahu s jinou službou FS (Federation Service), aplikací či službou (v tomto případě službou Windows Azure Active Directory) využívající deklarace identity od služby FS (Federation Service) vaší organizace.

Vyrovnávač zatížení sítě

Vyhrazená aplikace (například služba Vyrovnávání zatížení sítě) nebo hardwarové zařízení (například vícevrstvý přepínač) použité k zajištění odolnosti proti chybám, vysoké dostupnosti a vyrovnávání zatížení u více uzlů. V případě služby AD FS 2.0 se název DNS clusteru, který jste vytvořili pomocí tohoto vyrovnávače zatížení sítě, musí shodovat s názvem služby FS (Federation Service), který jste uvedli při nasazení prvního federačního serveru ve farmě.

Postupujte podle následujících kroků:

3. Naplánovat nasazení služby AD FS 2.0

Prvním krokem při plánování nasazení služby AD FS 2.0 pro služby cloudová služba společnosti Microsoft je výběr správné topologie nasazení, která splní potřeby vaší organizace týkající se jednotného přihlašování. Služba AD FS 2.0 vyžaduje, abyste k uložení konfiguračních dat služby AD FS 2.0 používaných službou FS (Federation Service) použili buď Interní databázi systému Windows (WID) nebo databázi systému SQL Server.

Doporučenou topologií služby AD FS 2.0 je u většiny zákazníků cloudových služeb společnosti Microsoft využití federační serverové farmy s databází WID a následnou topologií proxy serverů. Dále v této části je také zmíněna pokročilá možnost vytváření federační serverové farmy s proxy servery systému SQL Server.

V této části také najdete tabulku umožňující určit počet serverů AD FS 2.0, které mají být nasazeny ve vaší organizaci, a také informace o možnosti zvýšení výkonu přidáním federačních serverů.

Doporučená topologie: Federační serverová farma s databází WID a proxy servery

Výchozí topologií služeb cloudová služba společnosti Microsoft je federační serverová farma služby AD FS 2.0 sestávající z více serverů hostujících službu FS (Federation Service) vaší organizace. V této topologii využívá služba AD FS 2.0 databázi WID jako konfigurační databázi služby AD FS 2.0 pro všechny federační servery připojené k této farmě. Farma replikuje a spravuje data služby FS (Federation Service) v konfigurační databázi v každém serveru ve farmě.

Vytvořením prvního federačního serveru ve farmě je zároveň vytvořena nová služba FS (Federation Service). Pokud je jako konfigurační databáze služby AD FS 2.0 použita databáze WID, první federační server vytvořený ve farmě se označuje jako primární federační server. To znamená, že tento počítač bude nakonfigurován s kopií konfigurační databáze služby AD FS 2.0 pro čtení i zápis.

Všechny ostatní federační servery nakonfigurované pro tuto farmu se označují jako sekundární federační servery, protože musejí replikovat veškeré změny provedené na primárním federačním serveru ve svých kopiích konfigurační databáze služby AD FS 2.0 jen pro čtení, které jsou na nich lokálně uloženy.

notePoznámka
Doporučujeme použít nejméně dva federační servery v konfiguraci s vyrovnaným zatížením.

Nastavení této základní topologie federační serverové farmy představuje první fázi nasazení služby AD FS 2.0. Druhá fáze spočívá ve stanovení způsobu poskytování funkce řízení přístupu externím uživatelům prostřednictvím nasazení proxy federačního serveru.

Fáze 1: Nasadit federační serverovou farmu

Až budete připraveni zahájit nasazení farmy, měli byste naplánovat umístění všech federačních serverů do podnikové sítě za hostitele služby Vyrovnávání zatížení sítě (NLB), kterého lze nakonfigurovat pro cluster služby Vyrovnávání zatížení sítě s vyhrazeným názvem DNS clusteru a IP adresou clusteru.

ImportantDůležité
Tento název DNS clusteru se musí shodovat s názvem služby FS (Federation Service) (například fs.fabrikam.com) a musí být internetově směrovací pro instanci služby AD FS 2.0, jejíž nasazení provádíte. Pokud se název neshoduje, žádost o ověření nebude směrována na správný server DNS nebo na správný federační server.

Hostitel služby Vyrovnávání zatížení sítě může používat nastavení definovaná v tomto clusteru NLB k přidělení požadavků klientů jednotlivým federačním serverům. Následující diagram zobrazuje, jak by společnost Fabrikam, Inc. mohla nastavit první fázi nasazení pomocí federační serverové farmy o dvou počítačích (fs1 a fs2) s databází WID a umístění serveru služby Vyrovnávání zatížení sítě a jediného hostitele NLB připojeného kabelem k podnikové síti.

Federační serverová farma s úložištěm Interní databáze Windows
notePoznámka
V případě selhání tohoto jediného hostitele služby Vyrovnávání zatížení sítě nebudou mít uživatelé ke cloudové službě přístup. Pokud si váš podnik nemůže dovolit existenci jediného bodu selhání, je třeba přidat další hostitele služby Vyrovnávání zatížení sítě.

Fáze 2: Nasadit proxy federačního serveru

Obecně platí, že proxy federačního serveru slouží k přesměrování požadavků na ověření klienta přicházející z míst mimo podnikovou síť na federační serverovou farmu. V případě zákazníků využívajících cloudovou službu společnosti Microsoft je nasazení proxy serverů federačního serveru do stávající infrastruktury služby AD FS 2.0 nezbytné k umožnění následujících uživatelských scénářů:

  • Pracovní počítač, roaming: Uživatelé, kteří jsou pomocí podnikových pověření přihlášeni k počítačům připojeným k doméně, avšak nejsou připojeni k podnikové síti (např. pracovní počítač doma či v hotelu), mají ke cloudové službě přístup.

  • Domácí nebo veřejný počítač: Používají-li uživatelé počítač, který není připojen k podnikové doméně, je nutné, aby se přihlásili pomocí podnikových pověření a mohli tak přistupovat k jednotlivým cloudovým službám.

  • Smartphone: Chce-li uživatel na svém smartphonu získat přístup ke cloudové službě (například ke službě Microsoft Exchange Online) prostřednictvím protokolu Microsoft Exchange ActiveSync, je nutné, aby se přihlásil prostřednictvím podnikových pověření.

  • Microsoft Outlook a další e-mailoví klienti: Pokud uživatelé používají pro přístup k e-mailu aplikaci Outlook nebo e-mailového klienta, který není součástí Office (např. klienta IMAP nebo POP), je nutné, aby se přihlásili pomocí svých podnikových pověření, aby měli přístup ke svým e-mailům v rámci služeb Office 365.

Za účelem zajištění podpory těchto uživatelských scénářů bude tato druhá fáze stavět na výše probírané fázi 1 nasazení, a to přidáním dvou proxy federačního serveru, poskytnutím přístupu k serveru DNS v hraniční síti a přístupu k druhému hostiteli služby Vyrovnávání zatížení sítě v hraniční síti.

Druhý hostitel služby Vyrovnávání zatížení sítě musí být konfigurován s clusterem služby Vyrovnávání zatížení sítě využívajícím internetově přístupnou IP adresu clusteru a musí využívat tentýž název DNS clusteru jako předchozí cluster služby Vyrovnávání zatížení sítě, který jste nakonfigurovali v podnikové síti ve fázi 1 (fs.fabrikam.com). Proxy federačního serveru budou rovněž nakonfigurovány s internetově přístupnými IP adresami.

Následující diagram zobrazuje stávající nasazení ve fázi 1 a dále způsob, jímž by společnost Fabrikam, Inc. mohla poskytovat přístup k hraničním serverům DNS, přidat druhého hostitele služby Vyrovnávání zatížení sítě se stejným názvem DNS clusteru (fs.fabrikam.com) a přidat dva proxy federačního serveru (fsp1 a fsp2) do hraniční sítě.

Federační serverová farma
notePoznámka
  • Chcete-li publikovat službu AD FS 2.0 na extranet, můžete použít reverzní proxy server HTTP od třetích stran. Další informace o tom, jak to provést, naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0.

  • Veškerá komunikace služby AD FS 2.0 procházející bránou firewall je založena na protokolu HTTPS.

  • V rámci služby AD FS 2.0 můžete vytvářet vlastní pravidla deklarace identity, na základě kterých bude omezen přístup uživatelů ke cloudové službě podle fyzické polohy klientského počítače nebo klientského zařízení, prostřednictvím kterého uživatel získává přístup. Další informace o tom, jak tato pravidla vytvářet, naleznete v tématu Omezování přístupu ke službám Office 365 na základě fyzické polohy klienta.

Rozšířená možnost: Federační serverová farma se systémem SQL Server a proxy servery

Toto je rozšířená možnost topologie nasazení služby AD FS 2.0, která využívá proxy federačního serveru a konfiguraci serveru SQL Server, aby všem serverům ve farmě umožnila čtení a zápis do společné databáze serveru SQL Server. Použití databáze serveru SQL Server jako konfigurační databáze služby AD FS 2.0 má oproti databázi WID následující výhody:

  • Funkce vysoké dostupnosti systému SQL Server, které mohou správci využít

  • Další zlepšení výkonu, včetně schopnosti zvýšit rozsah pomocí více než pěti federačních serverů (databáze WID je omezena na pět federačních serverů na jednu farmu).

  • Geografické vyrovnání zatížení, které pomáhá zajistit zvýšení pro vysoký provoz na základě umístění.

notePoznámka
Vzhledem k tomu, že tato topologie představuje rozšířenou možnost nasazení služby AD FS 2.0, tento článek se podrobnostmi fungování této topologie ani způsobem jejího nasazení nezabývá.

Další informace týkající se této možnosti topologie naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0.

Tabulka odhadů: Stanovení počtu serverů služby AD FS 2.0 k nasazení v organizaci

Můžete použít následující tabulku, které vám pomůže odhadnout minimální počet federačních serverů a proxy federačního serveru služby AD FS 2.0, které bude třeba umístit do federační serverové farmy nakonfigurované s databází WID v rámci celé podnikové síťové infrastruktury, a to podle počtu uživatelů, kteří budou potřebovat přístup prostřednictvím jednotného přihlašování (včetně vzdáleného přístupu) ke službám cloudová služba.

notePoznámka
Ve všech počítačích, které budou nakonfigurovány pro roli federačního serveru nebo proxy federačního serveru, musí být spuštěn operační systém Windows Server 2008 nebo Windows Server 2008 R2.

Doporučujeme použít jeden federační server k zajištění zálohy. Následující tabulka toto doporučení zohledňuje.

 

Počet uživatelů přistupujících ke službám cloudová služba Minimální počet serverů, které je třeba nasadit Doporučení a kroky

Méně než 1 000 uživatelů

0 vyhrazené federační servery

0 vyhrazené proxy federačního serveru

1 vyhrazený server služby Vyrovnávání zatížení sítě

V případě federačních serverů použijte dva stávající řadiče domény služby Active Directory a oba nakonfigurujte pro roli federačního serveru. Chcete-li takto postupovat, nejprve vyberte dva stávající řadiče domény a poté:

  1. Na obou řadičích domény nainstalujte službu AD FS 2.0.

  2. Jeden konfigurujte jako první federační server v nové farmě.

  3. Druhý připojte k federační serverové farmě.

V případě služby Vyrovnávání zatížení sítě nakonfigurujte stávajícího hostitele služby Vyrovnávání zatížení sítě nebo získejte vyhrazený server, poté na něj nainstalujte roli serveru služby Vyrovnávání zatížení sítě a následně tento server služby Vyrovnávání zatížení sítě nakonfigurujte.

V případě proxy federačního serveru použijte dva stávající webové nebo proxy servery a oba nakonfigurujte pro roli proxy federačního serveru. Chcete-li takto postupovat, vyberte dva stávající webové nebo proxy servery, které jsou umístěny v extranetu, a poté:

  1. Na obou serverech instalujte službu AD FS 2.0.

  2. Konfigurujte je pro roli federačního proxy serveru.

  3. Do jednoho z federačních proxy serverů instalujte roli serveru NLB nebo konfigurujte stávajícího hostitele NLB.

notePoznámka
Pokud nemáte dva stávající řadiče domény a dva webové nebo proxy servery, nebo pokud na nich není spuštěn systém Windows Server 2008 nebo Windows Server 2008 R2, měli byste namísto toho nasadit vyhrazené servery, jak je popsáno v následujícím řádku této tabulky.

1 000 až 15 000 uživatelů

2 vyhrazené federační servery

2 vyhrazené proxy federačního serveru

V případě federačních serverů získejte dva vyhrazené servery a poté:

  1. Na obou serverech instalujte službu AD FS 2.0.

  2. Jeden konfigurujte jako první federační server v nové farmě.

  3. Připojit k prvnímu serveru do farmy.

  4. Do jednoho z federačních serverů nainstalujte roli serveru služby Vyrovnávání zatížení sítě nebo nakonfigurujte stávajícího hostitele služby Vyrovnávání zatížení sítě.

V případě federačních serverů získejte dva vyhrazené servery, které můžete umístit na extranet:

  1. Na obou serverech instalujte službu AD FS 2.0.

  2. Konfigurujte je pro roli federačního proxy serveru.

  3. Do jednoho z federačních proxy serverů instalujte roli serveru NLB nebo konfigurujte stávajícího hostitele NLB.

15 000 až 60 000 uživatelů

Od 3 do 5 vyhrazených federačních serverů

Nejméně 2 vyhrazené proxy federačního serveru

Každý vyhrazený federační server může podporovat přibližně 15 000 uživatelů. Proto na každých 15 000 uživatelů, kteří budou vyžadovat přístup ke službám cloudová služba, přidejte další vyhrazený federační server k výše popsanému základnímu nasazení dvou federačních serverů, a to až do maximálního počtu pěti federačních serverů ve farmě nebo 60 000 uživatelů.

notePoznámka
Federační serverová farma služby AD FS 2.0 konfigurovaná k používání databáze WID podporuje nejvýše pět federačních serverů. Potřebujete-li více než pět federačních serverů, musíte nakonfigurovat databázi serveru SQL Server k uložení konfigurační databáze služby AD FS 2.0. Další informace týkající se této možnosti naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0.

Doporučení týkající se minimálního počtu uživatelů k serverům uvedená v předchozí tabulce jsou vypočtena na základě následujícího hardwaru:

 

Hardware Specifikace

Rychlost procesoru

Procesor Dual Quad Core 2,27 GHz (8 jader)

RAM

4 gigabajty (GB)

Síť

Gigabit

Přidání federačních serverů pro zvýšení výkonnosti

Jsou-li ve farmě využívající technologii služby Vyrovnávání zatížení sítě nakonfigurovány dva nebo více federačních serverů, mohou pracovat nezávisle a pomoci zpracovat zatížení příchozími požadavky uživatelů na službu FS (Federation Service) služby AD FS 2.0, aniž by došlo ke snížení celkového výkonu služby jako celku. Poté, co jste ve své síti strategicky nasadili původní federační servery, je proto přidání dalších federačních serverů do stávajícího provozního prostředí spojeno s nízkou režií.

Postupujte podle následujících kroků:

4. Postupovat podle požadavků na nasazení služby AD FS 2.0

Má-li nové nasazení služby AD FS 2.0 úspěšně vytvořit důvěryhodnost předávající strany se službami Windows Azure AD, je nejdříve třeba zajistit, aby byla vaše podniková síťová infrastruktura nakonfigurována k podpoře požadavků služby AD FS 2.0 týkajících se účtů, překladu adres IP a certifikátů. Služba AD FS 2.0 má následující typy požadavků:

  • Požadavky na software

  • Požadavky na certifikát

  • Požadavky sítě

Požadavky na software

Software služby AD FS 2.0 musí být nainstalován v každém počítači, který připravujete pro roli federačního serveru nebo proxy federačního serveru. Tento software můžete nainstalovat buď pomocí průvodce instalací služby AD FS 2.0, nebo provedením tiché instalace pomocí parametru adfssetup.exe /quiet v příkazovém řádku.

Jako základní instalační platformu vyžaduje služba AD FS 2.0 operační systém Windows Server 2008 nebo Windows Server 2008 R2. Služba AD FS 2.0 má pro každý z těchto operačních systémů samostatný instalační balíček.

Předpoklady

Během procesu instalace služby AD FS 2.0 se průvodce instalací pokusí automaticky zkontrolovat a případně nainstalovat potřebné aplikace i závislé opravy hotfix. Průvodce instalací ve většině případů nainstaluje všechny aplikace potřebné pro provoz a instalaci služby AD FS 2.0 .

Existuje však jedna výjimka: pokud instalujete službu AD FS 2.0 na platformě Windows Server 2008. Pokud k tomu při vaší situaci nasazení dojde, nejprve bude třeba zajistit, aby na serverech se spuštěným systémem Windows Server 2008 bylo nainstalováno rozhraní .NET 3.5 SP1, a až poté nainstalovat software AD FS 2.0. Toto rozhraní je totiž nezbytným předpokladem instalace služby AD FS 2.0 a nebude na této platformě průvodcem instalací služby AD FS 2.0 nainstalováno automaticky. Není-li rozhraní .NET 3.5 SP1 nainstalováno, průvodce instalací služby AD FS 2.0 zabrání instalaci softwaru AD FS 2.0.

Opravy hotfix

Je možné, že po instalaci služby AD FS 2.0 bude třeba nainstalovat opravy hotfix služby AD FS 2.0. Další informace naleznete v tématu Popis kumulativní aktualizace 1 pro službu AD FS (Active Directory Federation Services) 2.0.

Virtualizace

Služba AD FS 2.0 podporuje softwarovou virtualizaci role federačního serveru i role proxy federačního serveru. Chcete-li zajistit zálohu, doporučujeme uložit jednotlivé virtuální počítače služby AD FS 2.0 na samostatných virtuálních fyzických serverech.

Další informace týkající se nastavení prostředí virtuálního serveru pomocí technologie virtualizace společnosti Microsoft naleznete v příručce Začínáme s technologií Hyper-V.

Požadavky na certifikát

Nejdůležitější roli při zajišťování komunikace mezi federačními servery, proxy federačního serveru, službami cloudová služba a webovými klienty hrají certifikáty. Požadavky na certifikáty se liší - podle toho, zda nastavujete počítač federačního serveru nebo proxy federačního serveru - jak je popsáno v následujících tabulkách.

Certifikáty federačního serveru

Federační servery vyžadují certifikáty uvedené v následující tabulce.

 

Typ certifikátu Popis Co je nutné před nasazením vědět

Certifikát protokolu SSL (také označovaný jako ověřovací certifikát serverů)

Toto je standardní certifikát protokolu SSL (Secure Sockets Layer), který se používá k zabezpečení komunikace mezi federačními servery, klienty a počítači proxy federačního serveru.

Služba AD FS 2.0 vyžaduje při konfiguraci nastavení federačního serveru certifikát protokolu SSL. Ve výchozím nastavení služba AD FS 2.0 používá certifikát protokolu SSL, který byl nakonfigurován pro výchozí web v Internetové informační službě (IIS).

Název předmětu tohoto certifikátu protokolu SSL slouží ke stanovení názvu služby FS (Federation Service) pro jednotlivé vámi nasazené instance služby AD FS 2.0. Z tohoto pro vás může být výhodné zvážit u každého nového certifikátu vydaného certifikační autoritou (CA) výběr Názvu předmětu, který nejlépe reprezentuje název vaší společnosti nebo organizace vůči službám cloudová služba a tento název musí být internetově směrovací. V diagramu znázorněném dříve v tomto článku (viz Fáze 2) by například název předmětu certifikátu byl fs.fabrikam.com.

ImportantDůležité
Služba AD FS 2.0 vyžaduje, aby tento certifikát protokolu SSL byl bez Názvu předmětu bez tečky (krátký název).

Požadováno: Vzhledem k tomu, že tomuto certifikátu musí důvěřovat klienti služby AD FS 2.0 a cloudové služby společnosti Microsoft, použijte certifikát protokolu SSL vydaný veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou, která je podřízená veřejně důvěryhodné kořenové certifikační autoritě, například VeriSign nebo Thawte.

Podpisový certifikát tokenu

Toto je standardní certifikát X.509 používaný k bezpečnému podepisování všech tokenů, které federační server vydá a které služby cloudová služba přijmou a ověří.

Podpisový certifikát tokenu musí obsahovat privátní klíč a měl by být řetězen k důvěryhodné kořenové certifikační autoritě ve službě FS (Federation Service). Ve výchozím nastavení služba AD FS 2.0 vytváří certifikát podepsaný svým držitelem (self-signed certificate). V závislosti na potřebách své organizace však můžete toto nastavení později změnit na certifikát vydaný certifikační autoritou, a to pomocí modulu snap-in Správa služby AD FS 2.0.

Doporučení: Použijte podpisový certifikát tokenu podepsaný svým držitelem (self-signed certificate) vytvořený službou AD FS 2.0. Pokud tak učiníte, služba AD FS 2.0 bude tento certifikát ve výchozím nastavení spravovat za vás. Přiblíží-li se například konec platnosti certifikátu, služba AD FS 2.0 s předstihem vytvoří a bude používat nový certifikát podepsaný svým držitelem (self-signed certificate).

CautionUpozornění
Podpisový certifikát tokenu má zásadní význam pro stabilitu služby FS (Federation Service). Dojde-li k jeho změně, tuto změnu je třeba oznámit službám cloudová služba. V opačném případě se žádosti zaslané cloudové službě nezdaří. Další informace týkající se správy certifikátů ve federační serverové farmě služby AD FS 2.0 a cloudové službě naleznete v tématu Aktualizace vlastností důvěryhodnosti.

Certifikáty proxy federačního serveru

Proxy federačního serveru vyžadují certifikát uvedený v následující tabulce.

 

Typ certifikátu Popis Co je nutné před nasazením vědět

Certifikát protokolu SSL

Toto je standardní certifikát protokolu SSL, který se používá k zabezpečení komunikace mezi federačním serverem, proxy federačního serveru a internetovými klientskými počítači.

Tento certifikát musí být vázán na výchozí web ve službě IIS, jinak nebude možné úspěšně spustit Průvodce konfigurací proxy federačního serveru služby AD FS 2.0.

Tento certifikát musí mít stejný název předmětu jako certifikát protokolu SSL nakonfigurovaný na federačním serveru v podnikové síti.

Doporučení: Použijte stejný ověřovací certifikát serverů, který je nakonfigurován na federačním serveru, k němuž se tento proxy federačního serveru bude připojovat.

Další informace týkající se certifikátů používaných federačními servery a proxy servery federačního serveru naleznete v tématu Průvodce návrhem služby AD FS 2.0.

Požadavky sítě

Správná konfigurace následujících síťových služeb je kritická pro úspěšné nasazení služby AD FS 2.0 ve vaší organizaci.

Připojení k síti protokolem TCP/IP

Má-li služba AD FS 2.0 fungovat, mezi klientem, řadiči domény, federačními servery a proxy federačního serveru musí existovat připojení k síti prostřednictvím protokolu TCP/IP.

Služba DNS

Primární síťová služba (kromě služby Active Directory), která je pro provoz služby AD FS 2.0 kritická, je služba DNS (Domain Name System). Je-li nasazena služba DNS, uživatelé mohou používat snadno zapamatovatelné názvy počítačů k připojení k počítačům a dalším zdrojům na sítích protokolu IP.

Proces aktualizace služby DNS tak, aby podporovala službu AD FS 2.0, spočívá v nakonfigurování:

  • Interních serverů DNS v podnikové síti tak, aby překládaly název DNS clusteru do IP adresy clusteru pro cluster služby Vyrovnávání zatížení sítě, který nakonfigurujete v hostiteli služby Vyrovnávání zatížení sítě podnikové sítě. Například přeložení názvu fs.fabrikam.com do adresy 172.16.1.3.

  • Servery DNS hraniční sítě tak, aby překládaly název DNS clusteru do IP adresy clusteru pro cluster služby Vyrovnávání zatížení sítě, který nakonfigurujete v hraničním hostiteli služby Vyrovnávání zatížení sítě. Například přeložení názvu fs.fabrikam.com do adresy 192.0.2.3.

Požadavky služby Vyrovnávání zatížení sítě

Služba služby Vyrovnávání zatížení sítě je vyžadována k zajištění odolnosti proti chybám, vysoké dostupnosti a vyrovnávání zatížení u více uzlů. To lze realizovat pomocí hardwaru, softwaru nebo kombinace obou. Je třeba, abyste nastavili záznamy o prostředku DNS na základě názvu služby FS (Federation Service) pro cluster služby Vyrovnávání zatížení sítě, tak aby plně kvalifikovaný název domény clusteru (v tomto článku též označovaný jako název DNS clusteru) byl překládán na IP adresu clusteru.

Obecné informace týkající se IP adresy clusteru služby Vyrovnávání zatížení sítě a plně kvalifikovaného názvu domény clusteru naleznete v tématu Zadání parametrů clusteru.

Využití rozšířené ochrany ověřování

Mají-li vaše počítače rozšířenou ochranu ověřování a vy používáte prohlížeč Firefox, Chrome nebo Safari, je možné, že se nebudete moci přihlásit ke službám cloudová služba z místa uvnitř podnikové sítě pomocí integrovaného ověřování systému Windows. Pokud tato situace nastane, je možné, že vaši uživatelé budou pravidelně vyzýváni k přihlášení. Dochází k tomu z důvodu výchozí konfigurace (v systému Windows 7 a v opravených klientských operačních systémech) pro službu AD FS 2.0 a rozšířené ochrany ověřování.

Dokud nebudou prohlížeče Firefox, Chrome a Safari podporovat rozšířenou ochranu ověřování, doporučujeme na všech klientech přistupujících ke cloudovým službám nainstalovat a používat aplikaci Windows Internet Explorer 8. Chcete-li použít jednotné přihlašování pro služby cloudová služba s prohlížečem Firefox, Chrome nebo Safari, existují ještě dvě další řešení. Pokud však některý z těchto přístupů použijete, může dojít k problémům se zabezpečením. Další informace naleznete v tématu Poradenství společnosti Microsoft v oblasti zabezpečení: Rozšířená ochrana ověřování. Řešení zahrnují:

  • Odinstalace opravy umožňující rozšířenou ochranu z počítače.

  • Změna nastavení rozšířené ochrany ověřování na serveru služby AD FS 2.0. Další informace naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0.

  • Změna konfigurace webové stránky nastavení ověřování služby AD FS 2.0 na každém federačním serveru z integrovaného ověřování systému Windows na používání ověřování pomocí formulářů

Postupujte podle následujících kroků:

5. Nasadit federační serverovou farmu

Nejdůležitější operace, kterou musíte provést, chcete-li uživatelům poskytnout přístup ke službám cloudová služba prostřednictvím jednotného přihlašování, je nasazení nové federační serverové farmy služby AD FS 2.0. Doporučujeme nasadit nejméně dva federační servery, aby byla zajištěna odolnost proti chybám, vyrovnávání zatížení a škálovatelnost podle provozního prostředí služby AD FS 2.0 vaší organizace.

Následující kontrolní seznamy zahrnují úkoly v rámci přípravy a nasazení, které jsou nezbytné pro vytvoření prvního federačního serveru služby AD FS 2.0 v nové farmě, vytvoření druhého federačního serveru a následné připojení druhého federačního serveru k farmě.

notePoznámka
  • Úkoly obsažené v těchto kontrolních seznamech proveďte v daném pořadí. Pokud vás referenční odkaz zavede k nějakému postupu, po dokončení kroků daného postupu se vraťte k tomuto tématu a pokračujte v ostatních úkolech obsažených v tomto kontrolním seznamu.

  • Pokud není uvedeno jinak, provedení všech úkolů pomocí postupů uvedených v této části vyžaduje, abyste nejprve byli přihlášeni k počítači jako členové skupiny Administrators nebo aby vám byla delegována odpovídající oprávnění.

Kontrolní seznam Krok 5 – Kontrolní seznam 1: Příprava síťové infrastruktury na federační servery

 

Úloha nasazení Odkazy na témata v této části Dokončeno

1. Počítače, které se stanou federačními servery, připojte k doméně, na níž budou ověřováni uživatelé služby Active Directory.

notePoznámka
Pokud budete používat stávající řadiče domény jako federační servery, tento krok můžete ignorovat.

Připojení počítače k doméně

Zaškrtávací políčko

2. Vytvořte a nakonfigurujte nový název DNS clusteru služby Vyrovnávání zatížení sítě nebo použijte stávající cluster služby Vyrovnávání zatížení sítě v podnikové síti, který bude nová federační serverová farma využívat. Poté přidejte počítače federačního serveru ke clusteru služby Vyrovnávání zatížení sítě. Pokud používáte pro své stávající hostitele služby Vyrovnávání zatížení sítě technologii Windows Server, vyberte podle vaší verze operačního systému příslušný odkaz na pravé straně.

Pokud budete chtít vytvořit a nakonfigurovat clustery služby Vyrovnávání zatížení sítě v systému Windows Server 2003 a Windows Server 2003 R2, naleznete další informace v tématu Kontrolní seznam: Povolení a konfigurace služby Vyrovnávání zatížení sítě. Chcete-li vytvořit a konfigurovat clustery služby Vyrovnávání zatížení sítě v systému Windows Server 2008, najdete další informace v tématu Vytvoření clusterů služby Vyrovnávání zatížení sítě.

Chcete-li vytvořit a konfigurovat clustery služby Vyrovnávání zatížení sítě v systému Windows Server 2008 R2, najdete další informace v tématu Vytvoření clusterů služby Vyrovnávání zatížení sítě.

Zaškrtávací políčko

3. Vytvořte nový záznam o prostředku pro název DNS clusteru v systému DNS podnikové sítě, který nasměruje plně kvalifikovaný název domény clusteru služby Vyrovnávání zatížení sítě na jeho IP adresu clusteru.

Přidání záznamu o prostředku k podnikovému systému DNS pro název DNS clusteru nakonfigurovaný na podnikovém hostiteli služby Vyrovnávání zatížení sítě

Zaškrtávací políčko

4. Importujte ověřovací certifikát serverů na výchozí web jednotlivých federačních serverů ve farmě.

notePoznámka
Instalace tohoto certifikátu na výchozí web je vyžadována předtím, než budete moci použít Průvodce konfigurací federačního serveru služby AD FS 2.0.

Import ověřovacího certifikátu serverů na výchozí web

Zaškrtávací políčko

5. Vytvořte a nakonfigurujte vyhrazený účet služby ve službě Active Directory, kde bude umístěna federační serverová farma, a jednotlivé federační servery v této farmě nakonfigurujte tak, aby tento účet používaly.

Vytvoření vyhrazeného účtu služby pro federační serverovou farmu

Zaškrtávací políčko

Kontrolní seznam Krok 5 – Kontrolní seznam 2: Nasadit federační serverovou farmu

 

Úloha nasazení Odkazy na témata v této části Dokončeno

1. Nainstalujte software služby AD FS 2.0 a opravy hotfix služby AD FS 2.0 do počítačů, které se stanou federačními servery.

Instalace softwaru služby AD FS 2.0

Zaškrtávací políčko

2. Nakonfigurujte software služby AD FS 2.0 v jednom z počítačů tak, aby vystupoval v roli federačního serveru. Postupujte podle těchto kroků a vytvořte první federační server v nové farmě.

Konfigurace prvního federačního serveru ve federační serverové farmě

Zaškrtávací políčko

3. Nakonfigurujte druhý federační server pomocí stejných výše uvedených kroků a poté přeskočte na tento úkol a pomocí postupu uvedeného vpravo připojte nový federační server k nové farmě.

Přidání federačního serveru k federační serverové farmě

Zaškrtávací políčko

4. Z klientského počítače ověřte, že jsou federační servery funkční.

Ověření funkčnosti federačního serveru

Zaškrtávací políčko

Připojení počítače k doméně

Má-li služba AD FS 2.0 fungovat, jednotlivé počítače fungující jako federační servery musí být připojeny k doméně. Proxy federačního serveru mohou být připojeny k doméně, avšak není to vyžadováno.

Postup připojení počítače k doméně

  1. V počítači, který chcete připojit k doméně, klikněte na položku Start, klikněte na položku Ovládací panely a poté dvakrát klikněte na položku Systém.

  2. V části Název počítače, doména a nastavení pracovní skupiny klikněte na položku Změnit nastavení.

  3. Na kartě Název počítače klikněte na položku Změnit.

  4. V části Člen klikněte na položku Doména, zadejte název domény, k němuž bude tento počítač připojen, a poté klikněte na tlačítko OK.

  5. Klikněte na tlačítko OK a poté restartujte počítač.

Přidání záznamu o prostředku k podnikovému systému DNS pro název DNS clusteru nakonfigurovaný na podnikovém hostiteli služby Vyrovnávání zatížení sítě

Klienti v podnikové síti mohou úspěšně získat přístup ke službě FS (Federation Service) pouze tehdy, pokud byl nejprve vytvořen záznamu o prostředku hostitele (A) v podnikovém systému DNS (Domain Name System), který přeloží název DNS clusteru služby FS (Federation Service) (například fs.fabrikam.com) do IP adresy clusteru v podnikové síti (například 172.16.1.3). Chcete-li přidat záznamu o prostředku hostitele (A) do podnikového systému DNS pro cluster služby Vyrovnávání zatížení sítě, můžete použít následující postup.

Postup přidání záznamu o prostředku k podnikovému systému DNS pro název DNS clusteru nakonfigurovaný na podnikovém hostiteli služby Vyrovnávání zatížení sítě

  1. Na serveru DNS pro podnikovou síť otevřete modul snap-in systému DNS.

  2. Ve stromu konzoly klikněte pravým tlačítkem myši na příslušnou zónu dopředného vyhledávání (například fabrikam.com) a poté klikněte na položku Nový hostitel (A nebo AAAA).

  3. Do pole Název zadejte pouze název počítače federačního serveru nebo federačního serverového clusteru; v případě plně kvalifikovaného názvu domény fs.fabrikam.com například zadejte fs.

  4. Do pole IP adresa zadejte IP adresu federačního serveru nebo federačního serverového clusteru; například 172.16.1.3.

  5. Klikněte na Přidat hostitele.

    ImportantDůležité
    Předpokládá se, že používáte server DNS se systémem Windows 2000 Server, Windows Server 2003 nebo Windows Server 2008 se službou Server DNS (za účelem řízení zóny DNS).

Import ověřovacího certifikátu serverů na výchozí web

Jakmile od certifikační autority obdržíte ověřovací certifikát serverů, tento certifikát je třeba ručně nainstalovat na výchozí web pro jednotlivé federační servery ve vaší farmě.

Vzhledem k tomu, že tomuto certifikátu musí důvěřovat klienti služby AD FS 2.0 a cloudové služby společnosti Microsoft, použijte certifikát protokolu SSL vydaný veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou, která je podřízená veřejně důvěryhodné kořenové certifikační autoritě, například VeriSign nebo Thawte. Informace týkající se instalace certifikátu od veřejné certifikační autority naleznete v tématu IIS 7.0: Vyžádání certifikátu internetového serveru.

notePoznámka
Název předmětu tohoto ověřovacího certifikátu serverů se musí shodovat s plně kvalifikovaným názvem domény clusteru názvu DNS (například fs.fabrikam.com), který jste dříve vytvořili v hostiteli služby Vyrovnávání zatížení sítě. Nebyla-li instalována Internetová informační služba (IIS), je nutné službu IIS nejdříve instalovat, abyste tuto úlohu dokončili. Při první instalaci služby IIS doporučujeme při výzvě použít výchozí možností funkcí během instalace role serveru.

Postup importu ověřovacího certifikátu serverů na výchozí web

  1. V nabídce Start přejděte na položku Všechny programy, Nástroje pro správu a klikněte na položku Správce Internetové informační služby (IIS).

  2. Ve stromu konzoly klikněte na NázevPočítače.

  3. V středovém podokně klikněte na položku Certifikáty serveru.

  4. V podokně Akce klikněte na Import.

  5. V dialogovém okně Import certifikátu klikněte na tlačítko .

  6. Vyhledejte soubor s certifikátem PFX, označte jej a klikněte na tlačítko Otevřít.

  7. Zadejte heslo certifikátu a klikněte na tlačítko OK.

Vytvoření vyhrazeného účtu služby pro federační serverovou farmu

Chcete-li ve službě AD FS 2.0 nakonfigurovat prostředí federační serverové farmy, je třeba vytvořit a nakonfigurovat vyhrazený účet služby ve službě Active Directory, kde bude farma umístěna. Tento vyhrazený účet služby je nezbytný k zajištění toho, aby byl veškerým zdrojům vyžadovaným farmou služby AD FS 2.0 udělen přístup k jednotlivým federačním serverům ve farmě.

Poté nakonfigurujte jednotlivé federační servery ve farmě tak, aby používaly tento stejný účet služby. Pokud byl například vytvořen účet služby fabrikam\ADFS2SVC, potom každý počítač, který konfigurujete pro roli federačního serveru a který se bude podílet na téže farmě, musí v tomto kroku v Průvodci konfigurací federačního serveru zadat fabrikam\ADFS2SVC, jinak nebude farma funkční.

notePoznámka
Úkoly uvedené v tomto postupu je třeba provést pouze jednou pro celou federační serverovou farmu. Později, když vytvoříte federační server pomocí Průvodce konfigurací federačního serveru služby AD FS 2.0, je třeba zadat tento stejný účet na stránce průvodce Účet služby na každém federačním serveru ve farmě.

Postup vytvoření vyhrazeného účtu služby pro federační serverovou farmu

  1. Vytvoření vyhrazeného uživatelského účtu / účtu služby v doménové struktuře služby Active Directory, kterou budete ve své organizaci používat.

  2. Upravte vlastnosti uživatelského účtu a zaškrtněte políčko Heslo je platné stále. Tímto krokem zajistíte, aby nebyla funkce účtu služby přerušena v důsledku požadavku na změnu hesla domény.

    notePoznámka
    • Potřebujete-li pravidelně měnit heslo účtu služby, naleznete informace v tématu Konfigurace rozšířených možností služby AD FS 2.0.

    • Použití účtu síťové služby pro tento vyhrazený účet bude mít při pokusu o získání přístupu pomocí integrovaného ověřování systému Windows za následek náhodná selhání, protože lístky protokolu Kerberos nebudou ověřeny z jednoho serveru do druhého.

Instalace softwaru služby AD FS 2.0

Software služby AD FS 2.0 musí být nainstalován v každém počítači, který připravujete pro roli federačního serveru. Tento software můžete nainstalovat buď pomocí průvodce instalací služby AD FS 2.0, nebo pomocí parametru příkazového řádku. Další informace týkající se tohoto parametru naleznete v tématu Průvodce nasazením služby AD FS 2.0.

Nezapomeňte dokončit proces instalace a nainstalovat veškeré požadované opravy hotfix do každého počítače federačního serveru, jak je uvedeno v posledním kroku tohoto postupu.

Postup instalace softwaru služby AD FS 2.0

  1. Uložením instalačního souboru AdfsSetup.exe do počítače stáhněte softwarový balík služby AD FS 2.0 pro danou verzi operačního systému (buď Windows Server 2008, nebo Windows Server 2008 R2). Pokud chcete soubor stáhnout z webu, naleznete další informace v tématu Active Directory Federation Services 2.0 RTW.

  2. Vyhledejte instalační soubor AdfsSetup.exe, který jste stáhli do počítače, a dvakrát na něj klikněte.

  3. Na úvodní stránce Průvodce nastavením služby AD FS 2.0 klikněte na tlačítko Další.

  4. Na stránce Licenční smlouva s koncovým uživatelem si přečtěte licenční podmínky.

  5. Souhlasíte-li s podmínkami, zaškrtněte políčko Přijímám podmínky licenční smlouvy a klikněte na tlačítko Další.

  6. Na stránce Role serveru vyberte položku Federační server a poté klikněte na tlačítko Další.

  7. Na stránce Průvodce nastavením služby AD FS 2.0 byl dokončen klikněte na tlačítko Dokončit.

    ImportantDůležité
    Je možné, že instalace služby AD FS 2.0 bude v určitých situacích vyžadovat restart počítače (například pokud byly nainstalovány závislé opravy hotfix).

  8. Nainstalujte veškeré opravy hotfix podle popisu v tématu Popis kumulativní aktualizace 1 pro službu AD FS (Active Directory Federation Services) 2.0.

Konfigurace prvního federačního serveru ve federační serverové farmě

Chcete-li nastavit počítač tak, aby se stal prvním federačním serverem v nové federační serverové farmě, můžete použít následující postup prostřednictvím Průvodce konfigurací federačního serveru služby AD FS 2.0.

Členství ve správcích domény nebo delegovaný účet domény, jemuž bylo uděleno oprávnění k zápisu ke kontejneru dat programu ve službě Active Directory, představují minimální přístup vyžadovaný k dokončení tohoto postupu.

Postup vytvoření prvního federačního serveru ve federační serverové farmě

  1. Po dokončení instalace softwaru služby AD FS 2.0 klikněte na tlačítko Start a na příkaz Nástroje pro správu. Potom kliknutím na možnost Správa služby AD FS 2.0 otevřete modul snap-in Správa služby AD FS 2.0.

  2. Na stránce Přehled klikněte na položku Průvodce konfigurací federačního serveru služby AD FS 2.0.

  3. Na stránce Vítejte ověřte, že je vybrána možnost Vytvořit novou službu FS (Federation Service), a poté klikněte na tlačítko Další.

  4. Na stránce Vybrat samostatné nasazení nebo nasazení farmy klikněte na možnost Nová federační serverová farma a poté klikněte na tlačítko Další.

  5. Na stránce Zadat název služby FS (Federation Service) ověřte, že se zobrazený Certifikát SSL shoduje s názvem certifikátu, který byl dříve importován na výchozí web ve službě IIS. Pokud toto není správný certifikát, vyberte příslušný certifikát v seznamu Certifikát SSL.

    notePoznámka
    Je-li certifikát protokolu SSL nakonfigurován pro službu IIS, průvodce vám nepovolí certifikát přepsat. Tím je zajištěno, že budou zachovány všechny záměrně nastavené předchozí konfigurace služby pro certifikáty SSL. Tento problém lze vyřešit tak, že přejdete zpět a naimportujete certifikát znovu na výchozí web služby IIS.

  6. Pokud jste dříve na tento počítač znovu nainstalovali službu AD FS, zobrazí se stránka Byla zjištěna stávající konfigurační databáze služby AD FS. Pokud se tato stránka zobrazí, klikněte na položku Odstranit databázi a poté klikněte na tlačítko Další.

  7. Na stránce Určit účet služby klikněte na možnost Procházet. V dialogovém okně Procházet najděte účet domény, který se použije jako účet služby v této nové federační serverové farmě, a poté klikněte na tlačítko OK. Zadejte heslo pro tento účet, potvrďte jej a poté klikněte na tlačítko Další.

    notePoznámka
    Další informace o účtu služby, který jste dříve vytvořili v tomto článku, naleznete v tématu Vytvoření vyhrazeného účtu služby pro federační serverovou farmu.

  8. Na stránce Připraveno k použití nastavení zkontrolujte podrobnosti. Jsou-li nastavení v pořádku, klikněte na tlačítko Další a zahajte konfiguraci služby AD FS 2.0 s tímto nastavením.

  9. Prohlédněte si výsledky na stránce Výsledky konfigurace. Po dokončení všech konfiguračních kroků kliknutím na tlačítko Zavřít průvodce ukončíte.

notePoznámka
Jakmile dokončíte kroky tohoto postupu, automaticky se otevře modul snap-in Správa služby AD FS 2.0 a zobrazí se zpráva s informací, že požadovaná konfigurace je dokončena a že byste měli přidat důvěryhodnou předávající stranu. Tuto zprávu můžete ignorovat.

Důvěryhodnost předávající strany pro služby Windows Azure Active Directory bude přidána v jednom z pozdějších kroků. Další informace naleznete v tématu Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0. Jakmile bude tento krok dokončen, tato zpráva zmizí z modul snap-in Správa služby AD FS 2.0.

Přidání federačního serveru k federační serverové farmě

Jakmile nainstalujete software služby AD FS 2.0 a nakonfigurujete požadované certifikáty v počítači, jste připraveni nakonfigurovat počítač tak, aby se stal federačním serverem. Chcete-li připojit počítač k nové federační serverové farmě, můžete použít následující postup.

Pro připojení počítače k farmě se používá Průvodce konfigurací federačního serveru služby AD FS 2.0. Když použijete tohoto pomocníka k připojení počítače ke stávající farmě, počítač je nakonfigurován s kopií konfigurační databáze služby AD FS 2.0 jen pro čtení a musí přijímat aktualizace z primárního federačního serveru.

Postup přidání federačního serveru k federační serverové farmě

  1. Po dokončení instalace softwaru služby AD FS 2.0 klikněte na tlačítko Start a na příkaz Nástroje pro správu. Potom kliknutím na možnost Správa služby AD FS 2.0 otevřete modul snap-in Správa služby AD FS 2.0.

  2. Na stránce Přehled nebo v podokně Akce klikněte na možnost Průvodce konfigurací federačního serveru služby AD FS 2.0.

  3. Na stránce Vítejte ověřte, že je vybrána možnost Přidat federační server ke stávající službě FS (Federation Service), a poté klikněte na tlačítko Další.

  4. Pokud vámi vybraná databáze služby AD FS 2.0 již existuje, zobrazí se stránka Byla zjištěna stávající konfigurační databáze služby AD FS. Pokud k tomu dojde, klikněte na položku Odstranit databázi a poté klikněte na tlačítko Další.

    CautionUpozornění
    Tuto možnost vyberte, pouze pokud jste si jistí, že data v této databázi služby AD FS 2.0 nejsou důležitá nebo že nejsou používána v provozní federační serverové farmě.

  5. Na stránce Zadat primární federační server a účet služby zadejte v části Název primárního federačního serveru název počítače primárního federačního serveru ve farmě a poté klikněte na možnost Procházet. V dialogovém okně Procházet najděte účet domény, který je používán jako účet služby všemi ostatními federačními servery ve stávající federační serverové farmě, a poté klikněte na tlačítko OK. Zadejte heslo, potvrďte jej a poté klikněte na tlačítko Další.

    notePoznámka
    Další informace o účtu služby, který jste dříve vytvořili v tomto článku, naleznete v tématu Vytvoření vyhrazeného účtu služby pro federační serverovou farmu.

  6. Na stránce Připraveno k použití nastavení zkontrolujte podrobnosti. Jsou-li nastavení v pořádku, klikněte na tlačítko Další a zahajte konfiguraci služby AD FS 2.0 s tímto nastavením.

  7. Prohlédněte si výsledky na stránce Výsledky konfigurace. Po dokončení všech konfiguračních kroků kliknutím na tlačítko Zavřít průvodce ukončíte.

Ověření funkčnosti federačního serveru

K ověření funkčnosti federačního serveru můžete použít následující postupy (tedy k ověření skutečnosti, zda se každý klient na téže síti může připojit k novému federačnímu serveru).

Postup 1: Ověření funkčnosti federačního serveru

  1. Přihlaste se ke klientskému počítači umístěnému ve stejné doménové struktuře jako federační server.

  2. Otevřete okno prohlížeče. Do panelu Adresa zadejte název hostitele DNS federačního serveru a poté k němu připojte /FederationMetadata/2007-06/FederationMetadata.xml pro nový federační server, například:

    https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

  3. Stiskněte klávesu ENTER a potom dokončete další postup v počítači federačního serveru. Pokud se zobrazí zpráva Došlo k problému s certifikátem zabezpečení tohoto webu, klikněte na položku Pokračovat na tento web.

    Očekávaným výstupem je zobrazení dokumentu XML s popisem služby. Pokud se tato stránka zobrazí, služba IIS na federačním serveru je funkční a úspěšně obsluhuje stránky.

Postup 2: Ověření funkčnosti federačního serveru

  1. Přihlaste se k novému federačnímu serveru jako správce.

  2. Klikněte na tlačítko Start, přejděte k položce Nástroje pro správu a klikněte na možnost Prohlížeč událostí.

  3. V podokně podrobností dvakrát klikněte na položku Protokoly aplikací a služeb, dvakrát klikněte na položku Zpracování událostí služby AD FS 2.0. Klikněte na možnost Správce.

  4. Ve sloupci ID události hledejte ID události ID 100. Pokud je federační server nakonfigurován správně, uvidíte novou událost — v protokolu Aplikace Prohlížeče událostí — s ID události 100. Tato událost potvrzuje, že federační server byl schopen úspěšně komunikovat se službou FS (Federation Service).

Postupujte podle následujících kroků:

6. Nasadit proxy federačního serveru

Proxy federačního serveru služby AD FS 2.0 jsou umístěny v extranetu a vystupují jako proxy server pro přihlašování klientů k federačnímu serveru umístěnému v podnikové síti. Proxy federačního serveru také usnadňuje distribuci tokenů zabezpečení vzdáleným klientům, kteří se pokoušejí získat přístup ke službám cloudová služba.

Následující kontrolní seznam obsahuje úlohy nasazení, které jsou nezbytné pro nasazení dvou proxy federačního serveru, které přesměrují požadavky na ověření na federační server v nové federační serverové farmě.

notePoznámka
  • Doporučujeme nasadit nejméně dva proxy federačního serveru, aby byla zajištěna odolnost proti chybám, a použít hostitele služby Vyrovnávání zatížení sítě k zajištění odolnosti proti chybám a vyrovnávání zatížení.

  • Chcete-li publikovat službu AD FS 2.0 na extranet, můžete použít reverzní proxy server HTTP od třetích stran. Další informace o tom, jak to provést, naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0.

  • Provedení všech úkolů pomocí postupů uvedených v této části vyžaduje, abyste nejprve byli přihlášeni k počítači jako členové skupiny Administrators nebo aby vám byla delegována odpovídající oprávnění.

Kontrolní seznam Krok 6 – Kontrolní seznam 1: Příprava síťové infrastruktury pro proxy servery federačních serverů

 

Úloha nasazení Odkazy na témata v této části Dokončeno

1. Připravte dva počítače, v nichž je spuštěn operační systém Windows Server 2008 nebo Windows Server 2008 R2, k nastavení jako proxy federačního serveru. Podle počtu uživatelů, které máte, můžete použít stávající webové servery či proxy servery, nebo můžete použít vyhrazený počítač.

Není k dispozici

Zaškrtávací políčko

2. Přidejte název služby FS (Federation Service) v podnikové síti (název DNS clusteru, který jste vytvořili dříve v hostiteli služby Vyrovnávání zatížení sítě v podnikové síti) a jemu přiřazenou IP adresu clusteru do souborů hostitelů v každém počítači proxy federačního serveru v hraniční síti.

Přidání názvu DNS a IP adresy clusteru do souboru hostitelů v počítači proxy

Zaškrtávací políčko

3. Vytvořte nový název DNS clusteru a IP adresu clusteru v hostiteli služby Vyrovnávání zatížení sítě v hraniční síti a poté přidejte počítače federačního serveru ke clusteru služby Vyrovnávání zatížení sítě. Pokud používáte pro své stávající hostitele služby Vyrovnávání zatížení sítě technologii Windows Server, vyberte podle vaší verze operačního systému příslušný odkaz na pravé straně.

ImportantDůležité
Název DNS clusteru použitý pro tento nový cluster služby Vyrovnávání zatížení sítě se musí shodovat s názvem služby FS (Federation Service) v podnikové síti.

Pokud budete chtít vytvořit a nakonfigurovat clustery služby Vyrovnávání zatížení sítě v systému Windows Server 2003 a Windows Server 2003 R2, naleznete další informace v tématu Kontrolní seznam: Povolení a konfigurace služby Vyrovnávání zatížení sítě.

Chcete-li vytvořit a konfigurovat clustery služby Vyrovnávání zatížení sítě v systému Windows Server 2008, najdete další informace v tématu Vytvoření clusterů služby Vyrovnávání zatížení sítě.

Chcete-li vytvořit a konfigurovat clustery služby Vyrovnávání zatížení sítě v systému Windows Server 2008 R2, najdete další informace v tématu Vytvoření clusterů služby Vyrovnávání zatížení sítě.

Zaškrtávací políčko

4. Vytvořte nový záznam o prostředku pro cluster služby Vyrovnávání zatížení sítě v systému DNS hraniční sítě, který nasměruje název DNS clusteru služby Vyrovnávání zatížení sítě na jeho IP adresu clusteru.

Přidání záznamu o prostředku k hraničnímu systému DNS pro název DNS clusteru nakonfigurovaný na hraničním hostiteli služby Vyrovnávání zatížení sítě

Zaškrtávací políčko

5. Použijte stejný ověřovací certifikát serverů, jaký používají federační servery v podnikové síti, a nainstalujte jej do služby IIS na výchozím webu proxy federačního serveru.

Import ověřovacího certifikátu serverů na výchozí web v počítači proxy

Zaškrtávací políčko

Kontrolní seznam Krok 6 – Kontrolní seznam 2: Nasadit proxy servery federačního serveru

 

Úloha nasazení Odkazy na témata v této části Dokončeno

1. Nainstalujte software služby AD FS 2.0 do počítače, který se stane proxy federačního serveru.

Instalace softwaru služby AD FS 2.0 do počítače proxy

Zaškrtávací políčko

2. Nakonfigurujte software služby AD FS 2.0 v počítači tak, aby vystupoval v roli proxy federačního serveru, pomocí Průvodce konfigurací proxy federačního serveru služby AD FS 2.0.

Konfigurace počítače pro roli proxy federačního serveru.

Zaškrtávací políčko

3. Pomocí Prohlížeče událostí ověřte, že byla služba proxy federačního serveru zahájena.

Ověření funkčnosti proxy federačního serveru

Zaškrtávací políčko

Přidání názvu DNS a IP adresy clusteru do souboru hostitelů v počítači proxy

Má-li proxy federačního serveru fungovat v hraniční síti dle očekávání, je třeba do souboru hostitelů v každém počítači proxy federačního serveru přidat položku směrující na název DNS clusteru hostovaný službou Vyrovnávání zatížení sítě v podnikové síti (například fs.fabrikam.com) a jeho IP adresu (například 172.16.1.3). Přidání této položky do souboru hostitelů umožní proxy federačního serveru řádně směrovat klientem zahájené volání na federační server buď uvnitř hraniční sítě, nebo mimo hraniční síť.

Postup přidání názvu DNS a IP adresy clusteru do souboru hostitelů na proxy serveru

  1. Přejděte do složky adresáře %systemroot%\Winnt\System32\Drivers a najděte soubor Hostitelé.

  2. Spusťte Poznámkový blok a poté otevřete soubor Hostitelé.

  3. Přidejte IP adresu a název hostitele federačního serveru do souboru Hostitelé, jak ukazuje následující příklad:

    172.16.1.3             fs.fabrikam.com

  4. Soubor uložte a zavřete.

ImportantDůležité
Pokud se adresa IP clusteru v hostiteli služby Vyrovnávání zatížení sítě v podnikové síti někdy změní, je nutné aktualizovat lokální soubor hostitelů na každém proxy federačního serveru.

Přidání záznamu o prostředku k hraničnímu systému DNS pro název DNS clusteru nakonfigurovaný na hraničním hostiteli služby Vyrovnávání zatížení sítě

Za účelem obsluhy požadavků na ověření od klientů buď uvnitř nebo mimo hraniční sítě, nebo mimo hraniční síť služba AD FS 2.0 vyžaduje, aby byl nakonfigurován překlad názvů na externích serverech DNS hostujících zónu organizace (například fabrikam.com).

Chcete-li tak učinit, přidejte záznam o prostředku hostitele (A) k externímu serveru DNS obsluhujícímu pouze hraniční síť pro název DNS clusteru (například „fs.fabrikam.com“) tak, aby odkazoval na právě nakonfigurovanou IP adresu externího clusteru.

Postup přidání záznamu o prostředku k hraničnímu systému DNS pro název DNS clusteru nakonfigurovaný na hraničním hostiteli služby Vyrovnávání zatížení sítě

  1. Na serveru DNS hraniční sítě otevřete modul snap-in systému DNS. Klikněte na tlačítko Start, přejděte k položce Nástroje pro správu a klikněte na možnost DNS.

  2. Ve stromu konzoly klikněte pravým tlačítkem myši na příslušnou zónu dopředného vyhledávání (například fabrikam.com) a poté klikněte na položku Nový hostitel (A nebo AAAA).

  3. Do pole Název zadejte pouze název DNS clusteru, který jste zadali v hostiteli služby Vyrovnávání zatížení sítě v hraniční síti (tento název DNS by měl být stejný jako název služby FS (Federation Service)). V případě plně kvalifikovaného názvu domény fs.fabrikam.com například zadejte fs.

  4. Do pole IP adresa zadejte IP adresu pro novou IP adresu clusteru, kterou jste zadali v hostiteli služby Vyrovnávání zatížení sítě v hraniční síti. Například 192.0.2.3.

  5. Klikněte na Přidat hostitele.

Import ověřovacího certifikátu serverů na výchozí web v počítači proxy

Jakmile obdržíte ověřovací certifikát serverů používaný jedním z federačních serverů v podnikové síti, tento certifikát je třeba ručně nainstalovat na výchozí web pro každý proxy federačního serveru v organizaci.

Vzhledem k tomu, že tomuto certifikátu musí důvěřovat klienti služby AD FS 2.0 a cloudové služby společnosti Microsoft, použijte certifikát protokolu SSL vydaný veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou, která je podřízená veřejně důvěryhodné kořenové certifikační autoritě, například VeriSign nebo Thawte. Informace týkající se instalace certifikátu od veřejné certifikační autority naleznete v tématu IIS 7.0: Vyžádání certifikátu internetového serveru.

notePoznámka
Název předmětu tohoto ověřovacího certifikátu serverů se musí shodovat s plně kvalifikovaným názvem domény clusteru názvu DNS (například fs.fabrikam.com), který jste dříve vytvořili v hostiteli služby Vyrovnávání zatížení sítě. Nebyla-li instalována Internetová informační služba (IIS), je nutné službu IIS nejdříve instalovat, abyste tuto úlohu dokončili. Při první instalaci služby IIS doporučujeme při výzvě použít výchozí možností funkcí během instalace role serveru.

Postup importu ověřovacího certifikátu serverů na výchozí web v počítači proxy

  1. V nabídce Start přejděte na položku Všechny programy, Nástroje pro správu a klikněte na položku Správce Internetové informační služby (IIS).

  2. Ve stromu konzoly klikněte na NázevPočítače.

  3. V středovém podokně klikněte na položku Certifikáty serveru.

  4. V podokně Akce klikněte na Import.

  5. V dialogovém okně Import certifikátu klikněte na tlačítko .

  6. Vyhledejte soubor s certifikátem PFX, označte jej a klikněte na tlačítko Otevřít.

  7. Zadejte heslo certifikátu a klikněte na tlačítko OK.

Instalace softwaru služby AD FS 2.0 do počítače proxy

Software služby AD FS 2.0 musí být nainstalován v každém počítači, který připravujete pro roli proxy federačního serveru. Tento software můžete nainstalovat buď pomocí průvodce instalací služby AD FS 2.0, nebo pomocí parametru příkazového řádku. Další informace týkající se tohoto parametru naleznete v tématu Průvodce nasazením služby AD FS 2.0.

Nezapomeňte dokončit proces instalace a nainstalovat veškeré požadované opravy hotfix do každého počítače proxy federačního serveru, jak je uvedeno v posledním kroku tohoto postupu.

Postup instalace softwaru služby AD FS 2.0 do počítače proxy

  1. Uložením instalačního souboru AdfsSetup.exe do počítače stáhněte softwarový balík služby AD FS 2.0 pro danou verzi operačního systému (buď Windows Server 2008, nebo Windows Server 2008 R2). Pokud chcete soubor stáhnout z webu, naleznete další informace v tématu Active Directory Federation Services 2.0 RTW.

  2. Vyhledejte instalační soubor AdfsSetup.exe, který jste stáhli do počítače, a dvakrát na něj klikněte.

  3. Na úvodní stránce Průvodce nastavením služby AD FS 2.0 klikněte na tlačítko Další.

  4. Na stránce Licenční smlouva s koncovým uživatelem si přečtěte licenční podmínky.

  5. Souhlasíte-li s podmínkami, zaškrtněte políčko Přijímám podmínky licenční smlouvy a klikněte na tlačítko Další.

  6. Na stránce Role serveru vyberte možnost Proxy federačního serveru a poté klikněte na tlačítko Další.

  7. Na stránce Průvodce nastavením služby AD FS 2.0 byl dokončen ověřte, že je zaškrtnuté políčko Po ukončení tohoto průvodce otevřít Průvodce konfigurací proxy federačního serveru služby AD FS 2.0, a poté kliknutím na tlačítko Dokončit restartujte počítač.

    ImportantDůležité
    Je možné, že instalace služby AD FS 2.0 bude v určitých situacích vyžadovat restart počítače (například pokud byly nainstalovány závislé opravy hotfix). V takovém případě nezapomeňte zaškrtnout políčko Restartovat nyní na stránce Průvodce nastavením služby AD FS 2.0 byl dokončen a poté kliknutím na tlačítko Dokončit restartujte počítač.

  8. Nainstalujte veškeré opravy hotfix podle popisu v tématu Popis kumulativní aktualizace 1 pro službu AD FS (Active Directory Federation Services) 2.0.

Konfigurace počítače pro roli proxy federačního serveru.

Jakmile nakonfigurujete počítač pomocí požadovaných certifikátů a nainstalujete software služeb AD FS 2.0, můžete konfigurovat počítač tak, aby se stal proxy federačního serveru. Chcete-li, aby počítač vystupoval v roli proxy federačního serveru, můžete použít následující postup.

ImportantDůležité
Dříve, než použijete tento postup ke konfiguraci počítače proxy federačního serveru, ujistěte se, že jste v uvedeném pořadí dodrželi všechny kroky uvedené v kontrolních seznamech v části 5. Nasadit federační serverovou farmu. Ujistěte se, že je nasazen nejméně jeden federační server a že jsou implementována všechna nezbytná pověření pro autorizaci konfigurace proxy federačního serveru. Dále je třeba konfigurovat vazby certifikátu protokolu SSL (Secure Sockets Layer) na výchozím webu, protože v opačném případě se tento průvodce nespustí. Tento proxy federačního serveru může fungovat až poté, co budou všechny tyto úkoly dokončeny.

Postup konfigurace počítače pro roli proxy federačního serveru

  1. Na stránce Průvodce nastavením služby AD FS 2.0 byl dokončen v Průvodci nastavením služby AD FS 2.0 je ve výchozím nastavení zaškrtnuto políčko s názvem Po ukončení tohoto průvodce otevřít Průvodce konfigurací proxy federačního serveru služby AD FS 2.0. Spusťte průvodce a potom na stránce Vítejte klikněte na tlačítko Další.

  2. Na stránce Zadat název služby FS (Federation Service) zadejte v části Název služby FS (Federation Service) název reprezentující službu FS (Federation Service), pro kterou bude tento počítač vystupovat v roli proxy (například fs.fabrikam.com).

  3. Na základě svých konkrétních požadavků sítě určete, zda budete potřebovat použít proxy server protokolu HTTP k přesměrování požadavků do služby FS (Federation Service). Pokud ano, zaškrtněte políčko Použít při zasílání požadavků této službě FS (Federation Service) proxy server protokolu HTTP, v části Adresa proxy serveru protokolu HTTP zadejte adresu proxy serveru, kliknutím na položku Testovat připojení ověřte připojení a poté klikněte na tlačítko Další.

  4. Po vyzvání zadejte pověření nezbytná k vytvoření vztahu důvěryhodnosti mezi tímto proxy federačního serveru a službou FS (Federation Service).

    Ve výchozím nastavení platí, že pouze účet služby používaný službou FS (Federation Service) nebo členem místní skupiny BUILTIN\Administrators může autorizovat proxy federačního serveru.

  5. Na stránce Připraveno k použití nastavení zkontrolujte podrobnosti. Jsou-li nastavení v pořádku, klikněte na tlačítko Další a zahajte konfiguraci tohoto počítače s těmito nastaveními proxy.

  6. Prohlédněte si výsledky na stránce Výsledky konfigurace. Po dokončení všech konfiguračních kroků kliknutím na tlačítko Zavřít průvodce ukončíte.

Po dokončení nastavení počítače ověřte, že proxy server federačního serveru pracuje dle očekávání.

Ověření funkčnosti proxy federačního serveru

Chcete-li ověřit, že proxy federačního serveru dokáže komunikovat se službou FS (Federation Service) ve službě AD FS 2.0, můžete použít následující postup. Tento postup použijte poté, co jste spuštěním Průvodce konfigurací proxy federačního serveru služby AD FS 2.0 nakonfigurovali počítač tak, aby pracoval v roli proxy federačního serveru. Další informace o tom, jak spustit tohoto průvodce, naleznete v tématu Konfigurace počítače pro roli proxy federačního serveru..

notePoznámka
Výsledkem tohoto testu je úspěšné vygenerování konkrétní události v Prohlížeči událostí v počítači proxy federačního serveru.

Postup ověření funkčnosti proxy federačního serveru

  1. Přihlaste se k proxy federačního serveru jako správce.

  2. Klikněte na tlačítko Start, přejděte k položce Nástroje pro správu a klikněte na možnost Prohlížeč událostí.

  3. V podokně podrobností dvakrát klikněte na položku Protokoly aplikací a služeb, dvakrát klikněte na položku Zpracování událostí služby AD FS 2.0. Klikněte na možnost Správce.

  4. Ve sloupci ID události hledejte ID události 198.

    Pokud je proxy federačního serveru nakonfigurován správně, v protokolu Aplikace Prohlížeče událostí uvidíte novou událost s ID události 198. Tato událost potvrzuje, že byla služba proxy federačního serveru úspěšně zahájena a nyní je online.

Postupujte podle následujících kroků:

7. Další krok a odkazy

Po úspěšném nasazení infrastruktury služby AD FS 2.0 je třeba vytvořit vztah důvěryhodnosti předávající strany mezi vašimi novými místními servery služby AD FS 2.0 a službami Windows Azure AD. Další informace naleznete v tématu Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0.

Máte-li zájem o další informace týkající se služby AD FS 2.0, můžete použít následující referenční odkazy a nalézt autoritativní technickou dokumentaci, která byla revidována produktovým týmem služby AD FS 2.0.

Všeobecné informace týkající se služby AD FS 2.0

Máte-li zájem o všeobecný přehled, hodnocení či informace o pokročilém řešení potíží služby AD FS 2.0, použijte příslušné následující referenční odkazy:

Další informace týkající se nasazení služby AD FS 2.0

Zvažujete-li nasazení složitější infrastruktury služby AD FS 2.0, než jaká je uvažována v tomto článku, doporučujeme prostudovat pokročilé informace týkající se plánování a nasazení, které jsou dostupné prostřednictvím následujících referenčních odkazů.

Postupujte podle následujících kroků:

Viz také

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.
Zobrazit:
© 2014 Microsoft