(0) exportieren Drucken
Alle erweitern

Schritt 2: Installieren von AD FS-Rollendiensten und Konfigurieren von Zertifikaten

Letzte Aktualisierung: November 2007

Betrifft: Windows Server 2008

Nachdem Sie die Computer konfiguriert und der Domäne hinzugefügt haben, können Sie nun auf beiden Servern Active Directory-Verbunddienste-Rollendienste (Active Directory Federation Services, AD FS) installieren. Dieser Abschnitt umfasst die folgenden Verfahren:

Administrative Anmeldeinformationen

Melden Sie sich zum Ausführen aller Verfahren in diesem Schritt bei den Computern adfsaccount und adfsresource mit dem Administratorkonto für die Domäne an. Melden Sie sich beim Computer adfsweb mit dem lokalen Administratorkonto an.

Installieren des Verbunddiensts

Verwenden Sie das folgende Verfahren, um die Verbunddienstkomponente von AD FS auf den Computern adfsaccount und adfsresource zu installieren. Nach der Installation des Verbunddiensts auf einem Computer wird dieser zu einem Verbundserver.

In diesem Verfahren zur Verbunddienstinstallation erstellen Sie eine neue Vertrauensrichtliniendatei und selbstsignierte SSL-Zertifikate (Secure Sockets Layer) sowie Tokensignaturzertifikate für jeden Verbundserver.

So installieren Sie den Verbunddienst

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.

  2. Klicken Sie mit der rechten Maustaste auf Rollen, und klicken Sie dann auf Rollen hinzufügen, um den Assistenten zum Hinzufügen von Rollen zu starten.

  3. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.

  4. Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Verbunddienste. Klicken Sie zweimal auf Weiter.

  5. Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Verbunddienst. Wenn Sie zum Installieren weiterer Webserverrollendienste (IIS) oder Windows-Prozessaktivierungsdienst-Rollendienste aufgefordert werden, klicken Sie auf Erforderliche Rollendienste hinzufügen, um sie zu installieren, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Serverauthentifizierungszertifikat für SSL-Verschlüsselung auswählen auf Selbstsigniertes Zertifikat zur SSL-Verschlüsselung erstellen, und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Tokensignaturzertifikat auswählen auf Selbstsigniertes Tokensignaturzertifikat erstellen, und klicken Sie dann auf Weiter.

  8. Klicken Sie auf der Seite Vertrauensrichtlinie auswählen auf Eine neue Vertrauensrichtlinie erstellen, und klicken Sie dann auf zweimal auf Weiter.

  9. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter, um die Standardwerte zu übernehmen.

  10. Überprüfen Sie die Informationen auf der Seite Installationsauswahl bestätigen, und klicken Sie auf Installieren.

  11. Überprüfen Sie auf der Seite Installationsergebnisse, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Konfigurieren von Internetinformationsdiensten zum Verwenden von SSL auf beiden Verbundservern

Verwenden Sie das folgende Verfahren, um die Internetinformationsdienste (Internet Information Services, IIS) so zu konfigurieren, dass auf der Standardwebsite der beiden Verbundserver adfsresource und adfsaccount SSL erforderlich ist.

So konfigurieren Sie IIS zum Verwenden von SSL auf beiden Verbundservern

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Doppelklicken Sie in der Konsolenstruktur auf ADFSACCOUNT oder ADFSRESOURCE und dann auf Sites. Klicken Sie anschließend auf Default Web Site.

  3. Doppelklicken Sie im mittleren Bereich auf SSL-Einstellungen, und aktivieren Sie das Kontrollkästchen SSL erforderlich.

  4. Wählen Sie unter Clientzertifikate die Option Annehmen aus, und klicken Sie dann auf Übernehmen.

Installieren des AD FS-Web-Agents

Verwenden Sie das folgende Verfahren, um den Ansprüche unterstützenden Web-Agent auf dem Webserver (adfsweb) zu installieren.

So installieren Sie den AD FS-Web-Agent

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.

  2. Klicken Sie mit der rechten Maustaste auf Rollen, und klicken Sie dann auf Rollen hinzufügen, um den Assistenten zum Hinzufügen von Rollen zu starten.

  3. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.

  4. Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Verbunddienste. Klicken Sie zweimal auf Weiter.

  5. Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Ansprüche unterstützender Agent. Wenn Sie zum Installieren weiterer Webserverrollendienste (IIS) oder Windows-Prozessaktivierungsdienst-Rollendienste aufgefordert werden, klicken Sie auf Erforderliche Rollendienste hinzufügen, um sie zu installieren, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Webserver (IIS) auf Weiter.

  7. Aktivieren Sie auf der Seite Rollendienste auswählen zusätzlich zu den bereits aktivierten Kontrollkästchen die Kontrollkästchen Clientzertifikatzuordnung-Authentifizierung und IIS-Verwaltungskonsole, und klicken Sie dann auf Weiter.

    Mit dem Kontrollkästchen Clientzertifikatzuordnung-Authentifizierung werden die Komponenten installiert, die von IIS zum Erstellen des für diesen Server erforderlichen selbstsignierten Serverauthentifizierungszertifikats benötigt werden.

  8. Nachdem Sie die Informationen auf der Seite Installationsauswahl bestätigen überprüft haben, klicken Sie auf Installieren.

  9. Überprüfen Sie auf der Seite Installationsergebnisse, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Erstellen, Exportieren und Importieren von Zertifikaten

Für eine erfolgreiche Einrichtung des Webservers und der Verbundserver ist es besonders wichtig, dass die erforderlichen Zertifikate ordnungsgemäß erstellt und exportiert werden. Da Sie das Serverauthentifizierungszertifikat für beide Verbundserver mit dem Assistenten zum Hinzufügen von Rollen bereits erstellt haben, müssen Sie nun nur noch das Serverauthentifizierungszertifikat für den Computer adfsweb erstellen. Dieser Abschnitt umfasst die folgenden Verfahren:

noteHinweis
In einer Produktionsumgebung werden Zertifikate von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt. Für die Testumgebung in dieser Anleitung werden selbsignierte Zertifikate verwendet.

Erstellen eines Serverauthentifizierungszertifikats für "adfsweb"

Verwenden Sie das folgende Verfahren, um auf dem Webserver (adfsweb) ein selbstsigniertes Serverauthentifizierungszertifikat zu erstellen.

So erstellen Sie ein Serverauthentifizierungszertifikat für "adfsweb"

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Klicken Sie in der Konsolenstruktur auf ADFSWEB.

  3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.

  4. Klicken Sie im Aktionsbereich auf Selbstsigniertes Zertifikat erstellen.

  5. Geben Sie im Dialogfeld Selbstsigniertes Zertifikat erstellen den Text adfsweb ein, und klicken Sie auf OK.

Exportieren des Tokensignaturzertifikats von "adfsaccount" in eine Datei

Verwenden Sie das folgende Verfahren, um auf dem Kontoverbundserver (adfsaccount) das Tokensignaturzertifikat in eine Datei zu exportieren.

So exportieren Sie das Tokensignaturzertifikat von "adfsaccount" in eine Datei

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Verbunddienste.

  2. Klicken Sie mit der rechten Maustaste auf Verbunddienst, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte Allgemein auf Anzeigen.

  4. Klicken Sie auf der Registerkarte Details auf In Datei kopieren.

  5. Klicken Sie auf der Seite Willkommen auf Weiter.

  6. Klicken Sie auf der Seite Privaten Schlüssel exportieren auf Nein, privaten Schlüssel nicht exportieren und dann auf Weiter.

  7. Klicken Sie auf der Seite Format der zu exportierenden Datei auf DER-codiert-binär X.509 (.CER) und dann auf Weiter.

  8. Geben Sie auf der Seite Zu exportierende Datei den Speicherort C:\adfsaccount_ts.cer ein, und klicken Sie auf Weiter.

    noteHinweis
    Das Tokensignaturzertifikat von adfsaccount wird später auf adfsresource importiert, wenn Sie vom Assistenten zum Hinzufügen von Kontopartnern zum Angeben des Kontopartner-Verifizierungszertifikats aufgefordert werden. (Weitere Informationen hierzu finden Sie unter Schritt 4: Konfigurieren der Verbundserver.) Nun greifen Sie über das Netzwerk auf adfsresource zu, um diese Datei abzurufen.

  9. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

Exportieren des Serverauthentifizierungszertifikats von "adfsresource" in eine Datei

Für eine erfolgreiche Kommunikation zwischen dem Ressourcenverbundserver (adfsresource) und dem Webserver (adfsweb) muss der Webserver zunächst dem Stamm des Ressourcenverbundservers vertrauen.

noteHinweis
Der Webserver muss dem Stamm des Ressourcenverbundservers vertrauen, da die Überprüfung von Zertifikatsperrlisten (Certificate Revocation List, CRL) standardmäßig aktiviert ist. Zum Aufheben dieser Abhängigkeit kann die Überprüfung von Zertifikatsperrlisten deaktiviert werden. In dieser Anleitung wird das Deaktivieren der Überprüfung der Zertifikatsperrlisten jedoch nicht beschrieben. Das Deaktivieren der Überprüfung von Zertifikatsperrlisten kann die Integrität von AD FS gefährden und sollte daher in einer Produktionsumgebung vermieden werden. Weitere Informationen zum Deaktivieren der Überprüfung von Zertifikatsperrlisten finden Sie im Thema zum Aktivieren und Deaktivieren der Überprüfung von Zertifikatsperrlisten (http://go.microsoft.com/fwlink/?LinkId=68608, möglicherweise in englischer Sprache).

Da in dem in dieser Anleitung beschriebenen Szenario selbstsignierte Zertifikate verwendet werden, stellt das Serverauthentifizierungszertifikat den Stamm dar. Sie müssen daher diese Vertrauensstellung einrichten, indem Sie das Authentifizierungszertifikat des Ressourcenverbundservers (adfsresource) zunächst in eine Datei exportieren und diese Datei dann auf dem Webserver (adfsweb) importieren. Verwenden Sie das folgende Verfahren, um auf dem Ressourcenverbundserver adfsresource das Serverauthentifizierungszertifikat in eine Datei zu exportieren.

So exportieren Sie das Serverauthentifizierungszertifikat von "adfsresource" in eine Datei

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Klicken Sie in der Konsolenstruktur auf ADFSRESOURCE.

  3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.

  4. Klicken Sie im mittleren Bereich mit der rechten Maustaste auf adfsresource.treyresearch.net, und klicken Sie dann auf Exportieren.

  5. Klicken Sie im Dialogfeld Zertifikat exportieren auf die Schaltfläche mit den drei Punkten ().

  6. Geben Sie im Feld Dateiname den Pfad C:\adfsresource ein, und klicken Sie dann auf Öffnen.

    noteHinweis
    Dieses Zertifikat muss im nächsten Verfahren auf dem Webserver (adfsweb) importiert werden. Stellen Sie daher sicher, dass adfsweb über das Netzwerk auf diese Datei zugreifen kann.

  7. Geben Sie ein Kennwort für das Zertifikat ein, bestätigen Sie es, und klicken Sie dann auf OK.

Importieren des Serverauthentifizierungszertifikats für "adfsresource" auf "adfsweb"

Verwenden Sie auf dem Webserver (adfsweb) das folgende Verfahren.

So importieren Sie das Serverauthentifizierungszertifikat für "adfsresource" auf "adfsweb"

  1. Klicken Sie auf Start und dann auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Wählen Sie die Option Zertifikate aus, und klicken Sie auf Hinzufügen. Klicken Sie dann auf Computerkonto und auf Weiter.

  4. Klicken Sie auf Lokalen Computer: (Computer, auf dem diese Konsole ausgeführt wird), und klicken Sie dann auf Fertig stellen und OK..

  5. Doppelklicken Sie in der Konsolenstruktur auf das Symbol Zertifikate (lokaler Computer) und den Ordner Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.

  6. Klicken Sie auf der Seite Willkommen auf Weiter.

  7. Geben Sie auf der Seite Zu importierende Datei den Namen \\adfsresource\c$\adfsresource.pfx ein, und klicken Sie dann auf Weiter.

    noteHinweis
    Sie müssen möglicherweise das Netzlaufwerk zuordnen, um die Datei adfsresource.pfx abzurufen. Sie können Sie Datei adfsresource.pfx auch direkt vom Ressourcenverbundserver auf den Webserver kopieren und im Assistenten dann diesen Speicherort angeben.

  8. Geben Sie auf der Seite Kennwort das Kennwort für die Datei adfsresource.pfx ein, und klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern, und klicken Sie dann auf Weiter.

  10. Überprüfen Sie auf der Seite Fertigstellen des Assistenten, ob die angegebenen Informationen richtig sind, und klicken Sie auf Fertig stellen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft