(0) exportieren Drucken
Alle erweitern

Active Directory-Verbunddiensterolle

Letzte Aktualisierung: Januar 2008

Betrifft: Windows Server 2008

Mit der AD FS-Serverrolle (Active Directory® Federation Services, Active Directory-Verbunddienste) des Betriebssystems Windows Server® 2008 können Sie eine stark erweiterbare, für das Internet skalierbare und sichere Lösung für eine plattformübergreifende Identitäts- und Zugriffsverwaltung erstellen, und das nicht nur für Windows-Umgebungen. Die folgenden Abschnitte enthalten Informationen zu AD FS in Windows Server 2008, einschließlich Informationen zur zusätzlichen Funktionalität in AD FS in Windows Server 2008 im Vergleich zur AD FS-Version im Betriebssystem Windows Server 2003 R2.

Weitere Informationen zu AD FS finden Sie in der Übersicht über die Active Directory-Verbunddienste (http://go.microsoft.com/fwlink/?LinkId=87272, möglicherweise in englischer Sprache). Weitere Informationen zum Einrichten einer AD FS-Testumgebung finden Sie in der schrittweisen Anleitung zu AD FS in Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=85685, möglicherweise in englischer Sprache).

Für wen ist dieses Feature von Interesse?

AD FS ist für die Bereitstellung in mittleren bis großen Organisationen gedacht, in denen Folgendes vorhanden ist:

  • Mindestens ein Verzeichnisdienst: Active Directory-Domänendienste (Active Directory Domain Services, AD DS) oder Active Directory Lightweight Directory Services (AD LDS) (früher bekannt unter dem Namen Active Directory-Anwendungsmodus (Active Directory Application Mode, ADAM))

  • Computer unter verschiedenen Betriebssystemplattformen

  • Einer Domäne angehörende Computer

  • Mit dem Internet verbundene Computer

  • Eine oder mehrere webbasierte Anwendungen

Lesen Sie diese Informationen sowie die zusätzliche Dokumentation zu AD FS, wenn Sie eine der folgenden Funktionen ausüben:

  • IT-Professional, der für die Unterstützung einer vorhandenen AD FS-Infrastruktur zuständig ist

  • IT-Planer, -Analytiker oder Architekt, der Identitätsverbundprodukte bewertet

Gibt es spezielle Überlegungen?

Wenn eine AD FS-Infrastruktur vorhanden ist, müssen Sie vor Beginn der Aktualisierung der Verbundserver, Verbundserverproxys und AD FS-fähigen Webserver unter Windows Server 2003 R2 auf Windows Server 2008 einige spezielle Überlegungen beachten. Diese Überlegungen gelten nur, wenn AD FS-Server vorhanden sind, die manuell für die Verwendung eindeutiger Dienstkonten konfiguriert wurden.

Das Netzwerkdienstkonto wird von AD FS als Standardkonto für den AD FS-Web-Agent-Authentifizierungsdienst und die Identität des Anwendungspools ADFSAppPool verwendet. Wenn Sie einen oder mehrere AD FS-Server in der vorhandenen AD FS-Bereitstellung manuell für die Verwendung eines anderen Dienstkontos als des Netzwerkdienstkontos konfiguriert haben, müssen Sie nachverfolgen, welche der AD FS-Server diese eindeutigen Dienstkonten verwenden und Benutzername und Kennwort der einzelnen Dienstkonten aufzeichnen.

Wenn Sie einen Server auf Windows Server 2008 aktualisieren, werden beim Upgradeprozess automatisch die ursprünglichen Standardwerte aller Dienstkonten wiederhergestellt. Daher müssen Sie die Dienstkontoinformationen für die einzelnen entsprechenden Server nach der vollständigen Installation von Windows Server 2008 erneut manuell eingeben.

Welche neue Funktionalität wird mit diesem Feature bereitgestellt?

AD FS enthält für Windows Server 2008 neue Funktionen, die in Windows Server 2003 R2 nicht verfügbar waren. Diese neue Funktionalität soll den Verwaltungsaufwand reduzieren und die Unterstützung für wichtige Anwendungen erweitern:

  • Verbesserte Installation – AD FS ist in Windows Server 2008 als Serverrolle enthalten, und der Installations-Assistent enthält neue Serverüberprüfungen.

  • Verbesserte Anwendungsunterstützung – AD FS ist enger mit Microsoft Office SharePoint® Server 2007 und Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) integriert.

  • Verbessertes administratives Arbeiten beim Herstellen von Verbundvertrauensstellungen – Durch die verbesserte Import- und Exportfunktionalität für Vertrauensrichtlinien können partnerbasierte Konfigurationsprobleme minimiert werden, die allgemein mit der Herstellung von Verbundvertrauensstellungen verbunden sind.

Verbesserte Installation

AD FS in Windows Server 2008 enthält mehrere Verbesserungen bei der Installation. Zum Installieren von AD FS in Windows Server 2003 R2 mussten Sie Software in der Systemsteuerung verwenden, um die AD FS-Komponente zu finden und zu installieren. In Windows Server 2008 jedoch können Sie AD FS mithilfe des Server-Managers als Serverrolle installieren.

Sie können verbesserte Assistenten-Seiten für die AD FS-Konfiguration verwenden, um Serverüberprüfungen auszuführen, bevor Sie mit der Installation der AD FS-Serverrolle fortfahren. Außerdem werden im Server-Manager während der Installation der AD FS-Serverrolle automatisch alle Dienste, von denen AD FS abhängig ist, aufgelistet und installiert. Zu diesen Diensten gehören Microsoft ASP.NET 2.0 und weitere Dienste, die Teil der Webserverrolle (IIS) sind.

Verbesserte Anwendungsunterstützung

AD FS in Windows Server 2008 enthält Erweiterungen, die die Integrationsmöglichkeiten mit anderen Anwendungen verbessern, beispielsweise mit Office SharePoint Server 2007 und AD RMS.

Integration mit Office SharePoint Server 2007

Office SharePoint Server 2007 nutzt in vollem Umfang die in diese Version von AD FS integrierten Funktionen für einmaliges Anmelden (Single-Sign-On, SSO). AD FS in Windows Server 2008 enthält Funktionen für die Unterstützung von Mitgliedschafts- und Rollenanbietern für Office SharePoint Server 2007. Das bedeutet, dass Sie Office SharePoint Server 2007 effektiv als Ansprüche unterstützende Anwendung in AD FS konfigurieren können und alle Office SharePoint Server 2007-Sites mithilfe der mitgliedschaft- und rollenbasierten Zugriffssteuerung verwalten können. Die in dieser Version von AD FS enthaltenen Mitgliedschafts- und Rollenanbieter sind nur für die Verwendung durch Office SharePoint Server 2007 gedacht.

Integration mit AD RMS

AD RMS und AD FS wurden so integriert, dass Organisationen vorhandene Verbundvertrauensstellungen nutzen können, um mit externen Partnern zusammenzuarbeiten und rechtlich geschützte Inhalte freizugeben. Beispielsweise kann eine Organisation, die AD RMS bereitgestellt hat, kann mithilfe von AD FS einen Verbund mit einer externen Organisation einrichten. Die Organisation kann dann diese Beziehung verwenden, um rechtlich geschützte Inhalte zwischen den beiden Organisationen freizugeben, ohne dass AD RMS in beiden Organisationen bereitgestellt werden muss.

Besseres administratives Arbeiten beim Erstellen von Verbundvertrauensstellungen

In Windows Server 2003 R2 und Windows Server 2008 können AD FS-Administratoren eine Verbundvertrauensstellung zwischen zwei Organisationen erstellen, indem sie Richtliniendateien importieren und exportieren oder manuell gegenseitig Partnerwerte austauschen, beispielsweise URIs (Uniform Resource Indicators), Anspruchstypen, Anspruchszuordnungen, Anzeigenamen usw. Beim manuellen Prozess muss der Administrator, der diese Daten empfängt, alle empfangenen Daten in die entsprechenden Seiten im Assistenten zum Hinzufügen von Partnern eingeben. Dabei besteht die Gefahr von Tippfehlern. Außerdem muss der Kontopartneradministrator eine Kopie des Verifizierungszertifikats für den Verbundserver an den Ressourcenpartneradministrator senden, damit das Zertifikat über den Assistenten hinzugefügt werden kann.

Obwohl die Möglichkeit zum Importieren und Exportieren von Richtliniendateien in Windows Server 2003 R2 verfügbar war, ist das Erstellen von Vertrauensstellungen zwischen Partnerorganisationen in Windows Server 2008 aufgrund der erweiterten richtlinienbasierten Export- und Importfunktionalität einfacher. Diese Erweiterungen wurden vorgenommen, um das administrative Arbeiten durch mehr Flexibilität in der Importfunktionalität im Assistenten zum Hinzufügen von Partnern zu verbessern. Wenn beispielsweise eine Partnerrichtlinie importiert wird, kann der Administrator den Assistenten zum Hinzufügen von Partnern verwenden, um die importierten Werte zu ändern, bevor der Prozess des Assistenten beendet ist. Dazu gehört die Möglichkeit, ein anderes Verifizierungszertifikat für den Kontopartner anzugeben und eingehende oder ausgehende Ansprüche zwischen Partnern zuzuordnen.

Mithilfe der Export- und Importfeatures in AD FS in Windows Server 2008 können Administratoren einfach ihre Vertrauensrichtlinieneinstellungen in eine XML-Datei exportieren und dann diese Datei an den Partneradministrator senden. Bei diesem Austausch der Partnerrichtliniendateien werden alle URIs, Anspruchstypen, Anspruchszuordnungen und anderen Werte sowie die Verifizierungszertifikate bereitgestellt, die zum Erstellen einer Verbundvertrauensstellung zwischen den beiden Partnerorganisationen benötigt werden.

Die folgende Abbildung und die zugehörigen Anweisungen veranschaulichen, wie ein erfolgreicher Richtlinienaustausch zwischen Partnern (in diesem Fall durch den Administrator in der Kontopartnerorganisation initiiert) zum Optimieren des Prozesses beim Erstellen einer Verbundvertrauensstellung zwischen zwei fiktiven Organisationen beitragen kann: A. Datum Corporation und Trey Research.

AD FS-Import/-Exportvorgang
  1. Der Kontopartneradministrator gibt die Option Standardpartnerrichtlinie exportieren an, indem er mit der rechten Maustaste auf den Ordner Vertrauensrichtlinie klickt und eine Partnerrichtliniendatei exportiert. Diese enthält den URI, den Anzeigenamen, die URL des Verbundserverproxys und das Verifizierungszertifikat für A. Datum Corporation. Der Kontopartneradministrator sendet dann die Partnerrichtliniendatei (per E-Mail oder auf andere Weise) an den Ressourcenpartneradministrator.

  2. Der Ressourcenpartneradministrator erstellt einen neuen Kontopartner mithilfe des Assistenten zum Hinzufügen von Kontopartnern und wählt die Option zum Importieren einer Kontopartner-Richtliniendatei aus. Der Ressourcenpartneradministrator gibt den Speicherort der Partnerrichtliniendatei an und überprüft, ob alle auf den Seiten des Assistenten angezeigten Werte richtig sind (diese Werte werden als Ergebnis des Richtlinienimports aufgefüllt). Der Administrator schließt dann den Assistenten ab.

  3. Der Ressourcenpartneradministrator kann jetzt zusätzliche für diesen Kontopartner spezifische Ansprüche oder Vertrauensrichtlinieneinstellungen konfigurieren. Nach Abschluss dieser Konfiguration gibt der Administrator die Option Richtlinie exportieren an, indem er mit der rechten Maustaste auf den Kontopartner A. Datum Corporation klickt. Der Ressourcenpartneradministrator exportiert eine Partnerrichtliniendatei, die Werte wie beispielsweise den URI, die URL des Verbundserverproxys, den Anzeigenamen, Anspruchstypen und Anspruchszuordnungen für die Organisation Trey Research enthält. Dann sendet der Ressourcenpartneradministrator die Partnerrichtliniendatei an den Kontopartneradministrator.

  4. Der Kontopartneradministrator erstellt einen neuen Ressourcenpartner mithilfe des Assistenten zum Hinzufügen von Ressourcenpartnern und wählt die Option zum Importieren einer Ressourcenpartner-Richtliniendatei aus. Der Ressourcenpartneradministrator gibt den Speicherort der Ressourcenpartner-Richtliniendatei an und überprüft, ob alle auf den Seiten des Assistenten angezeigten Werte richtig sind (diese Werte werden als Ergebnis des Richtlinienimports aufgefüllt). Der Administrator schließt dann den Assistenten ab.

Nach Abschluss dieses Prozesses ist eine erfolgreiche Verbundvertrauensstellung zwischen beiden Partnern hergestellt. Ressourcenpartneradministratoren können den Import- und Exportprozess für die Richtlinien ebenfalls initiieren, dieser Prozess wird hier jedoch nicht beschrieben.

Welche Einstellungen wurden hinzugefügt oder geändert?

Sie konfigurieren die Einstellungen für den tokenbasierten Windows NT-Web-Agent mit dem IIS-Manager-Snap-In. Zur Unterstützung der mit Internetinformationsdienste (IIS) 7.0 bereitgestellten neuen Funktionalität enthält Windows Server 2008 AD FS Aktualisierungen der Benutzeroberfläche für den AD FS-Web-Agent-Rollendienst. In der folgenden Tabelle werden die verschiedenen Speicherorte im IIS-Manager für IIS 6.0 oder IIS 7.0 für jede der Eigenschaftenseiten des AD FS-Web-Agents abhängig von der verwendeten Version von IIS aufgelistet.

 

IIS 6.0-Eigenschaftenseite Alter Speicherort IIS 7.0- Eigenschaften seite Neuer Speicherort

Registerkarte AD FS-Web-Agent

<COMPUTERNAME>\Websites

Verbunddienst-URL

<COMPUTERNAME> (im Abschnitt Andere im mittleren Bereich)

Registerkarte AD FS-Web-Agent

<COMPUTERNAME>\Websites\<Site oder virtuelles Verzeichnis>

AD FS-Web-Agent

<COMPUTERNAME>\Websites\<Site oder virtuelles Verzeichnis> (im Abschnitt IIS\Authentifizierung im mittleren Bereich)

noteHinweis
Zwischen den Benutzeroberflächen des AD FS-Snap-Ins in Windows Server 2008 und des AD FS-Snap-Ins in Windows Server 2003 R2 bestehen keine wesentlichen Unterschiede.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft