(0) exportieren Drucken
Alle erweitern

Schritt 2: Installieren von AD FS-Rollendiensten und Konfigurieren von Zertifikaten

Letzte Aktualisierung: Januar 2009

Betrifft: Windows Server 2008 R2

Nachdem Sie die Computer konfiguriert und der Domäne hinzugefügt haben, können Sie nun auf beiden Servern Active Directory-Verbunddienste-Rollendienste (Active Directory Federation Services, AD FS) installieren. Dieser Schritt umfasst die folgenden Verfahren:

Administrative Anmeldeinformationen

Melden Sie sich zum Ausführen aller Verfahren in diesem Schritt an den Computern adfsaccount und adfsresource mit dem Administratorkonto für die Domäne an. Melden Sie sich beim Computer adfsweb mit dem lokalen Administratorkonto an.

Installieren des Verbunddiensts

Installieren Sie die Verbunddienstkomponente von AD FS mit dem folgenden Verfahren auf den Computern adfsaccount und adfsresource. Nach der Installation des Verbunddiensts auf einem Computer wird dieser zu einem Verbundserver.

In diesem Verfahren zur Verbunddienstinstallation erstellen Sie eine neue Vertrauensrichtliniendatei und selbstsignierte SSL-Zertifikate (Secure Sockets Layer) sowie Tokensignaturzertifikate für jeden Verbundserver.

So installieren Sie den Verbunddienst

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.

  2. Klicken Sie mit der rechten Maustaste auf Rollen, und klicken Sie dann auf Rollen hinzufügen, um den Assistenten zum Hinzufügen von Rollen zu starten.

  3. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.

  4. Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Verbunddienste. Klicken Sie zweimal auf Weiter.

  5. Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Verbunddienst. Wenn Sie zum Installieren weiterer Webserverrollendienste (IIS) oder Windows-Prozessaktivierungsdienst-Rollendienste aufgefordert werden, klicken Sie auf Erforderliche Rollendienste hinzufügen, um sie zu installieren, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Serverauthentifizierungszertifikat für SSL-Verschlüsselung auswählen auf Selbstsigniertes Zertifikat zur SSL-Verschlüsselung erstellen, und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Tokensignaturzertifikat auswählen auf Selbstsigniertes Tokensignaturzertifikat erstellen, und klicken Sie dann auf Weiter.

  8. Klicken Sie auf der Seite Vertrauensrichtlinie auswählen auf Eine neue Vertrauensrichtlinie erstellen, und klicken Sie dann auf zweimal auf Weiter.

  9. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter, um die Standardwerte zu übernehmen.

  10. Überprüfen Sie die Informationen auf der Seite Installationsauswahl bestätigen, und klicken Sie auf Installieren.

  11. Überprüfen Sie auf der Seite Installationsergebnisse, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Konfigurieren von Internetinformationsdiensten zum Verwenden von SSL auf beiden Verbundservern

Verwenden Sie das folgende Verfahren, um die Internetinformationsdienste (Internet Information Services, IIS) so zu konfigurieren, dass auf der Standardwebsite der beiden Verbundserver adfsresource und adfsaccount SSL erforderlich ist.

So konfigurieren Sie IIS auf dem Server "adfsaccount"

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Doppelklicken Sie in der Konsolenstruktur auf ADFSACCOUNT und dann auf Sites, und klicken Sie anschließend auf Standardwebsite.

  3. Klicken Sie im Aktionsbereich auf Bindungen.

  4. Klicken Sie im Dialogfeld Sitebindungen auf Hinzufügen.

  5. Klicken Sie unter Typ auf https.

  6. Klicken Sie unter SSL-Zertifikat auf adfsaccount.adatum.com, klicken Sie dann auf OK und anschließend auf Schließen.

  7. Doppelklicken Sie im mittleren Bereich auf SSL-Einstellungen, und aktivieren Sie das Kontrollkästchen SSL erforderlich.

  8. Klicken Sie unter Clientzertifikate auf Annehmen, und klicken Sie dann auf Übernehmen.

So konfigurieren Sie IIS auf dem Server "adfsresource"

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Doppelklicken Sie in der Konsolenstruktur auf ADFSRESOURCE und dann auf Sites, und klicken Sie anschließend auf Standardwebsite.

  3. Doppelklicken Sie im mittleren Bereich auf SSL-Einstellungen, und aktivieren Sie das Kontrollkästchen SSL erforderlich.

  4. Klicken Sie unter Clientzertifikate auf Annehmen, und klicken Sie dann auf Übernehmen.

Installieren des AD FS-Web-Agents

Verwenden Sie das folgende Verfahren, um den Ansprüche unterstützenden Web-Agent auf dem Webserver (adfsweb) zu installieren.

So installieren Sie den AD FS-Web-Agent

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.

  2. Klicken Sie mit der rechten Maustaste auf Rollen, und klicken Sie dann auf Rollen hinzufügen, um den Assistenten zum Hinzufügen von Rollen zu starten.

  3. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.

  4. Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Verbunddienste. Klicken Sie zweimal auf Weiter.

  5. Aktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Ansprüche unterstützender Agent. Wenn Sie zum Installieren weiterer Webserverrollendienste (IIS) oder Windows-Prozessaktivierungsdienst-Rollendienste aufgefordert werden, klicken Sie auf Erforderliche Rollendienste hinzufügen, um sie zu installieren, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Webserver (IIS) auf Weiter.

  7. Aktivieren Sie auf der Seite Rollendienste auswählen zusätzlich zu den bereits aktivierten Kontrollkästchen die Kontrollkästchen Clientzertifikatzuordnung-Authentifizierung und IIS-Verwaltungskonsole, und klicken Sie dann auf Weiter.

    Mit dem Kontrollkästchen Clientzertifikatzuordnung-Authentifizierung werden die Komponenten installiert, die von IIS zum Erstellen des für diesen Server erforderlichen selbstsignierten Serverauthentifizierungszertifikats benötigt werden.

  8. Nachdem Sie die Informationen auf der Seite Installationsauswahl bestätigen überprüft haben, klicken Sie auf Installieren.

  9. Überprüfen Sie auf der Seite Installationsergebnisse, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Erstellen, Exportieren und Importieren von Zertifikaten

Für eine erfolgreiche Einrichtung des Webservers und der Verbundserver ist es besonders wichtig, dass die erforderlichen Zertifikate ordnungsgemäß erstellt und exportiert werden. Da Sie das Serverauthentifizierungszertifikat für beide Verbundserver mit dem Assistenten zum Hinzufügen von Rollen bereits erstellt haben, müssen Sie nun nur noch das Serverauthentifizierungszertifikat für den Computer adfsweb erstellen. Dieser Abschnitt umfasst die folgenden Verfahren:

noteHinweis
In einer Produktionsumgebung werden Zertifikate von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt. Für die Testumgebung in dieser Anleitung werden selbstsignierte Zertifikate verwendet.

Erstellen eines Serverauthentifizierungszertifikats für "adfsweb"

Verwenden Sie das folgende Verfahren, um auf dem Webserver (adfsweb) ein selbstsigniertes Serverauthentifizierungszertifikat zu erstellen.

So erstellen Sie ein Serverauthentifizierungszertifikats für "adfsweb"

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Klicken Sie in der Konsolenstruktur auf ADFSWEB.

  3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.

  4. Klicken Sie im Aktionsbereich auf Selbstsigniertes Zertifikat erstellen.

  5. Geben Sie im Dialogfeld Selbstsigniertes Zertifikat erstellen den Text adfsweb ein, und klicken Sie dann auf OK.

Exportieren des Tokensignaturzertifikats von "adfsaccount" in eine Datei

Verwenden Sie das folgende Verfahren, um auf dem Kontoverbundserver (adfsaccount) das Tokensignaturzertifikat in eine Datei zu exportieren.

So exportieren Sie das Tokensignaturzertifikats von "adfsaccount" in eine Datei

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Verbunddienste.

  2. Klicken Sie mit der rechten Maustaste auf Verbunddienst, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte Allgemein auf Anzeigen.

  4. Klicken Sie auf der Registerkarte Details auf In Datei kopieren.

  5. Klicken Sie auf der Seite Willkommen auf Weiter.

  6. Klicken Sie auf der Seite Privaten Schlüssel exportieren auf Nein, privaten Schlüssel nicht exportieren und dann auf Weiter.

  7. Klicken Sie auf der Seite Format der zu exportierenden Datei auf DER-codiert-binär X.509 (.CER) und dann auf Weiter.

  8. Geben Sie auf der Seite Zu exportierende Datei den Speicherort d:\adfsaccount_ts.cer ein, und klicken Sie auf Weiter.

    noteHinweis
    Das Tokensignaturzertifikat von adfsaccount wird später auf adfsresource importiert, wenn Sie vom Assistenten zum Hinzufügen von Kontopartnern zum Angeben des Kontopartner-Verifizierungszertifikats aufgefordert werden. (Weitere Informationen finden Sie unter Schritt 4: Konfigurieren der Verbundserver.) Nun greifen Sie über das Netzwerk auf adfsresource zu, um diese Datei abzurufen.

  9. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

Exportieren des Serverauthentifizierungszertifikats von "adfsresource" in eine Datei

Für eine erfolgreiche Kommunikation zwischen dem Ressourcenverbundserver (adfsresource) und dem Webserver (adfsweb) muss der Webserver zunächst dem Stamm des Ressourcenverbundservers vertrauen.

noteHinweis
Der Webserver muss dem Stamm des Ressourcenverbundservers vertrauen, da die Überprüfung von Zertifikatsperrlisten (Certificate Revocation List, CRL) standardmäßig aktiviert ist. Zum Aufheben dieser Abhängigkeit kann die Überprüfung von Zertifikatsperrlisten deaktiviert werden. In dieser Anleitung wird das Deaktivieren der Überprüfung von Zertifikatsperrlisten jedoch nicht beschrieben Das Deaktivieren der Überprüfung von Zertifikatsperrlisten kann die Integrität von AD FS gefährden und sollte daher in einer Produktionsumgebung vermieden werden. Weitere Informationen zum Deaktivieren der Überprüfung von Zertifikatsperrlisten finden Sie im Thema zum Aktivieren und Deaktivieren der Überprüfung von Zertifikatsperrlisten (http://go.microsoft.com/fwlink/?LinkId=68608, möglicherweise in englischer Sprache).

Da in dem Szenario, das in dieser Anleitung beschrieben wird, selbstsignierte Zertifikate verwendet werden, stellt das Serverauthentifizierungszertifikat den Stamm dar. Sie müssen deshalb diese Vertrauensstellung einrichten, indem Sie das Authentifizierungszertifikat des Ressourcenverbundservers (adfsresource) zunächst in eine Datei exportieren und diese Datei dann auf dem Webserver (adfsweb) importieren. Verwenden Sie das folgende Verfahren, um auf dem Ressourcenverbundserver adfsresource das Serverauthentifizierungszertifikat in eine Datei zu exportieren.

So exportieren Sie das Serverauthentifizierungszertifikat von "adfsresource" in eine Datei

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Klicken Sie in der Konsolenstruktur auf ADFSRESOURCE.

  3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.

  4. Klicken Sie im mittleren Bereich mit der rechten Maustaste auf adfsresource.treyresearch.net, und klicken Sie dann auf Exportieren.

  5. Klicken Sie im Dialogfeld Zertifikat exportieren auf die Schaltfläche mit den drei Punkten ().

  6. Geben Sie im Feld Dateiname den Pfad d:\adfsresource ein, und klicken Sie dann auf Öffnen.

    noteHinweis
    Dieses Zertifikat muss im nächsten Verfahren auf dem Webserver (adfsweb) importiert werden. Stellen Sie deshalb sicher, dass adfsweb über das Netzwerk auf diese Datei zugreifen kann.

  7. eben Sie ein Kennwort für das Zertifikat ein, bestätigen Sie es, und klicken Sie dann auf OK.

Importieren des Serverauthentifizierungszertifikats für "adfsresource" auf "adfsweb"

Führen Sie auf dem Webserver (adfsweb) das folgende Verfahren aus, um das Serverauthentifizierungszertifikat für adfsresource zu importieren.

So importieren Sie das Serverauthentifizierungszertifikats für "adfsresource" auf "adfsweb"

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Wählen Sie Zertifikate aus, und klicken Sie auf Hinzufügen. Klicken Sie dann auf Computerkonto und auf Weiter.

  4. Klicken Sie auf Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird), und klicken Sie dann auf Fertig stellen und OK.

  5. Doppelklicken Sie in der Konsolenstruktur auf das Symbol Zertifikate (lokaler Computer) und den Ordner Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.

  6. Klicken Sie auf der Seite Willkommen auf Weiter.

  7. Geben Sie auf der Seite Zu importierende Datei den Namen \\adfsresource\d$\adfsresource.pfx ein, und klicken Sie dann auf Weiter.

    noteHinweis
    Sie müssen zum Abrufen der Datei adfsresource.pfx möglicherweise das Netzlaufwerk zuordnen. Sie können Sie Datei adfsresource.pfx auch direkt von adfsresource auf adfsweb Webserver kopieren und im Assistenten dann diesen Speicherort angeben.

  8. Geben Sie auf der Seite Kennwort das Kennwort für die Datei adfsresource.pfx ein, und klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern, und klicken Sie dann auf Weiter.

  10. Überprüfen Sie auf der Seite Fertigstellen des Assistenten, ob die angegebenen Informationen richtig sind, und klicken Sie auf Fertig stellen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft