Überprüfen der Anforderungen für die Bereitstellung von AD FS

Artikel
11/09/2015

Gilt für: Azure, Office 365, Power BI, Windows Intune

Für eine neue AD FS-Bereitstellung, um eine vertrauende Partei vertrauende Vertrauensstellung erfolgreich mit Azure AD zu erstellen, müssen Sie zuerst sicherstellen, dass Ihre Unternehmensnetzwerkinfrastruktur so konfiguriert ist, dass AD FS-Anforderungen für Konten, Namenauflösung und Zertifikate unterstützt werden. Für AD FS müssen die folgenden Anforderungen erfüllt sein:

Softwareanforderungen
Zertifikatanforderungen
Netzwerkanforderungen

Softwareanforderungen

Die AD FS-Software muss auf allen Computern installiert sein, die Sie für die Verbundserver- oder Verbundserverproxy-Rolle vorbereiten. Sie können diese Software entweder mithilfe des AD FS-Setup-Assistenten oder mithilfe des adfssetup.exe /quiet-Parameters in einer Befehlszeile installieren.

Für eine Basisinstallationsplattform erfordert AD FS entweder den Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 oder Windows Server 2012 R2-Betriebssystem. AD FS verfügt über ein separates Installationspaket für die Windows Server 2008, Windows Server 2008 R2-Betriebssystemplattformen (und wird häufig als AD FS 2.0 bezeichnet) oder sie kann installiert werden, indem sie die Rolle des Verbunddienstservers als Teil des Windows Server 2012 oder Windows Server 2012 R2-Betriebssystems hinzufügen.

Wenn Sie AD FS 2.0 oder AD FS in Windows Server 2012 verwenden, stellen Sie Verbundserverproxys als Teil der Implementierung Ihrer SSO-Lösung bereit und konfigurieren diese.

Wenn Sie AD FS in Windows Server 2012 R2 verwenden, stellen Sie Webanwendungsproxys bereit, um Ihre AD FS-Bereitstellung für Extranetzugriff zu konfigurieren. In Windows Server 2012 R2 wird ein Webanwendungsproxy – ein neuer Rollendienst der Remotezugriff-Serverrolle – verwendet, um AD FS für Zugriff zu aktivieren, der außerhalb des Unternehmensnetzwerks erfolgt. Weitere Informationen finden Sie unter Webanwendungsproxy: Übersicht.

Voraussetzungen

Während des AD FS-Installationsvorgangs überprüft der Setup-Assistent automatisch, ob die beiden vorausgesetzten Anwendungen und abhängigen Hotfixes vorhanden sind, und installiert diese bei Bedarf. In den meisten Fällen installiert der Setup-Assistent alle vorausgesetzten Anwendungen, die für den Betrieb und die Installation von AD FS erforderlich sind.

Es gibt jedoch eine Ausnahme: Wenn Sie AD FS auf der Windows Server 2008-Plattform installieren (als separates Installationspaket, das als AD FS 2.0 bezeichnet wird). Wenn dies in Ihrer Bereitstellungssituation der Fall ist, müssen Sie zunächst sicherstellen, dass .NET 3.5 SP1 auf den Servern installiert ist, die Windows Server 2008 ausgeführt werden, bevor Sie die AD FS 2.0-Software installieren, da es eine Voraussetzung für AD FS 2.0 ist und nicht automatisch vom AD FS 2.0-Setup-Assistenten auf dieser Plattform installiert wird. Wenn .NET 3.5 SP1 nicht installiert ist, verhindert der AD FS 2.0-Setup-Assistent die Installation der AD FS 2.0-Software.

Hotfixes

Sie müssen AD FS 2.0-Hotfixes installieren, nachdem Sie AD FS 2.0 installiert haben. Weitere Informationen finden Sie unter Description of Update Rollup 2 for Active Directory Federation Services (AD FS) 2.0 (Beschreibung des Updaterollups 2 für Active Directory-Verbunddienste (AD FS) 2.0).

Virtualisierung

AD FS unterstützt Softwarevirtualisierung der Verbundserver- und Verbundserverproxy-Rollen. Damit Redundanz ermöglicht wird, wird empfohlen, jeden virtuellen AD FS-Computer auf einem separaten physischen virtuellen Server zu speichern.

Weitere Informationen zum Einrichten einer virtuellen Serverumgebung mit der Microsoft-Virtualisierungstechnologie finden Sie unter Hyper-V Getting Started Guide (Erste Schritte mit Hyper-V).

Zertifikatanforderungen

Zertifikate spielen die wichtigste Rolle bei der Sicherung der Kommunikation zwischen Verbundservern, Webanwendungs-Proxies, Verbundserver-Proxies, Clouddienst und Webclients. Die Anforderungen für Zertifikate sind abhängig davon, ob Sie einen Verbundserver-, einen Webanwendungsproxy- oder einen Verbundserverproxy-Computer einrichten, unterschiedlich und werden in den folgenden Tabellen beschrieben.

Verbundserverzertifikate

Für Verbundserver sind die in der folgenden Tabelle beschriebenen Zertifikate erforderlich.

Zertifikattyp	BESCHREIBUNG	Was Sie vor der Bereitstellung wissen müssen
SSL-Zertifikat (auch als Serverauthentifizierungszertifikat bezeichnet) für AD FS in Windows Server 2012 R2	Dies ist ein SSL-Standardzertifikat (Secure Sockets Layer), das zum Sichern der Kommunikation zwischen Verbundservern, Clients, Webanwendungsproxy und Verbundserverproxy-Computern verwendet wird.	AD FS erfordert ein Zertifikat für SSL-Serverauthentifizierung auf jedem Verbundserver in Ihrer Verbundserverfarm. Das gleiche Zertifikat sollte für jeden Verbundserver in einer Farm verwendet werden. Sie müssen sowohl über das Zertifikat als auch den dazugehörigen privaten Schlüssel verfügen. Wenn Sie z. B. das Zertifikat und seinen privater Schlüssel in einer PFX-Datei gespeichert haben, können Sie die Datei direkt in den Konfigurations-Assistenten von Active Directory Federation Services importieren. Dieses SSL-Zertifikat muss Folgendes enthalten: Der Antragstellername und der alternative Antragstellername muss den Namen Ihres Verbunddiensts enthalten, z. B. fs.contoso.com. Der alternative Antragstellername muss den Wert enterpriseregistration, gefolgt vom UPN-Suffix Ihrer Organisation enthalten, z. B. enterpriseregistration.corp.contoso.com
SSL-Zertifikat (auch als Serverauthentifizierungszertifikat bezeichnet) für Legacyversionen von AD FS	Dies ist ein SSL-Standardzertifikat (Secure Sockets Layer), das zum Sichern der Kommunikation zwischen Verbundservern, Clients, Webanwendungsproxy und Verbundserverproxy-Computern verwendet wird.	AD FS erfordert ein SSL-Zertifikat, wenn Verbundservereinstellungen konfiguriert werden. Standardmäßig verwendet AD FS das SSL-Zertifikat, das für die Standardwebsite in IIS (Internetinformationsdienste) konfiguriert wird. Der Antragstellername dieses SSL-Zertifikats wird zum Ermitteln des Verbunddienstnamens für jede Instanz von AD FS verwendet, die Sie bereitstellen. Aus diesem Grund sollten Sie einen Betreffnamen für alle neuen Zertifizierungsstelle (CA)-ausgestellten Zertifikate auswählen, die den Namen Ihres Unternehmens oder Ihrer Organisation am besten für den Clouddienst darstellen und dieser Name internetroutable sein muss. Beispielsweise lautet im weiter oben in diesem Artikel gezeigten Diagramm (siehe „Phase 2“) der Antragstellername des Zertifikats „fs.fabrikam.com“. Wichtig AD FS erfordert, dass dieses SSL-Zertifikat einen Antragstellernamen ohne Punkt (Kurzname) aufweist. Erforderlich: Da dieses Zertifikat von Clients von AD FS- und Microsoft-Clouddiensten vertrauenswürdig sein muss, verwenden Sie ein SSL-Zertifikat, das von einer öffentlichen (Drittanbieter)-CA oder einer Zertifizierungsstelle ausgestellt wird, die einem öffentlich vertrauenswürdigen Stamm untergeordnet ist; z. B. VeriSign oder Thawte.
Tokensignaturzertifikat	Dies ist ein standardmäßiges X.509-Zertifikat, das für sicheres Signieren aller Token verwendet wird, die der Verbundserver ausgibt und dass der Clouddienst akzeptiert und überprüft wird.	Das Tokensignaturzertifikat muss einen privaten Schlüssel enthalten und sollte an einen vertrauenswürdigen Stamm im Verbunddienst gebunden sein. Standardmäßig erstellt AD FS ein selbstsigniertes Zertifikat. Abhängig von den Anforderungen Ihrer Organisation können Sie dieses Zertifikat jedoch später mithilfe des AD FS-Verwaltungs-Snap-Ins in ein von einer Zertifizierungsstelle ausgestelltes Zertifikat ändern. Empfehlung: Verwenden Sie das von AD FS generierte selbst signierte Tokensignaturzertifikat. Auf diese Weise verwaltet AD FS dieses Zertifikat standardmäßig für Sie. Sollte dieses Zertifikat z. B. ablaufen, generiert AD FS vor dessen Ablauf ein neues zu verwendendes selbstsigniertes Zertifikat.

SSL-Zertifikat (auch als Serverauthentifizierungszertifikat bezeichnet) für AD FS in Windows Server 2012 R2

Dies ist ein SSL-Standardzertifikat (Secure Sockets Layer), das zum Sichern der Kommunikation zwischen Verbundservern, Clients, Webanwendungsproxy und Verbundserverproxy-Computern verwendet wird.

AD FS erfordert ein Zertifikat für SSL-Serverauthentifizierung auf jedem Verbundserver in Ihrer Verbundserverfarm. Das gleiche Zertifikat sollte für jeden Verbundserver in einer Farm verwendet werden. Sie müssen sowohl über das Zertifikat als auch den dazugehörigen privaten Schlüssel verfügen. Wenn Sie z. B. das Zertifikat und seinen privater Schlüssel in einer PFX-Datei gespeichert haben, können Sie die Datei direkt in den Konfigurations-Assistenten von Active Directory Federation Services importieren. Dieses SSL-Zertifikat muss Folgendes enthalten:

Der Antragstellername und der alternative Antragstellername muss den Namen Ihres Verbunddiensts enthalten, z. B. fs.contoso.com.
Der alternative Antragstellername muss den Wert enterpriseregistration, gefolgt vom UPN-Suffix Ihrer Organisation enthalten, z. B. enterpriseregistration.corp.contoso.com

SSL-Zertifikat (auch als Serverauthentifizierungszertifikat bezeichnet) für Legacyversionen von AD FS

Dies ist ein SSL-Standardzertifikat (Secure Sockets Layer), das zum Sichern der Kommunikation zwischen Verbundservern, Clients, Webanwendungsproxy und Verbundserverproxy-Computern verwendet wird.

AD FS erfordert ein SSL-Zertifikat, wenn Verbundservereinstellungen konfiguriert werden. Standardmäßig verwendet AD FS das SSL-Zertifikat, das für die Standardwebsite in IIS (Internetinformationsdienste) konfiguriert wird.

Der Antragstellername dieses SSL-Zertifikats wird zum Ermitteln des Verbunddienstnamens für jede Instanz von AD FS verwendet, die Sie bereitstellen. Aus diesem Grund sollten Sie einen Betreffnamen für alle neuen Zertifizierungsstelle (CA)-ausgestellten Zertifikate auswählen, die den Namen Ihres Unternehmens oder Ihrer Organisation am besten für den Clouddienst darstellen und dieser Name internetroutable sein muss. Beispielsweise lautet im weiter oben in diesem Artikel gezeigten Diagramm (siehe „Phase 2“) der Antragstellername des Zertifikats „fs.fabrikam.com“.

Wichtig

AD FS erfordert, dass dieses SSL-Zertifikat einen Antragstellernamen ohne Punkt (Kurzname) aufweist.

Erforderlich: Da dieses Zertifikat von Clients von AD FS- und Microsoft-Clouddiensten vertrauenswürdig sein muss, verwenden Sie ein SSL-Zertifikat, das von einer öffentlichen (Drittanbieter)-CA oder einer Zertifizierungsstelle ausgestellt wird, die einem öffentlich vertrauenswürdigen Stamm untergeordnet ist; z. B. VeriSign oder Thawte.

Tokensignaturzertifikat

Dies ist ein standardmäßiges X.509-Zertifikat, das für sicheres Signieren aller Token verwendet wird, die der Verbundserver ausgibt und dass der Clouddienst akzeptiert und überprüft wird.

Das Tokensignaturzertifikat muss einen privaten Schlüssel enthalten und sollte an einen vertrauenswürdigen Stamm im Verbunddienst gebunden sein. Standardmäßig erstellt AD FS ein selbstsigniertes Zertifikat. Abhängig von den Anforderungen Ihrer Organisation können Sie dieses Zertifikat jedoch später mithilfe des AD FS-Verwaltungs-Snap-Ins in ein von einer Zertifizierungsstelle ausgestelltes Zertifikat ändern.

Empfehlung: Verwenden Sie das von AD FS generierte selbst signierte Tokensignaturzertifikat. Auf diese Weise verwaltet AD FS dieses Zertifikat standardmäßig für Sie. Sollte dieses Zertifikat z. B. ablaufen, generiert AD FS vor dessen Ablauf ein neues zu verwendendes selbstsigniertes Zertifikat.

Warnung

Das Tokensignaturzertifikat ist für die Stabilität des Verbunddiensts unerlässlich. Wenn sie geändert wird, muss der Clouddienst über diese Änderung benachrichtigt werden. Andernfalls schlägt die Anforderung an den Clouddienst fehl. Weitere Informationen zum Verwalten von Zertifikaten über die AD FS-Verbundserverfarm und den Clouddienst finden Sie unter Aktualisieren von Vertrauensstellungseigenschaften.

Proxycomputerzertifikate

Verbundserverproxys erfordern das Zertifikat in der folgenden Tabelle.

Zertifikattyp	BESCHREIBUNG	Was Sie vor der Bereitstellung wissen müssen
SSL-Zertifikat	Dies ist ein SSL-Standardzertifikat (Secure Sockets Layer), das zum Sichern der Kommunikation zwischen einem Verbundserver, einem Verbundserverproxy oder Webanwendungsproxy und Internetclientcomputern verwendet wird.	Dies ist das gleiche Serverauthentifizierungszertifikat wie das von den Verbundservern im Unternehmensnetzwerk verwendete Zertifikat. Dieses Zertifikat muss denselben Antragstellernamen aufweisen wie das SSL-Zertifikat, das auf dem Verbundserver im Unternehmensnetzwerk konfiguriert ist. Wenn Sie AD FS in Windows Server 2008 oder Windows Server 2012 verwenden, müssen Sie dieses Zertifikat auf der Standardwebsite des Verbundserverproxy-Computers installieren. Wenn Sie AD FS in Windows Server 2012 R2 verwenden, müssen Sie dieses Zertifikat in den persönlichen Zertifikatspeicher auf dem Computer importieren, der als Webanwendungsproxy fungiert. Empfehlung: Verwenden Sie das gleiche Serverauthentifizierungszertifikat wie auf dem Verbundserver konfiguriert, mit dem dieser Verbundserverproxy oder web Anwendungsproxy eine Verbindung herstellen wird.

SSL-Zertifikat

Dies ist ein SSL-Standardzertifikat (Secure Sockets Layer), das zum Sichern der Kommunikation zwischen einem Verbundserver, einem Verbundserverproxy oder Webanwendungsproxy und Internetclientcomputern verwendet wird.

Dies ist das gleiche Serverauthentifizierungszertifikat wie das von den Verbundservern im Unternehmensnetzwerk verwendete Zertifikat. Dieses Zertifikat muss denselben Antragstellernamen aufweisen wie das SSL-Zertifikat, das auf dem Verbundserver im Unternehmensnetzwerk konfiguriert ist.

Wenn Sie AD FS in Windows Server 2008 oder Windows Server 2012 verwenden, müssen Sie dieses Zertifikat auf der Standardwebsite des Verbundserverproxy-Computers installieren.

Wenn Sie AD FS in Windows Server 2012 R2 verwenden, müssen Sie dieses Zertifikat in den persönlichen Zertifikatspeicher auf dem Computer importieren, der als Webanwendungsproxy fungiert.

Empfehlung: Verwenden Sie das gleiche Serverauthentifizierungszertifikat wie auf dem Verbundserver konfiguriert, mit dem dieser Verbundserverproxy oder web Anwendungsproxy eine Verbindung herstellen wird.

Weitere Informationen zu den Zertifikaten, die Verbundserver und Verbundserver-Proxies verwenden, finden Sie im AD FS 2.0-Entwurfshandbuch oder Windows Server 2012 AD FS-Entwurfshandbuch.

Netzwerkanforderungen

Das ordnungsgemäße Konfigurieren der folgenden Netzwerkdienste ist für eine erfolgreiche Bereitstellung von AD FS in Ihrer Organisation entscheidend.

TCP/IP-Netzwerkkonnektivität

Damit AD FS funktioniert, muss TCP/IP-Netzwerkkonnektivität zwischen dem Client, den Domänencontrollern, Verbundservern und Verbundserverproxys vorhanden sein.

DNS

Der primäre Netzwerkdienst, der für den Vorgang von AD FS, außer Active Directory, wichtig ist, ist Das Domänennamesystem (DNS). Wenn DNS bereitgestellt wird, können Benutzer einfach zu merkende Computeranzeigenamen verwenden, um eine Verbindung zu Computern und anderen Ressourcen in IP-Netzwerken herzustellen.

Folgendes muss konfiguriert werden, damit DNS für die Unterstützung von AD FS aktualisiert wird:

Interne DNS-Server im Unternehmensnetzwerk, um den DNS-Clusternamen zur IP-Adresse des NLB-Clusters aufzulösen, den Sie auf dem NLB-Host des Unternehmensnetzwerks konfigurieren. Beispielsweise wird „fs.fabrikam.com“ zu „172.16.1.3“ aufgelöst.
DNS-Server im Umkreisnetzwerk, um den DNS-Clusternamen zur IP-Clusteradresse des NLB-Clusters aufzulösen, den Sie auf dem NLB-Host des Umkreisnetzwerks konfigurieren. Beispielsweise wird „fs.fabrikam.com“ zu „192.0.2.3“ aufgelöst.

NLB-Anforderungen

NLB ist zur Bereitstellung von Fehlertoleranz, hoher Verfügbarkeit und Lastenausgleich für mehrere Knoten erforderlich. NLB kann mit der Hardware, der Software oder beidem implementiert werden. Sie müssen die DNS-Ressourceneinträge basierend auf dem Namen Ihres Verbunddiensts für den NLB-Cluster so konfigurieren, dass der vollqualifizierte Domänenname (FQDN) des Clusters (in diesem Artikel auch als DNS-Clustername bezeichnet) in seine IP-Clusteradresse aufgelöst wird.

Allgemeine Informationen zur IP-Adresse des NLB-Clusters sowie zum Cluster-FQDN finden Sie unter Specifying the Cluster Parameters (Angeben der Clusterparameter).

Nutzen des erweiterten Schutzes für die Authentifizierung

Wenn Ihre Computer über erweiterten Schutz für die Authentifizierung verfügen und Firefox, Chrome oder Safari verwenden, können Sie sich möglicherweise nicht mit integriertem Windows-Authentifizierung im Unternehmensnetzwerk bei dem Clouddienst anmelden. In diesem Fall werden den Benutzern möglicherweise regelmäßig Anmeldeaufforderungen angezeigt. Dies ist auf die Standardkonfiguration (auf Windows 7 und gepatchten Clientbetriebssystemen) für AD FS und erweiterten Schutz für die Authentifizierung zurückzuführen.

Bis Firefox, Chrome und Safari erweiterter Schutz für die Authentifizierung unterstützen, ist die empfohlene Option für alle Clients, die auf den Clouddienst zugreifen, um Windows Internet Explorer 8 zu installieren und zu verwenden. Wenn Sie einmaliges Anmelden für den Clouddienst mit Firefox, Chrome oder Safari verwenden möchten, gibt es zwei weitere Lösungen, die berücksichtigt werden sollen. Bei beiden Ansätzen können jedoch Sicherheitsbedenken bestehen. Weitere Informationen finden Sie unter Microsoft Security Advisory: Erweiterter Schutz für die Authentifizierung. Diese Lösungen sind folgende:

Deinstallieren der Patches für den erweiterten Schutz auf Ihrem Computer.
Ändern der Einstellung Erweiterter Schutz für die Authentifizierung auf dem AD FS-Server. Weitere Informationen finden Sie unter Konfigurieren erweiterter Optionen für AD FS 2.0.
Umkonfigurieren der Authentifizierungseinstellungen für die AD FS-Webseite auf jedem Verbundserver von integrierter Windows-Authentifizierung in formularbasierte Authentifizierung.

Nächster Schritt

Nachdem Sie die Anforderungen für die Bereitstellung von AD FS überprüft haben, besteht der nächste Schritt darin, Ihre Netzwerkinfrastruktur für Verbundserver vorzubereiten.

Weitere Informationen

Konzepte

Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens