Preparar la infraestructura de red para los servidores de federación
Se aplica a: Azure, Office 365, Power BI, Windows Intune
La lista de comprobación siguiente incluye las tareas de preparación que debes realizar a fin de implementar una granja de servidores de federación.
Nota
- Complete las tareas en orden en estas listas de comprobación. Cuando un vínculo de referencia le dirija a un procedimiento, vuelva a este tema tras completar los pasos de este procedimiento, de tal forma que pueda continuar con las tareas restantes de la lista de comprobación.
- Si no se indica lo contrario, para poder completar todas las tareas mediante los procedimientos de esta sección debe iniciar sesión primero en los equipos como miembro del grupo de administradores, o tener asignados permisos equivalentes.
.gif "Checklist")
Lista de comprobación: Preparación de la infraestructura de red para servidores de federación
| Tarea de implementación | Vínculos a temas en esta sección | Completado |
|---|---|---|
1. Una los equipos que se convertirán en servidores de federación a un dominio donde se autenticarán los usuarios de Active Directory. Nota Puede omitir este paso si va a usar los controladores de dominio existentes como servidores de federación. |
.gif "Checkbox") |
|
2. Cree y configure un nuevo nombre DNS del clúster NLB o use un clúster NLB existente en la red corporativa que usará la nueva granja de servidores de federación. A continuación, agregue los equipos del servidor de federación al clúster de NLB. Si usa la tecnología Windows Server en sus hosts de NLB actuales, elija el vínculo adecuado a la derecha en función de la versión del sistema operativo. Nota Este paso es opcional en una implementación de prueba de esta solución de SSO con un servidor de federación de AD FS único. |
Para crear y configurar clústeres NLB en Windows Server 2003 y Windows Server 2003 R2, consulte Lista de comprobación: Habilitación y configuración del equilibrio de carga de red. Para crear y configurar clústeres NLB en Windows Server 2008, consulte Creación de clústeres de equilibrio de carga de red. Para crear y configurar clústeres NLB en Windows Server 2008 R2, consulte Creación de clústeres de equilibrio de carga de red. |
|
3. Cree un nuevo registro de recursos para el nombre DNS del clúster en el DNS de red corporativa que apunte el nombre FQDN del clúster NLB a su dirección IP del clúster. |
|
|
4. Importe el certificado de autenticación del servidor al sitio web predeterminado para cada servidor de federación de la granja de servidores. Nota La instalación de este certificado en el sitio web predeterminado es un requisito para poder utilizar el Asistente para la configuración del servidor de federación de AD FS. |
Importar un certificado de autenticación de servidor al sitio web predeterminado |
|
5. Cree y configure una cuenta de servicio dedicada en Active Directory donde residirá la granja de servidores de federación y configurará cada servidor de federación de la granja para usar esta cuenta. |
Configurar manualmente una cuenta de servicio para una granja de servidores de federación |
|
Unir el equipo a un dominio
Para que AD FS funcione, cada equipo que funcione como servidor de federación debe estar unido a un dominio. Los servidores proxy de federación pueden unirse a un dominio, pero no es obligatorio.
Si quieres utilizar AD FS en Windows Server 2012 R2, tu dominio de Active Directory debe ejecutar alguno de los siguientes:
Windows Server
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Para unir el equipo a un dominio
En el equipo que quieres unir a un dominio, haz clic en Inicio, en Panel de control y, a continuación, haga doble clic en Sistema.
En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic en Cambiar la configuración.
En la ficha Nombre de equipo, haga clic en Cambiar.
En Miembro del, haz clic en Dominio, escribe el nombre del dominio al que se unirá este equipo y haz clic en Aceptar.
Haz clic en Aceptar y reinicia el equipo.
Agregar un registro de recurso al DNS corporativo para el nombre DNS del clúster configurado en el host de NLB corporativo
Para que los clientes de la red corporativa accedan correctamente al Servicio de federación, debe crearse un registro de recurso de host (A) en el Sistema de nombres de dominio (DNS) corporativo que resuelve el nombre DNS del clúster del Servicio de federación (por ejemplo, fs.fabrikam.com) a la dirección IP del clúster de la red corporativa (por ejemplo, 172.16.1.3). Puede usar el siguiente procedimiento para agregar un registro de recurso de host (A) al DNS corporativo para el clúster de NLB.
Para agregar un registro de recurso al DNS corporativo para el nombre DNS del clúster configurado en el host de NLB corporativo
En un servidor DNS de la red corporativa, abra el complemento DNS.
En el árbol de la consola, haz clic con el botón secundario en la zona de búsqueda directa correspondiente (por ejemplo, fabrikam.com) y haz clic en Host nuevo (A o AAAA).
En Nombre, escribe solo el nombre del equipo del servidor de federación o del clúster de servidores de federación; por ejemplo, para el nombre de dominio completo (FQDN) fs.fabrikam.com, escribe fs.
En Dirección IP, escribe la dirección IP del servidor de federación o del clúster de servidores de federación; por ejemplo, 172.16.1.3.
Haz clic en Agregar host.
Importante
Se supone que usa un servidor DNS, que ejecuta Windows servidor 2000, Windows Server 2003 o Windows Server 2008 con el servicio servidor DNS, para controlar la zona DNS.
Importar un certificado de autenticación del servidor al Sitio web predeterminado
Una vez obtenido el certificado de autenticación del servidor emitido por una entidad de certificación (CA), debe instalar manualmente este certificado en el Sitio web predeterminado de cada servidor de federación de su granja.
Dado que los clientes de AD FS y los servicios en la nube de Microsoft deben confiar en este certificado, utiliza un certificado SSL emitido por una CA pública (otro fabricante) o por una CA subordinada a una raíz de confianza pública; por ejemplo, VeriSign o Thawte. Para obtener información sobre la instalación de certificados desde una CA pública, vea Solicitar un certificado de servidor de Internet (IIS 7).
Nota
El nombre de sujeto de este certificado de autenticación de servidor debe coincidir con el FQDN del nombre DNS del clúster (por ejemplo, fs.fabrikam.com) creado anteriormente en el host de NLB. Para completar esta tarea, debe instalar primero los servicios de Internet Information Services (IIS), en caso de que no se hayan instalado aún. Al instalar los IIS por primera vez, se recomienda usar las opciones de característica predeterminadas cuando se le indique durante la instalación del rol de servidor.
Para importar un certificado de autenticación de servidor al sitio web predeterminado
Haz clic en Inicio, apunta a Todos los programas, Herramientas administrativas y haz clic en Administrador de Internet Information Services (IIS).
En el árbol de consola, haz clic en nombreDeEquipo.
En el panel central, haz doble clic en Certificados de servidor.
En el panel Acciones, haz clic en Importar.
En el cuadro de diálogo Importar certificado , haga clic en el botón ... .
Ve a la ubicación del archivo .pfx del certificado, resáltalo y haz clic en Abrir.
Escribe una contraseña para el certificado y haz clic en Aceptar.
Crear una cuenta de servicio dedicada para la granja de servidores de federación
Para configurar un entorno de granja de servidores de federación en AD FS, debe crear y configurar una cuenta de servicio dedicada en Active Directory donde residirá la granja. Esta cuenta de servicio dedicada es necesaria para asegurar que a todos los recursos que necesite la granja de AD FS se les otorgue acceso a cada uno de los servidores de federación de la granja.
A continuación, debe configurar cada servidor de federación de la granja para usar esta misma cuenta de servicio. Por ejemplo, si la cuenta de servicio creada era fabrikam\ADFS2SVC, cada equipo configurado para el rol de servidor de federación y que participará en la misma granja deberá especificar fabrikam\ADFS2SVC en este paso en el asistente para la configuración del servidor de federación para que la granja esté operativa.
Nota
Debe realizar las tareas de este procedimiento una sola vez para toda la granja de servidores de federación. Más adelante, cuando crees un servidor de federación mediante el Asistente para la configuración de servidores de federación, debes especificar esta misma cuenta en la página Cuenta de servicio del asistente en cada servidor de federación de la granja.
Para crear una cuenta de servicio dedicada para la granja de servidores de federación
Cree una cuenta de usuario o servicio dedicada en el bosque de Active Directory que usará en su organización.
Edita las propiedades de la cuenta de usuario y activa la casilla La contraseña nunca expira. Con esta acción te aseguras de que la función de esta cuenta de servicio no se interrumpa nunca como resultado de los requisitos de cambio de contraseña del dominio.
Nota
- Si necesita cambiar la contraseña de la cuenta de servicio de forma periódica, consulte Configuring Advanced Options for AD FS 2.0 (Configuración de opciones avanzadas para AD FS 2.0).
- Si usa la cuenta de Servicio de red para esta cuenta dedicada, se producirán errores aleatorios cuando se intente acceder mediante la autenticación de Windows integrada, debido a que los vales Kerberos no se validan de un servidor a otro.
- Si necesita cambiar la contraseña de la cuenta de servicio de forma periódica, consulte Configuring Advanced Options for AD FS 2.0 (Configuración de opciones avanzadas para AD FS 2.0).
Paso siguiente
Ahora que has revisado los requisitos para implementar AD FS, el siguiente paso es completar las tareas en alguna de las listas de comprobación siguientes, según la versión de AD FS que desees utilizar:
Consulte también
Conceptos
Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único