Share via

Préparer votre infrastructure réseau pour les serveurs de fédération

  • Article

S’applique à : Azure, Office 365, Power BI, Windows Intune

La liste de contrôle suivante recense les tâches de préparation que vous devez effectuer pour déployer une batterie de serveurs de fédération.

Notes

  • Effectuez dans l’ordre les tâches des listes de vérification. Quand un lien de référence vous conduit à une procédure, revenez dans cet article, une fois les étapes de la procédure effectuées, afin de pouvoir accomplir les tâches restantes de la liste.

  • Sauf mention contraire, pour exécuter toutes les tâches à l’aide des procédures de cette section, vous devez d’abord être connecté aux ordinateurs en tant que membre du groupe Administrateurs, ou avoir reçu les autorisations équivalentes.

ChecklistListe de contrôle : Préparer votre infrastructure réseau pour les serveurs de fédération

Tâche de déploiement Liens vers les rubriques de cette section Effectué

1. Joignez les ordinateurs qui deviendront des serveurs de fédération à un domaine où les utilisateurs Active Directory seront authentifiés.

Notes

Vous pouvez ignorer cette étape si vous utilisez des contrôleurs de domaine existants comme serveurs de fédération.

Checkbox

2. Créez et configurez un nom DNS de cluster d’équilibrage de charge réseau ou utilisez un cluster d’équilibrage de la charge réseau existant dans le réseau d’entreprise qui sera utilisé par la nouvelle batterie de serveurs de fédération. Ajoutez ensuite les ordinateurs serveur de fédération au cluster NLB. Si vous utilisez la technologie Windows Server pour les hôtes NLB actuels, cliquez sur le lien approprié à droite, en fonction de la version de votre système d’exploitation.

Notes

Cette étape est facultative si vous effectuez un déploiement test de cette solution d'authentification unique sur un seul serveur de fédération AD FS.

Pour créer et configurer des clusters d’équilibrage de la charge réseau sur Windows Server 2003 et Windows Server 2003 R2, consultez liste de contrôle : Activation et configuration de l’équilibrage de charge réseau. Pour créer et configurer des clusters d’équilibrage de la charge réseau sur Windows Server 2008, consultez Création de clusters d’équilibrage de charge réseau.

Pour créer et configurer des clusters d’équilibrage de la charge réseau sur Windows Server 2008 R2, consultez Création de clusters d’équilibrage de charge réseau.

 Checkbox

3. Créez un enregistrement de ressource pour le nom DNS du cluster dans le DNS du réseau d’entreprise qui pointe le nom de domaine complet du cluster d’équilibrage de la charge réseau vers son adresse IP de cluster.

Ajouter un enregistrement de ressource au DNS d’entreprise pour le nom DNS de cluster configuré sur l’hôte NLB d’entreprise

 Checkbox

4. Importez le certificat d’authentification du serveur sur le site Web par défaut pour chaque serveur de fédération de la batterie de serveurs.

Notes

Vous devez installer ce certificat sur le site web par défaut avant de pouvoir utiliser l'Assistant Configuration du serveur de fédération AD FS.

Importer un certificat d’authentification serveur sur le site web par défaut

 Checkbox

5. Créez et configurez un compte de service dédié dans Active Directory où résidera la batterie de serveurs de fédération et configurez chaque serveur de fédération dans la batterie de serveurs pour utiliser ce compte.

Configurer manuellement un compte de service pour une batterie de serveurs de fédération

 Checkbox

Joindre l’ordinateur à un domaine

Pour que les services AD FS fonctionnent, chaque ordinateur agissant en tant que serveur de fédération doit être joint à un domaine. Les serveurs proxys de fédération doivent être joints à un domaine, mais ce n’est pas une condition requise.

Si vous souhaitez utiliser les services AD FS dans Windows Server 2012 R2, votre domaine Active Directory doit exécuter l'un des systèmes d'exploitation suivants :

  • Windows Server

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

Pour joindre l’ordinateur à un domaine

  1. Sur l'ordinateur à joindre à un domaine, cliquez sur Démarrer, sur Panneau de configuration, puis double-cliquez sur Système.

  2. Sous Paramètres de nom d'ordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramètres.

  3. Sous l’onglet Nom de l’ordinateur, cliquez sur Modifier.

  4. Sous Membre de, cliquez sur Domaine, tapez le nom du domaine auquel cet ordinateur sera joint, puis cliquez sur OK.

  5. Cliquez sur OK, puis redémarrez l'ordinateur.

Ajouter un enregistrement de ressource au DNS d’entreprise pour le nom DNS de cluster configuré sur l’hôte NLB d’entreprise

Pour que les clients du réseau d’entreprise accèdent avec succès au service de fédération, un enregistrement de ressource hôte (A) doit d’abord être créé dans le DND d’entreprise qui résout le nom DNS de cluster du service de fédération (par exemple, fs.fabrikam.com) en adresse IP de cluster du réseau d’entreprise (par exemple, 172.16.1.3). Vous pouvez utiliser la procédure suivante pour ajouter un enregistrement de ressource hôte (A) au DNS d’entreprise pour le cluster NLB.

Pour ajouter un enregistrement de ressource au DNS d’entreprise pour le nom DNS de cluster configuré sur l’hôte NLB d’entreprise

  1. Sur un serveur DNS du réseau d’entreprise, ouvrez le composant logiciel enfichable DNS.

  2. Dans l'arborescence de la console, cliquez avec le bouton droit sur la zone de recherche directe applicable (par exemple, fabrikam.com), puis cliquez sur Nouvel hôte (A ou AAAA).

  3. Dans Nom, tapez seulement le nom d'ordinateur du serveur de fédération ou du cluster de serveurs de fédération ; par exemple, pour le nom de domaine complet (FQDN) fs.fabrikam.com, tapez fs.

  4. Dans Adresse IP, tapez l'adresse IP du serveur de fédération ou du cluster de serveurs de fédération. Par exemple, 172.16.1.3.

  5. Cliquez sur Ajouter un hôte.

    Important

    Il est supposé que vous utilisez un serveur DNS, exécutant Windows 2000 Server, Windows Server 2003 ou Windows Server 2008 avec le service serveur DNS, pour contrôler la zone DNS.

Importer un certificat d’authentification serveur sur le site Web par défaut

Après avoir obtenu un certificat d’authentification serveur auprès d’une autorité de certification, vous devez l’installer manuellement sur le site Web par défaut de chaque serveur de fédération de votre batterie.

Ce certificat doit être approuvé par les ordinateurs clients du service AD FS et des services cloud Microsoft. Par conséquent, utilisez un certificat SSL émis par une autorité de certification (tierce) publique ou par une autorité de certification racine de confiance approuvée publiquement (telle que VeriSign ou Thawte). Pour plus d’informations sur l’installation d’un certificat à partir d’une autorité de certification publique, consultez IIS 7.0 : Demander un certificat de serveur Internet.

Notes

Le nom de l’objet de ce certificat d’authentification serveur doit correspondre au nom de domaine complet du nom DNS du cluster (par exemple, fs.fabrikam.com) que vous avez préalablement créé sur l’hôte d’équilibrage de la charge réseau. Si les services Internet (IIS) n’ont pas été installés, vous devez commencer par les installer afin de pouvoir effectuer cette tâche. Lorsque vous installez les services Internet (IIS) pour la première fois, nous vous recommandons d’utiliser les options des fonctionnalités par défaut lorsque vous y êtes invité au cours de l’installation du rôle serveur.

Pour importer un certificat d'authentification serveur sur le site web par défaut

  1. Cliquez sur Démarrer, pointez sur Tous les programmes et sur Outils d'administration, puis cliquez sur Gestionnaire des services Internet (IIS).

  2. Dans l'arborescence de la console, cliquez sur Nom_Ordinateur.

  3. Dans le volet central, double-cliquez sur Certificats de serveur.

  4. Dans le volet Actions, cliquez sur Importer.

  5. Dans la boîte de dialogue Importer un certificat, cliquez sur le bouton ...

  6. Recherchez le fichier de certificat pfx, mettez-le en surbrillance, puis cliquez sur Ouvrir.

  7. Tapez le mot de passe du certificat, puis cliquez sur OK.

Créer un compte de service dédié pour la batterie de serveurs de fédération

Pour configurer un environnement de batterie de serveurs de fédération dans AD FS, vous devez créer et configurer un compte de service dédié dans Active Directory où se trouve la batterie de serveurs. Ce compte de service dédié est nécessaire pour garantir que toutes les ressources requises par la batterie de serveurs AD FS ont accès à chacun des serveurs de fédération de la batterie.

Vous configurez ensuite chaque serveur de fédération de la batterie pour qu’il utilise le même compte de service. Par exemple, si le compte de service créé était fabrikam\ADFS2SVC, chaque ordinateur que vous configurez pour le rôle de serveur de fédération et qui va participer à la même batterie doit spécifier fabrikam\ADFS2SVC à cette étape de l’assistant de configuration du serveur de fédération pour que la batterie soit opérationnelle.

Notes

Vous ne devez exécuter les tâches de cette procédure qu’une seule fois pour l’ensemble de la batterie de serveurs de fédération. Par la suite, quand vous créerez un serveur de fédération à l'aide de l'Assistant Configuration du serveur de fédération AD FS, vous devrez spécifier ce même compte dans la page de l'Assistant Compte de service de chaque serveur de fédération de la batterie.

Pour créer un compte de service dédié pour la batterie de serveurs de fédération

  1. Créez un compte d’utilisateur/de service dédié dans la forêt Active Directory que vous utiliserez dans votre organisation.

  2. Modifiez les propriétés du compte d'utilisateur, puis cochez la case Le mot de passe n'expire jamais. Cela garantit que ce compte de service pourra continuer d'être utilisé même en cas de changement de mot de passe du domaine.

    Notes

    • Si vous devez modifier régulièrement votre mot de passe pour le compte de service, consultez Configuration des options avancées pour AD FS 2.0.

    • L’utilisation du compte de service réseau pour ce compte dédié se traduit par des défaillances aléatoires lors des tentatives d’accès via l’authentification Windows intégrée, car les tickets Kerberos ne sont pas validés d’un serveur à un autre.

Étape suivante

Vous venez de passer en revue les conditions requises pour déployer les services AD FS. L'étape suivante consiste à effectuer les tâches indiquées dans l'une des listes de contrôle suivantes en fonction de la version des services AD FS que vous souhaitez utiliser :

Voir aussi

Concepts

Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique