Exporteren (0) Afdrukken
Alles uitvouwen

AD FS 2.0 plannen en implementeren voor gebruik met eenmalige aanmelding

Gepubliceerd: juni 2012

Bijgewerkt: juni 2012

Van toepassing op: Office 365, Windows Intune

noteOpmerking
Dit onderwerp biedt online hulpinhoud die toepasselijk is op vele Microsoft cloud services, inclusief Windows Intune en Office 365.

Dit artikel biedt instructies voor een vlotte planning en implementatie aan beheerders van een Microsoft-cloudservice die eenmalige aanmelding vereisen, maar momenteel nog geen Active Directory Federation Services (AD FS) 2.0-infrastructuur in hun organisatie hebben.

Als u al een AD FS 2.0-productieomgeving hebt en uw gebruikers via eenmalige aanmelding toegang tot een of meer Microsoft-cloudservices wilt bieden, kunt u rechtstreeks naar de volgende stap gaan: Windows PowerShell installeren voor eenmalige aanmelding met AD FS 2.0.

Ga naar de sectie 7. Volgende stap en aanvullende informatie in dit artikel voor een overzicht van AD FS 2.0 en informatie over de configuratie.

Overzicht van de AD FS 2.0-oplossing voor eenmalige aanmelding bij Microsoft-cloudservices

U kunt een nieuwe AD FS 2.0-infrastructuur implementeren om uw Active Directory-gebruikers, die zijn aangemeld op computers die zich fysiek in het bedrijfsnetwerk bevinden of die op afstand zijn aangemeld bij het bedrijfsnetwerk, via eenmalige aanmelding toegang tot een of meer Microsoft-cloudservices te bieden met behulp van hun referenties voor het bedrijfsdomein.

Nadat u de lokale AD FS 2.0-productieomgeving hebt geïmplementeerd, moet u een vertrouwensrelatie voor een relying party tot stand brengen tussen de federatieve serverfarm met AD FS 2.0 en het Windows Azure Active Directory-verificatiesysteem. Deze vertrouwensrelatie voor een relying party fungeert als een beveiligd kanaal waar verificatietokens veilig kunnen worden uitgewisseld tussen uw organisatie en Windows Azure AD om via eenmalige aanmelding toegang te verlenen tot de Microsoft-cloudservices waarop u bent geabonneerd.

In de volgende afbeelding ziet u hoe lokale Active Directory-gebruikers de nodige verificatietokens kunnen verkrijgen bij lokale federatieve servers met AD FS 2.0 die de aanvragen van de gebruikers kunnen omleiden via de vertrouwensrelatie voor de relying party, zodat de gebruikers via eenmalige aanmelding toegang krijgen tot een of meer Microsoft-cloudservices.

Vertrouwensrelatie voor relying party met Windows Azure AD

Te voltooien stappen

1. De controlelijst voor het implementeren van AD FS 2.0 raadplegen

In dit artikel wordt gebruik gemaakt van een reeks controlelijsten om samen met u stapsgewijs de diverse implementatietaken te doorlopen die u in chronologische volgorde moet voltooien om een AD FS 2.0-productieomgeving te implementeren die via eenmalige aanmelding toegang verleent tot de cloud service. De volgende controlelijst op het hoogste niveau biedt u de implementatietaken op het hoogste niveau die nodig zijn om uw nieuwe lokale AD FS 2.0-infrastructuur zo efficiënt mogelijk te implementeren.

Controlelijst Stap 1 - controlelijst 1: lokale AD FS 2.0-infrastructuur implementeren

 

Implementatietaak Koppelingen naar secties in dit artikel Voltooid

1. Raadpleeg de tabel met AD FS 2.0-terminologie om vertrouwd te raken met termen die in dit artikel worden gebruikt.

2. AD FS 2.0-terminologie raadplegen

Selectievakje

2. Bekijk de verschillende AD FS 2.0-implementatieopties die beschikbaar zijn voor gebruik bij uw nieuwe implementatie. U moet overwegen hoeveel servers u wilt implementeren en waar u federatieve servers en federatieve serverproxy's wilt plaatsen in uw intranet of extranet, of in beide.

3. AD FS 2.0-implementatie plannen

Selectievakje

3. Bekijk de vereisten voor het implementeren van AD FS 2.0 voor gebruik met de cloud service. Deze informatie helpt u beter te begrijpen hoe de infrastructuur van uw bedrijfsnetwerk moet worden geconfigureerd om AD FS 2.0 te ondersteunen voor accounts, naamomzetting, certificaten, enzovoort.

4. Voldoen aan de vereisten voor het implementeren van AD FS 2.0

Selectievakje

4. Implementeer uw federatieve serverfarm met AD FS 2.0. De procedures die beschikbaar zijn in deze sectie, begeleiden u stapsgewijs bij het instellen en configureren van ten minste twee computers voor de federatieve serverrol. Voor fouttolerantie en optimale beschikbaarheid wordt een federatieve serverfarm met ten minste twee servers aanbevolen.

5. Uw federatieve serverfarm implementeren

Selectievakje

5. Implementeer de federatieve serverproxy's waarmee clients van buiten het bedrijfsnetwerk verbinding kunnen maken. De procedures in deze sectie begeleiden u stapsgewijs bij het instellen van elke computer in de federatieve serverproxyrol.

6. Uw federatieve serverproxy's implementeren

Selectievakje

Na implementatie

Nadat u uw AD FS 2.0-infrastructuur hebt geïmplementeerd, gaat u naar Windows PowerShell installeren voor eenmalige aanmelding met AD FS 2.0. Dit artikel begeleidt u bij het instellen van de vertrouwensrelatie voor een relying party tussen uw nieuwe lokale AD FS 2.0-servers en het Windows Azure AD -verificatiesysteem.

Zie Eenmalige aanmelding verifiëren en beheren met AD FS 2.0 voor continu beheer van een AD FS 2.0-server, bijvoorbeeld het beheer van de rollover van certificaten.

Zie Geavanceerde opties configureren voor AD FS 2.0 voor aanvullende informatie, bijvoorbeeld hoe u de AD FS 2.0-aanmeldingspagina kunt aanpassen, geavanceerde verificatie (ook wel tweeledige verificatiemethode genoemd) gebruikt of omgekeerde proxy's configureert in uw netwerk met AD FS 2.0.

Te voltooien stappen

2. AD FS 2.0-terminologie raadplegen

Voordat u aan de slag gaat met deze inhoud om AD FS 2.0 te implementeren voor eenmalige aanmelding bij de cloud service, wordt u aanbevolen eerst meer te lezen over AD FS 2.0-terminologie die wordt gebruikt in dit artikel.

 

AD FS 2.0-term Definitie

AD FS 2.0-configuratiedatabase

Een database waarin alle configuratiegegevens worden opgeslagen voor één AD FS 2.0-exemplaar of Federation Service. Deze configuratiegegevens kunnen worden opgeslagen met het onderdeel Windows Internal Database (WID) van Windows Server 2008 en Windows Server 2008 R2 of met een Microsoft SQL Server-database.

Claim

Een verklaring van een onderwerp over zichzelf of een ander onderwerp. De verklaring kan bijvoorbeeld gaan over een naam, e-mail, groep, bevoegdheid of mogelijkheid. Claims hebben een provider die ze uitgeeft (in dit geval de een cloud service van Microsoft -klant) en ze krijgen een of meer waarden. Ze worden ook gedefinieerd door een claimwaardetype en mogelijk ook door bijbehorende metagegevens.

Federation Service

Een logisch exemplaar van AD FS 2.0. Een Federation Service kan worden geïmplementeerd als een zelfstandige federatieve server of als een federatieve serverfarm met gelijke taakverdeling. De naam van de Federation Service is standaard de onderwerpnaam van het SSL-certificaat. De DNS-naam van de Federation Service moet worden gebruikt in de naam van de certificaathouder van het SSL-certificaat (Secure Sockets Layer).

Federatieve server

Een computer met Windows Server 2008 of Windows Server 2008 R2 die is geconfigureerd om te fungeren als federatieve server voor AD FS 2.0. Een federatieve server fungeert als onderdeel van een Federation Service die aanvragen voor beveiligingstokens en identiteitsbeheer kan uitgeven, beheren en valideren. Beveiligingstokens bestaan uit een verzameling van claims, zoals de naam of de rol van een gebruiker.

Federatieve serverfarm

Twee of meer federatieve servers in hetzelfde netwerk die zijn geconfigureerd om te fungeren als één Federation Service-exemplaar.

Federatieve serverproxy

Een computer met Windows Server 2008 of Windows Server 2008 R2 die is geconfigureerd om te fungeren als een tussenliggende proxyservice tussen een webclient en een Federation Service die zich achter een firewall van een bedrijfsnetwerk bevindt. Als u externe toegang tot de cloud service wilt toestaan, bijvoorbeeld vanaf een smartphone, een computer thuis of een internetkiosk, moet u een federatieve serverproxy implementeren.

Relying party

Een Federation Service of toepassing die claims in een bepaalde transactie verbruikt.

Vertrouwensrelatie voor relying party

In de AD FS 2.0-beheermodule is een vertrouwensrelatie voor een relying party een vertrouwensobject dat wordt gemaakt om de relatie te onderhouden met een andere Federation Service, toepassing of service (in dit geval de Windows Azure Active Directory-service) die claims verbruikt van de Federation Service van uw organisatie.

Netwerktaakverdeler

Een toegewezen toepassing (zoals Netwerktaakverdeling) of hardwareapparaat (zoals een multilayer switch) waarvan gebruikt wordt gemaakt om fouttolerantie, optimale beschikbaarheid en gelijke taakverdeling te bieden voor meerdere knooppunten. Voor AD FS 2.0 moet de DNS-naam van het cluster die u maakt met deze netwerktaakverdeler overeenkomen met de Federation Service-naam die u hebt opgegeven tijdens het implementeren van de eerste federatieve server in uw farm.

Te voltooien stappen

3. AD FS 2.0-implementatie plannen

De eerste stap bij het plannen van een AD FS 2.0-implementatie voor een cloud service van Microsoft bestaat uit het selecteren van de juiste implementatietopologie om te voldoen aan de behoeften voor eenmalige aanmelding van uw organisatie. AD FS 2.0 vereist dat u Windows Internal Database (WID) of een SQL Server-database gebruikt voor de opslag van AD FS 2.0-configuratiegegevens die worden gebruikt door de Federation Service.

De aanbevolen AD FS 2.0-topologie voor de meeste klanten van Microsoft-cloudservices is het gebruik van de federatieve serverfarm met WID en proxytopologie, zoals u hieronder vindt. Er bestaat ook een geavanceerde optie om een federatieve serverfarm met SQL Server-proxy's te maken, zoals later in deze sectie wordt vermeld.

Daarnaast bevat deze sectie een tabel om het aantal AD FS 2.0-servers vast te stellen dat u in uw organisatie moet implementeren, alsook informatie over het toevoegen van federatieservers om prestaties te verhogen.

Aanbevolen topologie: Federatieserverfarm met WID en proxy's

De standaardtopologie voor een cloud service van Microsoft is een AD FS 2.0-federatieserverfarm die bestaat uit meerdere servers die de Federation Service van uw organisatie hosten. In deze topologie gebruikt AD FS 2.0 WID als de AD FS 2.0-configuratiedatabase voor alle federatieservers die deel uitmaken van deze farm. De farm kopieert en bewaart de Federation Service-gegevens in de configuratiedatabase op elke server in de farm.

Door de eerste federatieserver in een farm te maken, maakt u ook een nieuwe Federation Service. Als WID wordt gebruikt als de AD FS 2.0-configuratiedatabase, wordt naar de eerste federatieserver die in de farm is gemaakt verwezen als de primaire federatieserver. Dit betekent dat deze computer wordt geconfigureerd met een lezen/schrijven-kopie van de AD FS 2.0-configuratiedatabase.

Naar alle andere federatieservers die voor deze farm geconfigureerd zijn, wordt verwezen als secundaire federatieservers, omdat ze wijzigingen die op de primaire federatieserver worden aangebracht, moeten kopiëren naar de alleen-lezenkopieën van de AD FS 2.0-configuratiedatabase die lokaal worden opgeslagen.

noteOpmerking
Wij raden het gebruik van ten minste twee federatieservers aan in een configuratie met gelijke taakverdeling.

Het instellen van deze basisfederatieserverfarmtopologie is de eerste fase van de implementatie van uw AD FS 2.0. In de tweede fase wordt vastgesteld hoe een toegangsbeheerfunctionaliteit aan externe gebruikers kan worden verstrekt door federatieserverproxy's te implementeren.

Fase 1: Uw federatieve serverfarm implementeren

Als u klaar bent om uw farm te implementeren, moet u alle federatieservers in uw bedrijfsnetwerk achter een netwerktaakverdelingshost plaatsen die kan worden geconfigureerd voor een netwerktaakverdelingscluster met een specifieke DNS-naam en IP-adres van het cluster.

ImportantBelangrijk
De DNS-naam van het cluster moet overeenkomen met de Federation Service-naam (bijvoorbeeld fs.fabrikam.com) en internetrouteerbaar zijn voor het exemplaar van AD FS 2.0 dat u implementeert. Als de naam niet overeenkomt, wordt het verificatieverzoek niet gerouteerd naar de juiste DNS-server of de juiste federatieserver.

De netwerktaakverdelingshost kan de in dit netwerktaakverdelingscluster gedefinieerde instellingen gebruiken om clientverzoeken aan de individuele federatieservers toe te wijzen. Het volgende diagram geeft weer hoe Fabrikam Inc. de eerste implementatiefase kan instellen met een federatieserverfarm met twee computers (fs1 en fs2), met WID en het plaatsen van een DNS-server en een enkele netwerktaakverdelingshost die bekabeld is op het bedrijfsnetwerk.

Federatieve serverfarm met WID
noteOpmerking
Als er een fout optreedt op deze enkele netwerktaakverdelingshost, hebben gebruikers geen toegang tot de cloud service. Voeg extra netwerktaakverdelingshosts toe als uw zakelijke vereisten geen enkele fout toestaan.

Fase 2: Uw federatieve serverproxy's implementeren

Federatieserverproxy's worden over het algemeen gebruikt om clientverificatieverzoeken van buiten uw bedrijfsnetwerk om te leiden naar de federatieserverfarm. Voor de een cloud service van Microsoft -klant is het noodzakelijk om de federatieserverproxy's te implementeren op uw bestaande AD FS 2.0-infrastructuur om de volgende gebruikersscenario's mogelijk te maken:

  • Zwervende werkcomputer: Gebruikers die met hun bedrijfsreferenties zijn aangemeld bij computers die deel uitmaken van een domein maar niet verbonden zijn met het bedrijfsnetwerk (bijvoorbeeld een computer thuis, of in een hotel), kunnen toegang verkrijgen tot de cloud service.

  • Een computer thuis of een openbare computer: Wanneer de gebruiker een computer gebruikt die geen deel uitmaakt van het bedrijfsdomein, moet de gebruiker zich aanmelden met de bedrijfsreferenties om toegang te verkrijgen tot de cloud service.

  • Smartphone: Om vanaf een smartphone toegang te verkrijgen tot de cloud service, zoals Microsoft Exchange Online, met Microsoft Exchange ActiveSync, moet de gebruiker zich aanmelden met de bedrijfsreferenties.

  • Microsoft Outlook of andere e-mailclients: De gebruiker moet zich aanmelden met de bedrijfsreferenties om toegang te verkrijgen tot hun e-mail Office 365 als ze Outlook gebruiken of een e-mailclient die geen deel uitmaakt van Office; bijvoorbeeld een IMAP- of POP-client.

Voor het ondersteunen van deze gebruikersscenario's wordt de tweede fase voortgebouwd op de eerder behandelde implementatiefase 1 door twee federatieserverproxy's toe te voegen die toegang verlenen tot een DNS-server op het perimeternetwerk en tot een tweede netwerktaakverdelingshost op het perimeternetwerk.

De tweede netwerktaakverdelingshost moet worden geconfigureerd met een netwerktaakverdelingscluster dat een internet-toegankelijk IP-adres van het cluster gebruikt, en deze moet dezelfde DNS-naaminstelling van het cluster hebben dat u op het bedrijfsnetwerk voor fase 1 hebt geconfigureerd (fs.fabrikam.com). De federatieserverproxy's worden ook geconfigureerd met internet-toegankelijke IP-adressen.

In het volgende diagram wordt de implementatie van de bestaande fase 1 weergegeven en hoe Fabrikam Inc. toegang kan verlenen tot een perimeter-DNS-server, een tweede netwerktaakverdelingshost kan toevoegen met dezelfde DNS-naam van het cluster (fs.fabrikam.com), en twee federatieserverproxy's (fsp1 en fsp2) aan het perimeternetwerk kan toevoegen.

Federatieve serverfarm
noteOpmerking
  • U kunt reverse HTTP-proxyoplossingen van derden gebruiken om AD FS 2.0 op het extranet te publiceren. Voor meer informatie over hoe u dit moet uitvoeren, raadpleegt u Geavanceerde opties configureren voor AD FS 2.0.

  • Alle AD FS 2.0-communicatie die de firewall passeert is gebaseerd op HTTPS.

  • U kunt in AD FS 2.0 aangepaste claimregels maken die de toegang van gebruikers tot de cloud service beperken op basis van de fysieke locatie van de clientcomputer of het clientapparaat vanaf waar de gebruiker toegang vraagt. Zie Limiting Access to Office 365 Services Based on Client Location voor meer informatie over hoe u deze regels kunt maken.

Geavanceerde opties: Federatieserverfarm met SQL-server en -proxy 's

Er bestaat een geavanceerde AD FS 2.0-implementatietopologieoptie waarin federatieserverproxy's en een SQL-serverconfiguratie worden gebruikt om ervoor te zorgen dat alle federatieservers in de farm kunnen lezen van en schrijven naar een gemeenschappelijke SQL-serverdatabase. Een SQL-serverdatabase als AD FS 2.0-configuratiedatabase biedt de volgende voordelen boven WID:

  • Functies met hoge beschikbaarheid van SQL-server die beheerders kunnen gebruiken.

  • Aanvullende prestatieverhoging, inclusief de mogelijkheid om uit te schalen door meer dan vijf federatieservers te gebruiken (WID is beperkt tot vijf federatieservers per farm).

  • Geografisch gelijke taakverdeling kan zorgen voor stijgingen van veel verkeer op basis van locatie.

noteOpmerking
Omdat deze topologie een geavanceerde AD FS 2.0-implementatieoptie is, worden de details over hoe deze topologie werkt en hoe deze te implementeren niet in dit artikel behandeld.

Zie Configuring Advanced Options for AD FS 2.0 voor meer informatie over deze topologieoptie.

Schattingstabel: Bepaal het aantal AD FS 2.0-servers dat u in uw organisatie gaat implementeren

U kunt de volgende tabel gebruiken om het minimale aantal AD FS 2.0-federatieservers en -federatieserverproxy's te kunnen schatten dat u nodig heeft om in een met WID geconfigureerde federatieserver in uw bedrijfsnetwerkinfrastructuur te plaatsen op basis van het aantal gebruikers dat om eenmalige aanmelding vraagt, waaronder toegang tot de cloud service op afstand.

noteOpmerking
Op alle computers die worden geconfigureerd voor de federatieserver of federatieserverproxyrol moet het Windows Server 2008- of het Windows Server 2008 R2-besturingssysteem worden uitgevoerd.

We raden u aan om één federatieserver te gebruiken voor redundantie. De volgende tabel volgt deze aanbeveling.

 

Aantal gebruikers dat toegang heeft tot de cloud service Minimum aantal te implementeren servers Aanbeveling en stappen

Minder dan 1000 gebruikers

0 specifieke federatieservers

0 specifieke federatieserverproxy 's

1 specifieke netwerktaakverdelingsserver

Voor de federatieservers gebruikt u twee bestaande Active Directory-domeincontrollers (DC's) en configureert u beide voor de federatieserverrol. Hiervoor moet u eerst twee bestaande DC's selecteren en vervolgens:

  1. Installeer AD FS 2.0 op beide domeincontrollers.

  2. Configureer de eerste federatieserver in een nieuwe farm.

  3. Voeg de tweede aan de federatieserverfarm toe.

Voor de netwerktaakverdeling configureert u een bestaande netwerktaakverdelingshost of verkrijgt u een specifieke server; vervolgens installeert u de netwerktaakverdelingsserverrol hierop en configureert u de netwerktaakverdelingsserver.

Voor de federatieserverproxy's gebruikt u twee bestaande web- of proxyservers en configureert u beide voor de federatieserverproxyrol. Selecteer hiertoe twee bestaande web- of proxyservers die zich op het extranet bevinden. Vervolgens:

  1. Installeer AD FS 2.0 op beide servers.

  2. Configureer ze voor de federatieserverproxyrol.

  3. Installeer de netwerktaakverdelingsserverrol op een van de federatieserverproxy's of configureer een bestaande netwerktaakverdelingshost.

noteOpmerking
Als u niet twee bestaande DC's hebt en twee web- of proxyservers, of ze worden niet uitgevoerd op Windows Server 2008 of Windows Server 2008 R2, moet u in plaats daarvan specifieke servers implementeren, zoals besproken in de volgende rij van deze tabel.

1000-15.000 gebruikers

2 specifieke federatieservers

2 specifieke federatieserverproxy 's

Voor de federatieservers verkrijgt u twee specifieke servers, en vervolgens:

  1. Installeer AD FS 2.0 op beide servers.

  2. Configureer de eerste federatieserver in een nieuwe farm.

  3. Voeg de tweede aan de farm toe.

  4. Installeer de netwerktaakverdelingsserverrol op een van de federatieservers of configureer een bestaande netwerktaakverdelingshost.

Voor de federatieservers verkrijgt u twee specifieke servers die u op het extranet kunt plaatsen:

  1. Installeer AD FS 2.0 op beide servers.

  2. Configureer ze voor de federatieserverproxyrol.

  3. Installeer de netwerktaakverdelingsserverrol op een van de federatieserverproxy's of configureer een bestaande netwerktaakverdelingshost.

15.000 tot 60.000 gebruikers

Tussen de 3 en 5 specifieke federatieservers

Ten minste 2 specifieke federatieserverproxy's

Elke specifieke federatieserver ondersteunt ongeveer 15.000 gebruikers. Voeg daarom een aanvullende specifieke federatieserver aan de twee eerder beschreven basisfederatieserverimplementaties toe voor elke 15.000 gebruikers die toegang vragen tot de cloud service, met een maximum van vijf federatieservers in de farm of 60.000 gebruikers.

noteOpmerking
Een AD FS 2.0-federatieserverfarm die geconfigureerd is om WID te gebruiken ondersteunt maximaal vijf federatieservers. Als u meer dan vijf federatieservers nodig heeft, moet u een SQL-serverdatabase configureren om de AD FS 2.0-configuratiedatabase op te slaan. Zie Configuring Advanced Options for AD FS 2.0 voor meer informatie over deze optie.

De aanbevelingen voor het minimum aantal servergebruikers in de voorgaande tabel zijn berekend op basis van de volgende hardware:

 

Hardware Specificaties

CPU-snelheid

Dual Quad Core 2.27GHz CPU (8 cores)

RAM

4 gigabytes (GB)

Netwerk

Gigabit

Federatieservers toevoegen om prestaties te verhogen

Wanneer twee of meer federatieservers worden geconfigureerd in een farm met netwerktaakverdelingstechnologie, kunnen ze onafhankelijk van elkaar opereren om de lading binnenkomende gebruikersverzoeken voor AD FS 2.0 Federation Service te kunnen verwerken zonder de prestaties van de service als geheel aan te tasten. Daarom is er maar weinig overhead betrokken bij het toevoegen van extra federatieservers aan uw bestaande productieomgeving nadat u de eerste federatieservers strategisch in uw netwerk hebt geïmplementeerd.

Te voltooien stappen

4. Voldoen aan de vereisten voor het implementeren van AD FS 2.0

Om voor een nieuwe AD FS 2.0-implementatie een succesvolle vertrouwensrelatie met de partij met Windows Azure AD te maken, moet u er eerst voor zorgen dat uw bedrijfsnetwerkinfrastructuur geconfigureerd is voor ondersteuning van de AD FS 2.0-vereisten voor accounts, naamresolutie en certificaten. AD FS 2.0 heeft de volgende soorten vereisten:

  • Softwarevereisten

  • Certificaatvereisten

  • Netwerkvereisten

Softwarevereisten

AD FS 2.0-software moet worden geïnstalleerd op elke computer die u voor de federatieserver of federatieserverproxyrol voorbereidt. U kunt deze software installeren door de Setup Wizard van AD FS 2.0 te gebruiken of door een stille installatie met de adfssetup.exe /quiet-parameter op een opdrachtregel uit te voeren.

Voor een basisinstallatieplatfrom vereist AD FS 2.0 het Windows Server 2008- of het Windows Server 2008 R2-besturingssysteem. AD FS 2.0 heeft een afzonderlijk installatiepakket voor elk besturingssysteemplatform.

Vereisten

Tijdens het AD FS 2.0-installatieproces controleert de Setup Wizard automatisch op de vereiste toepassingen en afhankelijke hotfixes, en installeert deze indien nodig. In de meeste gevallen installeert de Setup Wizard alle vereiste toepassingen die nodig zijn om AD FS 2.0 te opereren en installeren.

Er is echter één uitzondering wanneer u AD FS 2.0 installeert op het Windows Server 2008-platform. Als dit het geval is in uw implementatiesituatie, moet u er eerst voor zorgen dat .NET 3.5 SP1 is geïnstalleerd op de servers waarop Windows Server 2008 wordt uitgevoerd voordat u de AD FS 2.0-software installeert; dit is namelijk een vereiste voor AD FS 2.0, dat niet automatisch op dit platform wordt geïnstalleerd door de Setup Wizard van AD FS 2.0. Als .NET 3.5 SP1 niet is geïnstalleerd, voorkomt de Setup Wizard van AD FS 2.0 installatie van de AD FS 2.0-software.

Hotfixes

Nadat u AD FS 2.0hebt geïnstalleerd, moet u AD FS 2.0-hotfixes installeren. Zie Description of Update Rollup 2 for Active Directory Federation Services (AD FS) 2.0 voor meer informatie.

Virtualisatie

AD FS 2.0 ondersteunt softwarevirtualisatie van de federatieserver en de federatieserverproxyrollen. Om in te staan voor redundantie, raden wij u aan elke AD FS 2.0-virtuele machine op te slaan op afzonderlijke, fysieke en virtuele servers.

Voor meer informatie over het instellen van een virtuele-serveromgeving met Microsoft-virtualisatietechnologie raadpleegt u de Hyper-V Getting Started Guide.

Certificaatvereisten

Certificaten spelen een cruciale rol bij het beveiligen van communicatie tussen federatieservers, federatieserverproxy's, de cloud service en webclients. De vereisten voor certificaten variëren, afhankelijk van of u een federatieserver instelt of een federatieserverproxycomputer, zoals beschreven in de volgende tabellen.

Federatieservercertificaten

Federatieservers vereisen de certificaten in de volgende tabel.

 

Certificaattype Beschrijving Wat u moet weten voordat u gaat implementeren

SSL-certificaat (ook wel certificaat voor serververificatie genoemd)

Dit is een standaard Secure Sockets Layer-certificaat (SSL-certificaat) dat wordt gebruikt voor het beveiligen van communicatie tussen federatieservers, clients, en federatieserverproxycomputers.

Voor AD FS 2.0 is een SSL-certificaat vereist wanneer de instellingen van de federatieserver worden geconfigureerd. AD FS 2.0 gebruikt standaard het SSL-certificaat dat is geconfigureerd voor de standaardwebsite in Internet Information Services (IIS).

De onderwerpnaam van dit SSL-certificaat wordt gebruikt om de Federation Service-naam te bepalen voor elk exemplaar van AD FS 2.0 dat u implementeert. U kunt dan ook overwegen om voor nieuwe door een Certification Authority (CA) uitgegeven certificaten een onderwerpnaam te kiezen die het beste de naam van uw bedrijf of organisatie weergeeft voor de cloud service; deze naam moet internetrouteerbaar zijn. In het diagram eerder in dit artikel (zie Fase 2) zou de onderwerpnaam op het certificaat bijvoorbeeld fs.fabrikam.com zijn.

ImportantBelangrijk
AD FS 2.0 vereist dit SSL-certificaat zonder een puntloze onderwerpnaam (korte naam).

Vereist: Omdat dit certificaat vertrouwd moet worden door clienten van AD FS 2.0 en Microsoft-cloud services, gebruikt u een SSL-certificaat dat is uitgegeven door een publieke (derde) CA of door een CA die ondergeschikt is aan een door het publiek vertrouwde root, bijvoorbeeld VeriSign of Thawte.

Certificaat voor token-ondertekening

Dit is een standaard X.509-certificaat dat wordt gebruikt voor het beveiligd ondertekenen van alle tokens die worden uitgegeven door de federatieserver en worden geaccepteerd en gevalideerd door de cloud service.

Het certificaat voor token-ondersteuning moet een privésleutel bevatten en moet gekoppeld zijn aan een vertrouwde root in de Federation Service. AD FS 2.0 maakt standaard een zelfondertekend certificaat. Afhankelijk van de behoeften van uw organisatie kunt u dit echter later veranderen in een door een CA uitgegeven certificaat door de beheermodule van AD FS 2.0 te gebruiken.

Aanbeveling: gebruik het zelfondertekend tokenhandtekeningcertificaat dat wordt gegenereerd door AD FS 2.0. Hierdoor beheert AD FS 2.0 dit certificaat standaard voor u. Wanneer dit certificaat bijvoorbeeld verloopt, genereert AD FS 2.0 van tevoren een nieuw zelfondertekend certificaat.

CautionOpgepast
Het tokenhandtekeningcertificaat is essentieel voor de stabiliteit van de Federation Service. Als dit wordt gewijzigd, moet de wijziging worden gemeld aan de cloud service. Anders mislukken de aanvragen bij de cloud service. Zie Vertrouwensrelatie-eigenschappen bijwerken voor meer informatie over het beheer van certificaten in de federatieve serverfarm met AD FS 2.0 en de cloud service.

Certificaten van federatieve serverproxy

Federatieve serverproxy's vereisen het certificaat in de volgende tabel.

 

Certificaattype Beschrijving Wat u moet weten voordat u gaat implementeren

SSL-certificaat

Dit is een standaard SSL-certificaat dat wordt gebruikt om de communicatie tussen een federatieve server, een federatieve serverproxy en internetclientcomputers te beveiligen.

Dit certificaat moet worden gekoppeld aan de standaardwebsite in IIS voordat u de configuratiewizard voor de federatieve serverproxy van AD FS 2.0 kunt uitvoeren.

Dit certificaat moet dezelfde certificaathoudernaam hebben als het SSL-certificaat dat is geconfigureerd op de federatieve server in het bedrijfsnetwerk.

Aanbeveling: gebruik hetzelfde serververificatiecertificaat dat is geconfigureerd op de federatieve server waarmee deze federatieve serverproxy verbinding maakt.

Zie de AD FS 2.0 Design Guide voor meer informatie over de certificaten die worden gebruikt door federatieve servers en federatieve serverproxy's.

Netwerkvereisten

Voor een goede implementatie van AD FS 2.0 in uw organisatie is het essentieel dat de volgende netwerkservices correct worden geconfigureerd.

TCP/IP-netwerkverbindingen

Voor een goede werking van AD FS 2.0 moeten TCP/IP-netwerkverbindingen bestaan tussen de client, domeincontrollers, federatieve servers en federatieve serverproxy's.

DNS

De primaire netwerkservice die essentieel is voor de werking van AD FS 2.0 (en niet de Active Directory) is het Domain Name System (DNS). Nadat het DNS is geïmplementeerd, kunnen gebruikers beschrijvende computernamen gebruiken die makkelijk te onthouden zijn, om computers en overige bronnen in IP-netwerken te verbinden.

Het proces om het DNS bij te werken zodat AD FS 2.0 wordt ondersteund, bestaat uit het configureren van:

  • Interne DNS-servers in het bedrijfsnetwerk om de DNS-naam van het cluster om te zetten in het IP-adres van het netwerktaakverdelingscluster dat u configureert op de netwerktaakverdelingshost van het bedrijfsnetwerk, bijvoorbeeld om fs.fabrikam.com om te zetten in 172.16.1.3.

  • DNS-servers van het perimeternetwerk om de DNS-naam van het cluster om te zetten in het IP-adres van het netwerktaakverdelingscluster dat u configureert op de netwerktaakverdelingshost van het perimeternetwerk, bijvoorbeeld om fs.fabrikam.com om te zetten in 192.0.2.3.

Vereisten voor netwerktaakverdeling

Netwerktaakverdeling is vereist voor fouttolerantie, optimale beschikbaarheid en gelijke taakverdeling over meerdere knooppunten. Dit kan worden geïmplementeerd met hardware, software of een combinatie van beide. U moet de DNS-bronrecords configureren op basis van uw Federation Service-naam voor het netwerktaakverdelingscluster zodat de volledige FQDN-naam (Fully Qualified Domain Name) van het cluster (in dit artikel ook wel de DNS-naam van het cluster genoemd) wordt omgezet in het IP-adres van het cluster.

Zie Clusterparameters opgeven voor algemene informatie over het IP-adres van het netwerktaakverdelingscluster of de FQDN-naam van het cluster.

Uitgebreide beveiliging voor verificatie gebruiken

Als uw computers beschikken over uitgebreide beveiliging voor verificatie en u Firefox, Chrome of Safari gebruikt, kunt u zich in het bedrijfsnetwerk mogelijk niet bij de cloud service aanmelden met geïntegreerde Windows-verificatie. Als deze situatie zich voordoet, worden voor uw gebruikers mogelijk regelmatig aanmeldprompts weergegeven. Dit is het gevolg van de standaardconfiguratie (in Windows 7 en besturingssystemen voor clients met patches) voor AD FS 2.0 en uitgebreide beveiliging voor verificatie.

Totdat Firefox, Chrome en Safari uitgebreide beveiliging voor verificatie ondersteunen, is de aanbevolen optie dat alle clients toegang krijgen tot de cloud service om Windows Internet Explorer 8 te installeren en te gebruiken. Als u eenmalige aanmelding voor de cloud service wilt gebruiken met Firefox, Chrome of Safari, kunt u twee andere oplossingen overwegen. Wanneer u voor een van deze benaderingen kiest, kunnen er echter beveiligingsproblemen optreden. Zie Microsoft-beveiligingsadvies: uitgebreide beveiliging voor verificatie voor meer informatie. De oplossingen zijn:

  • De installatie van de patches voor uitgebreide beveiliging voor verificatie ongedaan maken op uw computer.

  • De instellingen voor uitgebreide beveiliging voor verificatie wijzigen op de AD FS 2.0-server. Zie Geavanceerde opties configureren voor AD FS 2.0 voor meer informatie.

  • De configuratie van de verificatie-instellingen voor de AD FS 2.0-webpagina op elke federatieve server wijzigen van geïntegreerde Windows-verificatie in het gebruik van op formulieren gebaseerde verificatie.

Te voltooien stappen

5. Uw federatieve serverfarm implementeren

De belangrijkste bewerking die u moet uitvoeren om uw gebruikers via eenmalige aanmelding toegang te bieden tot de cloud service is het implementeren van een nieuwe federatieve serverfarm met AD FS 2.0. U wordt aanbevolen ten minste twee federatieve servers te implementeren om fouttolerantie, gelijke taakverdeling en schaalbaarheid te bieden aan de AD FS 2.0-productieomgeving van uw organisatie.

De volgende controlelijsten bevatten de voorbereidings- en implementatietaken die nodig zijn om de eerste federatieve server met AD FS 2.0 te maken in een nieuwe farm, om de tweede federatieve server te maken en om de tweede federatieve server toe te voegen aan de farm.

noteOpmerking
  • Voltooi de taken in deze controlelijsten in de vermelde volgorde. Wanneer een verwijzingskoppeling u naar een procedure leidt, keert u terug naar dit onderwerp nadat u de stappen in die procedure hebt voltooid, zodat u kunt doorgaan met de resterende taken in deze controlelijst.

  • Tenzij anders wordt vermeld, kunt u de taken met de procedures in deze sectie alleen voltooien, nadat u bij de computer bent aangemeld als lid van de beheerdersgroep of aan u equivalente machtigingen zijn toegewezen.

Controlelijst Stap 5 - controlelijst 1: de infrastructuur van uw netwerk voorbereiden voor federatieve servers

 

Implementatietaak Koppelingen naar onderwerpen in deze sectie Voltooid

1. Voeg de computers die als federatieve servers zullen worden gebruikt, toe aan een domein waar Active Directory-gebruikers worden geverifieerd.

noteOpmerking
Als u bestaande domeincontrollers als federatieve servers gebruikt, kunt u deze stap overslaan.

Computer toevoegen aan een domein

Selectievakje

2. Maak en configureer een nieuwe DNS-naam voor het netwerktaakverdelingscluster of gebruik een bestaand netwerktaakverdelingscluster in het bedrijfsnetwerk dat wordt gebruikt door de nieuwe federatieve serverfarm. Voeg vervolgens de federatieve servercomputers toe aan het netwerktaakverdelingscluster. Als u Windows Server-technologie gebruikt voor uw huidige netwerktaakverdelingshosts, kiest u rechts de betreffende koppeling op basis van de versie van uw besturingssysteem.

Zie Controlelijst: netwerktaakverdeling inschakelen en configureren als u netwerktaakverdelingsclusters in Windows Server 2003 en Windows Server 2003 R2 wilt maken en configureren. Zie Netwerktaakverdelingsclusters maken als u netwerktaakverdelingsclusters wilt maken en configureren in Windows Server 2008.

Zie Netwerktaakverdelingsclusters maken als u netwerktaakverdelingsclusters wilt maken en configureren in Windows Server 2008 R2.

Selectievakje

3. Maak voor de DNS-naam van het cluster in het DNS van het bedrijfsnetwerk een nieuwe bronrecord die de FQDN-naam van het netwerktaakverdelingscluster verwijst naar het IP-adres van het cluster.

Voeg een bronrecord toe aan het DNS van het bedrijf voor de DNS-naam van het cluster die is geconfigureerd op de netwerktaakverdelingshost van het bedrijf

Selectievakje

4. Importeer het serververificatiecertificaat in de standaardwebsite van elke federatieve server in de farm.

noteOpmerking
Dit certificaat moet op de standaardwebsite wordt geïnstalleerd voordat u de configuratiewizard voor de federatieve server met AD FS 2.0 kunt gebruiken.

Serververificatiecertificaat importeren in de standaardwebsite

Selectievakje

5. Maak en configureer een toegewezen serviceaccount in Active Directory waar de federatieve serverfarm zich zal bevinden en configureer elke federatieve server in de farm voor gebruik van dit account.

Een dedicated serviceaccount maken voor de farm met federatieservers

Selectievakje

Controlelijst Stap 5 - controlelijst 2: uw federatieve serverfarm implementeren

 

Implementatietaak Koppelingen naar onderwerpen in deze sectie Voltooid

1. Installeer de AD FS 2.0-software en AD FS 2.0-hotfixes op de computers die zullen worden gebruikt als federatieve servers.

De AD FS 2.0-software installeren

Selectievakje

2. Configureer de AD FS 2.0-software op een van de computers die gaan fungeren als federatieve server. Volg deze procedure om de eerste federatieve server in een nieuwe farm te maken.

De eerste federatieserver configureren in de farm met federatieservers

Selectievakje

3. Configureer de tweede federatieve server aan de hand van de stappen hierboven en ga vervolgens rechtstreeks naar deze taak. Gebruik de procedure rechts om deze nieuwe federatieve server toe te voegen aan de nieuwe farm.

Een federatieserver toevoegen aan de farm met federatieservers

Selectievakje

4. Verifieer op een clientcomputer of de federatieve servers werken.

Controleren of de federatieserver werkt

Selectievakje

Computer toevoegen aan een domein

Voor een goede werking van AD FS 2.0 moet elke computer die fungeert als een federatieve server, worden toegevoegd aan een domein. Federatieve serverproxy's kunnen worden toegevoegd aan een domein, maar dit is niet vereist.

Computer toevoegen aan een domein

  1. Klik op de computer die u wilt toevoegen aan een domein, achtereenvolgens op Start en Configuratiescherm en dubbelklik op Systeem.

  2. Klik onder Instellingen voor computernaam, domein en werkgroep op Instellingen wijzigen.

  3. Klik op het tabblad Computernaam op Wijzigen.

  4. Klik onder Lid van op Domein, typ de naam van het domein waarvan deze computer lid wordt, en klik vervolgens op OK.

  5. Klik op OK en start de computer vervolgens opnieuw op.

Voeg een bronrecord toe aan het DNS van het bedrijf voor de DNS-naam van het cluster die is geconfigureerd op de netwerktaakverdelingshost van het bedrijf

Clients in het bedrijfsnetwerk krijgen pas toegang tot de Federation Service nadat een bronrecord voor de host (A) is gemaakt in het DNS van het bedrijf waarmee de DNS-naam van het cluster van de Federation Service (bijvoorbeeld fs.fabrikam.com) wordt omgezet in het IP-adres van het cluster in het bedrijfsnetwerk (bijvoorbeeld 172.16.1.3). U kunt de volgende procedure gebruiken om een bronrecord voor de host (A) toe te voegen aan het DNS van het bedrijf voor het netwerktaakverdelingscluster.

Een bronrecord toevoegen aan het DNS van het bedrijf voor de DNS-naam van het cluster die is geconfigureerd op de netwerktaakverdelingshost van het bedrijf

  1. Open de DNS-module op een DNS-server voor het bedrijfsnetwerk.

  2. Klik in de consolestructuur met de rechtermuisknop op de betreffende zone voor forward lookup (bijvoorbeeld fabrikam.com) en klik vervolgens op Nieuwe host (A of AAAA).

  3. Typ in het vak Naam alleen de computernaam van de federatieve server of het federatieve servercluster. Zo typt u bijvoorbeeld fs voor de fully qualified domain name (FQDN) fs.fabrikam.com.

  4. Typ in het vak IP-adres het IP-adres voor de federatieve server of het federatieve servercluster, bijvoorbeeld 172.16.1.3.

  5. Klik op Host toevoegen.

    ImportantBelangrijk
    Hier wordt verondersteld dat u een DNS-server gebruikt, waarop Windows 2000 Server, Windows Server 2003 of Windows Server 2008 met de DNS Server-service wordt uitgevoerd, om de DNS-zone te beheren.

Serververificatiecertificaat importeren in de standaardwebsite

Als u een certificaat voor serververificatie hebt ontvangen van een certificeringsinstantie (CA), moet u dat certificaat voor elke federatieserver in de farm handmatig installeren op de standaardwebsite.

Aangezien dit certificaat moet worden vertrouwd door clients van AD FS 2.0 en Microsoft-cloudservices, moet u een SSL-certificaat gebruiken dat is uitgegeven door een openbare (third-party) CA of door een CA die ondergeschikt is aan een openbaar vertrouwde basis-CA, zoals VeriSign of Thawte. Informatie over het installeren van een certificaat van een openbare CA kunt u lezen in, IIS 7.0: een internetservercertificaat aanvragen.

noteOpmerking
De subject-naam van dit certificaat moet overeenkomen met de FQDN van de cluster-DNS-naam (bijvoorbeeld fs.fabrikam.com) die u eerder hebt gemaakt op de netwerktaakverdelingshost. Als IIS (Internet Information Services) niet is geïnstalleerd, moet u dit alsnog doen om deze taak te kunnen afronden. Als u IIS voor het eerst installeert, is het raadzaam de standaardinstellingen te gebruiken tijdens de installatie van de serverrol.

Een certificaat voor serververificatie importeren naar de standaardwebsite

  1. Klik op Start, wijs Alle programma's aan, wijs Systeembeheer aan en klik op Beheer van Internet Information Services (IIS).

  2. Klik in de consolestructuur op ComputerName.

  3. Dubbelklik in het middelste deelvenster op Servercertificaten.

  4. Klik in het deelvenster Acties op Importeren.

  5. Klik in het dialoogvenster Certificaat importeren op de knop ... .

  6. Blader naar de locatie van het pfx-certificaatbestand, selecteer het bestand en klik op Openen.

  7. Typ een wachtwoord voor het certificaat en klik vervolgens op OK.

Een dedicated serviceaccount maken voor de farm met federatieservers

Als u een farm met federatieservers wilt configureren in AD FS 2.0, moet u een dedicated serviceaccount maken en configureren in Active Directory waar de farm met federatieservers wordt ingericht. Dit dedicated serviceaccount is nodig om ervoor te zorgen dat alle resources die vereist zijn voor de farm van AD FS 2.0 toegang krijgen tot alle federatieservers in de farm.

Vervolgens koppelt u de federatieservers in de farm aan dit serviceaccount. Als u bijvoorbeeld een serviceaccount hebt gemaakt met de naam fabrikam\ADFS2SVC, moet u voor elke computer die u configureert als federatieserver en die deel moet uitmaken van dezelfde farm fabrikam\ADFS2SVC opgeven bij deze stap in de wizard voor het configureren van federatieservers. Alleen dan functioneert de farm zonder problemen.

noteOpmerking
U hoeft de taken in deze procedure slechts eenmaal uit te voeren voor de federatieserverfarm als geheel. Als u later een federatieserver gaat maken via de wizard voor het configureren van federatieservers van AD FS 2.0, moet u dit account voor elke server in de farm opgeven op de pagina Serviceaccount van de wizard.

Een dedicated serviceaccount maken voor de farm met federatieservers

  1. Maak een dedicated gebruikers-/serviceaccount in het forest van Active Directory dat u in de organisatie gaat gebruiken.

  2. Wijzig de eigenschappen van het gebruikersaccount en schakel het selectievakje Wachtwoord verloopt nooit in. Hierdoor weet u zeker dat de functie van dit serviceaccount nooit wordt onderbroken als gevolg van beleidsinstellingen voor het wijzigen van domeinwachtwoorden.

    noteOpmerking
    • Als het wachtwoord voor het serviceaccount wel regelmatig moet worden gewijzigd, raadpleegt u het artikel Geavanceerde opties configureren voor AD FS 2.0.

    • Als u het Network Service-account gebruikt voor dit dedicated account, zullen er periodiek problemen optreden wanneer gebruikers toegang proberen te krijgen via geïntegreerde Windows-verificatie. De reden hiervoor is dat Kerberos-tickets niet door opeenvolgende servers kunnen worden gevalideerd.

De AD FS 2.0-software installeren

De software van AD FS 2.0 moet zijn geïnstalleerd op elke computer waarop u de rol van federatieserver wilt instellen. U kunt deze software installeren via de installatiewizard van AD FS 2.0 of via een opdrachtregelparameter. Meer informatie over deze parameter kunt u vinden in de AD FS 2.0 Deployment Guide.

Vergeet niet het installatieproces te voltooien door op elke federatieserver de vereiste hotfixes te installeren, zoals aangegeven in de laatste stap van deze procedure.

De AD FS 2.0-software installeren

  1. Download het softwarepakket van AD FS 2.0 voor uw besturingssysteem (Windows Server 2008 of Windows Server 2008 R2) door het bestand AdfsSetup.exe op te slaan op de computer. Om dit bestand te downloaden, gaat u naar Active Directory Federation Services 2.0 RTW.

  2. Zoek het bestand AdfsSetup.exe dat u hebt gedownload en dubbelklik erop om de installatie te starten.

  3. Klik op de pagina Welkom bij de installatiewizard AD FS 2.0 op Volgende.

  4. Lees de licentievoorwaarden op de pagina Gebruiksrechtovereenkomst.

  5. Als u akkoord gaat met de voorwaarden, schakelt u het selectievakje Ik ga akkoord met de voorwaarden in deze gebruiksrechtovereenkomst in en klikt u op Volgende.

  6. Op de pagina Serverfunctie selecteert u Federatieserver en klikt u op Volgende.

  7. Klik op de pagina Installatiewizard AD FS 2.0 voltooid op Voltooien.

    ImportantBelangrijk
    In bepaalde situaties moet u de computer opnieuw opstarten om de installatie van AD FS 2.0 af te ronden (bijvoorbeeld als er essentiële hotfixes zijn geïnstalleerd).

  8. Installeer alle hotfixes zoals aangegeven in Beschrijving van updatepakket 2 voor Active Directory Federation Services (AD FS) 2.0.

De eerste federatieserver configureren in de farm met federatieservers

Gebruik de volgende procedure om via de wizard voor het configureren van federatieservers van AD FS 2.0 de computer in te stellen die de eerste federatieserver moet worden in een nieuwe farm met federatieservers.

Deze procedure kan alleen worden uitgevoerd als u lid bent van de groep Domeinadministrators of als u een gedelegeerd domeinaccount hebt waaraan schrijftoegang is verleend voor de container met programmagegevens in Active Directory.

De eerste federatieserver maken in de farm met federatieservers

  1. Als de installatie van de software voor AD FS 2.0 is voltooid, klikt u achtereenvolgens op Start, Systeembeheer en AD FS 2.0 Management om de module AD FS 2.0 Management te openen.

  2. Klik op de pagina Overzicht op Configuratiewizard AD FS 2.0 Federatieserver.

  3. Zorg dat op de Welkomstpagina de optie Een nieuwe Federation-service maken is geselecteerd en klik vervolgens op Volgende.

  4. Selecteer op de pagina Zelfstandige of farmimplementatie selecteren de optie Nieuwe federatieserverfarm en klik op Volgende.

  5. Controleer op de pagina De Federation-servicenaam specificeren of het weergegeven SSL-certificaat overeenkomt met de naam van het certificaat dat u eerder hebt geïmporteerd naar de standaardwebsite in IIS. Als dat niet het geval is, selecteert u het juiste certificaat in de lijst SSL-certificaat.

    noteOpmerking
    U kunt geen ander certificaat kiezen als er een SSL-certificaat is geconfigureerd voor IIS. Op deze manier worden vooraf ingestelde IIS-configuraties voor SSL-certificaten afgedwongen. U kunt deze beperking omzeilen door terug te gaan en het certificaat nogmaals te importeren naar de standaardwebsite van IIS.

  6. Als u AD FS eerder opnieuw hebt geïnstalleerd op deze computer, wordt de pagina Bestaande AD FS Configuratiedatabase gedetecteerd weergegeven. Klik in dat geval op Database verwijderen en klik op Volgende.

  7. Klik op de pagina Een serviceaccount specificeren op Bladeren. Zoek in het dialoogvenster Bladeren het domeinaccount dat u als het serviceaccount wilt gebruiken in deze nieuwe farm met federatieservers. Klik vervolgens op OK. Typ het wachtwoord voor dit account, typ het wachtwoord nogmaals ter bevestiging en klik op Volgende.

    noteOpmerking
    Meer informatie over het serviceaccount dat eerder in dit artikel is gemaakt, kunt u lezen in Een dedicated serviceaccount maken voor de farm met federatieservers.

  8. Bekijk de instellingen op de pagina Gereed om instellingen toe te passen. Als alles in orde is, klikt u op Volgende om AD FS 2.0 te configureren met deze instellingen.

  9. Bekijk de resultaten op de pagina Configuratieresultaten. Als alle configuratiestappen zijn voltooid, klikt u op Sluiten om de wizard af te sluiten.

noteOpmerking
Als u de stappen in deze procedure hebt uitgevoerd, wordt de module AD FS 2.0 Management automatisch geopend en ziet u een bericht met de mededeling dat de vereiste configuratie niet compleet is en dat u een Trusted relying party moet toevoegen. U kunt dit bericht negeren.

U gaat namelijk in een volgende stap een Relying Party Trust voor Windows Azure Active Directory toevoegen. Zie Windows PowerShell installeren voor eenmalige aanmelding met AD FS 2.0 voor meer informatie. Als deze stap is voltooid, verdwijnt het bericht uit de module AD FS 2.0 Management.

Een federatieserver toevoegen aan de farm met federatieservers

Nadat u de software van AD FS 2.0 hebt geïnstalleerd en de vereiste certificaten hebt geconfigureerd op een computer, kunt u de computer gaan instellen als een federatieserver. Gebruik de volgende procedure om een computer toe te voegen aan een nieuwe farm met federatieservers.

U voegt een computer toe aan een farm met de wizard voor het configureren van federatieservers van AD FS 2.0. Wanneer u via deze wizard een computer toevoegt aan een bestaande farm, wordt de computer geconfigureerd met het kenmerk Alleen-lezen voor de configuratiedatabase van AD FS 2.0. Wijzigingen worden ontvangen van een primaire federatieserver.

Een federatieserver toevoegen aan de farm met federatieservers

  1. Als de installatie van de software voor AD FS 2.0 is voltooid, klikt u achtereenvolgens op Start, Systeembeheer en AD FS 2.0 Management om de module AD FS 2.0 Management te openen.

  2. Klik op de pagina Overzicht of in het deelvenster Acties op Configuratiewizard AD FS 2.0 Federatieserverproxy.

  3. Zorg dat op de Welkomstpagina de optie Een federatieserver aan een bestaande Federation-service toevoegen is geselecteerd en klik vervolgens op Volgende.

  4. Als de database van AD FS 2.0 die u hebt geselecteerd al bestaat, verschijnt de pagina Bestaande AD FS configuratiedatabase gedetecteerd. Selecteer in dat geval Database verwijderen en klik op Volgende.

    CautionOpgepast
    Selecteer deze optie alleen als u zeker weet dat de gegevens in deze database van AD FS 2.0 niet belangrijk zijn of niet worden gebruikt in een actieve farm met federatieservers.

  5. Ga op de pagina De primaire federatieserver en serviceaccount specificeren naar Primaire federatieservernaam en typ daar de computernaam van de primaire federatieserver in de farm. Klik vervolgens op Bladeren. Zoek in het dialoogvenster Bladeren het domeinaccount dat als serviceaccount wordt gebruikt door alle andere federatieservers in de bestaande farm met federatieservers. Klik vervolgens op OK. Typ het wachtwoord, bevestig dit en klik op Volgende.

    noteOpmerking
    Meer informatie over het serviceaccount dat eerder in dit artikel is gemaakt, kunt u lezen in Een dedicated serviceaccount maken voor de farm met federatieservers.

  6. Bekijk de instellingen op de pagina Gereed om instellingen toe te passen. Als alles in orde is, klikt u op Volgende om AD FS 2.0 te configureren met deze instellingen.

  7. Bekijk de resultaten op de pagina Configuratieresultaten. Als alle configuratiestappen zijn voltooid, klikt u op Sluiten om de wizard af te sluiten.

Controleren of de federatieserver werkt

Gebruik de volgende procedures om te controleren of een federatieserver operationeel is. U doet dit door te controleren of een client in hetzelfde netwerk een nieuwe federatieserver kan bereiken.

Procedure 1: controleren of de federatieserverproxy werkt

  1. Meld u aan bij een clientcomputer die zich bevindt in het forest van de federatieserver die u wilt testen.

  2. Open een browservenster. Typ in de adresbalk de DNS-hostnaam van de federatieserver. Voeg vervolgens /FederationMetadata/2007-06/FederationMetadata.xml toe voor de nieuwe federatieserver, bijvoorbeeld:

    https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

  3. Druk op Enter en voer de volgende procedure uit op de federatieserver. Als het bericht Er is een probleem met het beveiligingscertificaat van deze website verschijnt, klikt u op Doorgaan naar deze website.

    De verwachte uitvoer bestaat uit XML met een servicebeschrijving. Als deze pagina verschijnt, werkt IIS op de federatieserver en kunnen pagina's goed worden weergegeven.

Procedure 2: controleren of de federatieserverproxy werkt

  1. Meld u als beheerder aan bij de nieuwe federatieserver.

  2. Klik op Start, wijs Systeembeheer aan en klik op Logboeken.

  3. Dubbelklik in het detailvenster op Logboeken Toepassingen en Services, dubbelklik op AD FS 2.0 Eventing en klik op Beheer.

  4. Zoek in de kolom Gebeurtenis-id naar gebeurtenis-ID 100. Als de federatieserver goed is geconfigureerd, ziet u in het logboek Toepassingen van Logboeken een nieuwe gebeurtenis met id 100. Deze gebeurtenis geeft aan dat de federatieserver heeft kunnen communiceren met de Federation-service.

Te voltooien stappen

6. Uw federatieve serverproxy's implementeren

Proxy's voor federatieservers van AD FS 2.0 maken deel uit van het extranet en fungeren als een proxy voor aanmeldingen van externe clients bij een federatieserver in het bedrijfsnetwerk. De federatieserverproxy verzorgt ook de distributie van beveiligingstokens voor externe clients die toegang willen tot de cloud service.

De volgende controlelijst bevat de implementatietaken die moeten worden uitgevoerd om twee federatieserverproxy's te implementeren die verificatieaanvragen omleiden naar een federatieserver in de nieuwe farm met federatieservers.

noteOpmerking
  • Het is raadzaam ten minste twee federatieserverproxy's te installeren. Op die manier kunt u fouttolerantie aanbieden en een NLB-host gebruiken voor fouttolerantie en load balancing.

  • U kunt reverse HTTP-proxyoplossingen van derden gebruiken om AD FS 2.0 op het extranet te publiceren. Voor meer informatie over hoe u dit moet uitvoeren, raadpleegt u Geavanceerde opties configureren voor AD FS 2.0.

  • U kunt de taken in dit gedeelte alleen uitvoeren met behulp van de procedures in deze sectie als u als lid van de groep Administrators bent aangemeld bij de computers of als u over vergelijkbare machtigingen beschikt.

Controlelijst Stap 6–Controlelijst 1: de netwerkinfrastructuur voorbereiden voor federatieserverproxy's

 

Implementatietaak Koppelingen naar onderwerpen in deze sectie Voltooid

1. Zorg dat u beschikt over twee computers met Windows Server 2008 of Windows Server 2008 R2 die u wilt gaan gebruiken als federatieserverproxy's. Afhankelijk van het aantal gebruikers, kunt u bestaande web- of proxyservers gebruiken of een speciale computer.

N.v.t.

Selectievakje

2. Voeg de naam van de Federation-service in het bedrijfsnetwerk (de cluster-DNS-naam die u eerder hebt gemaakt op de netwerktaakverdelingshost in het bedrijfsnetwerk) en het bijbehorende cluster-IP-adres toe aan de hosts-bestanden op de federatieserverproxy's in het perimeternetwerk.

De cluster-DNS-naam en het cluster-IP-adres toevoegen aan het hosts-bestand op de proxycomputer

Selectievakje

3. Definieer een nieuwe cluster-DNS-naam en een nieuw cluster-IP-adres op de netwerktaakverdelingshost in het perimeternetwerk en voeg vervolgens de federatieserverproxy's toe aan het netwerktaakverdelingscluster. Als u Windows Server-technologie gebruikt voor uw huidige netwerktaakverdelingshosts, kiest u rechts de betreffende koppeling op basis van de versie van uw besturingssysteem

ImportantBelangrijk
De cluster-DNS-naam die u gebruikt voor dit nieuwe netwerktaakverdelingscluster moet overeenkomen met de naam van de Federation-service in het bedrijfsnetwerk.

Informatie over het maken en configureren van netwerktaakverdelingsclusters in Windows Server 2003 en Windows Server 2003 R2 kunt u vinden in Controlelijst: Netwerktaakverdeling inschakelen en configureren.

Zie Netwerktaakverdelingsclusters maken als u netwerktaakverdelingsclusters wilt maken en configureren in Windows Server 2008.

Zie Netwerktaakverdelingsclusters maken als u netwerktaakverdelingsclusters wilt maken en configureren in Windows Server 2008 R2.

Selectievakje

4. Maak in het DNS van het perimeternetwerk een nieuwe resourcerecord voor het netwerktaakverdelingscluster die de cluster-DNS-naam van het netwerktaakverdelingscluster omzet in het cluster-IP-adres.

Een resourcerecord toevoegen aan het DNS van het perimeternetwerk voor de cluster-DNS-naam die is geconfigureerd op de netwerktaakverdelingshost in het perimeternetwerk

Selectievakje

5. Gebruik het certificaat voor serververificatie dat ook wordt gebruikt door de federatieservers in het bedrijfsnetwerk en installeer het certificaat in IIS op de standaardwebsite van de federatieserverproxy.

Een certificaat voor serververificatie importeren naar de standaardwebsite op de proxycomputer

Selectievakje

Controlelijst Stap 6–Controlelijst 2: De proxy's voor federatieservers implementeren

 

Implementatietaak Koppelingen naar onderwerpen in deze sectie Voltooid

1. Installeer de software van AD FS 2.0 op de computer die u als federatieserverproxy gaat instellen.

De AD FS 2.0-software installeren op de proxycomputer

Selectievakje

2. Gebruik de wizard voor het configureren van federatieservers van AD FS 2.0 op de computer om de software van AD FS 2.0 te configureren met de rol van federatieserverproxy.

Een computer configureren voor de rol van federatieserverproxy

Selectievakje

3. Controleer in Logboeken of de service voor federatieserverproxy's is gestart.

Controleren of de federatieserverproxy werkt

Selectievakje

De cluster-DNS-naam en het cluster-IP-adres toevoegen aan het hosts-bestand op de proxycomputer

De federatieserverproxy werkt alleen zoals verwacht in het perimeternetwerk als u op elke proxy een vermelding toevoegt aan het hosts-bestand die verwijst naar de cluster-DNS-naam die door de netwerktaakverdeling wordt gehost in het bedrijfsnetwerk (bijvoorbeeld fs.fabrikam.com) en naar het bijbehorende IP-adres (bijvoorbeeld 172.16.1.3). Het toevoegen van deze vermelding zorgt ervoor dat de proxy aanvragen van clients kan omleiden naar een federatieserver binnen of buiten het perimeternetwerk.

De cluster-DNS-naam en het cluster-IP-adres toevoegen aan het hosts-bestand op de proxycomputer

  1. Ga naar de map %systemroot%\Winnt\System32\Drivers en zoek het bestand hosts.

  2. Start Kladblok en open het bestand hosts.

  3. Voeg het IP-adres en de hostnaam van een federatieserver toe aan het bestand hosts, als weergegeven in het volgende voorbeeld:

    172.16.1.3             fs.fabrikam.com

  4. Sla het bestand op en sluit het vervolgens.

ImportantBelangrijk
Als het cluster-IP-adres op de netwerktaakverdelingshost in het bedrijfsnetwerk wordt gewijzigd, moet u het lokale hosts-bestand op de proxy's bijwerken.

Een resourcerecord toevoegen aan het DNS van het perimeternetwerk voor de cluster-DNS-naam die is geconfigureerd op de netwerktaakverdelingshost in het perimeternetwerk

AD FS 2.0 kan alleen verificatieaanvragen van clients binnen of buiten het perimeternetwerk verwerken als naamomzetting is geconfigureerd op naar buiten gerichte DNS-servers die de zone van de organisatie hosten (bijvoorbeeld, fabrikam.com).

Dit doet u door aan de naar buiten gerichte DNS-server die alleen het perimeternetwerk bedient een host-resourcerecord (A) toe te voegen waarmee de cluster-DNS-naam (bijvoorbeeld “fs.fabrikam.com”) wordt omgezet in het externe cluster-IP-adres dat net is geconfigureerd.

Een resourcerecord toevoegen aan het DNS van het perimeternetwerk voor de cluster-DNS-naam die is geconfigureerd op de netwerktaakverdelingshost in het perimeternetwerk

  1. Ga naar een DNS-server voor het perimeternetwerk en open de module DNS. Klik op Start, wijs Systeembeheer aan en klik op DNS.

  2. Klik in de consolestructuur met de rechtermuisknop op de juiste zone voor forward lookup (bijvoorbeeld fabrikam.com) en klik vervolgens op Nieuwe host (A of AAAA).

  3. Typ bij Naam alleen het naamgedeelte van de cluster-DNS-naam die u hebt opgegeven op de netwerktaakverdelingshost in het perimeternetwerk (deze DNS-naam moet dezelfde zijn als de naam van de Federation-service). Als de FQDN bijvoorbeeld fs.fabrikam.com is, typt u fs.

  4. Typ bij IP-adres het IP-adres voor het nieuwe cluster-IP-adres dat u hebt opgegeven op de netwerktaakverdelingshost in het perimeternetwerk. Typ bijvoorbeeld 192.0.2.3.

  5. Klik op Host toevoegen.

Een certificaat voor serververificatie importeren naar de standaardwebsite op de proxycomputer

Als u een certificaat voor serververificatie hebt ontvangen dat wordt gebruikt door een van de federatieservers in het bedrijfsnetwerk, moet u dat certificaat voor elke proxy in de organisatie handmatig installeren op de standaardwebsite.

Aangezien dit certificaat moet worden vertrouwd door clients van AD FS 2.0 en Microsoft-cloudservices, moet u een SSL-certificaat gebruiken dat is uitgegeven door een openbare (third-party) CA of door een CA die ondergeschikt is aan een openbaar vertrouwde basis-CA, zoals VeriSign of Thawte. Informatie over het installeren van een certificaat van een openbare CA kunt u lezen in, IIS 7.0: een internetservercertificaat aanvragen.

noteOpmerking
De subject-naam van dit certificaat moet overeenkomen met de FQDN van de cluster-DNS-naam (bijvoorbeeld fs.fabrikam.com) die u eerder hebt gemaakt op de netwerktaakverdelingshost. Als IIS (Internet Information Services) niet is geïnstalleerd, moet u dit alsnog doen om deze taak te kunnen afronden. Als u IIS voor het eerst installeert, is het raadzaam de standaardinstellingen te gebruiken tijdens de installatie van de serverrol.

Een certificaat voor serververificatie importeren naar de standaardwebsite op de proxycomputer

  1. Klik op Start, wijs Alle programma's aan, wijs Systeembeheer aan en klik op Beheer van Internet Information Services (IIS).

  2. Klik in de consolestructuur op ComputerName.

  3. Dubbelklik in het middelste deelvenster op Servercertificaten.

  4. Klik in het deelvenster Acties op Importeren.

  5. Klik in het dialoogvenster Certificaat importeren op de knop ... .

  6. Blader naar de locatie van het pfx-certificaatbestand, selecteer het bestand en klik op Openen.

  7. Typ een wachtwoord voor het certificaat en klik vervolgens op OK.

De AD FS 2.0-software installeren op de proxycomputer

De software van AD FS 2.0 moet zijn geïnstalleerd op elke computer waarop u de rol van federatieserverproxy wilt instellen. U kunt deze software installeren via de installatiewizard van AD FS 2.0 of via een opdrachtregelparameter. Meer informatie over deze parameter kunt u vinden in de AD FS 2.0 Deployment Guide.

Vergeet niet het installatieproces te voltooien door op elke federatieserverproxy de vereiste hotfixes te installeren, zoals aangegeven in de laatste stap van deze procedure.

De AD FS 2.0-software installeren op de proxycomputer

  1. Download het softwarepakket van AD FS 2.0 voor uw besturingssysteem (Windows Server 2008 of Windows Server 2008 R2) door het bestand AdfsSetup.exe op te slaan op de computer. Om dit bestand te downloaden, gaat u naar Active Directory Federation Services 2.0 RTW.

  2. Zoek het bestand AdfsSetup.exe dat u hebt gedownload en dubbelklik erop om de installatie te starten.

  3. Klik op de pagina Welkom bij de installatiewizard AD FS 2.0 op Volgende.

  4. Lees de licentievoorwaarden op de pagina Gebruiksrechtovereenkomst.

  5. Als u akkoord gaat met de voorwaarden, schakelt u het selectievakje Ik ga akkoord met de voorwaarden in deze gebruiksrechtovereenkomst in en klikt u op Volgende.

  6. Op de pagina Serverfunctie selecteert u Federatieserverproxy en klikt u op Volgende.

  7. Controleer op de pagina Installatiewizard AD FS 2.0 voltooid of het selectievakje De configuratiewizard AD FS 2.0 Federatieserverproxy starten als deze wizard wordt gesloten is ingeschakeld en klik op Voltooien om de computer opnieuw op te starten.

    ImportantBelangrijk
    In bepaalde situaties moet u de computer opnieuw opstarten om de installatie van AD FS 2.0 af te ronden (bijvoorbeeld als er essentiële hotfixes zijn geïnstalleerd). In dat geval moet u het selectievakje Nu opnieuw opstarten inschakelen op de pagina Installatiewizard AD FS 2.0 voltooid voordat u op Voltooien klikt om de computer opnieuw op te starten.

  8. Installeer alle hotfixes zoals aangegeven in Beschrijving van updatepakket 2 voor Active Directory Federation Services (AD FS) 2.0.

Een computer configureren voor de rol van federatieserverproxy

Nadat u een computer hebt geconfigureerd met de vereiste certificaten en de software van AD FS 2.0 hebt geïnstalleerd, kunt u de computer gaan configureren als een federatieserverproxy. Gebruik de volgende procedure om een computer te configureren voor de rol van federatieserverproxy.

ImportantBelangrijk
U mag deze procedure voor het configureren van de federatieserverproxy pas uitvoeren als u zeker weet dat u alle stappen uit de controlelijsten in 5. Uw federatieve serverfarm implementeren in de aangegeven volgorde hebt voltooid. Er moet ten minste één federatieserver zijn geïmplementeerd, evenals alle benodigde referenties voor het autoriseren van een configuratie met federatieserverproxy's. Daarnaast moet u SSL-bindingen configureren op de standaardwebsite, anders kan deze wizard niet worden gestart. Al deze taken moeten zijn voltooid om deze federatieserverproxy te laten functioneren.

Een computer configureren voor de rol van federatieserverproxy

  1. Op de pagina AD FS 2.0 installatiewizard voltooid van de installatiewizard van AD FS 2.0 staat een selectievakje met de naam De configuratiewizard AD FS 2.0 federatieserverproxy starten als deze wizard wordt gesloten dat standaard is ingeschakeld. Start de wizard en klik op de Welkomstpagina op Volgende.

  2. Typ op de pagina Federation-servicenaam specificeren bij Federation-servicenaam de naam van de Federation-service waarvoor deze computer gaat fungeren als proxy (bijvoorbeeld fs.fabrikam.com).

  3. Bepaal op basis van de specifieke behoeften van uw netwerk of u een HTTP-proxyserver nodig hebt om verzoeken door te sturen naar de Federation-service. Als dat het geval is, schakelt u het selectievakje Een HTTP-proxyserver gebruiken bij het verzenden van aanvragen naar deze Federation-service in, typt u bij HTTP-proxyserveradres het adres van de proxyserver, klikt u op Verbinding testen om de connectiviteit te controleren en klikt u ten slotte op Volgende.

  4. Als dit wordt gevraagd, geeft u de referenties op die nodig zijn om een vertrouwensrelatie tot stand te brengen tussen deze federatieserverproxy en de Federation-service.

    De standaardinstelling is dat alleen het serviceaccount dat wordt gebruikt door de Federation-service of een lid van de lokale groep BUILTIN\Administrators een federatieserverproxy kan autoriseren.

  5. Bekijk de instellingen op de pagina Gereed om instellingen toe te passen. Als alles in orde is, klikt u op Volgende om deze computer te configureren met deze proxyinstellingen.

  6. Bekijk de resultaten op de pagina Configuratieresultaten. Als alle configuratiestappen zijn voltooid, klikt u op Sluiten om de wizard af te sluiten.

Als u klaar bent met het instellen van de computer, controleert u of de federatieserverproxy werkt zoals verwacht.

Controleren of de federatieserverproxy werkt

Gebruik de volgende procedure om te controleren of de proxy kan communiceren met de Federation-service in AD FS 2.0. Voer deze procedure uit nadat u de Configuratiewizard AD FS 2.0 Federatieserverproxy hebt uitgevoerd om de computer te configureren voor de rol van federatieserverproxy. Meer informatie over het uitvoeren van deze wizard kunt u vinden in Een computer configureren voor de rol van federatieserverproxy.

noteOpmerking
Uiteindelijk wordt in het onderdeel Logboeken op de proxy een bepaalde gebeurtenis toegevoegd.

Controleren of de federatieserverproxy werkt

  1. Meld u als beheerder aan bij de federatieserverproxy.

  2. Klik op Start, wijs Systeembeheer aan en klik op Logboeken.

  3. Dubbelklik in het detailvenster op Logboeken Toepassingen en Services, dubbelklik op AD FS 2.0 Eventing en klik op Beheer.

  4. Zoek in de kolom Gebeurtenis-id naar de gebeurtenis met de id 198.

    Als de federatieserverproxy goed is geconfigureerd, ziet u in het logboek Toepassingen van Logboeken een nieuwe gebeurtenis met de id 198. Deze gebeurtenis geeft aan dat de service voor federatieserverproxy's is gestart en nu online is.

Te voltooien stappen

7. Volgende stap en aanvullende informatie

Als u de infrastructuur met AD FS 2.0 hebt geïmplementeerd, moet u de Relying Party Trust instellen tussen de nieuwe lokale servers van AD FS 2.0 en Windows Azure AD . Zie Windows PowerShell installeren voor eenmalige aanmelding met AD FS 2.0 voor meer informatie.

Als u aanvullende informatie wilt lezen over AD FS 2.0, gebruikt u de volgende referentiekoppelingen om technische documentatie te vinden die is goedgekeurd door het productteam van AD FS 2.0.

Algemene informatie over AD FS 2.0

Als u behoefte hebt aan een algemeen overzicht of oplossingen voor problemen met AD FS 2.0, kiest u een van de volgende referentiekoppelingen:

Aanvullende implementatie-informatie over AD FS 2.0

Als u overweegt een meer complexe infrastructuur met AD FS 2.0 te implementeren dan beschreven in dit artikel, kunt u de volgende referentiekoppelingen gebruiken om meer geavanceerde planning- en implementatie-informatie door te nemen.

Te voltooien stappen

Zie ook

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2014 Microsoft