Подготовка инфраструктуры сети для развертывания серверов федерации

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

В приведенные ниже контрольные списки включены подготовительные задачи, которые необходимо выполнить для развертывания фермы серверов федерации.

Примечание

  • Задачи в этих контрольных списках необходимо выполнять в указанном порядке. После выполнения всех шагов процедуры, на которую указывает ссылка, следует вернуться к этому разделу и продолжить выполнение оставшихся задач контрольного списка.

  • Если не указано иное, для выполнения всех задач и процедур этого раздела требуется выполнить вход на компьютер в качестве члена группы администраторов или наличие эквивалентных делегированных разрешений.

ChecklistКонтрольный список. Подготовка сетевой инфраструктуры для серверов федерации

Задача развертывания Ссылки на подразделы этого раздела Завершено

1. Присоединитесь к компьютерам, которые будут становиться серверами федерации, к домену, в котором пользователи Active Directory будут проходить проверку подлинности.

Примечание

Если в качестве серверов федерации будут использоваться существующие контроллеры домена, этот шаг можно пропустить.

Checkbox

2. Создайте и настройте новое DNS-имя кластера NLB или используйте существующий кластер NLB в корпоративной сети, который будет использоваться новой фермой серверов федерации. Добавьте в этот кластер компьютеры серверов федерации. Если на узлах балансировки сетевой нагрузки применяется технология Windows Server, в области справа щелкните ссылку, соответствующую используемой версии операционной системы.

Примечание

Этот шаг необязателен при тестовом развертывании решения SSO с использованием одного сервера федерации AD FS.

Сведения о создании и настройке кластеров NLB на Windows Server 2003 и Windows Server 2003 R2 см. в разделе "Контрольный список. Включение и настройка балансировки сетевой нагрузки". Сведения о создании и настройке кластеров NLB на Windows Server 2008 см. в статье "Создание кластеров балансировки сетевой нагрузки".

Сведения о создании и настройке кластеров NLB на Windows Server 2008 R2 см. в статье "Создание кластеров балансировки сетевой нагрузки".

 Checkbox

3. Создайте новую запись ресурса для DNS-имени кластера в DNS корпоративной сети, которая указывает полное доменное имя кластера на IP-адрес кластера.

Добавление в корпоративную службу DNS записи ресурса для DNS-имени кластера, настроенного на корпоративном узле балансировки сетевой нагрузки

 Checkbox

4. Импортируйте сертификат проверки подлинности сервера на веб-сайт по умолчанию для каждого сервера федерации в ферме.

Примечание

Установка этого сертификата на веб-сайте по умолчанию обязательна для последующего использования мастера конфигурации сервера федерации AD FS.

Импорт сертификата аутентификации сервера на веб-сайт по умолчанию

 Checkbox

5. Создайте и настройте выделенную учетную запись службы в Active Directory, где будет размещаться ферма серверов федерации, и настройте каждый сервер федерации в ферме для использования этой учетной записи.

Настройка учетной записи службы для фермы серверов федерации вручную

 Checkbox

Присоединение компьютера к домену

Для того, чтобы ферма AD FS работала, каждый компьютер, используемый как сервер федерации, должен быть соединен с доменом. Прокси-серверы федерации можно также присоединить к домену, однако это не является обязательным требованием.

В случае использования AD FS в Windows Server 2012 R2 домен Active Directory должен выполняться на одном из следующих серверов:

  • Windows Server

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

Присоединение компьютера к домену

  1. На компьютере, предназначенном для присоединения к домену, нажмите кнопку Запуск, Панель управления, а затем дважды щелкните Система.

  2. В разделе Имя компьютера, имя домена и параметры рабочей группы нажмите кнопку Изменить параметры.

  3. На вкладке Имя компьютера нажмите кнопку Изменить.

  4. В меню Член нажмите Домен, введите имя домена, к которому будет присоединен этот компьютер, а затем нажмите кнопку OK.

  5. Нажмите кнопку ОК и перезагрузите компьютер.

Добавление в корпоративную службу DNS записи ресурса для DNS-имени кластера, настроенного на корпоративном узле балансировки сетевой нагрузки

Для доступа клиентов корпоративной сети к службе федерации предварительно необходимо создать в корпоративной службе DNS запись ресурса узла (A), которая будет использоваться для разрешения DNS-имени узла службы федерации (например, fs.fabrikam.com) в IP-адрес кластера в корпоративной сети (например, 172.16.1.3). Чтобы добавить в корпоративную службу DNS запись ресурса узла (A) для кластера балансировки сетевой нагрузки, выполните указанные ниже действия.

Добавление в корпоративную службу DNS записи ресурса для DNS-имени кластера, настроенного на корпоративном узле балансировки сетевой нагрузки

  1. На DNS-сервере корпоративной сети откройте оснастку DNS.

  2. В дереве консоли щелкните правой кнопкой мыши соответствующую зону прямого просмотра (например, fabrikam.com), а затем щелкните Создать узел (A или AAAA).

  3. В поле Имя наберите наберите только имя компьютера сервера федерации или кластера серверов федерации; например, для полного имени домена (FQDN) fs.fabrikam.com, введите fs.

  4. В поле IP address введите IP-адрес сервера федерации или кластера серверов федерации; например, 172.16.1.3.

  5. Нажмите кнопку Добавить узел.

    Важно!

    Предполагается, что вы используете DNS-сервер под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2008 со службой DNS-сервера для управления зоной DNS.

Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию

После получения сертификата проверки подлинности из центра сертификации необходимо вручную установить его на веб-сайт по умолчанию для каждого сервера федерации в ферме.

Так как этот сертификат должен доверять клиентам AD FS и облачным службам Майкрософт, используйте SSL-сертификат, выданный общедоступным (сторонним) ЦС или центром сертификации, подчиненным общедоступному доверенному корневому каталогу; Например, VeriSign или Thawte. Сведения об установке сертификата из общедоступного ЦС см. в разделе IIS 7.0. Запрос сертификата Internet Server.

Примечание

Имя субъекта для этого сертификата проверки подлинности сервера должно соответствовать полному доменному имени кластера DNS (например, fs.fabrikam.com), который был создан на узле балансировки сетевой нагрузки. Если службы IIS не установлены, для выполнения этой задачи необходимо установить их. При первой установке служб IIS рекомендуется использовать параметры по умолчанию, которые предлагаются в процессе установки роли сервера.

Импорт сертификата аутентификации сервера на веб-сайт по умолчанию

  1. Нажмите кнопку Пуск, последовательно выберите Все программы, Администрирование, а затем щелкните Диспетчер IIS.

  2. В дереве консоли щелкните ComputerName.

  3. На средней панели дважды щелкните пункт Сертификаты сервера.

  4. На панели Действия щелкните Импорт.

  5. В диалоговом окне импорта сертификата нажмите кнопку ... .

  6. Перейдите к месту расположения файла сертификата pfx, выделите его, а затем нажмите кнопку Открыть.

  7. Наберите пароль для сертификата и нажмите кнопку ОК.

Создание выделенной учетной записи службы для фермы серверов федерации

Чтобы настроить среду фермы серверов федерации в AD FS, необходимо создать и настроить выделенную учетную запись службы в Active Directory, где будет находиться ферма. Эта выделенная учетная запись службы необходима для гарантии того, что всем ресурсам, которые требуются ферме AD FS, предоставляется доступ к каждому из серверов федерации фермы.

Затем необходимо выполнить настройку каждого сервера федерации в ферме, чтобы использовать одну и ту же учетную запись службы. Например, если учетная запись службы была создана с сертификатом fabrikam\ADFS2SVC, для каждого компьютера, которому назначается роль сервера федерации и который будет участником одной и той же фермы, на этом этапе мастера настройки сервера федерации необходимо указать сертификат fabrikam\ADFS2SVC.

Примечание

Задачи в рамках этой процедуры выполняются только один раз для всей фермы. Далее при создании сервера федерации с использованием мастера конфигурации сервера федерации AD FS необходимо указать ту же самую учетную запись на странице мастера учетной записи службы каждого сервера федерации фермы.

Создание выделенной учетной записи службы для фермы серверов федерации

  1. Создайте выделенную учетную запись пользователя или службы в лесу Active Directory, который будет использоваться в вашей организации.

  2. Отредактируйте свойства учетной записи пользователя и установите флажок Срок действия пароля не ограничен. Это действие гарантирует, что функционирование учетной записи службы не будет прервано вследствие требований о смене доменного пароля.

    Примечание

    • Если вам нужно регулярно изменять пароль для учетной записи службы, см. раздел "Настройка дополнительных параметров для AD FS 2.0".

    • Если использовать в качестве выделенной учетную запись сетевой службы, это приведет к возникновению случайных ошибок при попытке доступа с применением встроенной проверки подлинности Windows. Это связано с ошибками при проверке билетов Kerberos между серверами.

Следующий шаг

Теперь после знакомства с требованиями для развертывания AD FS, на следующем шаге необходимо завершить выполнение задач по любому из следующих контрольных списков в зависимости от версии AD FS, которую планируется использовать:

См. также:

Основные понятия

Контрольный список: использование AD FS для внедрения и управления единым входом