Share via

Настройка первого сервера федерации на базе фермы серверов федерации в системе Windows Server 2012

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

После установки службы роли служб федерации Active Directory (AD FS) на компьютере под управлением Windows Server 2012 R2 можно приступать к настройке этого компьютера в качестве сервера федерации.

Для настройки этого копьютера в качестве первого сервера федерации в ферме можно выполнить следующие процедуры.

Настройка первого сервера федерации в новой ферме серверов федерации

Настройка первого сервера федерации в новой ферме с использованием мастера настройки служб федерации Active Directory

Примечание

Для выполнения этой процедуры необходимы права администратора домена или учетные данные администратора домена.

  1. На странице Панель мониторинга диспетчера сервера установите флажок Уведомления, а затем выберите Настроить службу федерации на этом сервере.

    Запустится мастер настройки служб федерации Active Directory.

  2. На странице приветствия выберите Создать первый сервер федерации в новой ферме и нажмите кнопку Далее.

  3. На странице Подключение к AD DS укажите учетную запись с правами администратора домена для домена AD, в который входит этот компьютер, а затем нажмите кнопку Далее.

  4. На странице Настройка свойств службы выполните следующие действия, а затем нажмите кнопку Далее.

    • Импортируйте PFX-файл c полученными ранее SSL-сертификатом и ключом. Как указано в разделе "Требования к сертификатам" в разделе "Требования к сертификатам" в разделе "Проверка требований к развертыванию AD FS ", необходимо получить этот сертификат и скопировать его на компьютер, который требуется настроить в качестве сервера федерации. Чтобы импортировать PFX-файл с помощью мастера, нажмите кнопку Импорт и найдите файл. При появлении запроса укажите пароль для PFX-файла.

    • Введите имя для службы федерации. Например fs.contoso.com. Это имя должно совпадать одним из имен субъекта или альтернативных имен субъекта сертификата.

    • Введите отображаемое имя для службы федерации. Например Contoso Corporation. Это имя будет отображаться для пользователей на странице входа AD FS.

  5. На странице Выбор учетной записи службы укажите учетную запись службы. Можно создать или использовать существующую групповую управляемую учетную запись службы, либо использовать существующую учетную запись пользователя домена. Если выбран вариант с созданием новой групповой управляемой учетной записи службы, укажите имя для новой учетной записи. Если выбран вариант с использованием существующей групповой управляемой учетной записи службы или учетной записи домена, нажмите кнопку Выбрать... для выбора учетной записи.

    Примечание

    Использование групповой управляемой учетной записи службы дает преимущество в виде функции обновления пароля с автоматическим согласованием.

    Предупреждение

    Если будет использоваться групповая управляемая учетная запись службы, в среде должен быть по крайней мере один контроллер домена под управлением операционной системы Windows Server 2012.

    Если параметр gMSA отключен и отображается сообщение об ошибке, аналогичное групповым управляемым учетным записям служб, недоступно, так как корневой ключ KDS не задан, можно включить gMSA в домене, выполнив следующую команду Windows PowerShell на контроллере домена Windows Server 2012 или более поздней версии в домене Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Затем вернитесь в мастер и нажмите кнопку "Назад", а затем кнопку "Далее", чтобы повторно ввести страницу "Указать учетную запись службы". Теперь групповая управляемая учетная запись службы включена, ее можно выбрать и указать нужное имя учетной записи.

  6. На странице Выбор базы данных конфигурации укажите базу данных конфигурации AD FS, а затем нажмите кнопку Далее. Можно либо создать базу данных на данном компьютере с использованием внутренней базы данных Windows (WID), либо указать расположение и имя экземпляра SQL Server.

    Дополнительные сведения см. в разделе Роль базы данных конфигурации AD FS.

  7. На странице Просмотр параметров проверьте указанные параметры конфигурации и нажмите кнопку Далее.

  8. На странице Предварительные проверки убедитесь, что все предварительные проверки успешно пройдены, и нажмите кнопку Настройка.

  9. На странице Результаты просмотрите результаты и проверьте, успешно ли прошла настройка, а затем щелкните Для развертывания службы федерации нужно выполнить следующие действия. Дополнительные сведения см. в следующих шагах по завершению установки AD FS. Нажмите кнопку Закрыть, чтобы выйти из мастера.

Настройка первого сервера федерации в новой ферме с помощью Windows PowerShell

Новую ферму серверов федерации можно создать с помощью новой или существующей групповой управляемой учетной записи службы или существующей учетной записи пользователя домена.

  • Если нужно создать новый сервер федерации с помощью новой групповой управляемой учетной записи службы, выполните следующие действия.

    Важно!

    Для создания первого сервера федерации в новой ферме необходимо обладать разрешениями администратора домена.

    1. На компьютере, который нужно настроить в качестве сервера федерации, необходимый SSL-сертификат должен быть импортирован в каталог Local Computer\My Store. Чтобы проверить, импортирован ли SSL-сертификат, выполните следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My Сертификат указан по отпечатку в локальном компьютере\My Store.

    2. На контроллере домена откройте командное окно Windows PowerShell и выполните следующую команду, чтобы проверить, создан ли корневой ключ KDS в домене: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Если он не был создан (выходные данные не отображают сведения), выполните следующую команду, чтобы создать ключ:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. На компьютере, который нужно настроить в качестве сервера федерации, откройте командную строку Windows PowerShell и выполните следующую команду:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Предупреждение

      Символ «$» в конце команды выше является обязательным.

      Значение <certificate_thumbprint> можно получить, выполнив команду dir Cert:\LocalMachine\My и выбрав отпечаток нужного SSL-сертификата. Значение <federation_service_name> — это имя службы федерации, например fs.contoso.com.

      Примечание

      Если эта команда выполняется не впервые, добавьте параметр –OverwriteConfiguration.

      Примечание

      Команда выше создает ферму WID. Если нужно создать ферму серверов SQL Server, на компьютере уже должен находиться работающий экземпляр SQL Server.

      Следующую команду можно использовать для создания первого сервера федерации в новой ферме с помощью SQL сервера: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" где <SQL_Host_Name> — это имя сервера, на котором выполняется сервер SQL, а<SQL_instance_name> — имя экземпляра SQL. Если используется экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Data Source=<SQL_Host_Name>;Integrated Security=True".

  • Если нужно создать новый сервер федерации с помощью существующей учетной записи пользователя домена, выполните следующие действия.

    1. На компьютере, который нужно настроить в качестве сервера федерации, необходимый SSL-сертификат должен быть импортирован в каталог Local Computer\My Store. Чтобы проверить, импортирован ли SSL-сертификат, выполните следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My Сертификат указан по отпечатку в локальном компьютере\My Store.

    2. На компьютере, который требуется настроить в качестве сервера федерации, откройте командное окно Windows PowerShell и выполните следующую команду: $fscred = get-credential Введите учетные данные учетной записи пользователя домена, которые вы хотите использовать для учетной записи службы федерации в формате domain\username.

    3. В том же окне команд Windows PowerShell выполните следующую команду:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Вы можете получить значение для< certificate_thumbprint>, запустив dir Cert:\LocalMachine\My и выбрав отпечаток SSL-сертификата. Значение <federation_service_name> — это имя службы федерации, например fs.contoso.com.

      Примечание

      Если эта команда выполняется не впервые, добавьте параметр –OverwriteConfiguration.

      Примечание

      Команда выше создает ферму WID. Если нужно создать ферму серверов SQL Server, на компьютере уже должен находиться работающий экземпляр SQL Server.

      Следующую команду можно использовать для создания первого сервера федерации в новой ферме с помощью SQL сервера: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" где SQL_Host_Name — это имя сервера, на котором выполняется сервер SQL, аSQL_instance_name — имя экземпляра SQL. Если используется экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Data Source=<SQL_Host_Name>;Integrated Security=True".

Следующий шаг

Теперь, когда вы настроили первый сервер федерации в ферме серверов федерации, вернитесь в контрольный список: разверните ферму серверов федерации в устаревших версиях сервера Windows Server и выполните остальные действия.

См. также:

Основные понятия

Контрольный список. Развертывание фермы серверов федерации на Windows Server 2012 R2
Контрольный список: использование AD FS для внедрения и управления единым входом