Share via

在联合服务器场中配置第一台联合服务器

  • 项目

适用于:Azure、Office 365、Power BI、Windows Intune

你可以通过执行以下过程,使用 AD FS 联合服务器配置向导将计算机设置成为新联合服务器场中的第一台联合服务器。

重要

可将 AD FS 安装并配置为 Windows Server 2008 和 Windows Server 2008 R2 操作系统平台的独立包(称为 AD FS 2.0)。 也可以通过添加作为 Windows Server 2012 操作系统的一部分的联合身份验证服务服务器角色来安装并配置 AD FS。

  • 在 Windows Server 2008 或 Windows Server 2008 R2 上使用 AD FS 2.0 创建联合服务器场中的第一台联合服务器

  • 在 Windows Server 2012 上使用 AD FS 创建联合服务器场中的第一台联合服务器

在 Windows Server 2008 或 Windows Server 2008 R2 上使用 AD FS 2.0 创建联合服务器场中的第一台联合服务器

域管理员的成员身份或已被授予对 Active Directory 中 Program Data 容器的写入访问权限的委派域帐户是完成此过程所需的最低访问权限。

  1. AD FS 2.0 软件安装完成后,单击"开始"菜单,然后单击管理工具,然后 AD FS 2.0 管理以打开 AD FS 2.0 管理管理单元。

  2. “概述” 页上,单击 “AD FS 2.0 联合服务器配置向导”。

  3. 在“欢迎使用”页上,验证是否已选中“创建新的联合身份验证服务”,然后单击“下一步”

  4. 在“选择独立部署或服务器场部署”页上,单击“新的联合服务器场”,然后单击“下一步”

  5. “指定联合身份验证服务名称”页上,确认显示的“SSL 证书”与前面导入到 IIS 的默认网站中的证书名称相匹配。 如果这不是正确的证书,请从“SSL 证书”列表中选择相应的证书。

    备注

    如果为 IIS 配置了 SSL 证书,则该向导将不允许覆盖证书。 这可确保之前计划对 SSL 证书所做的任何 IIS 配置将得以保留。 若要解决此问题,你可以返回并再次将证书导入到 IIS 的默认网站。

  6. 如果以前在此计算机上重新安装了 AD FS,则会显示“检测到的现有 AD FS 配置数据库 ”页。 如果出现该页面,请单击“删除数据库”,然后单击“下一步”

  7. 在“指定服务帐户”页上,单击“浏览”。 在“浏览”对话框中,找到将在这个新的联合服务器场中用作服务帐户的域帐户,然后单击“确定”。 键入此帐户的密码、进行确认,然后单击“下一步”

  8. 在“已准备好应用设置”页上,查看详细信息。 如果设置看起来正确,请单击“ 下一步 ”开始使用这些设置配置 AD FS 2.0。

  9. 在“配置结果”页上,查看结果。 完成所有配置步骤后,单击“关闭”退出向导。

    备注

    完成此过程中的步骤时,AD FS 2.0 管理管理单元将自动打开,并会显示一条消息,指示 所需配置不完整 ,并且应 添加受信任的信赖方。 你可以忽略此消息。

    后续步骤中将添加Microsoft Azure Active Directory (Microsoft Azure AD) 的信赖方信任。 有关详细信息,请参阅安装 Windows PowerShell 以使用 AD FS 进行单一登录。 完成此步骤后,此消息将从 AD FS 2.0 管理单元中消失。

  10. 在右窗格中,单击“编辑联合身份验证服务属性”,然后将“联合身份验证服务显示名称”字段修改为你的联合品牌名称,例如,你的公司名称。 当你的最终用户登录以访问启用了 SSO 的应用程序时,将会看到此名称。

在 Windows Server 2012 上使用 AD FS 创建联合服务器场中的第一台联合服务器

  1. 可通过两种方法启动 AD FS 联合服务器配置向导。 若要启动该向导,请执行下列操作之一:

    • 完成联合身份验证服务角色服务的安装后,打开“AD FS 管理”管理单元,然后在“概述”页或“操作”窗格中单击“AD FS 联合服务器配置向导”链接。

    • 在安装向导完成后的任意时间,打开 Windows 资源管理器、导航至“C:\Windows\ADFS”文件夹,然后再双击“FsConfigWizard.exe”

  2. 在“欢迎使用”页上,验证是否已选中“创建新的联合身份验证服务”,然后单击“下一步”

  3. 在“选择独立部署或服务器场部署”页上,单击“新的联合服务器场”,然后单击“下一步”

  4. 在“指定联合身份验证服务名称”页上,验证“SSL 证书”是否显示正确。 如果这不是正确的证书,请从“SSL 证书”列表中选择相应的证书。

    此证书从默认网站的安全套接字层 (SSL) 设置中生成。 如果默认网站只具有一个配置的 SSL 证书,则显示该证书并自动选择它以供使用。 如果为默认网站配置了多个 SSL 证书,此处将列出所有这些证书,并且你必须从中进行选择。 如果没有配置默认网站的 SSL 设置,则从本地计算机上的个人证书存储中的可用证书生成列表。

    备注

    如果为 IIS 配置了 SSL 证书,则该向导将不允许覆盖证书。 这可确保之前计划对 SSL 证书所做的任何 IIS 配置将得以保留。 若要解决此限制,可以删除证书,或使用 IIS 管理控制台手动对其重新配置。

  5. 如果所选的 AD FS 数据库已存在,则会显示 “检测到的现有 AD FS 配置数据库 ”页。 如果出现该页面,请单击“删除数据库”,然后单击“下一步”

    警告

    仅当你确定此 AD FS 数据库中的数据不重要,或者不在生产联合服务器场中使用时,才应选择此选项。

  6. 在“指定服务帐户”页上,单击“浏览”。 在“浏览”对话框中,找到将在这个新的联合服务器场中用作服务帐户的域帐户,然后单击“确定”。 键入此帐户的密码、进行确认,然后单击“下一步”

  7. 在“已准备好应用设置”页上,查看详细信息。 如果设置看上去没有问题,请单击“下一步”,以开始使用这些设置配置 AD FS。

  8. 在“配置结果”页上,查看结果。 完成所有配置步骤后,单击“关闭”退出向导。

    security安全说明
    出于安全部署的目的,在你使用 AD FS 联合服务器配置向导来配置联合服务器场时,将禁用项目分辨率和回复检测。 此向导将自动配置 Windows 内部数据库以供存储服务配置数据。 但是,你可能会通过使用“AD FS 管理”管理单元中的“终结点”节点或 Windows PowerShell 中的 Enable-ADFSEndpoint cmdlet 启用项目分辨率终结点,而错误地撤消此更改。 请注意,不要重新配置默认设置,以便在你同时使用联合服务器场和 Windows 内部数据库时,此终结点仍为禁用状态。

备注

在场中配置第一台联合服务器后,请在右窗格中单击“编辑联合身份验证服务属性”,然后将“联合身份验证服务显示名称”字段修改为你的联合品牌名称,例如,你的公司名称。 当你的最终用户登录以访问启用了 SSO 的应用程序时,将会看到此名称。

后续步骤

在联合服务器场中配置了第一个联合服务器后,请导航回清单:在旧版 Windows Server 上部署联合服务器场,并完成其余步骤。

另请参阅

概念

清单:在旧版 Windows 服务器上部署联合服务器场
清单:使用 AD FS 实现和管理单一登录