为联合服务器准备网络基础结构
适用于:Azure、Office 365、Power BI、Windows Intune
以下清单包括部署联合服务器场时必须执行的准备任务。
注意
- 按顺序完成这些清单中的任务。 当某个参考连接将你转至某个过程时,应在完成该过程中的步骤之后返回此主题,以便你可以继续执行此清单中的其他任务。
- 除非另有说明,否则,要使用此部分中的过程完成所有任务,你首先必须以“管理员”组成员的身份登录到计算机,或者被授予了同等权限。
.gif "Checklist")
清单:为联合服务器准备网络基础结构
| 部署任务 | 指向本节各主题的链接 | 已完成 |
|---|---|---|
1.将将成为联合服务器的计算机加入到 Active Directory 用户进行身份验证的域中。 注意 如果你将现有域控制器用作联合服务器,则可忽略此步骤。 |
.gif "Checkbox") |
|
2.创建和配置新的 NLB 群集 DNS 名称,或使用新联合服务器场将使用的公司网络中的现有 NLB 群集。 然后,将联合服务器计算机添加到 NLB 群集中。 如果你将 Windows Server 技术用于你当前的 NLB 主机,则根据操作系统版本选择右侧适当的链接。 注意 在此 SSO 解决方案的包含一台 AD FS 联合服务器的测试部署中,此步骤是可选的。 |
若要在 Windows Server 2003 和 Windows Server 2003 R2 上创建和配置 NLB 群集,请参阅清单:启用和配置网络负载均衡。 若要在 Windows Server 2008 上创建和配置 NLB 群集,请参阅创建网络负载均衡群集。 若要在 Windows Server 2008 R2 上创建和配置 NLB 群集,请参阅创建网络负载均衡群集。 |
|
3.为企业网络 DNS 中的群集 DNS 名称创建新的资源记录,以便将 NLB 群集的 FQDN 名称指向其群集 IP 地址。 |
|
|
4.将服务器身份验证证书导入服务器场中每个联合服务器的默认网站。 注意 在使用 AD FS 联合服务器配置向导之前,必须先在默认网站上安装此证书。 |
|
|
5. 在 Active Directory 中创建和配置专用服务帐户,其中联合服务器场将驻留并配置服务器场中的每个联合服务器以使用此帐户。 |
|
将计算机加入域中
要使 AD FS 正常工作,必须将用作联合服务器的每台计算机加入到域中。 联合服务器代理可以加入域中,但这不是必需的。
如果要在 Windows Server 2012 R2 中使用 AD FS,你的 Active Directory 域必须运行下列操作系统之一:
Windows Server
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
将计算机加入域中
在要加入到域中的计算机上,单击“开始”,单击“控制面板”,然后双击“系统”。
在“计算机名、域和工作组设置”下,单击“更改设置”。
在“计算机名”选项卡上,单击“更改”。
在“隶属于”下,单击“域”,键入此计算机将要加入到的域的名称,然后单击“确定”。
单击“确定”,然后重新启动计算机。
在公司 DNS 中为在公司 NLB 主机上配置的群集 DNS 名称添加资源记录
要使公司网络上的客户端成功地访问联合身份验证服务,必须先在公司域名系统 (DNS) 中创建一条主机 (A) 资源记录,将联合身份验证服务的群集 DNS 名称(例如,fs.fabrikam.com)解析为公司网络中的群集 IP 地址(例如,172.16.1.3)。 你可以使用以下过程将 NLB 群集的主机 (A) 资源记录添加到公司 DNS 中。
在公司 DNS 中为在公司 NLB 主机上配置的群集 DNS 名称添加资源记录
在公司网络上的 DNS 服务器上,打开 DNS 管理单元。
在控制台树中,右键单击适用的正向查找区域(例如 fabrikam.com),然后单击“新建主机(A 或 AAAA)”。
在“名称”中,只键入联合服务器或联合服务器群集的计算机名称;例如,对于完全限定的域名 (FQDN) fs.fabrikam.com,请键入 fs。
在“IP 地址”中,键入联合服务器或联合服务器群集的 IP 地址,例如 172.16.1.3。
单击“添加主机”。
重要
假定使用 DNS 服务器、运行 Windows 2000 Server、Windows Server 2003 或Windows服务器 2008 和 DNS 服务器服务来控制 DNS 区域。
将服务器身份验证证书导入到默认网站
在从证书颁发机构 (CA) 获得服务器身份验证证书后,必须手动在场中针对每台联合服务器在默认网站上安装该证书。
由于此证书必须受 AD FS 和 Microsoft 云服务的客户端的信任,因此,请使用公共(第三方)CA 颁发的 SSL 证书,或者隶属于公众信任根的 CA(例如 VeriSign 或 Thawte)颁发的 SSL 证书。 有关从公共 CA 安装证书的信息,请参阅 IIS 7.0:请求 Internet 服务器证书。
注意
此服务器身份验证证书的主题名称必须与你先前在 NLB 主机上创建的群集 DNS 名称的 FQDN(如 fs.fabrikam.com)匹配。 如果尚未安装 Internet Information Services (IIS),则必须先安装 IIS 才能完成此任务。 首次安装 IIS 时,建议你在安装服务器角色的过程中出现提示时使用默认的功能选项。
将服务器身份验证证书导入到默认网站
单击“开始”,指向“所有程序”,指向“管理工具”,然后单击“Internet Information Services (IIS)管理器”。
在控制台树中单击“ComputerName”。
在中间窗格中双击“服务器证书”。
在“操作”窗格中单击“导入”。
在“ 导入证书 ”对话框中,单击“ ... ”按钮。
浏览到 pfx 证书文件所在的位置,突出显示它,然后单击“打开”。
键入该证书的密码,然后单击“确定”。
为联合服务器场创建专用服务帐户
若要在 AD FS 中配置联合服务器场环境,必须在服务器场所在的 Active Directory 中创建和配置专用服务帐户。 需要使用此专用服务帐户来确保向 AD FS 场所需的所有资源授予对场中每台联合服务器的访问权限。
然后,将场中的每台联合服务器配置为使用这一相同的服务帐户。 例如,如果所创建的服务帐户是 fabrikam\ADFS2SVC,那么,为联合服务器角色配置且将参与相同场的每台计算机都必须在“联合服务器配置向导”的该步骤中指定 fabrikam\ADFS2SVC,然后场才能正常运行。
注意
你只能针对整个联合服务器场执行一次此过程中的任务。 以后,当你使用 AD FS 联合服务器配置向导创建联合服务器时,必须在场中每台联合服务器上的“服务帐户”向导页中指定与此相同的帐户。
为联合服务器场创建专用服务帐户
在将在组织中使用的 Active Directory 林中创建专用用户/服务帐户。
编辑用户帐户属性,并选中“密码永不过期”复选框。 这一操作确保此服务帐户的功能不会因为域密码更改要求而被中断。
注意
- 如果需要定期更改服务帐户的密码,请参阅 配置 AD FS 2.0 的高级选项。
- 如果将“网络服务”帐户用于此专用帐户,则当尝试通过 Windows 集成身份验证进行访问时将导致随机故障,原因是没有从一台服务器到另一台服务器验证 Kerberos 票证。
- 如果需要定期更改服务帐户的密码,请参阅 配置 AD FS 2.0 的高级选项。
后续步骤
查看有关部署 AD FS 的要求后,下一步是根据需要使用的 AD FS 版本,完成下列任一清单中的任务: