在 Windows Server 2012 中配置联合服务器场的第一台联合服务器

  • 项目

适用于:Azure、Office 365、Power BI、Windows Intune

在运行 Windows Server 2012 R2 的计算机上安装 Active Directory 联合身份验证服务 (AD FS) 角色服务后,便可以将此计算机配置为联合服务器。

完成下列过程可将此计算机配置为联合服务器场中的第一台联合服务器。

配置新联合服务器场中的第一台联合服务器

使用 Active Directory 联合身份验证服务配置向导配置新联合服务器场中的第一台联合服务器

注意

在执行此过程之前,请确保你拥有域管理员权限,或者有可用的域管理员凭据。

  1. 在服务器管理器的“仪表板”页上,单击“通知”标志,然后单击“在服务器上配置联合身份验证服务”

    此时将启动“Active Directory 联合身份验证服务配置向导”

  2. “欢迎”页上,选择“在联合服务器场中创建第一个联合服务器”,然后单击“下一步”

  3. “连接到 AD DS”页上,指定对此计算机加入到的 AD 域拥有域管理员权限的帐户,然后单击“下一步”

  4. “指定服务属性”页上执行以下操作,然后单击“下一步”

    • 导入包含你前面获取的 SSL 证书和密钥的 .pfx 文件。 如“证书要求”部分中所述, 查看部署 AD FS 的要求 必须获取此证书,并将其复制到要配置为联合服务器的计算机上。 若要通过向导导入该 .pfx 文件,请单击“导入”并浏览到该文件的位置。 出现提示时,请指定该 .pfx 文件的密码。

    • 提供联合身份验证服务的名称。 例如 fs.contoso.com。 此名称必须与证书中的使用者名称或使用者可选名称之一匹配。

    • 提供联合身份验证服务的显示名称。 例如 Contoso Corporation。 将在 AD FS 登录页上向用户显示此名称。

  5. “指定服务帐户”页上指定一个服务帐户。 可以创建或使用现有的组托管服务帐户 (gMSA),也可以使用现有的域用户帐户。 如果选择创建新 gMSA 的选项,请指定新帐户的名称。 如果选择使用现有 gMSA 或域帐户的选项,请单击“选择...”按钮以选择一个帐户。

    注意

    使用 gMSA 的好处是可以利用它的自动协商密码更新功能。

    警告

    如果要使用 gMSA,则运行 Windows Server 2012 操作系统的环境中必须至少有一个域控制器。

    如果 gMSA 选项已禁用,并且看到类似于组托管服务帐户的错误消息不可用,因为尚未设置 KDS 根密钥,则可以通过在 Active Directory 域中的 Windows Server 2012 或更高版本域控制器上执行以下 Windows PowerShell 命令,在域中启用 gMSA: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)然后返回到向导,然后单击“步”按钮,重新输入“指定服务帐户”页。 现在应该已启用 gMSA,你可以选择它并输入所需的 gMSA 帐户名。

  6. “指定配置数据库”页上指定 AD FS 配置数据库,然后单击“下一步”。 可以使用 Windows 内部数据库 (WID) 在此计算机上创建一个数据库,也可以指定 SQL Server 的位置和实例名称。

    有关详细信息,请参阅 AD FS 配置数据库的角色

  7. “查看选项”页上确认你的配置选择,然后单击“下一步”

  8. “先决条件检查”页上,确认是否已成功完成所有先决条件检查,然后单击“配置”

  9. “结果”页上,查看结果以及是否已成功完成配置,然后单击“完成联合身份验证服务部署所需的后续步骤”。 有关详细信息,请参阅 完成 AD FS 安装的后续步骤。 单击“关闭”退出向导。

通过 Windows PowerShell 配置新联合服务器场中的第一台联合服务器

可以使用新的或现有的 gMSA 或现有的域用户帐户创建新的联合服务器场。

  • 如果要使用新的 gMSA 帐户创建新的联合服务器,请执行以下操作:

    重要

    若要在新联合服务器场中创建第一台联合服务器,你必须拥有域管理员权限。

    1. 在要配置为联合服务器的计算机上,确保已将所需的 SSL 证书导入到“本地计算机\我的存储”中。 可以通过在Windows PowerShell命令窗口中运行以下命令来验证是否已导入 SSL 证书: dir Cert:\LocalMachine\My 证书由本地计算机\My Microsoft Store中的指纹列出。

    2. 在域控制器上,打开Windows PowerShell命令窗口,运行以下命令,验证是否已在域中创建 KDS 根密钥: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 如果未创建, (输出不显示任何信息) ,请运行以下命令以创建密钥:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

    3. 在要配置为联合服务器的计算机上,打开 Windows PowerShell 命令窗口并运行以下命令:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      警告

      上述命令末尾的“$”是必需的。

      可以通过运行 <certificate_thumbprint> 并选择 SSL 证书的指纹来获取 dir Cert:\LocalMachine\My 的值。 <federation_service_name> 的值是联合身份验证服务的名称,例如 fs.contoso.com

      注意

      如果这不是第一次运行此命令,请添加 –OverwriteConfiguration

      注意

      上述命令将创建一个 WID 场。 如果要创建 SQL Server 场,则必须已安装 SQL Server 并确保它正常运行。

      可以使用以下命令使用 SQL 服务器在新场中创建第一个联合服务器:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"其中<SQL_Host_Name>是运行SQL服务器的服务器的名称,<SQL_instance_name>是SQL实例的名称。 如果使用默认SQL Server实例,请使用“Data Source=<SQL_Host_Name>;Integrated Security=True”的 SQLConnectionString 值。

  • 如果要使用现有的域用户帐户创建新的联合服务器,请执行以下操作:

    1. 在要配置为联合服务器的计算机上,确保已将所需的 SSL 证书导入到“本地计算机\我的存储”中。 可以通过在Windows PowerShell命令窗口中运行以下命令来验证是否已导入 SSL 证书: dir Cert:\LocalMachine\My 证书由本地计算机\My Microsoft Store中的指纹列出。

    2. 在要配置为联合服务器的计算机上,打开Windows PowerShell命令窗口并运行以下命令: $fscred = get-credential 以域\用户名格式输入要用于联合身份验证服务帐户的域用户帐户凭据。

    3. 在同一个 Windows PowerShell 命令窗口中运行以下命令:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      可以通过运行dir Cert:\LocalMachine\My并选择 SSL 证书的指纹来获取certificate_thumbprint>的值<federation_service_name>的值<是联合身份验证服务的名称,例如,fs.contoso.com。

      注意

      如果这不是第一次运行此命令,请添加 –OverwriteConfiguration

      注意

      上述命令将创建一个 WID 场。 如果要创建 SQL Server 场,则必须已安装 SQL Server 并确保它正常运行。

      可以使用以下命令通过 SQL 服务器在新场中创建第一个联合服务器:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"其中SQL_Host_Name是运行SQL服务器的服务器的名称,SQL_instance_name是SQL实例的名称。 如果使用默认SQL Server实例,请使用“Data Source=<SQL_Host_Name>;Integrated Security=True”的 SQLConnectionString 值。

后续步骤

在联合服务器场中配置了第一个联合服务器后,请导航回清单:在旧版 Windows Server 上部署联合服务器场,并完成其余步骤。

另请参阅

概念

清单:在 Windows Server 2012 R2 上部署联合服务器场
清单:使用 AD FS 实现和管理单一登录