Vorbereiten der Netzwerkinfrastruktur für Verbundserver

Gilt für: Azure, Office 365, Power BI, Windows Intune

Die folgende Prüfliste enthält die vorbereitenden Aufgaben, die Sie zum Bereitstellen einer Verbundserverfarm ausführen müssen.

Prüfliste: Vorbereiten der Netzwerkinfrastruktur für Verbundserver

Bereitstellungsaufgabe	Links zu Themen in diesem Abschnitt	Abgeschlossen
1. Verbinden Sie die Computer, die zu Verbundservern werden, zu einer Domäne, in der Active Directory-Benutzer authentifiziert werden. Hinweis Sie können diesen Schritt ignorieren, wenn Sie als Verbundserver vorhandene Domänencontroller verwenden.
2. Erstellen und Konfigurieren eines neuen NLB-Cluster-DNS-Namens oder verwenden Sie einen vorhandenen NLB-Cluster im Unternehmensnetzwerk, das von der neuen Verbundserverfarm verwendet wird. Fügen Sie dann die Verbundservercomputer dem NLB-Cluster hinzu. Wenn Sie für Ihre derzeitigen NLB-Hosts die Windows Server-Technologie verwenden, wählen Sie auf der rechten Seite den entsprechenden Link für die verwendete Betriebssystemversion aus. Hinweis Dieser Schritt ist in einer Testbereitstellung dieser SSO-Lösung und einem einzelnen AD FS-Verbundserver optional.	Informationen zum Erstellen und Konfigurieren von NLB-Clustern auf Windows Server 2003 und Windows Server 2003 R2 finden Sie unter Prüfliste: Aktivieren und Konfigurieren des Netzwerklastenausgleichs. Informationen zum Erstellen und Konfigurieren von NLB-Clustern auf Windows Server 2008 finden Sie unter Erstellen von Netzwerklastenausgleichsclustern. Informationen zum Erstellen und Konfigurieren von NLB-Clustern auf Windows Server 2008 R2 finden Sie unter Erstellen von Netzwerklastenausgleichsclustern.
3. Erstellen Sie einen neuen Ressourcendatensatz für den Cluster-DNS-Namen im Unternehmensnetzwerk, der den FQDN-Namen des NLB-Clusters auf seine Cluster-IP-Adresse verweist.	Hinzufügen eines Ressourceneintrags zu einem Unternehmens-DNS für den auf dem NLB-Host des Unternehmens konfigurierten DNS-Clusternamen
4. Importieren Sie das Serverauthentifizierungszertifikat auf die Standardwebsite für jeden Verbundserver in der Farm. Hinweis Durch die Installation dieses Zertifikats auf der Standardwebsite kann der Konfigurations-Assistent für den AD FS-Verbundserver verwendet werden.	Importieren eines Serverauthentifizierungszertifikats in die Standardwebsite
5. Erstellen und Konfigurieren eines dedizierten Dienstkontos in Active Directory, in dem sich die Verbundserverfarm befindet und jeden Verbundserver in der Farm so konfiguriert, dass dieses Konto verwendet wird.	Manuelles Konfigurieren eines Dienstkontos für eine Verbundserverfarm

Hinzufügen des Computers zu einer Domäne

AD FS kann nur ordnungsgemäß verwendet werden, wenn jeder Computer, der als Verbundserver verwendet werden soll, einer Domäne hinzugefügt wurde. Verbundserverproxys können ebenfalls einer Domäne hinzugefügt werden, jedoch ist dies nicht erforderlich.

Wenn Sie AD FS unter Windows Server 2012 R2 verwenden möchten, muss in der Active Directory-Domäne eines der folgenden Betriebssysteme ausgeführt werden:

• Windows Server

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

So fügen den Computer einer Domäne hinzu

1. Klicken Sie auf dem Computer, den Sie einer Domäne hinzufügen möchten, im Startmenü auf Systemsteuerung, und doppelklicken Sie auf System.

2. Klicken Sie unter Einstellungen für Computernamen, Domäne und Arbeitsgruppe auf Einstellungen ändern.

3. Klicken Sie auf der Registerkarte Computername auf Ändern.

4. Klicken Sie unter Mitglied von auf Domäne, geben Sie den Namen der Domäne ein, der dieser Computer hinzugefügt werden soll, und klicken Sie dann auf OK.

5. Klicken Sie auf OK, und starten Sie dann den Computer erneut.

Hinzufügen eines Ressourceneintrags zu einem Unternehmens-DNS für den auf dem NLB-Host des Unternehmens konfigurierten DNS-Clusternamen

Von Clients im Unternehmensnetzwerk kann nur erfolgreich auf den Verbunddienst zugegriffen werden, wenn zunächst im DNS (Domain Name System) des Unternehmens ein Hostressourceneintrag (A-Eintrag) erstellt wurde, durch den der Cluster-DNS-Name des Verbunddiensts (z. B. „fs.fabrikam.com“) zur Cluster-IP-Adresse im Unternehmensnetzwerk (z. B. 172.16.1.3) aufgelöst wird. Mit dem folgenden Verfahren können Sie dem Unternehmens-DNS einen Hostressourceneintrag (A-Eintrag) für den NLB-Cluster hinzufügen.

So fügen Sie dem Unternehmens-DNS einen Ressourceneintrag für den auf dem NLB-Host des Unternehmens konfigurierten DNS-Clusternamen hinzu

1. Öffnen Sie auf einem DNS-Server für das Unternehmensnetzwerk das DNS-Snap-In.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die zutreffende Forward-Lookup-Zone (z. B. fabrikam.com), und klicken Sie dann auf Neuer Host (A oder AAAA).

3. Geben Sie unter Name nur den Computernamen des Verbundservers oder Verbundserverclusters ein. So geben Sie z. B. für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) "fs.fabrikam.com" die Zeichenfolge fs ein.

4. Geben Sie unter IP-Adresse die IP-Adresse für den Verbundserver oder den Verbundservercluster ein, z. B. "172.16.1.3".

5. Klicken Sie auf Host hinzufügen.

   Wichtig

   Es wird davon ausgegangen, dass Sie einen DNS-Server verwenden, der Windows 2000 Server, Windows Server 2003 oder Windows Server 2008 mit dem DNS-Serverdienst ausführt, um die DNS-Zone zu steuern.

Importieren eines Serverauthentifizierungszertifikats auf die Standardwebsite

Wenn Sie von einer Zertifizierungsstelle ein Serverauthentifizierungszertifikat abgerufen haben, müssen Sie dieses Zertifikat manuell auf der Standardwebsite jedes Verbundservers in der Farm installieren.

Da dieses Zertifikat für Clients von AD FS und Microsoft Cloud Services vertrauenswürdig sein muss, verwenden Sie ein SSL-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (Drittanbieter) oder von einer Zertifizierungsstelle ausgestellt wird, die einer öffentlichen vertrauenswürdigen Stammzertifizierungsstelle unterstellt ist, z. B. VeriSign oder Thawte. Informationen zum Installieren eines Zertifikats aus einer öffentlichen Zertifizierungsstelle finden Sie unter IIS 7.0: Anfordern eines Internetserverzertifikats.

So importieren Sie ein Serverauthentifizierungszertifikat auf der Standardwebsite

1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.

2. Klicken Sie in der Konsolenstruktur auf ComputerName.

3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.

4. Klicken Sie im Bereich Aktionen auf Importieren.

5. Klicken Sie im Dialogfeld " Zertifikat importieren " auf die Schaltfläche ... .

6. Suchen Sie nach dem Speicherort der Zertifikatsdatei mit der Erweiterung PFX, wählen Sie sie aus, und klicken Sie auf Öffnen.

7. Geben Sie das Kennwort für das Zertifikat ein, und klicken Sie auf OK.

Erstellen eines dedizierten Dienstkontos für die Verbundserverfarm

Um eine Verbundserverfarmumgebung in AD FS zu konfigurieren, müssen Sie ein dediziertes Dienstkonto in Active Directory erstellen und konfigurieren, in dem sich die Farm befindet. Dieses dedizierte Dienstkonto ist erforderlich, um sicherzustellen, dass alle für die AD FS-Farm erforderlichen Ressourcen über Zugriff auf jeden Verbundserver in der Farm verfügen.

Dann konfigurieren Sie jeden Verbundserver in der Farm für die Verwendung desselben Dienstkontos. Wenn beispielsweise das erstellte Dienstkonto „fabrikam\ADFS2SVC“ lautet, muss zur Funktionstüchtigkeit jedes Computers, den Sie für die Verbundserver-Rolle konfigurieren und der Teil derselben Farm sein wird, in diesem Schritt des Konfigurations-Assistenten für den Verbundserver „fabrikam\ADFS2SVC“ angegeben werden.

So erstellen Sie ein dediziertes Dienstkonto für die Verbundserverfarm

1. Erstellen Sie ein dediziertes Benutzer-/Dienstkonto in der Active Directory-Gesamtstruktur, die Sie in Ihrer Organisation verwenden.

2. Bearbeiten Sie die Benutzerkonteneigenschaften, und aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab. Mit dieser Aktion stellen Sie sicher, dass die Funktion dieses Dienstkontos nicht aufgrund von Änderungsanforderungen für das Domänenkennwort unterbrochen wird.

   Hinweis

   • Wenn Sie Ihr Kennwort für das Dienstkonto regelmäßig ändern müssen, finden Sie unter Konfigurieren erweiterter Optionen für AD FS 2.0.
     
     
   • Die Verwendung des Netzwerkdienstkontos für dieses dedizierte Konto führt beim Zugriff per integrierter Windows-Authentifizierung zu zufällig generierten Fehlern, da Kerberos-Tickets nicht serverübergreifend validiert werden.
     
     

Nächster Schritt

Nun haben Sie die Anforderungen zum Bereitstellen von AD FS überprüft. Fahren Sie mit dem nächsten Schritt fort, und führen Sie je nach der AD FS-Version, die Sie verwenden möchten, die Aufgaben in einer der folgenden Prüflisten aus:

• Prüfliste: Bereitstellen der Verbundserverfarm auf Windows Server 2012 R2

• Prüfliste: Bereitstellen ihrer Verbundserverfarm auf älteren Versionen von Windows Server

Weitere Informationen

Konzepte

Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens