Konfigurieren des ersten Verbundservers in der Verbundserverfarm in Windows Server 2012

  • Artikel

Gilt für: Azure, Office 365, Power BI, Windows Intune

Nachdem Sie den AD FS-Rollendienst (Active Directory Federation Services, Active Directory-Verbunddienste) auf einem Computer mit Windows Server 2012 R2 installiert haben, können Sie diesen Computer als Verbundserver konfigurieren.

Mithilfe der folgenden Verfahren können Sie diesen Computer als ersten Verbundserver in der Verbundserverfarm konfigurieren.

Konfigurieren des ersten Verbundservers in einer neuen Verbundserverfarm

So konfigurieren Sie den ersten Verbundserver in einer neuen Verbundserverfarm mithilfe des Konfigurations-Assistenten für Active Directory-Verbunddienste

Hinweis

Stellen Sie sicher, dass Sie über Domänenadministratorberechtigungen oder über Domänenadministrator-Anmeldeinformationen verfügen, bevor Sie dieses Verfahren ausführen.

  1. Klicken Sie im Server-Manager auf der Seite Dashboard auf das Benachrichtigungs-Flag und dann auf Konfigurieren Sie den Verbunddienst auf diesem Server.

    Der Active Directory-Verbunddienstkonfigurations-Assistent wird gestartet.

  2. Wählen Sie auf der Seite Willkommen die Option Erstellt den ersten Verbundserver in einer Verbundserverfarm, und klicken Sie auf Weiter.

  3. Geben Sie auf der Seite Mit AD DS verbinden ein Konto mit Domänenadministratorberechtigungen für die AD-Domäne an, der dieser Computer angehört, und klicken Sie dann auf Weiter.

  4. Verfahren Sie auf der Seite Diensteigenschaften angeben wie folgt, und klicken Sie dann auf Weiter:

    • Importieren Sie die PFX-Datei mit dem SSL-Zertifikat, das Sie zuvor abgerufen haben, mit dem zugehörigen Schlüssel. Wie im Abschnitt "Zertifikatanforderungen" im Abschnitt "Zertifikatanforderungen" beschrieben, müssen die Anforderungen für die Bereitstellung von AD FS dieses Zertifikat abrufen und auf den Computer kopieren, auf dem Sie als Verbundserver konfigurieren möchten. Um die PFX-Datei mit dem Assistenten zu importieren, klicken Sie auf Importieren und navigieren zum Speicherort der Datei. Geben Sie das Kennwort für die PFX-Datei an, sobald Sie dazu aufgefordert werden.

    • Geben Sie einen Namen für den Verbunddienst an. Beispielsweise fs.contoso.com. Dieser Name muss mit dem Antragstellernamen oder alternativen Antragstellernamen im Zertifikat übereinstimmen.

    • Geben Sie einen Anzeigenamen für den Verbunddienst an. Beispielsweise Contoso Corporation. Dieser Name wird Benutzern auf der AD FS-Anmeldeseite angezeigt.

  5. Geben Sie auf der Seite Dienstkonto angeben ein Dienstkonto an. Sie können ein gruppenverwaltetes Dienstkonto (group Managed Service Account, gMSA) erstellen, ein vorhandenes gMSA verwenden oder ein vorhandenes Domänenbenutzerkonto verwenden. Wenn Sie die Option zum Erstellen eines neuen gMSAs auswählen, geben Sie einen Namen für das neue Konto an. Wenn Sie die Option zum Verwenden eines vorhandenen gMSAs oder Domänenkontos ausgewählt haben, klicken Sie auf die Schaltfläche Auswählen..., um ein Konto auszuwählen.

    Hinweis

    Der Vorteil bei Verwendung eines gMSAs besteht in der Updatefunktion für automatisch ausgehandelte Kennwörter.

    Warnung

    Wenn Sie ein gMSA verwenden möchten, muss in Ihrer Umgebung mindestens ein Domänencontroller enthalten sein, auf dem das Betriebssystem Windows Server 2012 ausgeführt wird.

    Wenn die gMSA-Option deaktiviert ist und eine Fehlermeldung angezeigt wird, die mit Gruppen verwalteten Dienstkonten vergleichbar ist, da der KDS-Stammschlüssel nicht festgelegt wurde, können Sie gMSA in Ihrer Domäne aktivieren, indem Sie den folgenden Windows PowerShell Befehl auf einem Windows Server 2012 oder höher-Domänencontroller in Ihrer Active Directory-Domäne ausführen: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Kehren Sie dann zum Assistenten zurück, und klicken Sie auf die Schaltfläche "Vorherige", gefolgt von der Schaltfläche "Weiter", um die Seite "Dienstkonto angeben" erneut einzugeben. Das gMSA sollte jetzt aktiviert sein, und Sie können es auswählen und den gewünschten gMSA-Namen eingeben.

  6. Geben Sie auf der Seite Konfigurationsdatenbank angeben eine AD FS-Konfigurationsdatenbank an, und klicken Sie dann auf Weiter. Sie können entweder auf diesem Computer eine Datenbank mithilfe der internen Windows-Datenbank (WID) erstellen oder den Speicherort und Namen der SQL Server-Instanz angeben.

    Weitere Informationen hierzu finden Sie unter The Role of the AD FS Configuration Database (Die Rolle der AD FS-Konfigurationsdatenbank).

  7. Überprüfen Sie auf der Seite Optionen prüfen die ausgewählten Konfigurationsoptionen, und klicken Sie auf Weiter.

  8. Vergewissern Sie sich auf der Seite Voraussetzungsprüfungen, dass alle Voraussetzungen erfolgreich überprüft wurden, und klicken Sie dann auf Konfigurieren.

  9. Überprüfen Sie auf der Seite Ergebnisse die Ergebnisse, und stellen Sie fest, ob die Konfiguration erfolgreich abgeschlossen wurde. Klicken Sie dann auf Weitere Schritte, die zum Abschluss der Bereitstellung des Verbunddiensts erforderlich sind. Weitere Informationen finden Sie in den nächsten Schritten zum Abschließen der AD FS-Installation. Klicken Sie auf Schließen, um den Assistenten zu beenden.

So konfigurieren Sie den ersten Verbundserver in einer neuen Verbundserverfarm über Windows PowerShell

Sie können eine neue Verbundserverfarm entweder unter Verwendung eines neuen oder vorhandenen gMSAs oder eines vorhandenen Domänenbenutzerkontos erstellen.

  • Verfahren Sie wie folgt, um einen neuen Verbundserver unter Verwendung eines neuen gMSAs zu erstellen:

    Wichtig

    Sie benötigen Domänenadministratorberechtigungen, um den ersten Verbundserver in einer neuen Verbundserverfarm zu erstellen.

    1. Vergewissern Sie sich, dass auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das erforderliche SSL-Zertifikat in Lokaler Computer\My Store importiert wurde. Sie können überprüfen, ob das SSL-Zertifikat importiert wurde, indem Sie den folgenden Befehl im Windows PowerShell Befehlsfenster ausführen: dir Cert:\LocalMachine\My Das Zertifikat wird durch den Fingerabdruck auf dem lokalen Computer\My Store aufgeführt.

    2. Öffnen Sie auf Ihrem Domänencontroller das befehlsfenster Windows PowerShell, und führen Sie den folgenden Befehl aus, um zu überprüfen, ob der KDS-Stammschlüssel in Ihrer Domäne erstellt wurde: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Wenn sie nicht erstellt wurde (die Ausgabe zeigt keine Informationen an), führen Sie den folgenden Befehl aus, um den Schlüssel zu erstellen:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. Öffnen Sie auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das Windows PowerShell-Befehlsfenster, und führen Sie folgenden Befehl aus:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Warnung

      Das $-Zeichen am Ende des Befehls oben ist erforderlich.

      Sie können den Wert für <certificate_thumbprint> abrufen, indem Sie dir Cert:\LocalMachine\My ausführen und den Fingerabdruck Ihres SSL-Zertifikats auswählen. Der Wert von <federation_service_name> entspricht dem Namen des Verbunddiensts, z. B. fs.contoso.com.

      Hinweis

      Wenn Sie diesen Befehl NICHT zum ersten Mal ausführen, fügen Sie –OverwriteConfiguration hinzu.

      Hinweis

      Durch den oben aufgeführten Befehl wird eine WID-Farm erstellt. Wenn Sie eine SQL Server-Farm erstellen möchten, muss SQL Server bereits installiert und betriebsbereit sein.

      Sie können den folgenden Befehl verwenden, um den ersten Verbundserver in einer neuen Farm mit SQL Server zu erstellen: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" wobei <SQL_Host_Name> der Name des Servers ist, auf dem SQL Server ausgeführt wird, und<SQL_instance_name> ist der Name der SQL Instanz. Wenn Sie die Standardinstanz SQL Server verwenden, verwenden Sie einen SQLConnectionString-Wert von "Data Source=SQL_Host_Name>;Integrated Security=<True".

  • Verfahren Sie wie folgt, um einen neuen Verbundserver unter Verwendung eines vorhandenen Domänenbenutzerkontos zu erstellen:

    1. Vergewissern Sie sich, dass auf dem Computer, den Sie als Verbundserver konfigurieren möchten, das erforderliche SSL-Zertifikat in Lokaler Computer\My Store importiert wurde. Sie können überprüfen, ob das SSL-Zertifikat importiert wurde, indem Sie den folgenden Befehl im Windows PowerShell Befehlsfenster ausführen: dir Cert:\LocalMachine\My Das Zertifikat wird durch den Fingerabdruck auf dem lokalen Computer\My Store aufgeführt.

    2. Öffnen Sie auf dem Computer, auf dem Sie als Verbundserver konfigurieren möchten, das Befehlsfenster Windows PowerShell, und führen Sie den folgenden Befehl aus: $fscred = get-credential Geben Sie die Anmeldeinformationen des Domänenbenutzerkontos ein, die Sie für das Verbunddienstkonto im Format "Domäne\Benutzername" verwenden möchten.

    3. Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Sie können den Wert für <certificate_thumbprint> abrufen, indem Sie den Fingerabdruck Ihres SSL-Zertifikats ausführen dir Cert:\LocalMachine\My und auswählen. Der Wert federation_service_name ist der Name Ihres <> Verbunddiensts, z. B. fs.contoso.com.

      Hinweis

      Wenn Sie diesen Befehl NICHT zum ersten Mal ausführen, fügen Sie –OverwriteConfiguration hinzu.

      Hinweis

      Durch den oben aufgeführten Befehl wird eine WID-Farm erstellt. Wenn Sie eine SQL Server-Farm erstellen möchten, muss SQL Server bereits installiert und betriebsbereit sein.

      Sie können den folgenden Befehl verwenden, um den ersten Verbundserver in einer neuen Farm mit SQL Server zu erstellen: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" wobei SQL_Host_Name der Name des Servers ist, auf dem SQL Server ausgeführt wird, undSQL_instance_name ist der Name der SQL Instanz. Wenn Sie die Standardinstanz SQL Server verwenden, verwenden Sie einen SQLConnectionString-Wert von "Data Source=SQL_Host_Name>;Integrated Security=<True".

Nächster Schritt

Nachdem Sie nun den ersten Verbundserver in Ihrer Verbundserverfarm konfiguriert haben, navigieren Sie zu Prüfliste: Bereitstellen der Verbundserverfarm auf älteren Versionen von Windows Server und führen Sie die restlichen Schritte aus.

Weitere Informationen

Konzepte

Prüfliste: Bereitstellen der Verbundserverfarm auf Windows Server 2012 R2
Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens