Compartir a través de

Configurar el primer servidor de federación en la granja de servidores de federación en Windows Server 2012

  • Artículo

Se aplica a: Azure, Office 365, Power BI, Windows Intune

Después de instalar el servicio de rol de Servicios de federación de Active Directory (AD FS) en el equipo que ejecuta Windows Server 2012 R2, estarás listo para configurar este equipo para que se convierta en servidor de federación.

Puedes completar los procedimientos siguientes para configurar este equipo como el primer servidor de federación en una granja de servidores de federación.

Configura el primer servidor de federación en una nueva granja de servidores de federación.

Para configurar el primer servidor de federación en una nueva granja de servidores de federación usando el Asistente para la configuración de los Servicios de federación de Active Directory

Nota

Asegúrate de que tienes permisos de administrador de dominios o credenciales de administrador de dominios disponibles antes de realizar este procedimiento.

  1. En la página Panel del Administrador de servidores, haz clic en el marcador Notificaciones y en Configure el servicio de federación en este servidor.

    Se iniciará el Asistente para la configuración de los Servicios de federación de Active Directory.

  2. En la página Bienvenida, selecciona Crear el primer servidor de federación de una granja de servidores de federación y haz clic en Siguiente.

  3. En la página Conectarse a AD DS, especifica una cuenta con los permisos de administrador de dominio para el dominio de AD al que está unido este equipo y luego haz clic en Siguiente.

  4. En la página Especificar propiedades del servicio, realiza lo siguiente y, a continuación, haz clic en Siguiente:

    • Importa el archivo .pfx que contiene el certificado SSL y la clave que obtuviste anteriormente. Como se indica en la sección "Requisitos de certificado" de Revisión de los requisitos para implementar AD FS debe obtener este certificado y copiarlo en el equipo que desea configurar como servidor de federación. Para importar el archivo .pfx a través del asistente, haz clic en Importar y ve a la ubicación del archivo. Especifica la contraseña del archivo .pfx cuando se te solicite.

    • Escribe un nombre para el servicio de federación. Por ejemplo, fs.contoso.com. Este nombre debe coincidir con uno de los nombres de sujeto o nombres alternativos de sujeto del certificado.

    • Escribe un nombre para mostrar para el servicio de federación. Por ejemplo, Contoso Corporation. Este nombre se mostrará a los usuarios en la página de inicio de sesión de AD FS.

  5. En la página Especificar cuenta de servicio, especifica una cuenta de servicio. Puedes crear o usar una cuenta de servicio administrada de grupo existente (gMSA) o una cuenta de usuario de dominio existente. Si seleccionas la opción de crear una nueva gMSA, especifica un nombre para la nueva cuenta. Si seleccionas la opción de usar una gMSA o una cuenta de dominio existente, haz clic en el botón Seleccionar... para seleccionar una cuenta.

    Nota

    La ventaja de usar una gMSA es su característica de actualización de contraseña autonegociada.

    Advertencia

    Si quieres usar una gMSA, debes tener al menos un controlador de dominio en tu entorno que ejecute el sistema operativo Windows Server 2012.

    Si la opción gMSA está deshabilitada y ve un mensaje de error similar a Las cuentas de servicio administradas de grupo no están disponibles porque no se ha establecido la clave raíz de KDS, puede habilitar gMSA en el dominio ejecutando el siguiente comando de Windows PowerShell en un controlador de dominio Windows Server 2012 o posterior en el dominio de Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). A continuación, vuelva al asistente y haga clic en el botón Anterior seguido del botón Siguiente para volver a escribir la página Especificar cuenta de servicio. Ahora la gMSA debe estar habilitada, y puedes seleccionarla y escribir el nombre de cuenta gMSA que desees.

  6. En la página Especificar base de datos de configuración, especifica una base de datos de configuración de AD FS y haz clic en Siguiente. Puedes crear una base de datos en este equipo mediante Windows Internal Database (WID) o puedes especificar la ubicación y el nombre de instancia del servidor de SQL Server.

    Para más información, consulte Rol de base de datos de configuración de AD FS.

  7. En la página Revisar opciones, comprueba las selecciones de la configuración y haz clic en Siguiente.

  8. En la página Comprobaciones de requisitos previos, asegúrate de que todas las comprobaciones de requisitos previos se hayan completado correctamente y, a continuación, haz clic en Configurar.

  9. En la página Resultados, revisa los resultados y si la configuración se completó correctamente y después haz clic en Hay que realizar los siguientes pasos para completar la implementación del servicio de federación. Para obtener más información, consulte Pasos siguientes para completar la instalación de AD FS. Haga clic en Cerrar para salir del asistente.

Para configurar el primer servidor de federación en una nueva granja de servidores de federación mediante Windows PowerShell

Puedes crear una nueva granja de servidores de federación mediante una cuenta gMSA nueva o existente o mediante una cuenta de usuario de un dominio existente.

  • Si deseas crear un servidor de federación nuevo con una cuenta gMSA nueva, haz lo siguiente:

    Importante

    Debes tener permisos de administrador de dominio para crear el primer servidor de federación en una nueva granja de servidores de federación.

    1. En el equipo que deseas configurar como servidor de federación, asegúrate de que el certificado SSL requerido se ha importado en Equipo local\Almacén personal. Para comprobar si el certificado SSL se ha importado, ejecute el siguiente comando en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece por su huella digital en el equipo local\Mi tienda.

    2. En el controlador de dominio, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando para comprobar si la clave raíz de KDS se ha creado en el dominio: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Si no se ha creado (la salida no muestra información), ejecute el siguiente comando para crear la clave:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. En el equipo que deseas configurar como servidor de federación, abre la ventana de comandos de Windows PowerShell y ejecuta el comando siguiente:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Advertencia

      Es necesario el carácter ‘$’ al final del comando anterior.

      Puedes obtener el valor de <certificate_thumbprint> ejecutando dir Cert:\LocalMachine\My y seleccionando la huella digital de su certificado SSL. El valor de <federation_service_name> es el nombre de su servicio de federación, por ejemplo, fs.contoso.com.

      Nota

      Si NO es la primera vez que ejecutas este comando, agrega –OverwriteConfiguration.

      Nota

      El comando anterior crea una granja WID. Si deseas crear una granja de SQL Server, ya debes tener instalado y operativo SQL Server.

      Puede usar el siguiente comando para crear el primer servidor de federación en una nueva granja de servidores mediante SQL servidor: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" donde <SQL_Host_Name> es el nombre del servidor en el que se ejecuta SQL servidor y<SQL_instance_name> es el nombre de la instancia de SQL. Si usa la instancia de SQL Server predeterminada, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

  • Si deseas crear un servidor de federación nuevo con una cuenta de usuario de dominio existente, haz lo siguiente:

    1. En el equipo que deseas configurar como servidor de federación, asegúrate de que el certificado SSL requerido se ha importado en Equipo local\Almacén personal. Para comprobar si el certificado SSL se ha importado, ejecute el siguiente comando en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece por su huella digital en el equipo local\Mi tienda.

    2. En el equipo que desea configurar como servidor de federación, abra la ventana de comandos Windows PowerShell y ejecute el siguiente comando: $fscred = get-credential. Escriba las credenciales de la cuenta de usuario de dominio que desea usar para la cuenta de servicio de federación con el formato domain\username.

    3. En la misma ventana de Windows PowerShell, ejecute el siguiente comando:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Para obtener el valor de <certificate_thumbprint,> ejecute dir Cert:\LocalMachine\My y seleccione la huella digital del certificado SSL. El valor de <federation_service_name> es el nombre del servicio de federación, por ejemplo, fs.contoso.com.

      Nota

      Si NO es la primera vez que ejecutas este comando, agrega –OverwriteConfiguration.

      Nota

      El comando anterior crea una granja WID. Si deseas crear una granja de SQL Server, ya debes tener instalado y operativo SQL Server.

      Puede usar el siguiente comando para crear el primer servidor de federación en una nueva granja de servidores mediante SQL servidor: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" donde SQL_Host_Name es el nombre del servidor en el que se ejecuta SQL servidor ySQL_instance_name es el nombre de la instancia de SQL. Si usa la instancia de SQL Server predeterminada, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

Paso siguiente

Ahora que ha configurado el primer servidor de federación de la granja de servidores de federación, vuelva a Lista de comprobación: Implemente la granja de servidores de federación en versiones heredadas de Windows Server y complete el resto de los pasos.

Consulte también

Conceptos

Lista de comprobación: Implementación de la granja de servidores de federación en Windows Server 2012 R2
Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único