Prepazione dell'infrastruttura di rete per i server federativi
Si applica a: Azure, Office 365, Power BI, Windows Intune
Il seguente elenco di controllo include le attività di preparazione da eseguire per distribuire una server farm federativa.
Nota
- Completare le operazioni dell'elenco di controllo secondo l'ordine previsto. Quando un collegamento a un riferimento porta a una procedura, tornare a questo argomento una volta completati i passaggi della procedura, in modo da poter procedere con le operazioni rimanenti nell'elenco di controllo.
- Salvo diversamente specificato, per completare tutte le operazioni seguendo le procedure di questa sezione è necessario essere prima connessi ai computer come membri di un gruppo amministratori, oppure aver ricevuto in delega autorizzazioni equivalenti.
.gif "Checklist")
Elenco di controllo: Preparare l'infrastruttura di rete per i server federativi
| Operazione di distribuzione | Collegamenti agli argomenti di questa sezione | Completato |
|---|---|---|
1. Aggiungere i computer che diventeranno server federativi a un dominio in cui gli utenti di Active Directory verranno autenticati. Nota È possibile ignorare questo passaggio se si utilizzano i controller del dominio esistente come server federativi. |
.gif "Checkbox") |
|
2. Creare e configurare un nuovo nome DNS del cluster NLB o usare un cluster NLB esistente nella rete aziendale che verrà usato dalla nuova server farm federativa. Quindi, aggiungere i computer del server federativo al cluster NLB. Se si utilizza la tecnologia Windows Server per gli host NLB attuali, scegliere il collegamento appropriato riportato a destra in base alla versione del sistema operativo in uso. Nota Questo passaggio è facoltativo in una distribuzione di prova di questa soluzione SSO con un singolo server federativo ADFS. |
Per creare e configurare cluster NLB in Windows Server 2003 e Windows Server 2003 R2, vedere Elenco di controllo: Abilitazione e configurazione del bilanciamento del carico di rete. Per creare e configurare cluster di bilanciamento carico di rete in Windows Server 2008, vedere Creazione di cluster di bilanciamento del carico di rete. Per creare e configurare cluster di bilanciamento carico di rete in Windows Server 2008 R2, vedere Creazione di cluster di bilanciamento del carico di rete. |
|
3. Creare un nuovo record di risorse per il nome DNS del cluster nel DNS della rete aziendale che punta il nome FQDN del cluster NLB all'indirizzo IP del cluster cluster. |
|
|
4. Importare il certificato di autenticazione del server nel sito Web predefinito per ogni server federativo nella farm. Nota Prima di poter utilizzare la configurazione guidata del server federativo ADFS, è necessario aver installato questo certificato nel sito Web predefinito. |
Importare un certificato di autenticazione server nel sito Web predefinito |
|
5. Creare e configurare un account del servizio dedicato in Active Directory in cui risiederà la server farm federativa e configurare ogni server federativo nella farm per usare questo account. |
Configurare manualmente un account di servizio per una server farm federativa |
|
Connessione del computer a un dominio
Per il funzionamento di ADFS, è necessario aggiungere a un dominio ogni computer che funge da server federativo. I proxy server federativi possono essere connessi a un dominio, ma non è un requisito.
Se si desidera utilizzare ADFS in Windows Server 2012 R2, il dominio di Active Directory deve eseguire uno dei seguenti sistemi operativi:
Windows Server
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Connessione di un computer a un dominio
Nel computer che si desidera aggiungere a un dominio fare clic sul pulsante Start, scegliere Pannello di controllo, quindi fare doppio clic su Sistema.
In Impostazioni relative a nome computer, dominio e gruppo di lavoro fare clic su Cambia impostazioni.
Nella scheda Nome computer, fare clic su Modifica.
In Membro di fare clic su Dominio, digitare il nome del dominio a cui verrà aggiunto il computer, quindi fare clic su OK.
Fare clic su OK, quindi riavviare il computer.
Aggiunta di un record di risorse al DNS aziendale per il nome DNS cluster configurato sull'host NLB aziendale
Per consentire ai client della rete aziendale di accedere al servizio federativo, è necessario creare prima un record di risorse host (A) nel Domain Name System (DNS) che risolve il nome DNS cluster del servizio federativo (ad esempio, fs.fabrikam.com) nell'indirizzo IP del cluster nella rete aziendale (ad esempio, 172.16.1.3). La procedura seguente può essere utilizzata per aggiungere un record di risorse host (A) al DNS aziendale per il cluster NLB.
Aggiunta di un record di risorse al DNS aziendale per il DNS cluster configurato sull'host NLB aziendale
In un server DNS per la rete aziendale, aprire lo snap-in DNS.
Nell'albero della console fare clic con il pulsante destro del mouse sulla zona di ricerca diretta applicabile (ad esempio, fabrikam.com), quindi scegliere Nuovo host (A o AAAA).
In Nome digitare solo il nome computer del server federativo o del cluster di server federativi. Ad esempio, per il nome di dominio completo (FQDN) fs.fabrikam.com, digitare fs.
In Indirizzo IP digitare l'indirizzo IP del server federativo o del cluster di server federativi. Ad esempio, 172.16.1.3.
Fare clic su Aggiungi host.
Importante
Si presuppone che si usi un server DNS, che esegue Windows 2000 Server, Windows Server 2003 o Windows Server 2008 con il servizio server DNS, per controllare la zona DNS.
Importazione di un certificato di autenticazione server nel sito Web predefinito
Dopo aver ottenuto un certificato di autenticazione server da un'autorità di certificazione (CA), è necessario installare manualmente quel certificato nel sito Web predefinito per ciascun server federativo della farm.
poiché il certificato deve essere considerato attendibile dai client di ADFS e dai servizi cloud Microsoft, utilizzare un certificato SSL rilasciato da un'autorità di certificazione pubblica (di terze parti) o da un'autorità di certificazione subordinata a una CA radice pubblicamente attendibile, ad esempio VeriSign o Thawte. Per informazioni sull'installazione di un certificato da una CA pubblica, vedere IIS 7.0: richiedere un certificato del Server Internet.
Nota
Il nome soggetto di questo certificato di autenticazione deve corrispondere al FQDN del nome DNS del cluster (ad esempio, fs.fabrikam.com) che è stato creato in precedenza sull'host NLB. Se Internet Information Services (IIS) non è stato installato, è necessario installare prima IIS per completare questa operazione. Al momento di installare IIS per la prima volta, si consiglia di utilizzare le opzioni caratteristica predefinite quando richiesto durante l'installazione del ruolo server.
Per importare un certificato di autenticazione server nel sito Web predefinito
Fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi Gestione Internet Information Services (IIS).
Nell'albero della console fare clic su NomeComputer.
Nel riquadro centrale fare doppio clic su Certificati server.
Nel riquadro Azioni fare clic su Importa.
Nella finestra di dialogo Importa certificato fare clic sul pulsante ... .
Passare al percorso del file di certificato con estensione pfx, evidenziarlo e quindi fare clic su Apri.
Digitare una password per il certificato, quindi fare clic su OK.
Creazione di un account di servizio dedicato per la server farm federativa
Per configurare un ambiente della server farm federativo in AD FS, è necessario creare e configurare un account del servizio dedicato in Active Directory in cui risiederà la farm. Questo account di servizio dedicato è necessario a garantire che tutte le risorse richieste dalla farm di ADFS abbiano accesso a ciascuno dei server federativi della farm.
Quindi, configurare ciascun server federativo della farm per l'utilizzo dello stesso account di servizio. Ad esempio, se l'account di servizio creato era fabrikam\ADFS2SVC, ciascun computer configurato per il ruolo server federativo e che parteciperà alla medesima farm dovrà indicare fabrikam\ADFS2SVC in questo passaggio della procedura guidata di configurazione del server federativo, affinché la farm sia operativa.
Nota
Le operazioni di questa procedura devono essere effettuate solo una per volta per l'intera server farm federativa. In seguito, durante la creazione di un server federativo mediante la relativa configurazione guidata ADFS, sarà necessario specificare questo stesso account nella pagina Account servizio della procedura guidata per ciascun server federativo della farm.
Creazione di un account di servizio dedicato per ciascuna server farm federativa
Creare un account utente/servizio dedicato nella foresta Active Directory che verrà usato nell'organizzazione.
Modificare le proprietà dell'account utente, quindi selezionare la casella di controllo Nessuna scadenza password. Questa azione assicura che la funzione dell'account del servizio non venga interrotta a causa dei requisiti di modifica della password del dominio.
Nota
- Se è necessario modificare la password per l'account del servizio regolarmente, vedere Configurazione delle opzioni avanzate per AD FS 2.0.
- L'utilizzo dell'account Servizio di rete per questo account dedicato porterà a guasti casuali nei tentativi di accesso tramite autenticazione integrata di Windows, come conseguenza dei ticket Kerberos che non si convalidano da un server all'altro.
- Se è necessario modificare la password per l'account del servizio regolarmente, vedere Configurazione delle opzioni avanzate per AD FS 2.0.
Passaggio successivo
Dopo aver preso visione dei requisiti per la distribuzione di ADFS, il passaggio successivo consiste nell'eseguire le attività riportate in uno dei seguenti elenchi di controllo, a seconda della versione di ADFS che si desidera utilizzare:
Elenco di controllo: Distribuire la server farm federativa in Windows Server 2012 R2
Elenco di controllo: Distribuire la server farm federativa nelle versioni legacy di Windows Server
Vedere anche
Concetti
Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On