Configurazione del primo server federativo nella server farm federativa in Windows Server 2012

  • Articolo

Si applica a: Azure, Office 365, Power BI, Windows Intune

Dopo l'installazione del servizio ruolo Active Directory Federation Service (ADFS) nel computer in cui è in esecuzione Windows Server 2012 R2, si è pronti per configurare il computer come server federativo.

Per configurare il computer come primo server federativo di una server farm federativa, effettuare le procedure illustrate di seguito.

Configurare il primo server federativo in una nuova server farm federativa

Per configurare il primo server federativo in una nuova server farm federativa tramite la configurazione guidata di Active Directory Federation Service

Nota

Prima di eseguire questa procedura, verificare di disporre di autorizzazioni di amministratore di dominio o di avere accesso alle credenziali di amministratore di dominio.

  1. Nella pagina Dashboard di Server Manager fare clic sul flag Notifiche e quindi su Configurare il servizio federativo nel server.

    Verrà avviata la configurazione guidata diActive Directory Federation Service.

  2. Nella paginainiziale selezionare Crea il primo server di federazione di una server farm di federazione e fare clic su Avanti.

  3. Nella pagina Connessione a Servizi di dominio Active Directory specificare un account con autorizzazioni di amministratore di dominio per il dominio di Active Directory a cui viene aggiunto il computer e quindi fare clic su Avanti.

  4. Nella pagina Impostazione proprietà del servizio effettuare le seguenti operazioni e quindi fare clic su Avanti:

    • Importare il file con estensione pfx contenente il certificato e la chiave SSL ottenuti precedentemente. Come indicato nella sezione "Requisiti certificato" in Esaminare i requisiti per la distribuzione di AD FS deve ottenere questo certificato e copiarlo nel computer che si desidera configurare come server federativo. Per importare il file con estensione pfx tramite la procedura guidata, fare clic su Importa e specificare il percorso del file. Specificare la password del file con estensione pfx quando richiesto.

    • Specificare un nome per il servizio federativo, ad esempio fs.contoso.com. Il nome deve corrispondere a uno dei nomi di soggetto o di soggetto alternativo nel certificato.

    • Specificare un nome visualizzato per il servizio federativo, ad esempio Contoso Corporation. Questo nome verrà visualizzato agli utenti nella pagina di accesso di ADFS.

  5. Nella pagina Impostazione account servizio specificare un account di servizio. È possibile creare o utilizzare un account del servizio gestito di gruppo esistente oppure utilizzare un account utente di dominio esistente. Se si seleziona l'opzione per la creazione di un nuovo account del servizio gestito di gruppo, specificare un nome per il nuovo account. Se invece si seleziona l'opzione per l'utilizzo di un account del servizio gestito di gruppo o di un account di dominio esistente, fare clic sul pulsante Seleziona... per selezionare un account.

    Nota

    Utilizzando l'account del servizio gestito di gruppo è possibile usufruire della funzionalità di aggiornamento delle password con negoziazione automatica.

    Avviso

    Se si desidera utilizzare un account del servizio gestito di gruppo, è necessario disporre almeno di un controller di dominio nell'ambiente in cui è in esecuzione il sistema operativo Windows Server 2012.

    Se l'opzione gMSA è disabilitata e viene visualizzato un messaggio di errore simile agli account del servizio gestito di gruppo non disponibili perché la chiave radice KDS non è stata impostata, è possibile abilitare gMSA nel dominio eseguendo il comando Windows PowerShell seguente in un controller di dominio Windows Server 2012 o versione successiva nel dominio di Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Tornare quindi alla procedura guidata e fare clic sul pulsante Indietro seguito dal pulsante Avanti per immettere nuovamente la pagina Specifica account del servizio. L'account del servizio gestito di gruppo ora è abilitato ed è possibile selezionarlo e immettere un nome di account del servizio gestito di gruppo desiderato.

  6. Nella pagina Impostazione database di configurazione specificare un database di configurazione ADFS e quindi fare clic su Avanti. È possibile creare un database in questo computer utilizzando Database interno di Windows oppure è possibile specificare il percorso e il nome dell'istanza di SQL Server.

    Per altre informazioni, vedere Ruolo del database di configurazione di ADFS.

  7. Nella pagina Verifica opzioni verificare le opzioni selezionate per la configurazione e fare clic su Avanti.

  8. Nella pagina Controlli dei prerequisiti verificare che siano stati eseguiti tutti i controlli dei prerequisiti e quindi fare clic su Configura.

  9. Nella pagina Risultati esaminare i risultati e verificare che la configurazione sia stata eseguita correttamente, quindi fare clic su Passaggi successivi necessari per completare la distribuzione del servizio di federazione. Per altre informazioni, vedere Passaggi successivi per completare l'installazione di AD FS. Per uscire dalla procedura guidata, fare clic su Chiudi.

Per configurare il primo server federativo in una nuova server farm federativa tramite Windows PowerShell

È possibile creare una nuova server farm federativa utilizzando un account del servizio gestito di gruppo nuovo o esistente oppure un account utente di dominio esistente.

  • Se si desidera creare un nuovo server federativo utilizzando un nuovo account del servizio gestito di gruppo, effettuare le seguenti operazioni:

    Importante

    È necessario disporre delle autorizzazioni di amministratore di dominio per creare il primo server federativo in una nuova server farm federativa.

    1. Nel computer che si desidera configurare come server federativo verificare che il certificato SSL necessario sia stato importato in Computer locale\Archivio personale. È possibile verificare se il certificato SSL è stato importato eseguendo il comando seguente nella finestra di comando Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato viene elencato in base all'identificazione personale nel computer locale\Archivio personale.

    2. Nel controller di dominio aprire la finestra di comando Windows PowerShell ed eseguire il comando seguente per verificare se la chiave radice KDS è stata creata nel dominio: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Se non è stato creato (l'output non visualizza informazioni), eseguire il comando seguente per creare la chiave:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. Nel computer che si desidera configurare come server federativo aprire la finestra di comando di Windows PowerShell ed eseguire il seguente comando:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Avviso

      Il simbolo "$" alla fine del comando è obbligatorio.

      È possibile ottenere il valore di <certificate_thumbprint> eseguendo dir Cert:\LocalMachine\My e selezionando l'identificazione personale del certificato SSL. Il valore di <federation_service_name> è il nome del servizio federativo, ad esempio fs.contoso.com.

      Nota

      Se NON è la prima volta che si esegue questo comando, aggiungere –OverwriteConfiguration.

      Nota

      Con il comando precedente viene creata una farm di Database interno di Windows. Se si desidera creare una server farm SQL, è necessario che SQL Server sia già installato e operativo.

      È possibile usare il comando seguente per creare il primo server federativo in una nuova farm usando SQL server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" dove <SQL_Host_Name> è il nome del server in cui è in esecuzione SQL server e<SQL_instance_name> è il nome dell'istanza di SQL. Se si usa l'istanza di SQL Server predefinita, usare il valore SQLConnectionString "Data Source=<SQL_Host_Name>;Integrated Security=True".

  • Se si desidera creare un nuovo server federativo utilizzando un account utente di dominio esistente, effettuare le seguenti operazioni:

    1. Nel computer che si desidera configurare come server federativo verificare che il certificato SSL necessario sia stato importato in Computer locale\Archivio personale. È possibile verificare se il certificato SSL è stato importato eseguendo il comando seguente nella finestra di comando Windows PowerShell: dir Cert:\LocalMachine\My. Il certificato viene elencato in base all'identificazione personale nel computer locale\Archivio personale.

    2. Nel computer che si vuole configurare come server federativo aprire la finestra di comando Windows PowerShell ed eseguire il comando seguente: $fscred = get-credential. Immettere le credenziali dell'account utente di dominio da usare per l'account del servizio federativo nel formato dominio\nomeutente.

    3. Nella stessa finestra di comando di Windows PowerShell eseguire il comando seguente:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      È possibile ottenere il valore per <certificate_thumbprint> eseguendo dir Cert:\LocalMachine\My e selezionando l'identificazione personale del certificato SSL. Il valore di <federation_service_name> è il nome del servizio federativo, ad esempio fs.contoso.com.

      Nota

      Se NON è la prima volta che si esegue questo comando, aggiungere –OverwriteConfiguration.

      Nota

      Con il comando precedente viene creata una farm di Database interno di Windows. Se si desidera creare una server farm SQL, è necessario che SQL Server sia già installato e operativo.

      È possibile usare il comando seguente per creare il primo server federativo in una nuova farm usando SQL server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" dove SQL_Host_Name è il nome del server in cui è in esecuzione SQL server eSQL_instance_name è il nome dell'istanza di SQL. Se si usa l'istanza di SQL Server predefinita, usare il valore SQLConnectionString "Data Source=<SQL_Host_Name>;Integrated Security=True".

Passaggio successivo

Dopo aver configurato il primo server federativo nella server farm federativa, tornare a Elenco di controllo: Distribuire la server farm federativa nelle versioni legacy di Windows Server e completare i passaggi rimanenti.

Vedere anche

Concetti

Elenco di controllo: Distribuire la server farm federativa in Windows Server 2012 R2
Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On