Delen via

Een federatieserver configureren

Nadat u de functieservice Active Directory Federation Services (AD FS) op uw computer hebt geïnstalleerd, bent u klaar om deze computer te configureren om een federatieserver te worden. U kunt een van de volgende handelingen uitvoeren:

De eerste federatieserver configureren in een nieuwe federatieserverfarm

De eerste federatieserver configureren in een nieuwe federatieserverfarm met behulp van de wizard Active Directory Federation Service-configuratie

Note

Zorg ervoor dat u domeinbeheerdersmachtigingen hebt of dat er domeinbeheerdersreferenties beschikbaar zijn voordat u deze procedure uitvoert.

  1. Klik op de pagina Dashboard serverbeheer op de vlag Meldingen en klik vervolgens op De federation-service op de server configureren.

    De Active Directory Federation Service Configuratie Wizard wordt geopend.

  2. Selecteer op de welkomstpaginade optie De eerste federatieserver maken in een federatieserverfarm en klik vervolgens op Volgende.

  3. Geef op de pagina Verbinding maken met AD DS een account op met behulp van domeinbeheerdersmachtigingen voor het Active Directory-domein (AD) waaraan deze computer is gekoppeld en klik vervolgens op Volgende.

  4. Ga op de pagina Service-eigenschappen opgeven als volgt te werk en klik vervolgens op Volgende:

    • Importeer het PFX-bestand dat het SSL-certificaat (Secure Socket Layer) en de sleutel bevat die u eerder hebt verkregen. In stap 2: Een SSL-certificaat voor AD FS inschrijven, hebt u dit certificaat verkregen en gekopieerd naar de computer die u wilt configureren als federatieserver. Als u het PFX-bestand wilt importeren via de wizard, klikt u op Importeren en bladert u naar de locatie van het bestand. Voer het wachtwoord voor het PFX-bestand in wanneer u hierom wordt gevraagd.

    • Geef een naam op voor uw federatiedienst. Bijvoorbeeld fs.contoso.com. Deze naam moet overeenkomen met een van de onderwerps- of onderwerpalternatieve namen in het certificaat.

    • Geef een weergavenaam op voor uw federatiedienst. Bijvoorbeeld Contoso Corporation. Gebruikers zien deze naam op de aanmeldingspagina van Active Directory Federation Services (AD FS).

  5. Geef op de pagina Serviceaccount opgeven een serviceaccount op. U kunt een bestaand beheerd serviceaccount (gMSA) voor een groep maken of gebruiken of een bestaand domeingebruikersaccount gebruiken. Als u de optie selecteert om een nieuw gMSA-account te maken, geeft u een naam op voor het nieuwe account. Als u de optie selecteert om een bestaand gMSA- of domeinaccount te gebruiken, klikt u op Selecteren om een account te selecteren.

    Note

    Het voordeel van het gebruik van een gMSA-account is de functie voor het automatisch onderhandelen over wachtwoordupdates.

    Warning

    Als u een gMSA-account wilt gebruiken, moet u ten minste één domeincontroller in uw omgeving hebben waarop het Besturingssysteem Windows Server 2012 wordt uitgevoerd.

    Als de optie gMSA is uitgeschakeld en u een foutbericht ziet, zoals Beheerde serviceaccounts voor groepen, zijn niet beschikbaar omdat de KDS-hoofdsleutel niet is ingesteld, kunt u gMSA in uw domein inschakelen door de volgende Windows PowerShell-opdracht uit te voeren op een domeincontroller, waarop Windows Server 2012 of hoger wordt uitgevoerd, in uw Active Directory-domein: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Ga vervolgens terug naar de wizard, klik op Vorige en klik vervolgens op Volgende om de pagina Serviceaccount opgeven opnieuw in te voeren. De gMSA-optie moet nu zijn ingeschakeld. U kunt deze selecteren en een gMSA-accountnaam invoeren die u wilt gebruiken.

  6. Geef op de pagina Configuratiedatabase opgeven een AD FS-configuratiedatabase op en klik vervolgens op Volgende. U kunt een database op deze computer maken met behulp van Windows Internal Database (WID), of u kunt de locatie en de exemplaarnaam van Microsoft SQL Server opgeven.

    Voor meer informatie raadpleegt u De rol van de AD FS-configuratiedatabase.

    Important

    Als u een AD FS-farm wilt maken en SQL Server wilt gebruiken om uw configuratiegegevens op te slaan, kunt u SQL Server 2008 en nieuwere versies gebruiken, waaronder SQL Server 2012 en SQL Server 2014.

  7. Controleer uw configuratieselecties op de pagina Opties controleren en klik vervolgens op Volgende.

  8. Controleer op de pagina Vereiste controles of alle vereiste controles zijn voltooid en klik vervolgens op Configureren.

  9. Controleer de resultaten op de pagina Resultaten en controleer of de configuratie is voltooid en klik vervolgens op Volgende stappen die nodig zijn voor het voltooien van de implementatie van de Federation-service. Zie Volgende stappen voor het voltooien van uw AD FS-installatie voor meer informatie. Klik op Sluiten om de wizard af te sluiten.

De eerste federatieserver configureren in een nieuwe federatieserverfarm via Windows PowerShell

U kunt een nieuwe federatieserverfarm maken met behulp van een nieuw of bestaand gMSA-account of een bestaand domeingebruikersaccount.

  • Als u een nieuwe federatieserver wilt maken met behulp van een nieuw gMSA-account, gaat u als volgt te werk:

    Important

    U moet domeinbeheerdersmachtigingen hebben om de eerste federatieserver te maken in een nieuwe federatieserverfarm.

    1. Controleer op de computer die u wilt configureren als federatieserver of het vereiste SSL-certificaat is geïmporteerd in de map Local Computer\My Store . U kunt controleren of het SSL-certificaat is geïmporteerd door de volgende opdracht uit te voeren in het Windows PowerShell-opdrachtvenster: dir Cert:\LocalMachine\My. Het certificaat wordt vermeld met de vingerafdruk in de map Local Computer\My Store .

    2. Open op uw domeincontroller het Windows PowerShell-opdrachtvenster en voer de volgende opdracht uit om te controleren of de KDS-hoofdsleutel is gemaakt in uw domein: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Als deze niet is gemaakt zodat de uitvoer geen informatie weergeeft, voert u de volgende opdracht uit om de sleutel te maken: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

    3. Open op de computer die u wilt configureren als federatieserver het Windows PowerShell-opdrachtvenster en voer de volgende opdracht uit:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Warning

      Het $ teken aan het einde van de vorige opdracht is vereist.

      Om de waarde voor <certificate_thumbprint> te verkrijgen, voert u dir Cert:\LocalMachine\My uit en selecteert u vervolgens de vingerafdruk van uw SSL-certificaat. De waarde is <federation_service_name> de naam van uw federation-service, bijvoorbeeld fs.contoso.com.

      Note

      Als dit niet de eerste keer is dat u deze opdracht uitvoert, voegt u de OverwriteConfiguration parameter toe.

      Note

      Met de vorige opdracht maakt u een WID-farm. Als u een SQL Server-serverfarm wilt maken, moet er al een exemplaar van SQL Server zijn geïnstalleerd en operationeel zijn.

      U kunt de volgende opdracht gebruiken om de eerste federatieserver te maken in een nieuwe farm die gebruikmaakt van een exemplaar van SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" waarbij <SQL_Host_Name> de naam is van de server waarop SQL Server wordt uitgevoerd en <SQL_instance_name> de naam is van het exemplaar van SQL Server. Als u het standaardexemplaren van SQL Server gebruikt, gebruikt u een SQLConnectionString-waarde van 'Data Source=<SQL_Host_Name>; Geïntegreerde beveiliging=waar".

      Important

      Als u een AD FS-farm wilt maken en SQL Server wilt gebruiken om uw configuratiegegevens op te slaan, kunt u SQL Server 2008 en nieuwere versies gebruiken, waaronder SQL Server 2012.

  • Als u een nieuwe federatieserver wilt maken met behulp van een bestaand domeingebruikersaccount, gaat u als volgt te werk:

    1. Controleer op de computer die u wilt configureren als federatieserver of het vereiste SSL-certificaat is geïmporteerd in de map Local Computer\My Store . U kunt controleren of het SSL-certificaat is geïmporteerd door de volgende opdracht uit te voeren in het Windows PowerShell-opdrachtvenster: dir Cert:\LocalMachine\My. Het certificaat wordt vermeld met de vingerafdruk in de map Local Computer\My Store .

    2. Open op de computer die u wilt configureren als federatieserver het Windows PowerShell-opdrachtvenster en voer de volgende opdracht uit: $fscred = Get-Credential. Voer de referenties van het domeingebruikersaccount in die u wilt gebruiken voor het federatie-serviceaccount, in de indeling domein\gebruikersnaam.

    3. Voer in hetzelfde Windows PowerShell-opdrachtvenster de volgende opdracht uit:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Als u de waarde voor <certificate_thumbprint> wilt ophalen, voert u deze uit dir Cert:\LocalMachine\Myen selecteert u de vingerafdruk van uw SSL-certificaat. De waarde van <federation_service_name> is de naam van uw federation-service, bijvoorbeeld fs.contoso.com.

      Note

      Als dit niet de eerste keer is dat u deze opdracht uitvoert, voegt u de OverwriteConfiguration parameter toe.

      Note

      Met de vorige opdracht maakt u een WID-farm. Als u een SQL Server-farm wilt maken, moet het exemplaar van SQL Server al zijn geïnstalleerd en operationeel zijn.

      U kunt de volgende opdracht gebruiken om de eerste federatieserver te maken in een nieuwe farm die gebruikmaakt van een exemplaar van SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" waarbij SQL_Host_Name de naam is van de server waarop SQL Server wordt uitgevoerd en SQL_instance_name de naam is van het exemplaar van SQL Server. Als u het standaardexemplaren van SQL Server gebruikt, gebruikt u een SQLConnectionString-waarde van 'Data Source=<SQL_Host_Name>; Geïntegreerde beveiliging=waar".

      Important

      Als u een AD FS-farm wilt maken en SQL Server wilt gebruiken om uw configuratiegegevens op te slaan, kunt u SQL Server 2008 en nieuwere versies gebruiken, waaronder SQL Server 2012 en SQL Server 2014.

Een federatieserver toevoegen aan een bestaande federatieserverfarm

Important

Zorg ervoor dat u stap 3 hebt voltooid: installeer de AD FS-functieservice voordat u een van de procedures in deze sectie start.

Important

Zorg ervoor dat u een geldig SSL-serververificatiecertificaat hebt verkregen voordat u deze procedure voltooit.

Een federatieserver toevoegen aan een bestaande federatieserverfarm via de wizard Active Directory Federation Service-configuratie

  1. Klik op de pagina Dashboard serverbeheer op de vlag Meldingen en klik vervolgens op De federation-service op de server configureren.

    De Active Directory Federation Service Configuratie Wizard wordt geopend.

  2. Selecteer op de welkomstpaginaeen federatieserver toevoegen aan een federatieserverfarm en klik vervolgens op Volgende.

  3. Geef op de pagina Verbinding maken met AD DS een account op met behulp van domeinbeheerdersmachtigingen voor het AD-domein waaraan deze computer is toegevoegd en klik vervolgens op Volgende.

  4. Geef op de pagina Farm opgeven de naam op van de primaire federatieserver in een farm die gebruikmaakt van WID of geef de naam van de databasehost en de naam van het database-exemplaar op van een bestaande federatieserverfarm die gebruikmaakt van SQL Server.

    Warning

    In Windows Server® 2012 R2 is er een tijdelijke oplossing om het standaardexemplaar van SQL Server op te geven. De tijdelijke oplossing is om de gebruikersinterface niet te gebruiken. Gebruik in plaats daarvan de stappen in Om de eerste federatieserver in een nieuwe federatieserverfarm te configureren via Windows PowerShell.

    Important

    Als u een AD FS-farm wilt maken en SQL Server wilt gebruiken om uw configuratiegegevens op te slaan, kunt u SQL Server 2008 en nieuwere versies gebruiken, waaronder SQL Server 2012.

  5. Importeer op de pagina SSL-certificaat opgeven het PFX-bestand dat het SSL-certificaat en de sleutel bevat die u eerder hebt verkregen. Dit certificaat is het vereiste certificaat voor serviceverificatie. In stap 2: Een SSL-certificaat inschrijven voor AD FS, u hebt dit certificaat verkregen en gekopieerd naar de computer die u wilt configureren als federatieserver. Als u het PFX-bestand wilt importeren via de wizard, klikt u op Importeren en bladert u naar de locatie van het bestand. Voer het wachtwoord voor het PFX-bestand in wanneer u hierom wordt gevraagd.

  6. Geef op de pagina Serviceaccount opgeven hetzelfde serviceaccount op dat u hebt geconfigureerd toen u de eerste federatieserver in de farm maakte. U kunt een bestaand beheerd serviceaccount voor groepen of een bestaand domeingebruikersaccount gebruiken.

    Important

    Het account dat u opgeeft, moet hetzelfde account zijn als het account dat is gebruikt op de primaire federatieserver in deze farm.

  7. Controleer uw configuratieselecties op de pagina Opties controleren en klik vervolgens op Volgende.

  8. Controleer op de pagina Vereiste controles of alle vereiste controles zijn voltooid en klik vervolgens op Configureren.

  9. Controleer de resultaten op de pagina Resultaten en controleer of de configuratie is voltooid en klik vervolgens op Volgende stappen die nodig zijn voor het voltooien van de implementatie van de Federation-service. Zie Volgende stappen voor het voltooien van uw AD FS-installatie voor meer informatie. Klik op Sluiten om de wizard af te sluiten.

Een federatieserver toevoegen aan een bestaande federatieserverfarm via Windows PowerShell

U kunt een federatieserver toevoegen aan een bestaande farm met behulp van een bestaand gMSA-account of een bestaand domeingebruikersaccount.

  • Als u een federatieserver wilt koppelen aan een farm met behulp van een bestaand gMSA-account, gaat u als volgt te werk:

    1. Controleer op de computer die u wilt configureren als federatieserver of het vereiste SSL-certificaat is geïmporteerd in de map Local Computer\My Store . U kunt controleren of het SSL-certificaat is geïmporteerd door de volgende opdracht uit te voeren in het Windows PowerShell-opdrachtvenster: dir Cert:\LocalMachine\My. Het certificaat wordt vermeld met de vingerafdruk in de map Local Computer\My Store .

    2. Open op de computer die u wilt configureren als federatieserver het Windows PowerShell-opdrachtvenster en voer de volgende opdracht uit.

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> is uw AD-domein en de naam van uw gMSA-account in dat domein. <first_federation_server_hostname> is de hostnaam van de primaire federatieserver in deze bestaande farm.

      U kunt de waarde <certificate_thumbprint> verkrijgen door in de vorige stap uit te voeren dir Cert:\LocalMachine\My .

      Note

      Als dit niet de eerste keer is dat u deze opdracht uitvoert, voegt u de OverwriteConfiguration parameter toe.

      Note

      Met de vorige opdracht maakt u een WID-farmknooppunt. Als u een serverfarmknooppunt wilt maken van computers met SQL Server, moet het exemplaar van SQL Server al zijn geïnstalleerd en operationeel zijn.

      U kunt de volgende opdracht gebruiken om een federatieserver toe te voegen aan een bestaande farm die gebruikmaakt van een exemplaar van SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" waarbij SQL_Host_Name de naam is van de server waarop SQL Server wordt uitgevoerd en SQL_instance_name de naam is van het exemplaar van SQL Server. Als u het standaardexemplaren van SQL Server gebruikt, gebruikt u een SQLConnectionString-waarde van 'Data Source=<SQL_Host_Name>; Geïntegreerde beveiliging=waar".

      Important

      Als u een AD FS-farm wilt maken en SQL Server wilt gebruiken om uw configuratiegegevens op te slaan, kunt u SQL Server 2008 en nieuwere versies gebruiken, waaronder SQL Server 2012 en SQL Server 2014.

  • Als u een federatieserver wilt koppelen aan een farm met behulp van een bestaand domeingebruikersaccount, gaat u als volgt te werk:

    1. Open het Windows PowerShell-opdrachtvenster op de computer die u wilt configureren als federatieserver en voer vervolgens de volgende opdracht uit: $fscred = get-credential Voer de referenties van het domeingebruikersaccount in die u wilt gebruiken voor het federatie-serviceaccount, in de indeling domein\gebruikersnaam.

    2. Controleer op de computer die u wilt configureren als federatieserver of het vereiste SSL-certificaat is geïmporteerd in de map Local Computer\My Store . U kunt controleren of het SSL-certificaat is geïmporteerd door de volgende opdracht uit te voeren in het Windows PowerShell-opdrachtvenster: dir Cert:\LocalMachine\My. Het certificaat wordt vermeld met de vingerafdruk in de map Local Computer\My Store .

    3. Voer in hetzelfde Windows PowerShell-opdrachtvenster de volgende opdracht uit.

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Note

      Als dit niet de eerste keer is dat u deze opdracht uitvoert, voegt u de OverwriteConfiguration parameter toe.

      Note

      Met de vorige opdracht maakt u een WID-farmknooppunt. Als u een serverfarmknooppunt wilt maken van computers met SQL Server, moet het exemplaar van SQL Server al zijn geïnstalleerd en operationeel zijn. U kunt de volgende opdracht gebruiken om een federatieserver toe te voegen aan een bestaande farm met behulp van een exemplaar van SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" waarbij SQL_Host_Name de naam is van de server waarop het exemplaar van SQL Server wordt uitgevoerd en SQL_instance_name de naam is van het exemplaar van SQL Server. Als u het standaardexemplaren van SQL Server gebruikt, gebruikt u een SQLConnectionString-waarde van 'Data Source=<SQL_Host_Name>; Geïntegreerde beveiliging=waar".

      Important

      Als u een AD FS-farm wilt maken en SQL Server wilt gebruiken om uw configuratiegegevens op te slaan, kunt u SQL Server 2008 en nieuwere versies gebruiken, waaronder SQL Server 2012 en SQL Server 2014.

Zie ook

AD FS-implementatie

Windows Server 2012 R2 AD FS Implementatiehandleiding

Een federatieserverfarm implementeren