Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här checklistan innehåller de distributionsuppgifter som krävs för att förbereda en server som kör Windows Server® 2012 för federationsserverrollen i Active Directory Federation Services (AD FS).
Note
Slutför uppgifterna i den här checklistan i ordning. När en referenslänk tar dig till en procedur går du tillbaka till det här avsnittet när du har slutfört stegen i den proceduren så att du kan fortsätta med de återstående uppgifterna i den här checklistan.
Checklista: Konfigurera en federationsserver
| Task | Reference |
|---|---|
| Innan du börjar distribuera AD FS-federationsservrarna bör du granska; 1.) fördelar och nackdelar med att välja antingen Windows Internal Database (WID) eller SQL Server för att lagra AD FS-konfigurationsdatabasen 2.) Topologityper för AD FS-distribution och deras associerade rekommendationer för serverplacering och nätverkslayout. |
Fastställa ad fs-distributionstopologin |
| Granska vägledningen för AD FS-kapacitetsplanering för att fastställa rätt antal federationsservrar som du bör använda i produktionsmiljön. |
Planera för federationsserverkapacitet |
| Granska information i AD FS-designguiden om var federationsservrar ska placeras i din organisation |
Planera federationsserverplacering |
| Avgör om en fristående federationsserver eller en federationsservergrupp är bättre för distributionen. |
När du ska skapa en federationsserver |
| Avgör om den nya federationsservern ska skapas i kontopartnerorganisationen eller i resurspartnerorganisationen. |
Granska federationsserverns roll i kontopartnern |
| Granska information om hur federationsservrar använder tjänstkommunikationscertifikat och tokensigneringscertifikat för att på ett säkert sätt autentisera klient- och federationsserverproxybegäranden. Försiktighet: Även om det länge har varit vanligt att använda certifikat med okvalificerade värdnamn som https://myserver, har dessa certifikat inget säkerhetsvärde och kan göra det möjligt för en angripare att personifiera AD FS Federation Service till företagsklienter. Därför rekommenderar vi att du använder ett fullständigt domännamn (FQDN) som https://myserver.contoso.com och endast använder SSL-certifikat som utfärdats till FQDN för federationstjänsten. |
Certifikatkrav för federationsservrar |
| Granska information om hur du uppdaterar företagets nätverk Domain Name System (DNS) så att lyckad namnmatchning till federationsservrar kan ske. |
Namnmatchningskrav för federationsservrar |
| Anslut datorn som ska bli federationsservern till en domän i kontopartnerskogen eller resurspartnerskogen där den används för att autentisera användarna av den skogen eller från betrodda skogar. Not: Om du vill konfigurera en federationsserver i kontopartnerorganisationen måste datorn först anslutas till alla domäner i skogen där federationsservern ska användas för att autentisera användare från den skogen eller från skogar som är betrodda. |
Ansluta en dator till en domän |
| Skapa en ny resurspost i DNS för företagsnätverket som pekar DNS-värdnamnet för federationsservern till federationsserverns IP-adress. |
Lägga till en värdresurspost (A) i företagets DNS för en federationsserver |
| (Valfritt) Om du lägger till en federationsserver i en federationsservergrupp kan du först behöva exportera den privata nyckeln för det befintliga tokensigneringscertifikatet (på den första federationsservern i servergruppen) så att du har ett filformat för certifikatet klart när andra federationsservrar måste importera samma certifikat. Det krävs inte att du exporterar den privata nyckeln när det utfärdade serverautentiseringscertifikatet kan återanvändas av flera datorer (utan att du behöver exportera) eller när du hämtar unika serverautentiseringscertifikat för varje federationsserver i servergruppen. Not: Snapin-modulen AD FS Management refererar till serverautentiseringscertifikat för federationsservrar som tjänstkommunikationscertifikat. |
Exportera den privata nyckeldelen av ett serverautentiseringscertifikat |
| När du har fått ett certifikat för serverautentisering (eller privat nyckel) från en certifikatutfärdare (CA) måste du sedan importera certifikatfilen till standardwebbplatsen för varje federationsserver. Not: Att installera det här certifikatet på standardwebbplatsen är ett krav innan du kan använda konfigurationsguiden för AD FS Federation Server. |
Importera ett serverautentiseringscertifikat till standardwebbplatsen |
| (Valfritt) Som ett alternativ till att hämta ett serverautentiseringscertifikat från en certifikatutfärdare kan du använda Internet Information Services (IIS) för att skapa ett exempelcertifikat för federationsservern. Försiktighet: Det är inte en säkerhetsmetod att distribuera en federationsserver i en produktionsmiljö med hjälp av ett självsignerat certifikat för serverautentisering. |
IIS: Skapa ett Self-Signed servercertifikat och slutför sedan proceduren Importera ett serverautentiseringscertifikat till standardwebbplatsen |
| Om du ska konfigurera en federationsservergruppsmiljö i en kontopartnerorganisation måste du skapa och konfigurera ett dedikerat tjänstkonto i Active Directory Domain Services (AD DS) där servergruppen finns och konfigurera varje federationsserver i servergruppen att använda det här kontot. Genom att utföra den här proceduren tillåter du klienter i företagsnätverket att autentisera till någon av federationsservrarna i servergruppen med hjälp av Windows-integrerad autentisering. |
Konfigurera ett tjänstkonto manuellt för en federationsservergrupp |
| Installera rolltjänsten federationstjänst på den dator som ska bli federationsserver. |
Installera federationstjänstrolltjänsten |
| Konfigurera AD FS-programvaran på datorn så att den fungerar i federationsserverrollen med hjälp av konfigurationsguiden för AD FS-federationsserver. Följ den här proceduren när du vill konfigurera en fristående federationsserver, skapa den första federationsservern i en ny servergrupp eller ansluta en dator till en befintlig federationsservergrupp. Not: För designen Federerad enkel Sign-On (SSO) måste du ha minst en federationsserver i kontopartnerorganisationen och minst en federationsserver i resurspartnerorganisationen. |
Skapa en Stand-Alone federationsserver
|
| (Valfritt) Använd snapin-modulen AD FS Management för att lägga till och konfigurera nödvändiga AD FS-certifikat som krävs för att distribuera din design. Mer information om när du ska lägga till eller ändra certifikat med hjälp av snapin-modulen finns i Certifikatkrav för federationsservrar. |
Lägga till ett Token-Signing certifikat |
| Om det här är den första federationsservern i din organisation konfigurerar du federationstjänsten så att den överensstämmer med DIN AD FS-design. |
Checklista: Konfigurera kontopartnerorganisationen |
| Kontrollera att federationsservern är i drift från en klientdator. |
Kontrollera att en federationsserver är i drift |