Dela via

Konfigurera en Federationsserver

När du har installerat AD FS-rolltjänsten (Active Directory Federation Services) på datorn är du redo att konfigurera den här datorn så att den blir en federationsserver. Du kan göra något av följande:

Konfigurera den första federationsservern i en ny federationsservergrupp

Konfigurera den första federationsservern i en ny federationsservergrupp med hjälp av konfigurationsguiden för Active Directory Federation Service

Note

Kontrollera att du har domänadministratörsbehörigheter eller att du har autentiseringsuppgifter som domänadministratör innan du utför den här proceduren.

  1. På sidan Instrumentpanel för Serverhanteraren klickar du på flaggan Meddelanden och klickar sedan på Konfigurera federationstjänsten på servern.

    Konfigurationsguiden för Active Directory Federation Service öppnas.

  2. På sidan Välkommen väljer du Skapa den första federationsservern i en federationsservergrupp och klickar sedan på Nästa.

  3. På sidan Anslut till AD DS anger du ett konto med domänadministratörsbehörigheter för active directory-domänen (AD) som datorn är ansluten till och klickar sedan på Nästa.

  4. På sidan Ange tjänstegenskaper gör du följande och klickar sedan på Nästa:

    • Importera .pfx-filen som innehåller SSL-certifikatet (Secure Socket Layer) och nyckeln som du fick tidigare. I Steg 2: Registrera ett SSL-certifikat för AD FS har du fått det här certifikatet och kopierat det till den dator som du vill konfigurera som federationsserver. Om du vill importera PFX-filen via guiden klickar du på Importera och bläddrar sedan till filens plats. Ange lösenordet för .pfx-filen när du uppmanas att göra det.

    • Ange ett namn för federationstjänsten. Till exempel fs.contoso.com. Detta namn måste matcha ett av ämnesnamnen eller alternativa ämnesnamnen i certifikatet.

    • Ange ett visningsnamn för federationstjänsten. Till exempel Contoso Corporation. Användarna ser det här namnet på inloggningssidan för Active Directory Federation Services (AD FS).

  5. På sidan Ange tjänstkonto anger du ett tjänstkonto. Du kan antingen skapa eller använda ett befintligt grupphanterat tjänstkonto (gMSA) eller använda ett befintligt domänanvändarkonto. Om du väljer alternativet för att skapa ett nytt gMSA-konto anger du ett namn för det nya kontot. Om du väljer alternativet att använda ett befintligt gMSA- eller domänkonto klickar du på Välj för att välja ett konto.

    Note

    Fördelen med att använda ett gMSA-konto är dess automatiskt förhandlade lösenordsuppdateringsfunktion.

    Warning

    Om du vill använda ett gMSA-konto måste du ha minst en domänkontrollant i din miljö som kör operativsystemet Windows Server 2012.

    Om gMSA-alternativet är inaktiverat och du ser ett felmeddelande, till exempel Grupphanterade tjänstkonton är inte tillgängliga eftersom KDS-rotnyckeln inte har angetts, kan du aktivera gMSA i domänen genom att köra följande Windows PowerShell-kommando på en domänkontrollant som kör Windows Server 2012 eller senare i active directory-domänen: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Gå sedan tillbaka till guiden, klicka på Föregående och klicka sedan på Nästa för att ange sidan Ange tjänstkonto igen. GMSA-alternativet ska nu vara aktiverat. Du kan välja det och ange ett gMSA-kontonamn som du vill använda.

  6. På sidan Ange konfigurationsdatabas anger du en AD FS-konfigurationsdatabas och klickar sedan på Nästa. Du kan antingen skapa en databas på den här datorn med hjälp av Windows Internal Database (WID), eller så kan du ange platsen och instansnamnet för Microsoft SQL Server.

    Mer information finns i Rollen för AD FS-konfigurationsdatabasen.

    Important

    Om du vill skapa en AD FS-servergrupp och använda SQL Server för att lagra dina konfigurationsdata kan du använda SQL Server 2008 och nyare versioner, inklusive SQL Server 2012 och SQL Server 2014.

  7. På sidan Granska alternativ kontrollerar du konfigurationsvalen och klickar sedan på Nästa.

  8. På sidan Nödvändiga kontroller kontrollerar du att alla nödvändiga kontroller har slutförts och klickar sedan på Konfigurera.

  9. På sidan Resultat granskar du resultaten och kontrollerar om konfigurationen har slutförts och klickar sedan på Nästa steg som krävs för att slutföra distributionen av federationstjänsten. Mer information finns i Nästa steg för att slutföra AD FS-installationen. Klicka på Stäng för att avsluta guiden.

Konfigurera den första federationsservern i en ny federationsservergrupp via Windows PowerShell

Du kan skapa en ny federationsservergrupp med hjälp av ett nytt eller befintligt gMSA-konto eller ett befintligt domänanvändarkonto.

  • Om du vill skapa en ny federationsserver med hjälp av ett nytt gMSA-konto gör du följande:

    Important

    Du måste ha domänadministratörsbehörighet för att skapa den första federationsservern i en ny federationsservergrupp.

    1. På den dator som du vill konfigurera som en federationsserver kontrollerar du att det nödvändiga SSL-certifikatet har importerats till katalogen Local Computer\My Store . Du kan kontrollera om SSL-certifikatet har importerats genom att köra följande kommando i Windows PowerShell-kommandofönstret: dir Cert:\LocalMachine\My. Certifikatet visas med tumavtrycket i katalogen Local Computer\My Store .

    2. Öppna Windows PowerShell-kommandofönstret på domänkontrollanten och kör följande kommando för att kontrollera om KDS-rotnyckeln har skapats i domänen: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Om den inte har skapats så att utdata inte visar någon information kör du följande kommando för att skapa nyckeln: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. På den dator som du vill konfigurera som federationsserver öppnar du Windows PowerShell-kommandofönstret och kör följande kommando:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Warning

      Tecknet $ i slutet av föregående kommando krävs.

      Om du vill hämta värdet för <certificate_thumbprint>, genom att köra dir Cert:\LocalMachine\My och sedan välja tumavtrycket för ditt SSL-certifikat. Värdet <federation_service_name> för är namnet på federationstjänsten, till exempel fs.contoso.com.

      Note

      Om det inte är första gången du kör det här kommandot lägger du till parametern OverwriteConfiguration .

      Note

      Föregående kommando skapar en WID-servergrupp. Om du vill skapa en SQL Server-servergrupp måste du redan ha en instans av SQL Server installerad och i drift.

      Du kan använda följande kommando för att skapa den första federationsservern i en ny servergrupp som använder en instans av SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" där <SQL_Host_Name> är namnet på servern där SQL Server körs och <SQL_instance_name> är namnet på SQL Server-instansen. Om du använder standardinstansen av SQL Server använder du värdet SQLConnectionString för "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Important

      Om du vill skapa en AD FS-servergrupp och använda SQL Server för att lagra dina konfigurationsdata kan du använda SQL Server 2008 och nyare versioner, inklusive SQL Server 2012.

  • Om du vill skapa en ny federationsserver med hjälp av ett befintligt domänanvändarkonto gör du följande:

    1. På den dator som du vill konfigurera som en federationsserver kontrollerar du att det nödvändiga SSL-certifikatet har importerats till katalogen Local Computer\My Store . Du kan kontrollera om SSL-certifikatet har importerats genom att köra följande kommando i Windows PowerShell-kommandofönstret: dir Cert:\LocalMachine\My. Certifikatet visas med tumavtrycket i katalogen Local Computer\My Store .

    2. På den dator som du vill konfigurera som federationsserver öppnar du Windows PowerShell-kommandofönstret och kör sedan följande kommando: $fscred = Get-Credential. Ange de autentiseringsuppgifter för domänanvändarkontot som du vill använda för federationstjänstkontot i formatet domän\användarnamn.

    3. Kör följande kommando i samma Windows PowerShell-kommandofönster:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      För att få värdet för <, kör > och välj sedan tumavtrycket för ditt SSL-certifikat. Värdet <för federation_service_name> är namnet på federationstjänsten, till exempel fs.contoso.com.

      Note

      Om det inte är första gången du kör det här kommandot lägger du till parametern OverwriteConfiguration .

      Note

      Föregående kommando skapar en WID-servergrupp. Om du vill skapa en SQL Server-servergrupp måste instansen av SQL Server redan vara installerad och i drift.

      Du kan använda följande kommando för att skapa den första federationsservern i en ny servergrupp som använder en instans av SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" där SQL_Host_Name är namnet på den server där SQL Server körs och SQL_instance_name är namnet på SQL Server-instansen. Om du använder standardinstansen av SQL Server använder du värdet SQLConnectionString för "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Important

      Om du vill skapa en AD FS-servergrupp och använda SQL Server för att lagra dina konfigurationsdata kan du använda SQL Server 2008 och nyare versioner, inklusive SQL Server 2012 och SQL Server 2014.

Lägga till en federationsserver i en befintlig federationsservergrupp

Important

Kontrollera att du har slutfört steg 3: Installera AD FS-rolltjänsten innan du påbörjar någon av procedurerna i det här avsnittet.

Important

Kontrollera att du har fått ett giltigt SSL-serverautentiseringscertifikat innan du slutför den här proceduren.

Så här lägger du till en federationsserver i en befintlig federationsservergrupp via konfigurationsguiden för Active Directory Federation Service

  1. På sidan Instrumentpanel för Serverhanteraren klickar du på flaggan Meddelanden och klickar sedan på Konfigurera federationstjänsten på servern.

    Konfigurationsguiden för Active Directory Federation Service öppnas.

  2. På sidan Välkommen väljer du Lägg till en federationsserver i en federationsservergrupp och klickar sedan på Nästa.

  3. På sidan Anslut till AD DS anger du ett konto med domänadministratörsbehörigheter för DEN AD-domän som datorn är ansluten till och klickar sedan på Nästa.

  4. På sidan Ange servergrupp anger du namnet på den primära federationsservern i en servergrupp som använder WID eller anger databasvärdnamnet och databasinstansnamnet för en befintlig federationsservergrupp som använder SQL Server.

    Warning

    I Windows Server® 2012 R2 finns det en lösning för att ange standardinstansen av SQL Server. Lösningen är att inte använda användargränssnittet. Använd i stället stegen i Konfigurera den första federationsservern i en ny federationsservergrupp via Windows PowerShell.

    Important

    Om du vill skapa en AD FS-servergrupp och använda SQL Server för att lagra dina konfigurationsdata kan du använda SQL Server 2008 och nyare versioner, inklusive SQL Server 2012.

  5. På sidan Ange SSL-certifikat importerar du .pfx-filen som innehåller SSL-certifikatet och nyckeln som du har hämtat tidigare. Det här certifikatet är det tjänstautentiseringscertifikat som krävs. I Steg 2: Registrera ett SSL-certifikat för AD FS har du fått det här certifikatet och kopierat det till den dator som du vill konfigurera som federationsserver. Om du vill importera PFX-filen via guiden klickar du på Importera och bläddrar till filens plats. Ange lösenordet för .pfx-filen när du uppmanas att göra det.

  6. På sidan Ange tjänstkonto anger du samma tjänstkonto som du konfigurerade när du skapade den första federationsservern i servergruppen. Du kan använda ett befintligt grupphanterat tjänstkonto eller ett befintligt domänanvändarkonto.

    Important

    Det konto som du anger måste vara samma konto som det konto som användes på den primära federationsservern i den här servergruppen.

  7. På sidan Granska alternativ kontrollerar du konfigurationsvalen och klickar sedan på Nästa.

  8. På sidan Nödvändiga kontroller kontrollerar du att alla nödvändiga kontroller har slutförts och klickar sedan på Konfigurera.

  9. På sidan Resultat granskar du resultaten och kontrollerar om konfigurationen har slutförts och klickar sedan på Nästa steg som krävs för att slutföra distributionen av federationstjänsten. Mer information finns i Nästa steg för att slutföra AD FS-installationen. Klicka på Stäng för att avsluta guiden.

Så här lägger du till en federationsserver i en befintlig federationsservergrupp via Windows PowerShell

Du kan lägga till en federationsserver i en befintlig servergrupp genom att antingen använda ett befintligt gMSA-konto eller ett befintligt domänanvändarkonto.

  • Om du vill ansluta en federationsserver till en servergrupp med hjälp av ett befintligt gMSA-konto gör du följande:

    1. På den dator som du vill konfigurera som en federationsserver kontrollerar du att det nödvändiga SSL-certifikatet har importerats till katalogen Local Computer\My Store . Du kan kontrollera om SSL-certifikatet har importerats genom att köra följande kommando i Windows PowerShell-kommandofönstret: dir Cert:\LocalMachine\My. Certifikatet visas med tumavtrycket i katalogen Local Computer\My Store .

    2. På den dator som du vill konfigurera som federationsserver öppnar du Windows PowerShell-kommandofönstret och kör följande kommando.

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> är din AD-domän och namnet på ditt gMSA-konto i domänen. <first_federation_server_hostname> är värdnamnet för den primära federationsservern i den befintliga servergruppen.

      Du kan hämta värdet för <certificate_thumbprint> genom att köra dir Cert:\LocalMachine\My i föregående steg.

      Note

      Om det inte är första gången du kör det här kommandot lägger du till parametern OverwriteConfiguration .

      Note

      Föregående kommando skapar en WID-servergruppnod. Om du vill skapa en servergruppsnod med datorer som kör SQL Server måste instansen av SQL Server redan vara installerad och i drift.

      Du kan använda följande kommando för att lägga till en federationsserver i en befintlig servergrupp som använder en instans av SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" där SQL_Host_Name är namnet på servern där SQL Server körs och SQL_instance_name är namnet på SQL Server-instansen. Om du använder standardinstansen av SQL Server använder du värdet SQLConnectionString för "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Important

      Om du vill skapa en AD FS-servergrupp och använda SQL Server för att lagra dina konfigurationsdata kan du använda SQL Server 2008 och nyare versioner, inklusive SQL Server 2012 och SQL Server 2014.

  • Om du vill ansluta en federationsserver till en servergrupp med hjälp av ett befintligt domänanvändarkonto gör du följande:

    1. Öppna Fönstret Windows PowerShellcommand på den dator som du vill konfigurera som en federationsserver och kör sedan följande kommando: $fscred = get-credential. Ange de autentiseringsuppgifter för domänanvändarkontot som du vill använda för federationstjänstkontot i formatet domän\användarnamn.

    2. På den dator som du vill konfigurera som en federationsserver kontrollerar du att det nödvändiga SSL-certifikatet har importerats till katalogen Local Computer\My Store . Du kan kontrollera om SSL-certifikatet har importerats genom att köra följande kommando i Windows PowerShellcommand-fönstret: dir Cert:\LocalMachine\My. Certifikatet visas med tumavtrycket i katalogen Local Computer\My Store .

    3. Kör följande kommando i samma Windows PowerShell-kommandofönster.

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Note

      Om det inte är första gången du kör det här kommandot lägger du till parametern OverwriteConfiguration .

      Note

      Föregående kommando skapar en WID-servergruppnod. Om du vill skapa en servergruppsnod med datorer som kör SQL Server måste instansen av SQL Server redan vara installerad och i drift. Du kan använda följande kommando för att lägga till en federationsserver i en befintlig servergrupp med hjälp av en instans av SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" där SQL_Host_Name är namnet på servern där SQL Server-instansen körs och SQL_instance_name är namnet på SQL Server-instansen. Om du använder standardinstansen av SQL Server använder du värdet SQLConnectionString för "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Important

      Om du vill skapa en AD FS-servergrupp och använda SQL Server för att lagra dina konfigurationsdata kan du använda SQL Server 2008 och nyare versioner, inklusive SQL Server 2012 och SQL Server 2014.

Se även

AD FS-utplacering

Distributionsguide för Windows Server 2012 R2 AD FS

Distribuera en federationsservergrupp