Krav för AD FS

2025-08-15
Gäller för: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Följande är kraven för att distribuera Active Directory Federation Services (AD FS):

Certifikatkrav
Maskinvarukrav
Proxykrav
AD DS-krav
Krav för konfigurationsdatabas
Krav för webbläsare
Nätverkskrav
Behörighetskrav

Certifikatkrav

TLS/SSL-certifikat

Varje AD FS- och webbprogramproxyserver har ett TLS/SSL-certifikat för att hantera HTTPS-begäranden till federationstjänsten. Webbprogramproxyn kan ha extra certifikat till tjänstbegäranden till publicerade program.

Rekommendationer för TLS/SSL-certifikat

Använd samma TLS/SSL-certifikat för alla AD FS-federationsservrar och proxyservrar för webbprogram.

Krav för TLS/SSL-certifikat

TLS/SSL-certifikat på federationsservrar måste uppfylla följande krav:

Certifikatet är offentligt betrott (för produktionsdistributioner).
Certifikatet innehåller EKU-värdet (Server Authentication Enhanced Key Usage).
Certifikatet innehåller federationstjänstens namn, till exempel fs.contoso.com i ämnes- eller ämnesalternativnamnet (SAN).
För användarcertifikatautentisering på port 443 innehåller certifikatet certauth.\<federation service name\>, till exempel certauth.fs.contoso.com i SAN-fältet.
För enhetsregistrering eller för modern autentisering till lokala resurser med hjälp av pre-Windows 10-klienter måste SAN innehålla enterpriseregistration.\<upn suffix\> för varje UPN-suffix (User Principal Name) som används i din organisation.

TLS/SSL-certifikat på webbprogramproxyn måste uppfylla följande krav:

Om proxyn används för ad FS-proxybegäranden som använder Windows-integrerad autentisering måste proxy-TLS/SSL-certifikatet vara detsamma (använd samma nyckel) som federationsserverns TLS/SSL-certifikat.
Om AD FS-egenskapen ExtendedProtectionTokenCheck är aktiverad (standardinställningen i AD FS) måste proxy-TLS/SSL-certifikatet vara detsamma (använd samma nyckel) som federationsserverns TLS/SSL-certifikat.
Annars är kraven för proxy-TLS/SSL-certifikatet desamma som kraven för federationsserverns TLS/SSL-certifikat.

Certifikat för tjänstkommunikation

Det här certifikatet krävs inte för de flesta AD FS-scenarier, inklusive Microsoft Entra ID och Office 365. Som standard konfigurerar AD FS TLS/SSL-certifikatet som tillhandahålls vid den inledande konfigurationen som tjänstkommunikationscertifikat.

Rekommendation för tjänstkommunikationscertifikat

Använd samma certifikat som du använder för TLS/SSL.

Certifikat för tokensignering

Det här certifikatet används för att signera utfärdade token till förlitande parter, så förlitande partprogram måste känna igen certifikatet och dess associerade nyckel som kända och betrodda. När tokensigneringscertifikatet ändras, till exempel när det upphör att gälla och du konfigurerar ett nytt certifikat, måste alla förlitande parter uppdateras.

Rekommendation för tokensigneringscertifikat

Använd standard AD FS-certifikaten, som genereras internt och är självsignerade tokensigneringscertifikat.

Krav för tokensigneringscertifikat

Om din organisation kräver att certifikat från företagets infrastruktur för offentliga nycklar (PKI) används för tokensignering kan du uppfylla detta krav med hjälp av parametern SigningCertificateThumbprint i cmdleten Install-AdfsFarm .
Oavsett om du använder de internt genererade standardcertifikaten eller externt registrerade certifikat måste du se till att alla förlitande parter uppdateras med den nya certifikatinformationen när tokensigneringscertifikatet ändras. Annars kan de förlitande parterna inte logga in.

Tokenkryptering/dekrypteringscertifikat

Det här certifikatet används av anspråksleverantörer som krypterar token som utfärdats till AD FS.

Rekommendation för tokenkryptering/dekryptering av certifikat

Använd AD FS-standardens, internt genererade, självsignerade tokendekrypterande certifikat.

Krav för tokenkryptering/dekryptering av certifikat

Om din organisation kräver att certifikat från företagets PKI används för tokensignering kan du uppfylla detta krav med hjälp av parametern DecryptingCertificateThumbprint i cmdleten Install-AdfsFarm .
Oavsett om du använder de internt genererade standardcertifikaten eller externt registrerade certifikat måste du se till att alla anspråksprovidrar uppdateras med den nya certifikatinformationen när tokendekrypterar certifikatet ändras. Annars misslyckas inloggningar från anspråksleverantörer som inte har uppdaterats.

Caution

Certifikat som används för token-signering och token-dekryptering/kryptering är kritiska för federationstjänstens stabilitet. Kunder som hanterar sina egna tokensignerings- och tokendekrypterings-/krypteringscertifikat bör se till att dessa certifikat säkerhetskopieras och är tillgängliga oberoende under en återställningshändelse.

Användarcertifikat

När du använder x509-användarcertifikatautentisering med AD FS måste alla användarcertifikat länkas till en rotcertifikatutfärdare som AD FS- och webbprogramproxyservrarna litar på.

Maskinvarukrav

Maskinvarukrav för AD FS och webbproxy för applikationer (fysiska eller virtuella) är begränsade av CPU, så du bör dimensionera din miljö för bearbetningskapacitet.

Använd kalkylbladet för kapacitetsplanering för AD FS 2016 för att fastställa antalet AD FS- och webbprogramproxyservrar som du behöver.

Minnes- och diskkraven för AD FS är ganska statiska. Kraven visas i följande tabell:

Maskinvarukrav	Minimikrav	Rekommenderat krav
RAM	2 GB	4 GB
Diskutrymme	32 GB	100 GB

Maskinvarukrav för SQL Server

Om du använder Azure SQL för AD FS-konfigurationsdatabasen ska du ändra storleken på SQL Server enligt de mest grundläggande SQL Server-rekommendationerna. AD FS-databasstorleken är liten och AD FS lägger ingen betydande bearbetningsbelastning på databasinstansen. AD FS ansluter dock till databasen flera gånger under en autentisering, så nätverksanslutningen bör vara robust. SQL Azure stöds tyvärr inte för AD FS-konfigurationsdatabasen.

Proxykrav

För åtkomst till extranätet måste du distribuera Rolltjänsten Web Application Proxy, som är en del av serverrollen Fjärråtkomst.
Proxyservrar från tredje part måste ha stöd för MS-ADFSPIP-protokollet för att stödjas som en AD FS-proxy. En lista över tredjepartsleverantörer finns i Vanliga frågor och svar om AD FS.
AD FS 2016 kräver webbprogramproxyservrar på Windows Server 2016. Det går inte att konfigurera en proxy på nednivå för en AD FS 2016-servergrupp som körs på 2016-servergruppens beteendenivå.
Det går inte att installera en federationsserver och webbapplikationsproxyrolltjänsten på samma dator.

AD DS-krav

Krav för domänkontrollant

AD FS kräver domänkontrollanter som kör Windows Server 2008 eller senare.
Minst en Windows Server 2016-domänkontrollant krävs för Windows Hello för företag.

Note

Allt stöd för miljöer med Windows Server 2003-domänkontrollanter har upphört. Mer information finns i Microsofts livscykelinformation.

Krav på domänfunktionsnivå

Alla användarkontodomäner och domänen som AD FS-servrarna är anslutna till måste fungera på domänfunktionsnivå i Windows Server 2003 eller senare.
En funktionsnivå för Windows Server 2008-domänen eller senare krävs för klientcertifikatautentisering om certifikatet uttryckligen mappas till ett användarkonto i AD DS.

Schemakrav

Nya installationer av AD FS 2016 kräver Active Directory 2016-schemat (lägsta version 85).
För att höja beteendenivån för AD FS-servergruppen (FBL) till 2016-nivån krävs Active Directory 2016-schemat (lägsta version 85).

Krav för tjänstkonto

Alla standarddomänkonton kan användas som ett tjänstkonto för AD FS. Grupphanterade tjänstkonton stöds också. De behörigheter som krävs vid runtime återställs automatiskt när du konfigurerar AD FS.
Tilldelningen av användarrättigheter som krävs för AD-tjänstkontot är Logga in som en tjänst.
De tilldelningar av användarrättigheter som krävs för NT Service\adfssrv och NT Service\drs är Generera säkerhetsgranskningar och Logga in som en tjänst.
Grupphanterade tjänstkonton kräver minst en domänkontrollant som kör Windows Server 2012 eller senare. Grupphanterat tjänstkonto gMSA måste finnas under standardcontainern CN=Managed Service Accounts .
För Kerberos-autentisering måste tjänstens huvudnamn varaHOST/<adfs\_service\_name> registrerat på AD FS-tjänstkontot. Som standard konfigurerar AD FS det här kravet när du skapar en ny AD FS-servergrupp. Om den här processen misslyckas, till exempel om det finns en kollision eller otillräcklig behörighet, visas en varning och du bör lägga till den manuellt.

Domänkrav

Alla AD FS-servrar måste vara anslutna till en AD DS-domän.
Alla AD FS-servrar i en servergrupp måste distribueras i samma domän.
AD FS-servergruppens första nodinstallation beror på att PDC är tillgängligt.

Krav för flera skogar

Domänen som AD FS-servrarna är anslutna till måste lita på alla domäner eller skogar som innehåller användare som autentiserar till AD FS-tjänsten.
Skogen, som AD FS-tjänstkontot är medlem i, måste lita på alla användarinloggningsskogar.
AD FS-tjänstkontot måste ha behörighet att läsa användarattribut i varje domän som innehåller användare som autentiserar till AD FS-tjänsten.

Krav för konfigurationsdatabas

I det här avsnittet beskrivs kraven och begränsningarna för AD FS-servergrupper som använder den interna Windows-databasen (WID) eller SQL Server som databas:

WID

Artefaktlösningsprofilen för SAML 2.0 stöds inte i en WID-farm.
Identifiering av tokenrepetering stöds inte i en WID-servergrupp. Den här funktionen används endast i scenarier där AD FS fungerar som federationsleverantör och använder säkerhetstoken från externa anspråksleverantörer.

Följande tabell innehåller en sammanfattning av hur många AD FS-servrar som stöds i en WID jämfört med en SQL Server-servergrupp.

1–100 RP-trustar	Fler än 100 RP-stiftelser
1–30 AD FS-noder: WID är stödd	1–30 AD FS-noder: Stöds inte med WID – SQL krävs
Fler än 30 AD FS-noder: Stöds inte med WID – SQL krävs	Fler än 30 AD FS-noder: Stöds inte med WID – SQL krävs

SQL Server

För AD FS i Windows Server 2016 stöds SQL Server 2008 och senare versioner.
Både SAML-artefaktmatchning och identifiering av tokenreplikering stöds i en SQL Server-servergrupp.

Krav för webbläsare

När AD FS-autentisering utförs via en webbläsar- eller webbläsarkontroll måste webbläsaren uppfylla följande krav:

JavaScript måste vara aktiverat.
För enkel inloggning måste klientwebbläsaren konfigureras för att tillåta cookies.
Servernamnindikering (SNI) måste stödjas.
För autentisering med användarcertifikat och enhetscertifikat måste webbläsaren ha stöd för TLS/SSL-klientcertifikatautentisering.
För sömlös inloggning med windowsintegrerad autentisering måste federationstjänstens namn (till exempel https:\/\/fs.contoso.com) konfigureras i den lokala intranätzonen eller zonen betrodda platser.

Nätverkskrav

Brandväggskrav

Både brandväggarna som finns mellan webbprogramproxyn och federationsservergruppen och mellan klienterna och webbprogramproxyn måste ha TCP-port 443 aktiverat inkommande.

Om du behöver autentisering av klientanvändarcertifikat (clientTLS-autentisering med X509-användarcertifikat) och du inte har port 443 på certauth-slutpunkten aktiverad. AD FS 2016 kräver att du aktiverar inkommande TCP-port 49443 i brandväggen mellan klienterna och webbprogramproxyn. Det här kravet gäller inte brandväggen mellan webbprogramproxyn och federationsservrarna.

Mer information om kraven för hybridportar finns i Portar och protokoll som krävs för hybrididentitet.

Mer information finns i Metodtips för att skydda Active Directory Federation Services

DNS-krav

För intranätåtkomst måste alla klienter som har åtkomst till AD FS-tjänsten inom det interna företagsnätverket (intranätet) kunna matcha AD FS-tjänstnamnet till lastbalanseraren för AD FS-servrarna eller AD FS-servern.
För extranätsåtkomst måste alla klienter som har åtkomst till AD FS-tjänsten utanför företagsnätverket (extranät/Internet) kunna matcha AD FS-tjänstnamnet till lastbalanseraren för webbprogramproxyservrarna eller webbprogramproxyservern.
Varje webbprogramproxyserver i den demilitariserade zonen (DMZ) måste kunna matcha AD FS-tjänstnamnet till lastbalanseraren för AD FS-servrarna eller AD FS-servern. Du kan skapa den här konfigurationen med hjälp av en alternativ DNS-server (Domain Name System) i DMZ-nätverket eller genom att ändra lokal servermatchning med hjälp av HOSTS-filen.
För Windows-integrerad autentisering måste du använda en DNS A-post (inte CNAME) för federationstjänstens namn.
För autentisering av användarcertifikat på port 443 måste "certauth.<federationstjänstnamn>" konfigureras i DNS för att lösa upp till federationsservern eller Web Application Proxy.
För enhetsregistrering eller modern autentisering till lokala resurser med hjälp av pre-Windows 10-klienter, enterpriseregistration.\<upn suffix\> och för varje UPN-suffix som används i din organisation, måste du konfigurera dem så att de dirigeras till federationsservern eller webbprogramproxyn.

Krav för lastbalanserare

Lastbalanseraren får inte avsluta TLS/SSL. AD FS stöder flera användningsfall med certifikatautentisering, vilket bryts när TLS/SSL avslutas. Det går inte att avsluta TLS/SSL i lastbalanseraren för något användningsfall.
Använd en lastbalanserare som stöder SNI. Om det inte fungerar, kan du använda reservbindningen 0.0.0.0 på din AD FS- eller Web Application Proxy-server som en lösning.
Använd HTTP-slutpunkterna (inte HTTPS) för hälsoavsökning för att utföra hälsokontroller av lastbalanserare för trafikdirigering. Det här kravet undviker eventuella problem som rör SNI. Svaret på dessa avsökningsslutpunkter är en HTTP 200 OK och hanteras lokalt utan beroende av serverdelstjänster. HTTP-avsökningen kan nås via HTTP med sökvägen /adfs/probe
- http://<Web Application Proxy name>/adfs/probe
- http://<AD FS server name>/adfs/probe
- http://<Web Application Proxy IP address>/adfs/probe
- http://<AD FS IP address>/adfs/probe
Vi rekommenderar inte att du använder DNS-round robin som ett sätt att belastningsbalansering. Att använda den här typen av belastningsutjämning ger inget automatiserat sätt att ta bort en nod från belastningsutjämnaren med hjälp av hälsokontroller.
Vi rekommenderar inte att du använder IP-baserad sessionstillhörighet eller klibbiga sessioner för autentiseringstrafik till AD FS i lastbalanseraren. Du kan orsaka överbelastning av vissa noder när du använder äldre autentiseringsprotokoll för e-postklienter för att ansluta till Office 365-e-posttjänster (Exchange Online).

Behörighetskrav

Administratören som utför installationen och den inledande konfigurationen av AD FS måste ha lokal administratörsbehörighet på AD FS-servern. Om den lokala administratören inte har behörighet att skapa objekt i Active Directory måste en domänadministratör först skapa nödvändiga AD-objekt och sedan konfigurera AD FS-servergruppen med hjälp av parametern AdminConfiguration .

Feedback

Var den här sidan till hjälp?