Добавление сервера федерации к ферме серверов федерации в системе Windows Server 2012 R2

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

После установки службы роли служб федерации Active Directory (AD FS) на компьютере под управлением Windows Server 2012 R2 можно приступать к настройке этого компьютера в качестве сервера федерации.

Чтобы добавить этот компьютер в качестве первого сервера федерации в существующую ферму серверов федерации, можно выполнить следующие процедуры.

Добавление сервера федерации в существующую ферму серверов федерации

Важно!

Перед выполнением этой процедуры убедитесь, что приобрели допустимый сертификат проверки подлинности сервера SSL. Дополнительные сведения см. в разделе "Требования к развертыванию AD FS".

Чтобы добавить сервер федерации в существующую ферму серверов федерации в мастере настройки службы федерации Active Directory, выполните следующие действия.

  1. На странице Панель мониторинга диспетчера сервера установите флажок Уведомления, а затем выберите Настроить службу федерации на этом сервере.

    Запустится мастер настройки служб федерации Active Directory.

  2. На странице приветствия выберите пункт Добавить сервер федерации в ферму серверов федерации и щелкните кнопку Далее.

  3. На странице Подключение к AD DS укажите учетную запись с правами администратора домена для домена AD, в который входит этот компьютер, а затем нажмите кнопку Далее.

  4. На странице Укажите ферму предоставьте имя первоначального сервера федерации в ферме, используя WID, или укажите имя узла базы данных и имя экземпляра базы данных существующей фермы сервера федерации с помощью SQL.

    Предупреждение

    В существует обходной путь для указания экземпляра SQL Server по умолчанию. Обходной путь не следует использовать в пользовательском интерфейсе. Вместо этого выполните действия, описанные в разделе "Настройка первого сервера федерации" в новой ферме серверов федерации с помощью Windows PowerShell.

  5. На странице Укажите сертификат SSL импортируйте PFX-файл, содержащий сертификат SSL и ключ, полученный ранее. Это обязательный сертификат проверки подлинности службы. Как указано в разделе "Требования к сертификатам", ознакомьтесь с требованиями к развертыванию AD FS , необходимо получить этот сертификат и скопировать его на компьютер, который требуется настроить в качестве сервера федерации. Чтобы импортировать PFX-файл с помощью мастера, нажмите кнопку Импорт и найдите файл. При появлении запроса укажите пароль для PFX-файла.

  6. На странице Укажите учетную запись службы укажите ту же учетную запись, которую настроили при создании первого сервера федерации в ферме. Можно использовать существующую управляемую учетную запись службы группы или существующую учетную запись пользователя домена.

    Важно!

    Указанная учетная запись должна быть той же учетной записью, что и та, которая использовалась на первичном сервере федерации в этой ферме.

  7. На странице Просмотр параметров проверьте указанные параметры конфигурации и нажмите кнопку Далее.

  8. На странице Предварительные проверки убедитесь, что все предварительные проверки успешно пройдены, и нажмите кнопку Настройка.

  9. На странице Результаты просмотрите результаты и проверьте, успешно ли прошла настройка, а затем щелкните Для развертывания службы федерации нужно выполнить следующие действия. Дополнительные сведения см. в следующих шагах по завершению установки AD FS. Нажмите кнопку Закрыть, чтобы выйти из мастера.

Добавление сервера федерации в существующую ферму серверов федерации с помощью Windows PowerShell

Можно добавить сервер федерации в существующую ферму, используя существующую управляемую учетную запись группы или существующую учетную запись пользователя домена.

  • Если необходимо присоединить сервер федерации к ферме, используя существующую управляемую учетную запись группы, выполните следующие действия.

    1. На компьютере, который нужно настроить в качестве сервера федерации, необходимый SSL-сертификат должен быть импортирован в каталог Local Computer\My Store. Чтобы проверить, импортирован ли SSL-сертификат, выполните следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My Сертификат указан по отпечатку в локальном компьютере\My Store.

    2. На компьютере, который нужно настроить в качестве сервера федерации, откройте командную строку Windows PowerShell и выполните следующую команду:

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> — это домен AD и имя учетной записи GMSA в этом домене. <first_federation_server_hostname> — это имя узла основного сервера федерации в этой существующей ферме.

      Значение <certificate_thumbprint> можно получить, запустив dir Cert:\LocalMachine\My в шаге выше.

      Примечание

      Если эта команда выполняется не впервые, добавьте параметр –OverwriteConfiguration.

      Примечание

      Указанная выше команда создает узел фермы WID. Чтобы создать узел фермы SQL Server, SQL Server должен быть установлен и работать. Следующую команду можно использовать для добавления сервера федерации в существующую ферму с помощью сервера SQL: Add-AdfsFarmNode -GroupServiceAccountIdentifier <GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name><SQL_instance_ name>;Integrated Security=True" где SQL_Host_Name — это имя сервера, на котором выполняется сервер SQL, аSQL_instance_name — имя экземпляра SQL. Если используется экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Data Source=<SQL_Host_Name>;Integrated Security=True".

  • Если необходимо присоединить сервер федерации к ферме, используя существующую учетную запись пользователя домена, выполните следующие действия.

    1. На компьютере, который требуется настроить в качестве сервера федерации, откройте командное окно Windows PowerShell и выполните следующую команду: $fscred = get-credential Введите учетные данные учетной записи пользователя домена, которые вы хотите использовать для учетной записи службы федерации в формате domain\username.

    2. На компьютере, который нужно настроить в качестве сервера федерации, необходимый SSL-сертификат должен быть импортирован в каталог Local Computer\My Store. Чтобы проверить, импортирован ли SSL-сертификат, выполните следующую команду в командном окне Windows PowerShell: dir Cert:\LocalMachine\My Сертификат указан по отпечатку в локальном компьютере\My Store.

    3. В том же окне команд Windows PowerShell выполните следующую команду:

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Примечание

      Если эта команда выполняется не впервые, добавьте параметр –OverwriteConfiguration.

      Примечание

      Указанная выше команда создает узел фермы WID. Чтобы создать узел фермы SQL Server, SQL Server должен быть установлен и работать. Следующую команду можно использовать для добавления сервера федерации в существующую ферму с помощью сервера SQL: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>&lt;SQL_instance_ name>;Integrated Security=True" где SQL_Host_Name — это имя сервера, на котором выполняется сервер SQL, аSQL_instance_name — имя экземпляра SQL. Если используется экземпляр SQL Server по умолчанию, используйте значение SQLConnectionString "Data Source=<SQL_Host_Name>;Integrated Security=True".

Следующий шаг

Теперь, когда вы установили программное обеспечение AD FS, вернитесь в контрольный список: разверните ферму серверов федерации на Windows Server 2012 R2 и выполните остальные действия.

См. также:

Основные понятия

Контрольный список. Развертывание фермы серверов федерации на Windows Server 2012 R2
Контрольный список: использование AD FS для внедрения и управления единым входом