Настройка первого сервера федерации на базе фермы серверов федерации в системе Windows Server 2012

Назначение: Azure, Office 365, Power BI, Windows Intune

После установки службы роли служб федерации Active Directory (AD FS) на компьютере под управлением Windows Server 2012 R2 можно приступать к настройке этого компьютера в качестве сервера федерации.

Для настройки этого компьютера в качестве первого сервера федерации в ферме можно выполнить следующие процедуры.

Настройка первого сервера федерации в новой ферме серверов федерации

Настройка первого сервера федерации в новой ферме с использованием мастера настройки служб федерации Active Directory

Примечание

Для выполнения этой процедуры необходимы права администратора домена или учетные данные администратора домена.

  1. На странице Панель мониторинга диспетчера сервера установите флажок Уведомления, а затем выберите Настроить службу федерации на этом сервере.

    Запустится мастер настройки служб федерации Active Directory.

  2. На странице приветствия выберите Создать первый сервер федерации в новой ферме и нажмите кнопку Далее.

  3. На странице Подключение к AD DS укажите учетную запись с правами администратора домена для домена AD, в который входит этот компьютер, а затем нажмите кнопку Далее.

  4. На странице Настройка свойств службы выполните следующие действия, а затем нажмите кнопку Далее.

    • Импортируйте PFX-файл c полученными ранее SSL-сертификатом и ключом. Как указано в разделе «Требования к сертификатам» в разделе Обзор требований для развертывания служб федерации Active Directory, необходимо получить этот сертификат и скопировать его на компьютер, который нужно настроить в качестве сервера федерации. Чтобы импортировать PFX-файл с помощью мастера, нажмите кнопку Импорт и найдите файл. При появлении запроса укажите пароль для PFX-файла.

    • Введите имя для службы федерации. Например fs.contoso.com. Это имя должно совпадать одним из имен субъекта или альтернативных имен субъекта сертификата.

    • Введите отображаемое имя для службы федерации. Например Contoso Corporation. Это имя будет отображаться для пользователей на странице входа AD FS.

  5. На странице Выбор учетной записи службы укажите учетную запись службы. Можно создать или использовать существующую групповую управляемую учетную запись службы, либо использовать существующую учетную запись пользователя домена. Если выбран вариант с созданием новой групповой управляемой учетной записи службы, укажите имя для новой учетной записи. Если выбран вариант с использованием существующей групповой управляемой учетной записи службы или учетной записи домена, нажмите кнопку Выбрать... для выбора учетной записи.

    Примечание

    Использование групповой управляемой учетной записи службы дает преимущество в виде функции обновления пароля с автоматическим согласованием.

    Предупреждение

    Если будет использоваться групповая управляемая учетная запись службы, в среде должен быть по крайней мере один контроллер домена под управлением операционной системы Windows Server 2012.

    Если вариант с групповой управляемой учетной записью службы недоступен и появляется сообщение об ошибке наподобие Групповые управляемые учетные записи службы недоступны, так как корневой ключ KDS не задан, можно включить групповую управляемую учетную запись службы в домене, выполнив следующую команду Windows PowerShell на контроллере домена под управлением операционной системы Windows Server 2012 или более поздней версии в домене Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Вернитесь в мастер и нажмите кнопку Назад, а затем Далее, чтобы снова перейти на страницу Выбор учетной записи службы. Теперь групповая управляемая учетная запись службы включена, ее можно выбрать и указать нужное имя учетной записи.

  6. На странице Выбор базы данных конфигурации укажите базу данных конфигурации AD FS, а затем нажмите кнопку Далее. Можно либо создать базу данных на данном компьютере с использованием внутренней базы данных Windows (WID), либо указать расположение и имя экземпляра SQL Server.

    Дополнительные сведения см. в статье Роль базы данных конфигурации служб AD FS.

  7. На странице Просмотр параметров проверьте указанные параметры конфигурации и нажмите кнопку Далее.

  8. На странице Предварительные проверки убедитесь, что все предварительные проверки успешно пройдены, и нажмите кнопку Настройка.

  9. На странице Результаты просмотрите результаты и проверьте, успешно ли прошла настройка, а затем щелкните Для развертывания службы федерации нужно выполнить следующие действия. Дополнительные сведения см. в статье Дальнейшие действия для завершения установки служб AD FS. Нажмите кнопку Закрыть, чтобы завершить работу мастера.

Настройка первого сервера федерации в новой ферме с помощью Windows PowerShell

Новую ферму серверов федерации можно создать с помощью новой или существующей групповой управляемой учетной записи службы или существующей учетной записи пользователя домена.

  • Если нужно создать новый сервер федерации с помощью новой групповой управляемой учетной записи службы, выполните следующие действия.

    ImportantВажно!
    Для создания первого сервера федерации в новой ферме необходимо обладать разрешениями администратора домена.

    1. На компьютере, который нужно настроить в качестве сервера федерации, необходимый SSL-сертификат должен быть импортирован в каталог Local Computer\My Store. Проверить, был ли импортирован SSL-сертификат, можно, выполнив следующую команду в командной строке Windows PowerShell: dir Cert:\LocalMachine\My. Сертификат указан по своему отпечатку в каталоге Local Computer\My Store.

    2. На контроллере домена откройте командную строку Windows PowerShell и выполните следующую команду, чтобы проверить, был ли создан корневой ключ KDS в домене: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Если он не был создан (вывод команды пустой), выполните следующую команду, чтобы создать ключ:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. На компьютере, который нужно настроить в качестве сервера федерации, откройте командную строку Windows PowerShell и выполните следующую команду:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
      

      Предупреждение

      Символ «$» в конце команды выше является обязательным.

      Значение <certificate_thumbprint> можно получить, выполнив команду dir Cert:\LocalMachine\My и выбрав отпечаток нужного SSL-сертификата. Значение <federation_service_name> — это имя службы федерации, например fs.contoso.com.

      Примечание

      Если эта команда выполняется не впервые, добавьте параметр –OverwriteConfiguration.

      Примечание

      Команда выше создает ферму WID. Если нужно создать ферму серверов SQL Server, на компьютере уже должен находиться работающий экземпляр SQL Server.

      Для создания первого сервера федерации в новой ферме с помощью SQL Server можно воспользоваться следующей командой: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True", где <SQL_Host_Name> — это имя сервера, на котором выполняется SQL Server, а <SQL_instance_name> — это имя экземпляра SQL Server. Если используется экземпляр SQL Server по умолчанию, используйте для SQLConnectionString значение «Data Source=<SQL_Host_Name>;Integrated Security=True».

  • Если нужно создать новый сервер федерации с помощью существующей учетной записи пользователя домена, выполните следующие действия.

    1. На компьютере, который нужно настроить в качестве сервера федерации, необходимый SSL-сертификат должен быть импортирован в каталог Local Computer\My Store. Проверить, был ли импортирован SSL-сертификат, можно, выполнив следующую команду в командной строке Windows PowerShell: dir Cert:\LocalMachine\My. Сертификат указан по своему отпечатку в каталоге Local Computer\My Store.

    2. На компьютере, который нужно настроить в качестве сервера федерации, откройте командную строку Windows PowerShell и выполните следующую команду: $fscred = get-credential. Введите данные учетной записи пользователя домена, которую нужно использовать в качестве учетной записи службы федерации, в формате «домен\имя_пользователя».

    3. В той же командной строке Windows PowerShell выполните следующую команду:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
      

      Значение <certificate_thumbprint> можно получить, выполнив команду dir Cert:\LocalMachine\My и выбрав отпечаток нужного SSL-сертификата. Значение <federation_service_name> — это имя службы федерации, например fs.contoso.com.

      Примечание

      Если эта команда выполняется не впервые, добавьте параметр –OverwriteConfiguration.

      Примечание

      Команда выше создает ферму WID. Если нужно создать ферму серверов SQL Server, на компьютере уже должен находиться работающий экземпляр SQL Server.

      Для создания первого сервера федерации в новой ферме с помощью SQL Server можно воспользоваться следующей командой: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True", где SQL_Host_Name — это имя сервера, на котором выполняется SQL Server, а SQL_instance_name — это имя экземпляра SQL Server. Если используется экземпляр SQL Server по умолчанию, используйте для SQLConnectionString значение «Data Source=<SQL_Host_Name>;Integrated Security=True».

Дальнейшие действия

Теперь после настройки первого сервера федерации в ферме серверов федерации, вернитесь назад к разделу Контрольный список Развертывание фермы серверов федерации в устаревших версиях системы Windows Server и выполните остальные действия.

См. также

Основные понятия

Контрольный список Развертывание фермы серверов федерации в системе Windows Server 2012 R2
Контрольный список Использование службы федерации Active Directory для реализации и управления единым входом