Настройка учетной записи службы для фермы серверов федерации вручную

Если вы планируете настроить среду фермы серверов федерации в службы федерации Active Directory (AD FS) (AD FS), необходимо создать и настроить выделенную учетную запись службы в службах домен Active Directory (AD DS), где будет находиться ферма. Затем каждый сервер федерации в ферме настраивается для использования этой учетной записи. Чтобы разрешить клиентским компьютерам в корпоративной сети проходить проверку подлинности на любом из серверов федерации в ферме AD FS, необходимо выполнить следующие задачи, если вы хотите разрешить клиентским компьютерам в корпоративной сети проверку подлинности.

Внимание

По состоянию на AD FS 3.0 (Windows Server 2012 R2), AD FS поддерживает использование управляемой группы учетной записи службы (gMSA) в качестве учетной записи службы. Это рекомендуемый вариант, так как он удаляет необходимость управления паролем учетной записи службы с течением времени. В этом документе рассматривается альтернативный случай использования традиционной учетной записи службы, например в доменах, на которых по-прежнему работает windows Server 2008 R2 или более ранний уровень функциональности домена (DFL).

Примечание.

Задачи в рамках этой процедуры выполняются только один раз для всей фермы. Позже при создании сервера федерации с помощью мастера настройки сервера федерации AD FS необходимо указать эту же учетную запись на странице мастера учетной записи службы на каждом сервере федерации в ферме.

Создание специальной учетной записи службы

1. Создайте специальную учетную запись пользователя или службы в лесу Active Directory, расположенном в организации поставщика удостоверений. Эта учетная запись необходима для работы протокола проверки подлинности Kerberos в сценарии фермы и разрешения сквозной проверки подлинности на каждом из серверов федерации. Используйте эту учетную запись только для целей фермы серверов федерации.

2. Отредактируйте свойства учетной записи пользователя и установите флажок Срок действия пароля не ограничен. Это действие гарантирует, что функционирование учетной записи службы не будет прервано вследствие требований о смене доменного пароля.

   Примечание.

   Использование учетной записи сетевых служб для данной специальной учетной записи может стать причиной случайных сбоев при попытке доступа через интегрированную аутентификацию Windows из-за невозможности проверить билеты Kerberos на серверах.

Настройка SPN учетной записи службы

1. Так как удостоверение пула приложений для Ad FS AppPool выполняется в качестве учетной записи пользователя или службы домена, необходимо настроить имя субъекта-службы (SPN) для этой учетной записи в домене с помощью средства командной строки Setspn.exe. Setspn.exe устанавливается по умолчанию на компьютерах под управлением Windows Server 2008. Выполните следующую команду на компьютере, подключенном к домену, где расположена учетная запись пользователя или службы.

   setspn -a host/<server name> <service account>
   

   Например, в сценарии, в котором все серверы федерации кластеризованы под именем узла системы доменных имен (DNS) fs.fabrikam.com, а имя учетной записи службы, назначенной Ad FS AppPool, называется adfs2farm, введите команду следующим образом, а затем нажмите клавишу ВВОД:

   setspn -a host/fs.fabrikam.com adfs2farm
   

   Для этой учетной записи необходимо выполнить эту задачу только один раз.

2. После изменения удостоверения AppPool AD FS на учетную запись службы задайте списки управления доступом (ACL) в базе данных SQL Server, чтобы разрешить доступ на чтение к этой новой учетной записи, чтобы ad FS AppPool могли считывать данные политики.