建立獨立同盟伺服器
在電腦上安裝 Federation Service 角色服務並設定必要憑證之後,您就可以準備將該電腦設定為同盟伺服器。 您可以使用下列程序來設定電腦成為獨立同盟伺服器。 建立獨立同盟伺服器的行為也會建立新的同盟服務。 使用 [AD FS 同盟伺服器設定精靈] 來建立新的同盟伺服器。
注意
對於同盟網頁單一登入 (SSO) 設計,帳戶夥伴組織中至少需要一部同盟伺服器,而資源夥伴組織中至少需要一部同盟伺服器。 如需詳細資訊,請參閱同盟伺服器放置位置。
若要完成此程序,至少需要本機電腦之 Administrators 群組的成員資格或同等權限。 請參閱本機與網域的預設群組中關於使用適當帳戶和群組成員資格的詳細資料 (http://go.microsoft.com/fwlink/?LinkId=83477).
建立獨立同盟伺服器
有兩種方式可以啟動 AD FS 同盟伺服器設定精靈。 若要啟動該精靈,請執行下列其中一個動作:
完成同盟服務角色服務安裝之後,請開啟 [AD FS 管理] 嵌入式管理單元,然後按一下 [概觀] 頁面上或 [執行] 窗格中的 [AD FS Federation Server 設定精靈] 連結。
安裝精靈完成之後,請開啟 Windows 檔案總管,並導覽至 C:\Windows\ADFS 資料夾,然後連按兩下 [FsConfigWizard.exe]。
在 [歡迎] 頁面上,確認已選取 [建立新的 Federation Service],然後按一下 [下一步]。
在 [選取獨立或伺服器陣列部署] 頁面上,按一下 [獨立同盟伺服器],然後按一下 [下一步]。
重要
當您在 AD FS 同盟伺服器設定精靈中選取 [獨立同盟伺服器] 選項時,與這個同盟服務相關聯的服務帳戶會自動指派給 NETWORK SERVICE 帳戶。 只有在您在測試實驗室環境中評估 AD FS 的情況下,才建議使用 NETWORK SERVICE 作為服務帳戶。 如果您想要使用 [獨立同盟伺服器] 選項在生產環境中部署同盟伺服器,請務必將此服務帳戶變更為更適當的服務帳戶,以專門提供這個新同盟服務服務的要求。 將服務帳戶變更為 NETWORK SERVICE 以外的帳戶,可降低可能的攻擊媒介,否則您的同盟伺服器容易受到惡意攻擊。
在 [指定同盟服務名稱] 頁面上,驗證顯示的 [SSL 憑證] 正確。 如果沒有,請從 SSL 憑證清單中選取適當的憑證。
此憑證是從 [預設網站] 的安全通訊端層 (SSL) 設定所產生。 若「預設的網站」只設定一個 SSL 憑證,則會出示該憑證並自動選取該憑證以供使用。 若已為「預設的網站」設定多個 SSL 憑證,則此處會列出所有那些憑證,而且您必須從中選取一個憑證。 若沒有為「預設的網站」設定 SSL 設定,則會從本機電腦上個人憑證存放區中可用的憑證產生清單。
注意
若已為 IIS 設定 SSL 憑證,精靈將不會允許您覆寫該憑證。 這樣可確保先前為 IIS 設定的 SSL 憑證都會被保留。 為因應此限制,您可以移除該憑證或使用 [IIS 管理主控台] 手動重新設定憑證。
如果您選取的 AD FS 資料庫已存在,則會出現 [偵測到現有的 AD FS 組態資料庫] 頁面。 如果出現該頁面,按一下 [刪除資料庫],然後按一下 [下一步]。
警告
只有在您確定此 AD FS 資料庫中的資料不重要,或資料未用於生產同盟伺服器陣列時,才選取此選項。
在 [套用設定準備就緒] 頁面上,檢閱詳細資料。 如果顯示的設定正確無誤,請按 [下一步],開始以這些設定進行 AD FS 的設定。
在 [設定結果] 頁面上,檢閱結果。 完成所有設定步驟之後,按一下 [關閉],以結束精靈。