在同盟伺服器陣列中建立第一部同盟伺服器
在電腦上安裝 Federation Service 角色服務並設定必要憑證之後,您就可以準備將該電腦設定為同盟伺服器。 您可以使用下列程序,使用 [AD FS Federation Server 設定精靈] 設定電腦,使其成為新同盟伺服器陣列中的第一部同盟伺服器。
在陣列中建立第一部同盟伺服器也會建立新的 Federation Service 並使此電腦成為主要同盟伺服器。 這表示將設定的這部電腦具有 AD FS 組態資料庫的讀取/寫入複本。 此陣列中的所有其他同盟伺服器都必須將主要同盟伺服器上所做的所有變更複寫到其本機儲存的 AD FS 設定資料庫的唯讀複本。 如需有關此複寫程序的詳細資訊,請參閱 AD FS 設定資料庫的角色。
注意
對於同盟網頁單一登入 (SSO) 設計,帳戶夥伴組織中至少需要一部同盟伺服器,而資源夥伴組織中至少需要一部同盟伺服器。 如需詳細資訊,請參閱同盟伺服器放置位置。
若要完成此程序,至少需要 Domain Admins 的成員資格或已被授與寫入 Active Directory 中「程式資料」容器之權限的受委派網域帳戶。
在同盟伺服器陣列中建立第一部同盟伺服器
有兩種方式可以啟動 AD FS 同盟伺服器設定精靈。 若要啟動該精靈,請執行下列其中一個動作:
完成同盟服務角色服務安裝之後,請開啟 [AD FS 管理] 嵌入式管理單元,然後按一下 [概觀] 頁面上或 [執行] 窗格中的 [AD FS Federation Server 設定精靈] 連結。
安裝精靈完成之後,請開啟 Windows 檔案總管,並導覽至 C:\Windows\ADFS 資料夾,然後連按兩下 [FsConfigWizard.exe]。
在 [歡迎] 頁面上,確認已選取 [建立新的 Federation Service],然後按一下 [下一步]。
在 [選取獨立或伺服器陣列部署] 頁面上,按一下 [新增同盟伺服器陣列],然後按一下 [下一步]。
在 [指定同盟服務名稱] 頁面上,驗證顯示的 [SSL 憑證] 正確。 如果這不是正確的憑證,請從 [SSL 憑證] 清單中選取適當的憑證。
此憑證是從 [預設網站] 的安全通訊端層 (SSL) 設定所產生。 若「預設的網站」只設定一個 SSL 憑證,則會出示該憑證並自動選取該憑證以供使用。 若已為「預設的網站」設定多個 SSL 憑證,則此處會列出所有那些憑證,而且您必須從中選取一個憑證。 若沒有為「預設的網站」設定 SSL 設定,則會從本機電腦上個人憑證存放區中可用的憑證產生清單。
注意
若已為 IIS 設定 SSL 憑證,精靈將不會允許您覆寫該憑證。 這樣可確保先前為 IIS 設定的 SSL 憑證都會被保留。 為因應此限制,您可以移除該憑證或使用 [IIS 管理主控台] 手動重新設定憑證。
如果您選取的 AD FS 資料庫已存在,則會出現 [偵測到現有的 AD FS 組態資料庫] 頁面。 如果出現該頁面,按一下 [刪除資料庫],然後按一下 [下一步]。
警告
只有在您確定此 AD FS 資料庫中的資料不重要,或資料未用於生產同盟伺服器陣列時,才選取此選項。
在 [指定服務帳戶] 頁面上,按一下 [瀏覽]。 在 [瀏覽] 對話方塊中,找出將在這個新的同盟伺服器陣列中當作服務帳戶使用的網域帳戶,然後按一下 [確定]。 輸入此帳戶的密碼、確認該密碼,然後按一下 [下一步]。
注意
如需有關如何為同盟伺服器陣列指定服務帳戶的詳細資訊,請參閱手動為同盟伺服器陣列指定服務帳戶。 同盟伺服器陣列中的每個同盟伺服器都必須為伺服器陣列指定相同的服務帳戶才能運作。 例如,若建立的服務帳戶是 contoso\ADFS2SVC,您為同盟伺服器角色設定的每部電腦與將參與該相同陣列的電腦都必須在其 [AD FS 同盟伺服器設定精靈] 的此步驟中指定 contoso\ADFS2SVC,陣列才能運作。
在 [套用設定準備就緒] 頁面上,檢閱詳細資料。 如果顯示的設定正確無誤,請按 [下一步],開始以這些設定進行 AD FS 的設定。
在 [設定結果] 頁面上,檢閱結果。 完成所有設定步驟之後,按一下 [關閉],結束精靈。
重要
基於安全的部署目的,當您使用 [AD FS 同盟伺服器設定精靈] 來設定同盟伺服器陣列時,會停用成品解析與回覆偵測。 此精靈會自動設定「Windows 內部資料庫」來儲存服務設定資料。 不過,您可能會使用 [端點] 節點 (在 [AD FS 管理] 嵌入式管理單元中) 或 Enable-ADFSEndpoint Cmdlet (在 Windows PowerShell 中) 啟用 [成品解析] 端點,錯誤地復原這項變更。 請小心,不要重新設定預設設定,這樣當您使用同盟伺服器陣列搭配「Windows 內部資料庫」時,此端點才能維持停用狀態。