Checkliste: Einrichten eines Verbundservers
Diese Prüfliste enthält die Bereitstellungsaufgaben zum Vorbereiten eines unter Windows Server® 2012 ausgeführten Servers für die Verbundserverrolle in Active Directory-Verbunddiensten (AD FS).
Hinweis
Führen Sie die Aufgaben in dieser Prüfliste in der angegebenen Reihenfolge aus. Wenn Sie über einen Referenzlink zu einer Prozedur gelangen, kehren Sie zu diesem Thema zurück, nachdem Sie die Schritte in der betreffenden Prozedur ausgeführt haben, sodass Sie die Ausführung der verbleibenden Aufgaben in dieser Prüfliste fortsetzen können.
Prüfliste: Einrichten eines Verbundservers
| Aufgabe | Verweis |
|---|---|
| Bevor Sie mit der Bereitstellung Ihrer AD FS-Verbundserver beginnen, sollten Sie Folgendes Überprüfen: 1.) Vor- und Nachteile von Windows Internal Database (WID) bzw. SQL Server hinsichtlich des Speicherns der AD FS-Konfigurationsdatenbank 2.) AD FS-Bereitstellungstopologietypen und ihre zugehörigen Serverplatzierungs- und Netzwerklayoutempfehlungen |  Bestimmen Ihrer AD FS-Bereitstellungstopologie |
| Lesen Sie die AD FS-Kapazitätsplanungsanleitung, um die richtige Anzahl von Verbundservern zu ermitteln, die Sie in Ihrer Produktionsumgebung verwenden sollten. | Planen der Verbundserverkapazität |
| Sehen Sie sich die Informationen im AD FS-Entwurfsleitfaden zum Platzieren von Verbundservern in Ihrer Organisation an. | Planen der Verbundserverplatzierung |
| Bestimmen Sie, ob ein eigenständiger Verbundserver oder eine Verbundserverfarm für Ihre Bereitstellung besser geeignet ist. | Szenarios für das Erstellen eines Verbundservers |
| Bestimmen Sie, ob dieser neue Verbundserver in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation erstellt wird. | Überprüfen der Rolle des Verbundservers beim Kontopartner
|
| Lesen Sie die Informationen dazu, wie Verbundserver Dienstkommunikationszertifikate und Tokensignaturzertifikate verwenden, um Client- und Verbundserver-Proxyanforderungen sicher zu authentifizieren. Achtung: Zwar ist es seit langem gängige Praxis, Zertifikate mit nicht qualifizierten Hostnamen wie https://myserver zu verwenden, aber diese Zertifikate bieten keinen Sicherheitswert und können es Angreifer*innen ermöglichen, den AD FS-Verbunddienst gegenüber Unternehmenskunden zu imitieren. Daher wird empfohlen, einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) wie https://myserver.contoso.com und nur SSL-Zertifikate zu verwenden, die für den FQDN Ihres Verbunddiensts ausgestellt wurden. | Zertifikatanforderungen für Verbundserver |
| Sehen Sie sich die Informationen zum Aktualisieren des Domänennamensystems (Domain Name System, DNS) des Unternehmensnetzwerks an, sodass eine erfolgreiche Namensauflösung auf Verbundserver erfolgen kann. | Namensauflösungsanforderungen für Verbundserver |
| Verknüpfen Sie den Computer, der zum Verbundserver wird, mit einer Domäne in der Kontopartner-Gesamtstruktur oder Ressourcenpartner-Gesamtstruktur, wo er zum Authentifizieren der Benutzer*innen aus dieser Gesamtstruktur oder aus vertrauenswürdigen Gesamtstrukturen verwendet wird. Hinweis: Wenn Sie einen Verbundserver in der Kontopartnerorganisation einrichten möchten, muss der Computer zuerst mit einer beliebigen Domäne in der Gesamtstruktur verknüpft werden, in der Ihr Verbundserver zum Authentifizieren von Benutzer*innen aus dieser Gesamtstruktur oder aus vertrauenswürdigen Gesamtstrukturen verwendet wird. |  Verknüpfen eines Computers mit einer Domäne |
| Erstellen Sie einen neuen Ressourcendatensatz im Unternehmensnetzwerk-DNS, der den DNS-Hostnamen des Verbundservers auf die IP-Adresse des Verbundservers verweist. | Hinzufügen eines Host (A)-Ressourcendatensatzes zum Unternehmens-DNS für einen Verbundserver |
| (Optional) Wenn Sie einer Verbundserverfarm einen Verbundserver hinzufügen, müssen Sie zuerst den privaten Schlüssel des vorhandenen Tokensignaturzertifikats (für den ersten Verbundserver in der Farm) exportieren, sodass Sie über ein Dateiformat des Zertifikats verfügen, wenn andere Verbundserver dasselbe Zertifikat importieren müssen. Das Exportieren des privaten Schlüssels ist nicht erforderlich, wenn Ihr ausgestelltes Serverauthentifizierungszertifikat von mehreren Computern (ohne Export) wiederverwendet werden kann oder wenn Sie eindeutige Serverauthentifizierungszertifikate für jeden Verbundserver in der Farm erhalten. Hinweis: Das AD FS-Verwaltungs-Snap-In bezeichnet Serverauthentifizierungszertifikate für Verbundserver als Dienstkommunikationszertifikate. |
Exportieren eines privaten Schlüsselteils eines Serverauthentifizierungszertifikats |
| Nachdem Sie ein Serverauthentifizierungszertifikat (oder einen privaten Schlüssel) über eine Zertifizierungsstelle (Certification Authority, CA) abgerufen haben, müssen Sie die Zertifikatdatei auf die Standardwebsite für jeden Verbundserver importieren. Hinweis: Sie müssen dieses Zertifikat auf der Standardwebsite installieren, bevor Sie den Konfigurations-Assistenten für den AD FS-Verbundserver verwenden können. | Importieren eines Serverauthentifizierungszertifikats auf die Standardwebsite |
| (Optional) Alternativ zum Abrufen eines Serverauthentifizierungszertifikats über eine Zertifizierungsstelle können Sie Internetinformationsdienste (IIS) verwenden, um ein Beispielzertifikat für Ihren Verbundserver zu erstellen. Achtung: Es ist keine bewährte Sicherheitsmethode, einen Verbundserver mithilfe eines selbstsignierten Serverauthentifizierungszertifikats in einer Produktionsumgebung bereitzustellen. | IIS: Erstellen eines selbstsignierten Serverzertifikats und Ausführen des Schritts Importieren eines Serverauthentifizierungszertifikats auf die Standardwebsite |
| Wenn Sie eine Verbundserver-Farmumgebung in einer Kontopartnerorganisation konfigurieren, müssen Sie ein dediziertes Dienstkonto in Active Directory Domain Services (AD DS) erstellen und konfigurieren, in dem sich die Farm befindet. Zudem müssen Sie jeden Verbundserver in der Farm so konfigurieren, dass dieses Konto verwendet wird. Durch Ausführen dieses Vorgangs können Sie Clients im Unternehmensnetzwerk mithilfe der integrierten Windows-Authentifizierung bei einem der Verbundserver in der Farm authentifizieren. | Manuelles Konfigurieren eines Dienstkontos für eine Verbundserverfarm |
| Installieren Sie den Verbunddienst-Rollendienst auf dem Computer, der zum Verbundserver wird. | Installieren des Verbunddienst-Rollendiensts |
| Konfigurieren Sie mithilfe des Konfigurations-Assistenten für AD FS-Verbundserver die AD FS-Software auf dem Computer, der für die Verbundserverrolle verwendet werden soll. Führen Sie diese Schritte aus, wenn Sie einen eigenständigen Verbundserver einrichten, den ersten Verbundserver in einer neuen Farm erstellen oder einen Computer mit einer vorhandenen Verbundserverfarm verknüpfen möchten. Hinweis: Für den Federated-Web-SSO-Entwurf (Single Sign-On) benötigen Sie mindestens einen Verbundserver in der Kontopartnerorganisation und mindestens einen Verbundserver in der Ressourcenpartnerorganisation. |
Erstellen eines eigenständigen Verbundservers
|
| (Optional) Verwenden Sie das AD FS-Verwaltungs-Snap-In, um die erforderlichen AD FS-Zertifikate hinzuzufügen und zu konfigurieren, die zum Bereitstellen Ihres Entwurfs erforderlich sind. Weitere Informationen zum Hinzufügen oder Ändern von Zertifikaten mithilfe des Snap-Ins finden Sie unter Zertifikatanforderungen für Verbundserver. |  Hinzufügen eines Tokensignaturzertifikats |
| Wenn dies der erste Verbundserver in Ihrer Organisation ist, konfigurieren Sie den Verbunddienst so, dass er Ihrem AD FS-Entwurf entspricht. | Prüfliste: Konfigurieren der Kontopartnerorganisation |
| Überprüfen Sie auf einem Clientcomputer, ob der Verbundserver funktionstüchtig ist. | Überprüfen der Funktionsfähigkeit von Verbundservern |