Configurar um servidor de federação
Depois de instalar o serviço de função do AD FS (Serviços de Federação do Active Directory) no computador, você estará pronto para configurar o computador para torná-lo um servidor de federação. Você tem as seguintes opções:
Configurar o primeiro servidor de federação em um farm de servidores de federação
Adicionar um servidor de federação a um farm de servidores de federação existente
Configurar o primeiro servidor de federação em um farm de servidores de federação
Para configurar o primeiro servidor de federação em um novo farm de servidores de federação usando o Assistente de Configuração do Serviço de Federação do Active Directory
Observação
Verifique se você tem permissões ou credenciais de administrador do domínio disponíveis antes de realizar este procedimento.
Na página Painel do do Gerenciador do Servidores, clique no sinalizador Notificações e, em seguida, clique em Configurar o serviço de federação no servidor.
O Assistente de Configuração do Serviço de Federação do Active Directory é aberto.
Na página Bem-vindo, selecione Criar o primeiro servidor de federação em um farm de servidores de federação e clique em Avançar.
Na página Conectar-se a um AD DS, especifique uma conta usando permissões de administrador do domínio no domínio do AD (Active Directory) ao qual o computador foi ingressado e clique em Avançar.
Na página Especificar Propriedades de Serviço, siga estas etapas e clique em Avançar:
Importe o arquivo .pfx que contém o certificado SSL e a chave que você obteve anteriormente. Na Etapa 2: Registrar um certificado SSL para o AD FS, você obteve esse certificado e o copiou no computador que deseja configurar como um servidor de federação. Para importar o arquivo .pfx por meio do assistente, clique em Importar e navegue até a localização do arquivo. Insira a senha do arquivo .pfx, quando solicitado.
Forneça um nome para seu serviço de federação. Por exemplo, fs.contoso.com. Este nome deve corresponder a um dos nomes da entidade ou nomes alternativos da entidade no certificado.
Forneça um nome para exibição para seu serviço de federação. Por exemplo, Corporação Contoso. Os usuários veem esse nome na página de entrada do AD FS (Serviços de Federação do Active Directory).
Na página Especificar Conta do Serviço, especifique a conta do serviço. É possível criar ou usar uma Conta de Serviço Gerenciada (gMSA) do grupo existente ou usar uma conta de usuário do domínio existente. Se você selecionou a opção de criar uma conta gMSA, especifique o nome da nova conta. Se selecionou a opção para usar uma conta gMSA ou uma conta de domínio existente, clique em Selecionar para escolher uma conta.
Observação
O benefício do uso de uma conta gMSA é o recurso de atualização de senha autonegociável.
Aviso
Caso você deseje usar uma conta gMSA, é preciso ter, no mínimo, um controlador de domínio no seu ambiente que execute o sistema operacional Windows Server 2012.
Se a opção gMSA estiver desabilitada e você receber uma mensagem de erro, como As Contas de Serviço Gerenciado de Grupo não estão disponíveis porque a Chave Raiz do KDS não foi definida, habilite a gMSA no seu domínio executando o seguinte comando do Windows PowerShell em um controlador de domínio que executa o Windows Server 2012 ou posterior no seu domínio do Active Directory:
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
. Em seguida, volte ao assistente, clique no botão Anterior e clique em Avançar para entrar novamente na página Especificar Conta de Serviço. A opção gMSA já deve estar habilitada. Você pode selecioná-la e inserir um nome de conta gMSA que deseja usar.Na página Especificar o Banco de Dados da Configuração, especifique o banco de dados da configuração do AD FS e clique em Avançar. É possível criar um banco de dados neste computador usando um WID (Banco de Dados Interno do Windows) ou especificar a localização e o nome da instância do Microsoft SQL Server.
Para saber mais, confira A função do banco de dados de configuração de AD FS.
Importante
Caso você deseje criar um farm do AD FS e usar o SQL Server para armazenar seus dados de configuração, use o SQL Server 2008 e versões mais recentes, incluindo o SQL Server 2012 e o SQL Server 2014.
Na página Examinar Opções, verifique suas seleções de configuração e clique em Avançar.
Na página Verificações de Pré-requisitos, confira se todas as verificações de pré-requisitos foram concluídas com sucesso e clique em Configurar.
Na página Resultados, analise os resultados, verifique se a configuração foi concluída com sucesso e clique em As próximas etapas são necessárias para concluir a implantação do serviço de federação. Para obter mais informações, confira Próximas etapas para concluir a instalação do AD FS. Clique em Fechar para sair do assistente.
Para configurar o primeiro servidor de federação em um farm de servidores de federação via o Windows PowerShell.
É possível criar um farm de servidores de federação usando uma conta gMSA nova ou existente ou uma conta de usuário de domínio existente.
Caso você deseje criar um servidor de federação usando uma nova conta gMSA, faça o seguinte:
Importante
Você deve ter permissões de administrador de domínio para criar o primeiro servidor de federação em um farm de servidores de federação novo.
No computador que deseja configurar como um servidor de federação, verifique se o certificado SSL necessário foi importado no diretório Computador Local\Meu Repositório. É possível verificar se o certificado SSL foi importado executando o seguinte comando na janela de comando do Windows PowerShell:
dir Cert:\LocalMachine\My
. O certificado será listado pela impressão digital no diretório Computador Local\Meu Repositório.No controlador de domínio, abra a janela de comando do Windows PowerShell e execute o seguinte comando para verificar se a Chave Raiz do KDS foi criada no domínio:
Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
. Se ela não tiver sido criada, ou seja, o resultado não mostra nenhuma informação, execute o seguinte comando para criar a chave:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
.No computador que deseja configurar como o servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
Aviso
O sinal
$
no final do comando anterior é obrigatório.Para obter o valor de
<certificate_thumbprint>
, executedir Cert:\LocalMachine\My
e selecione a impressão digital do certificado SSL. O valor de<federation_service_name>
é o nome do seu serviço de federação, por exemplo, fs.contoso.com.Observação
Se esta NÃO for a primeira vez que você executa este comando, adicione o parâmetro
OverwriteConfiguration
.Observação
O comando anterior cria um farm do WID. Caso você deseje criar um farm de servidores do SQL Server, é preciso ter uma instância do SQL Server já instalada e operacional.
Use o comando a seguir para criar o primeiro servidor de federação em um novo farm que usa uma instância do SQL Server:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"
, em que <SQL_Host_Name> é o nome do servidor no qual o SQL Server está em execução e <SQL_instance_name> é o nome da instância do SQL Server. Se você usar a instância padrão do SQL Server, use um valor SQLConnectionString igual a "Data Source=<SQL_Host_Name>;Integrated Security=True".Importante
Se você deseja criar um farm do AD FS e usar o SQL Server para armazenar seus dados de configuração, pode usar o SQL Server 2008 e versões mais recentes, incluindo o SQL Server 2012.
Caso você deseje criar um servidor de federação usando uma conta de domínio do usuário existente, faça o seguinte:
No computador que deseja configurar como um servidor de federação, verifique se o certificado SSL necessário foi importado no diretório Computador Local\Meu Repositório. É possível verificar se o certificado SSL foi importado executando o seguinte comando na janela de comando do Windows PowerShell:
dir Cert:\LocalMachine\My
. O certificado será listado pela impressão digital no diretório Computador Local\Meu Repositório.No computador que você deseja configurar como um servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando:
$fscred = Get-Credential
. Insira as credenciais da conta de usuário do domínio que deseja usar para a conta do serviço de federação no formato domínio\nome de usuário.Na mesma janela de comando do Windows PowerShell, execute o seguinte comando:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
Para obter o valor de <certificate_thumbprint>, execute
dir Cert:\LocalMachine\My
e selecione a impressão digital do certificado SSL. O valor de <federation_service_name> é o nome do serviço de federação, por exemplo, fs.contoso.com.Observação
Se esta NÃO for a primeira vez que você executa este comando, adicione o parâmetro
OverwriteConfiguration
.Observação
O comando anterior cria um farm do WID. Caso você deseje criar um farm do SQL Server, é preciso ter uma instância do SQL Server já instalada e operacional.
Use o comando a seguir para criar o primeiro servidor de federação em um novo farm que usa uma instância do SQL Server:
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
, em que SQL_Host_Name é o nome do servidor no qual o SQL Server está em execução e SQL_instance_name é o nome da instância do SQL Server. Se você usar a instância padrão do SQL Server, use um valor SQLConnectionString igual a "Data Source=<SQL_Host_Name>;Integrated Security=True".Importante
Caso você deseje criar um farm do AD FS e usar o SQL Server para armazenar seus dados de configuração, use o SQL Server 2008 e versões mais recentes, incluindo o SQL Server 2012 e o SQL Server 2014.
Adicionar um servidor de federação a um farm de servidores de federação existente
Importante
Verifique se você concluiu a Etapa 3: Instalar o Serviço de Função do AD FS antes de iniciar um dos procedimentos desta seção.
Importante
Verifique se obteve um certificado de autenticação de servidor SSL válido antes de realizar este procedimento.
Para adicionar um servidor de federação a um farm de servidores de federação existente via o Assistente de Configuração de Serviços de Federação do Active Directory
Na página Painel do do Gerenciador do Servidores, clique no sinalizador Notificações e, em seguida, clique em Configurar o serviço de federação no servidor.
O Assistente de Configuração do Serviço de Federação do Active Directory é aberto.
Na página Boas-vindas, selecione Adicionar um servidor de federação a um farm de servidores de federação e clique em Avançar.
Na página Conectar-se a um AD DS, especifique uma conta usando permissões de administrador do domínio no domínio do AD ao qual o computador foi ingressado e clique em Avançar.
Na página Especificar Farm, forneça o nome do servidor de federação primário em um farm que usa o WID ou especificando o nome do host do banco de dados e o nome da instância do banco de dados de um farm de servidores de federação existente que usa o SQL Server.
Aviso
No Windows Server® 2012 R2, há uma solução alternativa para especificar a instância padrão do SQL Server. A solução alternativa é não usar a interface do usuário. Em vez disso, use as etapas descritas em Para configurar o primeiro servidor de federação em um novo farm de servidores de federação por meio do Windows PowerShell.
Importante
Se você deseja criar um farm do AD FS e usar o SQL Server para armazenar seus dados de configuração, pode usar o SQL Server 2008 e versões mais recentes, incluindo o SQL Server 2012.
Na página Especificar Certificado SSL, importe o arquivo .pfx que contém o certificado SSL e a chave que você obteve anteriormente. Esse é o certificado obrigatório de autenticação de serviço. Na Etapa 2: Registrar um certificado SSL para o AD FS, você obteve esse certificado e o copiou para o computador que deseja configurar como um servidor de federação. Para importar o arquivo .pfx por meio do assistente, clique em Importar e navegue até a localização do arquivo. Insira a senha do arquivo .pfx, quando solicitado.
Na página Especificar Conta de Serviço, especifique a mesma conta do serviço que configurou quando criou o primeiro servidor de federação no farm. É possível usar uma Conta de Serviço Gerenciada do grupo existente ou uma conta de usuário do domínio existente.
Importante
A conta que você especificar precisa ser a mesma conta que a conta que foi usada no primeiro servidor de federação neste farm.
Na página Examinar Opções, verifique suas seleções de configuração e clique em Avançar.
Na página Verificações de Pré-requisitos, confira se todas as verificações de pré-requisitos foram concluídas com sucesso e clique em Configurar.
Na página Resultados, analise os resultados, verifique se a configuração foi concluída com sucesso e clique em As próximas etapas são necessárias para concluir a implantação do serviço de federação. Para obter mais informações, confira Próximas etapas para concluir a instalação do AD FS. Clique em Fechar para sair do assistente.
Para adicionar um servidor de federação a um farm de servidores de federação existente via o Windows PowerShell
É possível adicionar um servidor de federação a um farm existente usando uma conta gMSA existente ou uma conta de usuário do domínio existente.
Caso você deseje ingressar um servidor de federação em um farm usando uma conta gMSA existente, faça o seguinte:
No computador que deseja configurar como um servidor de federação, verifique se o certificado SSL necessário foi importado no diretório Computador Local\Meu Repositório. É possível verificar se o certificado SSL foi importado executando o seguinte comando na janela de comando do Windows PowerShell:
dir Cert:\LocalMachine\My
. O certificado será listado pela impressão digital no diretório Computador Local\Meu Repositório.No computador que deseja configurar como um servidor de federação, abra a janela de comando do Windows PowerShell e execute o comando a seguir.
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
<domain>\<GMSA_name>
é o domínio do AD e o nome da conta gMSA nesse domínio.<first_federation_server_hostname>
é o nome do host do servidor de federação primário neste farm existente.É possível obter o valor de
<certificate_thumbprint>
executandodir Cert:\LocalMachine\My
na etapa anterior.Observação
Se esta NÃO for a primeira vez que você executa este comando, adicione o parâmetro
OverwriteConfiguration
.Observação
O comando anterior cria um nó do farm do WID. Caso você deseje criar um nó do farm de servidores dos computadores que executam o SQL Server, é necessário ter a instância do SQL Server já instalada e funcionando.
Use o comando a seguir para adicionar um servidor de federação a um farm existente que esteja usando uma instância do SQL Server:
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
, em que SQL_Host_Name é o nome do servidor no qual o SQL Server está em execução e SQL_instance_name é o nome da instância do SQL Server. Se você usar a instância padrão do SQL Server, use um valor SQLConnectionString igual a "Data Source=<SQL_Host_Name>;Integrated Security=True".Importante
Caso você deseje criar um farm do AD FS e usar o SQL Server para armazenar seus dados de configuração, use o SQL Server 2008 e versões mais recentes, incluindo o SQL Server 2012 e o SQL Server 2014.
Caso você deseje ingressar um servidor de federação em um farm usando uma conta de usuário do domínio existente, faça o seguinte:
No computador que deseja configurar como um servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando:
$fscred = get-credential
. Insira as credenciais da conta de usuário do domínio que deseja usar para a conta do serviço de federação no formato domínio\nome de usuário.No computador que deseja configurar como um servidor de federação, verifique se o certificado SSL necessário foi importado no diretório Computador Local\Meu Repositório. É possível verificar se o certificado SSL foi importado executando o seguinte comando na janela de comando do Windows PowerShell:
dir Cert:\LocalMachine\My
. O certificado será listado pela impressão digital no diretório Computador Local\Meu Repositório.Na mesma janela de comando do Windows PowerShell, execute o comando a seguir.
Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
Observação
Se esta NÃO for a primeira vez que você executa este comando, adicione o parâmetro
OverwriteConfiguration
.Observação
O comando anterior cria um nó do farm do WID. Caso você deseje criar um nó do farm de servidores dos computadores que executam o SQL Server, é necessário ter a instância do SQL Server já instalada e funcionando. Use o comando a seguir para adicionar um servidor de federação a um farm existente usando uma instância do SQL Server:
Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
, em que SQL_Host_Name é o nome do servidor no qual a instância do SQL Server está em execução e SQL_instance_name é o nome da instância do SQL Server. Se você usar a instância padrão do SQL Server, use um valor SQLConnectionString igual a "Data Source=<SQL_Host_Name>;Integrated Security=True".Importante
Caso você deseje criar um farm do AD FS e usar o SQL Server para armazenar seus dados de configuração, use o SQL Server 2008 e versões mais recentes, incluindo o SQL Server 2012 e o SQL Server 2014.