Подготовка сетевой инфраструктуры для серверов федерации

Область применения: Azure, Office 365, Power BI, Windows Intune

Следующий контрольный список включает задачи подготовки, которые необходимо выполнить для развертывания фермы серверов федерации.

Контрольный списокконтрольного списка: подготовка сетевой инфраструктуры для серверов федерации

Задача развертывания	Ссылки на разделы в этом разделе	Завершённый
1. Присоединитесь к компьютерам, которые становятся серверами федерации, в домен, где пользователи Active Directory будут проходить проверку подлинности. Заметка Этот шаг можно игнорировать, если вы будете использовать существующие контроллеры домена в качестве серверов федерации.
2. Создайте и настройте новое DNS-имя кластера NLB или используйте существующий кластер NLB в корпоративной сети, который будет использоваться новой фермой серверов федерации. Затем добавьте компьютеры сервера федерации в кластер NLB. Если вы используете технологию Windows Server для текущих узлов NLB, выберите соответствующую ссылку справа на основе версии операционной системы. Заметка Этот шаг является необязательным в тестовом развертывании этого решения единого входа с одним сервером федерации AD FS.	Сведения о создании и настройке кластеров NLB в Windows Server 2003 и Windows Server 2003 R2 см. в разделе Контрольный список. Включение и настройка балансировки нагрузки сети. Сведения о создании и настройке кластеров NLB в Windows Server 2008 см. в статье Создание кластеров балансировки нагрузки сети. Сведения о создании и настройке кластеров NLB в Windows Server 2008 R2 см. в статье Создание кластеров балансировки нагрузки сети.
3. Создайте новую запись ресурсов для DNS-имени кластера в корпоративной сети DNS, указывающую полное доменное имя кластера на IP-адрес кластера.	Добавление записи ресурсов в корпоративный DNS для DNS-имени кластера, настроенного на корпоративном узле NLB
4. Импортируйте сертификат проверки подлинности сервера на веб-сайт по умолчанию для каждого сервера федерации в ферме. Заметка Установка этого сертификата на веб-сайте по умолчанию является обязательным требованием, прежде чем использовать мастер настройки сервера федерации AD FS.	импортировать сертификат проверки подлинности сервера в веб-сайта по умолчанию
5. Создайте и настройте выделенную учетную запись службы в Active Directory, где ферма серверов федерации будет находиться и настраивать каждый сервер федерации в ферме для использования этой учетной записи.	вручную настройте учетную запись службы для фермы серверов федерации

Присоединение компьютера к домену

Для работы AD FS каждый компьютер, который работает как сервер федерации, должен быть присоединен к домену. Прокси-серверы федерации могут быть присоединены к домену, но это не обязательно.

Если вы хотите использовать AD FS в Windows Server 2012 R2, домен Active Directory должен выполнить любой из следующих действий:

• Windows Server

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

Присоединение компьютера к домену

1. На компьютере, к которому требуется присоединиться к домену, щелкните Запустить, щелкните панель управления, а затем дважды щелкните System.

2. В разделе Имя компьютера, домен и параметры рабочей группыщелкните Изменить параметры.

3. На вкладке имя компьютера щелкните Изменить.

4. В разделе Членнажмите кнопку Домен, введите имя домена, к которому будет присоединен этот компьютер, и нажмите кнопку ОК.

5. Нажмите кнопку ОК, а затем перезагрузите компьютер.

Добавление записи ресурсов в корпоративный DNS для DNS-имени кластера, настроенного на корпоративном узле NLB.

Для успешного доступа к службе федерации клиентам в корпоративной сети необходимо сначала создать запись ресурса узла (A) в корпоративной системе доменных имен (DNS), которая разрешает DNS-имя кластера службы федерации (например, fs.fabrikam.com) к IP-адресу кластера в корпоративной сети (например, 172.16.1.3). Для добавления записи ресурсов узла (A) в корпоративный DNS для кластера NLB можно использовать следующую процедуру.

Добавление записи ресурсов в корпоративный DNS для DNS-имени кластера, настроенного на узле корпоративной балансировки нагрузки

1. На DNS-сервере корпоративной сети откройте оснастку DNS.

2. В дереве консоли щелкните правой кнопкой мыши соответствующую зону поиска вперед (например, fabrikam.com), а затем щелкните новый узел (A или AAAA).

3. В именивведите только имя компьютера сервера федерации или кластера серверов федерации; Например, для полного доменного имени (FQDN) fs.fabrikam.com введите fs.

4. В IP-адресвведите IP-адрес для сервера федерации или кластера серверов федерации; например, 172.16.1.3.

5. Щелкните Добавить узел.

   Важный

   Предполагается, что вы используете DNS-сервер под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2008 со службой DNS-сервера для управления зоной DNS.

Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию

После получения сертификата проверки подлинности сервера из центра сертификации (ЦС) необходимо вручную установить этот сертификат на веб-сайте по умолчанию для каждого сервера федерации в ферме.

Так как этот сертификат должен быть доверенным клиентами AD FS и облачными службами Майкрософт, используйте SSL-сертификат, выданный общедоступным (сторонним) ЦС или ЦС, подчиненным общедоступному корневому каталогу. например, VeriSign или Thawte. Сведения об установке сертификата из общедоступного ЦС см. в статье IIS 7.0. Запрос сертификата сервера Интернета.

Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию

1. Щелкните Запустить, наведите указатель на все программы, наведите указатель на администрирование, а затем щелкните диспетчер служб IIS.

2. В дереве консоли щелкните ComputerName.

3. В центральной области дважды щелкните сертификаты сервера.

4. В области действий щелкните Импорт.

5. В диалоговом окне Импорт сертификата нажмите кнопку ....

6. Перейдите к расположению PFX-файла сертификата, выделите его и нажмите кнопку Открыть.

7. Введите пароль для сертификата и нажмите кнопку ОК.

Создание выделенной учетной записи службы для фермы серверов федерации

Чтобы настроить среду фермы серверов федерации в AD FS, необходимо создать и настроить выделенную учетную запись службы в Active Directory, где будет находиться ферма. Эта выделенная учетная запись службы необходима, чтобы все ресурсы, необходимые ферме AD FS, предоставили доступ к каждому из серверов федерации в ферме.

Затем вы настроите каждый сервер федерации в ферме, чтобы использовать эту же учетную запись службы. Например, если созданная учетная запись службы была fabrikam\ADFS2SVC, каждый компьютер, настроенный для роли сервера федерации, и который будет участвовать в той же ферме, должен указать fabrikam\ADFS2SVC на этом шаге в мастере настройки сервера федерации для работы фермы.

Создание выделенной учетной записи службы для фермы серверов федерации

1. Создайте выделенную учетную запись пользователя или службы в лесу Active Directory, который будет использоваться в вашей организации.

2. Измените свойства учетной записи пользователя и установите флажок Пароль никогда не истекает. Это действие гарантирует, что функция учетной записи службы не прерывается в результате требований к изменению пароля домена.

   Заметка

   • Если необходимо регулярно изменить пароль для учетной записи службы, см. настройке дополнительных параметров ad FS 2.0.
     
     
   • Использование учетной записи сетевой службы для этой выделенной учетной записи приведет к случайным сбоям при попытке доступа через встроенную проверку подлинности Windows в результате проверки билетов Kerberos с одного сервера на другой.
     
     

Следующий шаг

Теперь, когда вы изучили требования к развертыванию AD FS, следующим шагом является выполнение задач в любом из следующих контрольных списков в зависимости от версии AD FS, которую вы хотите использовать:

• контрольный список . Развертывание фермы серверов федерации в Windows Server 2012 R2

• контрольный список . Развертывание фермы серверов федерации в устаревших версиях Windows Server

См. также

Концепции

контрольный список . Использование AD FS для реализации единого входа и управления ими