Подготовка и развертывание служб федерации Active Directory — локальное доверие к ключам
В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:
Windows Hello для бизнеса работает исключительно с ролью службы федерации Active Directory (AD FS), включенной в Состав Windows Server. Локальная модель развертывания доверия к ключу использует AD FS для регистрации ключей и регистрации устройств.
В следующем руководстве описывается развертывание нового экземпляра AD FS с использованием базы данных windows Information Database (WID) в качестве базы данных конфигурации.
WID идеально подходит для сред с не более чем 30 серверами федерации и не более чем с 100 отношениями доверия с проверяющей стороной. Если ваша среда превышает один из этих факторов или требуется разрешение артефактов SAML, обнаружение воспроизведения маркеров или служба AD FS должна работать в качестве роли федеративного поставщика, то для развертывания необходимо использовать SQL в качестве базы данных конфигурации.
Сведения о развертывании AD FS с использованием SQL в качестве базы данных конфигурации см. в контрольном списке Развертывание фермы серверов федерации .
Новая ферма AD FS должна иметь как минимум два сервера федерации для правильной балансировки нагрузки, что можно выполнить с помощью внешних сетевых периферийных устройств или с помощью роли балансировки сетевой нагрузки, включенной в Windows Server.
Подготовьте развертывание AD FS, установив и обновив два сервера Windows.
Регистрация для сертификата проверки подлинности сервера TLS
Как правило, служба федерации — это пограничная роль. Тем не менее службы федерации и экземпляр, используемый для локального развертывания Windows Hello для бизнеса, не требуют подключения к Интернету.
Роли AD FS требуется сертификат проверки подлинности сервера для служб федерации, и вы можете использовать сертификат, выданный корпоративным (внутренним) ЦС. Если вы запрашиваете отдельный сертификат для каждого узла в ферме федерации, сертификат проверки подлинности сервера должен содержать следующие имена:
- Имя субъекта: внутреннее полное доменное имя сервера федерации.
- Альтернативное имя субъекта: имя службы федерации (например , sts.corp.contoso.com) или соответствующая запись с подстановочными знаками (например, *.corp.contoso.com).
Имя службы федерации задается при настройке роли AD FS. Вы можете выбрать любое имя, но это имя должно отличаться от имени сервера или узла. Например, можно присвоить серверу узла имя adfs и sts службы федерации. В этом примере полное доменное имя узла является adfs.corp.contoso.com , а полное доменное имя службы федерации — sts.corp.contoso.com.
Вы также можете выдать один сертификат для всех узлов в ферме. Если вы выбрали этот параметр, оставьте имя субъекта пустым и добавьте все имена в альтернативное имя субъекта при создании запроса на сертификат. Все имена должно содержать полное доменное имя каждого узла в ферме и имя службы федерации.
При создании сертификата с подстановочными знаками пометьте закрытый ключ как экспортируемый, чтобы один и тот же сертификат можно было развернуть на каждом сервере федерации и прокси-сервере веб-приложения в ферме AD FS. Обратите внимание, что сертификат должен быть доверенным (цепочка к доверенному корневому ЦС). После успешного запроса и регистрации сертификата проверки подлинности сервера на одном узле можно экспортировать сертификат и закрытый ключ в PFX-файл с помощью консоли диспетчера сертификатов. Затем можно импортировать сертификат на остальные узлы на ферме AD FS.
Обязательно зарегистрируйте или импортируйте сертификат в хранилище сертификатов компьютера сервера AD FS. Кроме того, все узлы в ферме обязательно должны иметь действующий сертификат проверки подлинности сервера TLS.
Регистрация сертификата проверки подлинности AD FS
Войдите на сервер федерации с учетными данными, эквивалентными администратору домена .
- Запустите диспетчер сертификатов локального компьютера (certlm.msc)
- Разверните узел Личный в области навигации
- Щелкните правой кнопкой мыши Личные. Выберите Все задачи запросить > новый сертификат
- Нажмите кнопку Далее на странице перед началом работы .
- Нажмите кнопку Далее на странице Выбор политики регистрации сертификатов .
- На странице Запрос сертификатов установите флажок Внутренний веб-сервер .
- ⚠Выберите ️ Дополнительные сведения необходимы для регистрации этого сертификата. Щелкните здесь, чтобы настроить ссылку Параметры
- В разделе Имя субъекта выберите Общее имя из списка Тип. Введите полное доменное имя компьютера, на котором размещена роль AD FS, и нажмите кнопку Добавить.
- В разделе Альтернативное имя выберите DNS из списка Тип. Введите полное доменное имя имени, которое будет использоваться для служб федерации (sts.corp.contoso.com). Имя, используемое здесь, ДОЛЖНО соответствовать имени, используемому при настройке роли сервера AD FS. По завершении нажмите кнопку Добавить и ОК .
- Выберите Регистрация
Сертификат проверки подлинности сервера должен отображаться в личном хранилище сертификатов компьютера.
Развертывание роли AD FS
Важно.
Завершите всю конфигурацию AD FS на первом сервере в ферме, прежде чем добавляться второй сервер на ферму AD FS. После завершения второй сервер получает конфигурацию через общую базу данных конфигураций при добавлении фермы AD FS.
Войдите на сервер федерации с учетными данными, эквивалентными администратору предприятия .
- Запустите Диспетчер серверов. Выберите Локальный сервер в области навигации.
- Выберите Управление > добавлением ролей и компонентов
- Нажмите кнопку Далее на странице Перед началом работы .
- На странице Выбор типа установки выберите Установка на основе ролей или компонентов > Далее.
- На странице Выбор целевого сервера выберите Выберите сервер из пула серверов. Выберите сервер федерации из списка Пул серверов и Далее
- На странице Выбор ролей сервера выберите Службы федерации Active Directory и Далее.
- Нажмите кнопку Далее на странице Выбор компонентов .
- Нажмите кнопку Далее на странице службы федерации Active Directory .
- Нажмите кнопку Установить , чтобы начать установку роли.
Проверка развертывания AD FS
Перед продолжением развертывания проверьте результаты своей работы, просмотрев следующие элементы:
- Убедитесь, что ферма AD FS использует правильную конфигурацию базы данных
- Убедитесь, что ферма AD FS имеет достаточное количество узлов и правильно распределяет нагрузку для ожидаемой нагрузки.
- Убедитесь, что на всех серверах AD FS в ферме установлены последние обновления.
- Убедитесь, что все серверы AD FS имеют действительный сертификат проверки подлинности
Предварительные требования к учетной записи службы регистрации устройств
Использование групповых управляемых учетных записей служб (GMSA) является предпочтительным способом развертывания учетных записей служб для служб, которые их поддерживают. GMSA имеют преимущества в области безопасности по сравнению с обычными учетными записями пользователей, так как Windows обрабатывает управление паролями. Это означает, что пароль длинный, сложный и периодически меняется. AD FS поддерживает GMSA, и его следует настроить с их помощью для дополнительной безопасности.
GSMA использует службу распространения ключей Майкрософт , расположенную на контроллерах домена. Перед созданием GSMA необходимо сначала создать корневой ключ для службы. Это можно пропустить, если в среде уже используется GSMA.
Создание корневого ключа служб распространения ключей (KDS)
Войдите в контроллер домена с учетными данными, эквивалентными администратору предприятия .
Запустите консоль PowerShell с повышенными привилегиями и выполните следующую команду:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
Настройка роли службы федерации Active Directory (AD FS)
Используйте следующие процедуры для настройки AD FS.
Войдите на сервер федерации с учетными данными, эквивалентными администратору домена . В этих процедурах предполагается, что вы настраиваете первый сервер федерации в ферме серверов федерации.
- Запуск диспетчера сервера
- Выберите флаг уведомления в правом верхнем углу и выберите Настроить службы федерации на этом сервере.
- На странице Приветствие выберите Создать первую ферму > серверов федерации Далее.
- На странице Подключение к доменным службам Active Directory нажмите кнопку Далее.
- На странице Настройка свойств службы выберите недавно зарегистрированный или импортированный сертификат из списка SSL-сертификат. Сертификат, скорее всего, называется в честь вашей службы федерации, например sts.corp.contoso.com
- Выберите имя службы федерации в списке Имя службы федерации .
- Введите отображаемое имя службы федерации в текстовом поле. Это имя, которое отображается пользователям при их входе в систему. Нажмите кнопку Далее
- На странице Укажите учетную запись службы выберите пункт Создать групповую управляемую учетную запись службы. В поле Имя учетной записи введите adfssvc.
- На странице Указание базы данных конфигурации выберите Создать базу данных на этом сервере с помощью внутренней базы данных Windows и нажмите кнопку Далее.
- На странице Параметры проверки нажмите кнопку Далее.
- На странице Предварительные проверки выберите Настроить.
- Когда процесс завершится, нажмите кнопку Закрыть.
Добавление учетной записи службы AD FS в группу "Ключевые администраторы "
Во время регистрации Windows Hello для бизнеса открытый ключ регистрируется в атрибуте объекта пользователя в Active Directory. Чтобы служба AD FS могла добавлять и удалять ключи в рамках обычного рабочего процесса, она должна быть членом глобальной группы "Администраторы ключей ".
Войдите в контроллер домена или рабочую станцию управления с учетными данными, эквивалентными администратору домена .
- Откройте оснастку Пользователи и компьютеры Active Directory.
- Выберите контейнер Users (Пользователи ) в области навигации.
- Щелкните правой кнопкой мыши Администраторы ключей в области сведений и выберите свойства.
- Выберите Члены > Добавить...
- В текстовое поле Введите имена выбираемых объектов введите adfssvc. Нажмите кнопку ОК.
- Нажмите кнопку ОК, чтобы вернуться к разделу Пользователи и компьютеры Active Directory.
- Перейдите на сервер, на котором размещена роль AD FS, и перезапустите его.
Настройка службы регистрации устройств
Войдите на сервер федерации с учетными данными, эквивалентными администратору предприятия . В этих инструкциях предполагается, что вы настраиваете первый сервер федерации в ферме серверов федерации.
- Открытие консоли управления AD FS
- В области навигации разверните Служба. Выберите Регистрация устройства
- В области сведений выберите Настроить регистрацию устройств.
- В диалоговом окне Настройка регистрации устройства нажмите кнопку ОК.
При активации регистрации устройства из AD FS создается точка подключения службы (SCP) в разделе конфигурации Active Directory. SCP используется для хранения сведений о регистрации устройств, которые клиенты Windows будут автоматически обнаруживать.
Проверка конфигурации AD FS и Active Directory
Перед продолжением развертывания проверьте результаты своей работы, просмотрев следующие элементы:
- Запишите сведения о сертификате AD FS и установите напоминание о продлении по крайней мере за шесть недель до истечения срока действия сертификата AD FS. Соответствующая информация включает в себя: серийный номер сертификата, отпечаток, общее имя, альтернативное имя субъекта, имя физического сервера узла, дата выдачи, дата окончания срока действия и поставщик ЦС выдачи (если сертификат сторонних производителей)
- Убедитесь, что вы добавили учетную запись службы AD FS в группу KeyAdmins.
- Убедитесь, что служба регистрации устройств включена.
Дополнительные серверы федерации
Организациям следует развернуть более одного сервера федерации в их ферме федерации для обеспечения высокого уровня доступности. Следует иметь как минимум две службы федерации в ферме AD FS, однако у большинства организаций, скорее всего, будет больше. Это во основном зависит от числа устройств и пользователей, использующих службы, предоставляемые фермой AD FS.
Сертификат проверки подлинности сервера
Каждый сервер, добавляемый в ферму AD FS, должен иметь соответствующий сертификат проверки подлинности сервера. Требования к сертификату проверки подлинности сервера см. в разделе Регистрация сертификата проверки подлинности сервера TLS этого документа. Как уже упоминалось, серверы AD FS, которые используются исключительно для локальных развертываний Windows Hello для бизнеса, могут использовать корпоративные сертификаты проверки подлинности сервера, а не сертификаты проверки подлинности сервера, выданные открытыми центрами сертификации.
Установка дополнительных серверов
Добавление серверов федерации в существующую ферму AD FS начинается с обеспечения полного исправления сервера, чтобы включить обновление Windows Server 2016, необходимое для поддержки развертываний Windows Hello для бизнеса (https://aka.ms/whfbadfs1703). Затем установите роль службы федерации Active Directory (AD FS) на дополнительные серверы и настройте сервер в качестве дополнительного сервера в существующей ферме.
Балансировка нагрузки AD FS
Во многих средах балансировка нагрузки выполняется с помощью аппаратных средств. Среды без возможности аппаратной балансировки нагрузки могут использовать включенный в Windows Server компонент балансировки нагрузки сети, чтобы балансировать нагрузку на серверы AD FS в ферме федерации. Установите компонент балансировки нагрузки сети Windows на все узлы, участвующих в ферме AD FS, нагрузка на которую должна быть сбалансирована.
Установка компонента балансировки сетевой нагрузки на серверы AD FS
Войдите на сервер федерации с учетными данными, эквивалентными администратору предприятия .
- Запустите Диспетчер серверов. Выберите Локальный сервер в области навигации.
- Выберите Управление, а затем — Добавить роли и компоненты.
- Нажмите кнопку Далее на странице Перед началом работы
- На странице Выбор типа установки выберите Установка на основе ролей или компонентов и нажмите кнопку Далее.
- На странице Выбор целевого сервера выберите Выберите сервер из пула серверов. Выберите сервер федерации из списка Пул серверов. Нажмите кнопку Далее
- На странице Выбор ролей сервера нажмите кнопку Далее.
- Выберите Балансировка сетевой нагрузки на странице Выбор компонентов
- Выберите Установить , чтобы запустить установку компонента.
Настройка балансировки сетевой нагрузки для AD FS
Прежде чем можно будет сбалансировать нагрузку на все узлы в ферме AD FS, необходимо создать новый кластер балансировки нагрузки. После создания кластера можно добавить новые узлы в кластер.
Войдите в узел фермы федерации с учетными данными, эквивалентными администратору .
- Откройте диспетчер балансировки сетевой нагрузки из администрирования
- Щелкните правой кнопкой мыши Кластеры балансировки сетевой нагрузки и выберите Создать кластер.
- Чтобы подключиться к узлу, который должен быть частью нового кластера, в текстовом поле Узел введите имя узла, а затем выберите Подключиться.
- Выберите интерфейс, который вы хотите использовать с кластером, а затем нажмите кнопку Далее (интерфейс размещает виртуальный IP-адрес и получает трафик клиента для балансировки нагрузки).
- В разделе Параметры узла выберите значение в поле Приоритет (уникальный идентификатор узла). Этот параметр задает уникальный идентификатор для каждого узла. Узел с наименьшим числовым значением приоритета среди текущих членов кластера обрабатывает весь сетевой трафик кластера, не учитываемый правилом для порта. Нажмите кнопку Далее
- В разделе IP-адреса кластера выберите Добавить и введите IP-адрес кластера, общий для каждого узла в кластере. Балансировка сетевой нагрузки добавляет этот IP-адрес в стек TCP/IP на выбранном интерфейсе всех узлов, которые выбираются в качестве части кластера. Нажмите кнопку Далее
- В разделе Параметры кластера выберите значения в IP-адрес и маска подсети (для адресов IPv6 значение маски подсети не требуется). Введите полное интернет-имя, которое пользователи будут использовать для доступа к этому кластеру NLB.
- В режиме работы кластера выберите Одноадресная рассылка , чтобы указать, что для операций кластера следует использовать MAC-адрес управления доступом к одноадресной рассылке. В режиме одноадресной рассылки MAC-адрес кластера назначается сетевому адаптеру компьютера, а встроенный MAC-адрес сетевого адаптера не используется. Рекомендуется принять параметры одноадресной рассылки по умолчанию. Нажмите кнопку Далее
- В разделе Правила портов выберите Изменить, чтобы изменить правила портов по умолчанию для использования порта 443.
Дополнительные серверы AD FS
- Чтобы добавить дополнительные узлы в кластер, щелкните правой кнопкой мыши новый кластер и выберите пункт Добавить узел в кластер.
- Настройте параметры узла (включая приоритет узла, выделенные IP-адреса и оценку нагрузки) для дополнительных узлов, выполнив те же инструкции, которые вы использовали для настройки начального узла. Так как вы добавляете узлы в уже настроенный кластер, все параметры на уровне кластера остаются неизменными.
Конфигурация DNS для регистрации устройств
Выполните вход на контроллер домена или административную рабочую станцию с учетными данными, эквивалентными администратору домена.
Для выполнения этой задачи потребуется имя службы федерации . Имя службы федерации можно просмотреть, выбрав Изменить свойства службы федерации в области действий консоли управления AD FS или с помощью (Get-AdfsProperties).Hostname.
(PowerShell) на сервере AD FS.
- Открытие консоли управления DNS
- В области навигации разверните узел имя контроллера домена и Зоны прямого просмотра.
- В области навигации выберите узел с именем внутреннего доменного имени Active Directory.
- В области навигации щелкните правой кнопкой мыши узел доменного имени и выберите Создать узел (A или AAAA).
- В текстовом поле Имя введите имя службы федерации. В поле IP-адрес укажите IP-адрес сервера федерации. Выберите Добавить узел.
- Щелкните узел правой
<domain_name>
кнопкой мыши и выберите Новый псевдоним (CNAME) - В диалоговом окне Новая запись ресурса введите
enterpriseregistration
в поле Имя псевдонима . - В поле полное доменное имя (FQDN) целевого узла введите
federation_service_farm_name.<domain_name_fqdn
и нажмите кнопку ОК. - Выйдите из консоли "Управление DNS".
Примечание.
Если в вашем лесу есть несколько суффиксов имени участника-пользователя, убедитесь, что enterpriseregistration.<upnsuffix_fqdn>
он присутствует для каждого суффикса.
Настройка зоны интрасети для включения службы федерации
Подготовка Windows Hello предоставляет веб-страницы из службы федерации. Настройка зоны интрасети для включения службы федерации позволяет пользователю проходить проверку подлинности в службе федерации, используя встроенную проверку подлинности. Без этой настройки подключение к службе федерации во время подготовки Windows Hello предлагает пользователю пройти проверку подлинности.
Создание политики группы зоны интрасети
Войдите в контроллер домена или административную рабочую станцию с учетными данными, эквивалентными администратору домена .
- Запустите консоль управления групповыми политиками (
gpmc.msc
) - Разверните домен и выберите узел Объект групповой политики в области навигации.
- Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
- В поле имени введите Параметры зоны интрасети и нажмите кнопку ОК.
- В области содержимого щелкните правой кнопкой мыши объект групповой политики "Параметры зоны интрасети" и выберите изменить.
- В области навигации разверните узел Политики в разделе Конфигурация компьютера.
- Разверните узел Административные шаблоны > Компонент > Windows Internet Explorer Страница безопасности панели >управления Internet Explorer>. Открытие списка назначений типа "сеть — зона"
- Выберите Включить > показать. В столбец Имя значения введите URL-адрес службы федерации, начиная с https. В столбец Значение введите номер 1. Дважды нажмите кнопку ОК, а затем закройте редактор управления групповыми политиками.
Развертывание объекта политики группы зоны интрасети
- Запустите Консоль управления групповыми политиками (gpmc.msc).
- В области навигации разверните домен и щелкните правой кнопкой мыши узел с доменным именем Active Directory и выберите Связать существующий объект групповой политики...
- В диалоговом окне Выбор объекта групповой политики выберите Параметры зоны интрасети или имя созданного ранее объекта групповой политики Windows Hello для бизнеса и нажмите кнопку ОК.
Проверка и развертывание многофакторной проверки подлинности (MFA)
Windows Hello для бизнеса требует, чтобы пользователи выполняли многофакторную проверку подлинности (MFA) перед регистрацией в службе. Локальные развертывания могут использовать в качестве параметра MFA:
- Сертификаты
Примечание.
При использовании этого параметра сертификаты должны быть развернуты для пользователей. Например, пользователи могут использовать свою смарт-карту или виртуальную смарт-карту в качестве параметра проверки подлинности сертификата.
- Поставщики проверки подлинности сторонних производителей для AD FS
- пользовательский поставщик проверки подлинности для AD FS
Важно.
С 1 июля 2019 г. корпорация Майкрософт больше не будет предлагать сервер MFA для новых развертываний. Новые клиенты, которым требуется многофакторная проверка подлинности от пользователей, должны использовать облачную многофакторную проверку подлинности Microsoft Entra. Существующие клиенты, которые активировали сервер MFA до 1 июля, смогут скачать последнюю версию, будущие обновления и создать учетные данные активации в обычном режиме.
Сведения о доступных методах проверки подлинности, отличных от Майкрософт, см. в статье Настройка дополнительных методов проверки подлинности для AD FS. Сведения о создании пользовательского метода проверки подлинности см. в статье Создание пользовательского метода проверки подлинности для AD FS в Windows Server
Следуйте инструкциям в руководстве по интеграции и развертыванию для выбранного поставщика проверки подлинности, чтобы интегрировать и развернуть его в AD FS. Убедитесь, что поставщик проверки подлинности выбран в качестве параметра многофакторной проверки подлинности в политике проверки подлинности AD FS. Сведения о настройке политик проверки подлинности AD FS см. в разделе Настройка политик проверки подлинности.
Проверка конфигурации
Перед продолжением развертывания проверьте результаты своей работы, просмотрев следующие элементы:
- Убедитесь, что все серверы AD FS имеют действительный сертификат проверки подлинности сервера. Субъект сертификата — это общее имя (полное доменное имя) узла или подстановочное имя. Альтернативное имя сертификата содержит подстановочное имя или полное доменное имя службы федераций
- Убедитесь, что ферма AD FS имеет достаточное количество узлов и правильно распределяет нагрузку для ожидаемой нагрузки.
- Убедитесь, что вы перезапустили службу AD FS
- Убедитесь, что вы создали запись A DNS для службы федерации и используемый IP-адрес — это IP-адрес балансировки нагрузки.
- Убедитесь, что вы создали и развернули параметры зоны интрасети, чтобы предотвратить двойную проверку подлинности на сервере федерации.
- Убедитесь, что вы развернули решение MFA для AD FS