在 Windows Server 2012 中設定同盟伺服器陣列的第一部同盟伺服器

  • 發行項

適用于:Azure、Office 365、Power BI、Windows Intune

在執行 Windows Server 2012 R2 的電腦上安裝 Active Directory Federation Service (AD FS) 角色服務之後,您即準備好設定這部電腦,以變成同盟伺服器。

您可以完成以下程序,以將這部電腦設定為同盟伺服器陣列中的第一部同盟伺服器。

在新的同盟伺服器陣列中設定第一部同盟伺服器

使用 Active Directory Federation Service 組態精靈以在新的同盟伺服器陣列中設定第一部同盟伺服器

注意

確定您具有網域系統管理員權限或具有可用的網域系統管理員認證,然後再執行這個程序。

  1. 在伺服器管理員的 [儀表板] 頁面上,按一下 [通知] 旗標,然後按一下 [在伺服器上設定同盟服務]

    即會啟動 [Active Directory Federation Service 組態精靈]

  2. 在 [歡迎使用] 頁面上,選取 [在同盟伺服器陣列中建立第一部同盟伺服器],然後按 [下一步]

  3. 在 [連接至 AD DS] 頁面上,為這部電腦加入至其中的 AD 網域指定具有網域系統管理員權限的帳戶,然後按 [下一步]

  4. 在 [指定服務內容] 頁面上,執行下列動作,然後按 [下一步]

    • 匯入 .pfx 檔案,其中包含您先前取得的 SSL 憑證和金鑰。 如一節所述 ,檢閱部署 AD FS 的需求 必須取得此憑證,並將其複製到您要設定為同盟伺服器的電腦。 若要透過精靈匯入 .pfx 檔案,請按一下 [匯入],然後瀏覽至檔案的位置。 提示時指定 .pfx 檔案的密碼。

    • 提供同盟服務的名稱。 例如,fs.contoso.com。 這個名稱必須符合憑證中的其中一個主旨或主旨替代名稱。

    • 提供同盟服務的顯示名稱。 例如,Contoso Corporation。 這個名稱將在 AD FS 登入頁面中顯示給使用者。

  5. 在 [指定服務帳戶] 頁面上,指定服務帳戶。 您可以建立或使用現有群組受管理的服務帳戶 (gMSA),或使用現有的網域使用者帳戶。 如果選取選項來建立新的 gMSA,請指定新帳戶的名稱。 如果選取選項來使用現有 gMSA 或網域帳戶,請按一下 [選取...] 按鈕來選取帳戶。

    注意

    使用 gMSA 的好處為其自動產生的密碼更新功能。

    警告

    如果想要使用 gMSA,則在執行 Windows Server 2012 作業系統的環境中,必須至少具有一個網域控制站。

    如果 gMSA 選項已停用,而且您看到類似群組受控服務帳戶的錯誤訊息無法使用,因為尚未設定 KDS 根金鑰,您可以在網域中執行下列Windows PowerShell命令,在 Active Directory 網域中的Windows Server 2012或更新的網域控制站上執行下列Windows PowerShell命令,以在網域中啟用 gMSA: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 。然後返回精靈,然後按一下 [上一步] 按鈕,接著按一下 [下一步] 按鈕,以重新輸入 [指定服務帳戶] 頁面。 gMSA 現在應該已啟用,因此您可以選取它,並輸入想要的 gMSA 帳戶名稱。

  6. 在 [指定組態資料庫] 頁面上,指定 AD FS 組態資料庫,然後按 [下一步]。 您可以在這部電腦上使用 Windows Internal Database (WID) 來建立一個資料庫,或者可以指定 SQL Server 的位置和執行個體名稱。

    如需詳細資訊,請參閱 AD FS 設定資料庫的角色

  7. 在 [檢閱選項] 頁面上,驗證組態選項,然後按 [下一步]

  8. 在 [必要條件的檢查] 頁面上,驗證所有必要條件檢查是否已順利完成,然後按一下 [設定]

  9. 在 [結果] 頁面上,檢閱結果以及組態是否已順利完成,然後按一下 [完成同盟服務部署所需的後續步驟]。 如需詳細資訊,請參閱 完成 AD FS 安裝的後續步驟。 按一下 [關閉] 結束精靈。

透過 Windows PowerShell 以在新的同盟伺服器陣列中設定第一部同盟伺服器

您可以使用新的或現有的 gMSA 或現有的網域使用者帳戶,建立新的同盟伺服器陣列。

  • 如果想要使用新的 gMSA 帳戶建立新的同盟伺服器,請執行以下動作:

    重要

    您必須具有網域系統管理員權限,才能在新的同盟伺服器陣列中建立第一部同盟伺服器。

    1. 在您要設定為同盟伺服器的電腦上,確定必要的 SSL 憑證已匯入至 Local Computer\My Store。 您可以在 Windows PowerShell 命令視窗中執行下列命令,以確認是否已匯入 SSL 憑證: dir Cert:\LocalMachine\My 。 憑證會依其指紋列在本機電腦\My Microsoft Store中。

    2. 在您的網域控制站上,開啟 [Windows PowerShell] 命令視窗,然後執行下列命令來驗證是否已在您的網域中建立 KDS 根金鑰: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 。 如果尚未建立, (輸出會顯示任何資訊) ,請執行下列命令來建立機碼: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

    3. 在您要設定為同盟伺服器的電腦上,開啟 Windows PowerShell 命令視窗,然後執行下列命令:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      警告

      需要上述命令尾端的 '$'。

      您可以執行 <certificate_thumbprint>,並選取 SSL 憑證的指紋,來取得 dir Cert:\LocalMachine\My 的值。 <federation_service_name> 的值是同盟服務的名稱,例如,fs.contoso.com

      注意

      如果這不是您第一次執行這個命令,請新增 –OverwriteConfiguration

      注意

      上述命令會建立 WID 伺服器陣列。 如果想要建立 SQL Server 伺服器陣列,則 SQL Server 必須已安裝且可運作。

      您可以使用下列命令,使用 SQL 伺服器在新伺服器陣列中建立第一個同盟伺服器: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" 其中< SQL_Host_Name >是執行SQL伺服器之伺服器的名稱,而 < SQL_instance_name >是SQL實例的名稱。 如果您使用預設SQL Server實例,請使用 「Data Source= < SQL_Host_Name > ;Integrated Security=True」 的SQLConnectionString值。

  • 如果想要使用現有的網域使用者帳戶建立新的同盟伺服器,請執行以下動作:

    1. 在您要設定為同盟伺服器的電腦上,確定必要的 SSL 憑證已匯入至 Local Computer\My Store。 您可以在 Windows PowerShell 命令視窗中執行下列命令,以確認是否已匯入 SSL 憑證: dir Cert:\LocalMachine\My 。 憑證會依其指紋列在本機電腦\My Microsoft Store中。

    2. 在您想要設定為同盟伺服器的電腦上,開啟 [Windows PowerShell] 命令視窗,然後執行下列命令: $fscred = get-credential 。 以 domain\username 格式輸入您要用於同盟服務帳戶的網域使用者帳號憑證。

    3. 在相同的 Windows PowerShell 命令視窗中,執行下列命令:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      您可以執行 dir Cert:\LocalMachine\My 並選取 SSL 憑證的指紋,以取得certificate_thumbprint > 的值 <federation_service_name > 的值 <是您同盟服務的名稱,例如,fs.contoso.com。

      注意

      如果這不是您第一次執行這個命令,請新增 –OverwriteConfiguration

      注意

      上述命令會建立 WID 伺服器陣列。 如果想要建立 SQL Server 伺服器陣列,則 SQL Server 必須已安裝且可運作。

      您可以使用下列命令,使用 SQL 伺服器在新的伺服器陣列中建立第一個同盟伺服器: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" 其中SQL_Host_Name是執行SQL伺服器之伺服器的名稱,而 SQL_instance_name是SQL實例的名稱。 如果您使用預設SQL Server實例,請使用 「Data Source= < SQL_Host_Name > ;Integrated Security=True」 的SQLConnectionString值。

後續步驟

既然您已在同盟伺服器陣列中設定第一部同盟伺服器,請流覽回檢查清單:在舊版的 Windows Server 上部署同盟伺服器陣列,並完成其餘步驟。

另請參閱

概念

檢查清單:在 Windows Server 2012 R2 上部署同盟伺服器陣列
檢查清單:使用 AD FS 實作和管理單一登入