通过

清单:设置联合服务器

此清单包括为 Active Directory 联合身份验证服务(AD FS)中的联合服务器角色准备运行 Windows Server® 2012 的服务器所需的部署任务。

注释

请按顺序完成本清单中的任务。 引用链接将你带到某个过程后,在完成该过程中的步骤后返回到本主题,以便你可以继续执行此清单中的剩余任务。

设置联合服务器检查列表的图标。 清单:设置联合服务器

任务 参考文献
在开始部署 AD FS 联合服务器之前,请查看:1.) 选择 Windows 内部数据库(WID)或 SQL Server 来存储 AD FS 配置数据库 2 的优点和缺点。 AD FS 部署拓扑类型及其关联的服务器放置和网络布局建议。 “确定 AD FS 部署拓扑”链接的图标,可用于设置联合服务器。 确定 AD FS 部署拓扑

AD FS 部署拓扑注意事项链接的图标,可用于设置联合服务器。 AD FS 部署拓扑注意事项
查看 AD FS 容量规划指南,以确定应在生产环境中使用的联合服务器数量。 “联合服务器容量规划”链接的图标,可用于设置联合服务器。 规划联合服务器容量
查看 AD FS 设计指南中有关在组织中放置联合服务器的位置的信息 用于设置联合服务器的“规划联合服务器放置”链接的图标。 规划联合服务器的位置

放置联合服务器位置”链接的图标,可用于设置联合服务器。在何处放置联合服务器
确定独立联合服务器还是联合服务器场更适合部署。 有关“何时创建联合服务器”的链接图标,可用于参考设置联合服务器。 何时创建联合服务器

用于参考设置联合服务器的“何时创建联合服务器场”链接图标。 何时创建联合服务器场
确定此新的联合服务器是在帐户合作伙伴组织还是资源伙伴组织中创建。 用于查看帐户合作伙伴中联合服务器角色的图标,您可以在设置联合服务器时参考。 查看帐户合作伙伴中联合服务器的角色

用于资源合作伙伴链接的“查看联合服务器在资源伙伴中的角色”图标,可以参考用于设置联合服务器。 查看联合服务器在资源伙伴中的角色
查看联合服务器如何使用服务通信证书和令牌签名证书安全地对客户端和联合服务器代理请求进行身份验证的信息。 谨慎: 尽管长期以来一直很常见的做法是使用具有不合格主机名的证书,但这些 https://myserver证书没有安全价值,并且可以让攻击者将 AD FS 联合身份验证服务模拟到企业客户端。 因此,建议使用完全限定的域名(FQDN),例如 https://myserver.contoso.com,并仅使用颁发给您的联合身份验证服务的 FQDN 的 SSL 证书。 “联合服务器证书要求”链接的图标,可用于设置联合服务器。 联合服务器的证书要求
查看有关如何更新企业网络域名系统 (DNS) 的信息,以便成功对联合服务器进行名称解析。 “联合服务器的名称解析要求”链接的图标,可用于设置联合服务器。 联合服务器的名称解析要求
将充当联合服务器的计算机加入帐户伙伴林或资源伙伴林中的某个域,在其中,该计算机将用于对该林或信任林中的用户进行身份验证。 注意:如果要在帐户伙伴组织中设置某个联合服务器,必须先将计算机加入林中的任一域,在其中,该联合服务器将用于对该林或信任林的用户进行身份验证 “将计算机加入域”链接的图标,可用于设置联合服务器。 将计算机加入域
在公司网络 DNS 中创建一个新资源记录,该记录将联合服务器的 DNS 主机名指向联合服务器的 IP 地址。 “将主机 (A) 资源记录添加到联合服务器”链接的公司 DNS 的图标,可用于设置联合服务器。 将主机 (A) 资源记录添加到联合服务器的企业 DNS
(可选)如果要将联合服务器添加到联合服务器场,可能必须先导出现有令牌签名证书的私钥(在场中的第一台联合服务器上),以便在其他联合服务器必须导入同一证书时准备好证书的文件格式。

如果颁发的服务器身份验证证书可以由多台计算机重复使用(无需导出),或者你将获取场中每个联合服务器的唯一服务器身份验证证书,则不需要导出私钥。 注意: AD FS 管理单元将联合服务器的服务器身份验证证书称为服务通信证书。

 用于参考设置联合服务器的“导出服务器身份验证证书私钥部分”链接图标。 导出服务器身份验证证书的私钥部分
从证书颁发机构(CA)获取服务器身份验证证书(或私钥)后,必须将证书文件导入每个联合服务器的默认网站。 注意: 在默认网站上安装此证书是使用 AD FS 联合服务器配置向导之前的要求。 “将服务器身份验证证书导入到默认网站”链接的图标,可用于设置联合服务器。 将服务器身份验证证书导入默认网站
(可选)作为从 CA 获取服务器身份验证证书的替代方法,可以使用 Internet Information Services (IIS) 为联合服务器创建示例证书。 谨慎: 使用自签名服务器身份验证证书在生产环境中部署联合服务器不是最佳安全做法。 IIS 的图标:创建可用于设置联合服务器的 Self-Signed 服务器证书链接。 IIS:创建 Self-Signed 服务器证书,然后完成将服务器身份验证证书导入到默认网站的过程
如果要在帐户合作伙伴组织中配置联合服务器场环境,则必须在 Active Directory 域服务(AD DS)中创建和配置专用服务帐户,该服务器场将驻留并在场中配置每个联合服务器以使用此帐户。 通过执行此过程,你将允许企业网络上的客户端使用 Windows 集成身份验证向场中的任何联合服务器进行身份验证。 “手动为联合服务器场配置服务帐户”链接的图标,可用于设置联合服务器。 为联合服务器场手动配置服务帐户
在将成为联合服务器的计算机上安装联合服务角色服务。 用于安装联合服务角色服务链接的图标,可用于设置联合服务服务器。安装联合服务角色服务
使用 AD FS 联合服务器配置向导将计算机上的 AD FS 软件配置为充当联合服务器角色。

如果要设置独立的联合服务器、创建新场中的第一个联合服务器或将计算机加入现有的联合服务器场,请遵循此流程。 注意:对于联合 Web 单一登录 (SSO) 设计,必须至少在帐户伙伴组织中具有一个联合服务器,并至少在资源伙伴组织中具有一个联合服务器

 “创建 Stand-Alone 联合服务器”链接的图标,可用于设置联合服务器。 创建 Stand-Alone 联合服务器

“在联合服务器场中创建第一个联合服务器”链接的图标,可以在引用中用于设置联合服务器。 在联合服务器场中创建第一个联合服务器

“将联合服务器添加到联合服务器场”链接的图标,可用于设置联合服务器。 将联合服务器添加到联合服务器场
(可选)使用 AD FS 管理管理单元添加和配置部署设计所需的必需 AD FS 证书。 有关何时使用该管理单元添加或更改证书的详细信息,请参阅联合服务器的证书要求 “添加 Token-Signing 证书”链接的图标,可用于设置联合服务器。 添加 Token-Signing 证书

“添加 Token-Decrypting 证书”链接的图标,可用于设置联合服务器。 添加 Token-Decrypting 证书

设置服务通信证书链接的图标,可用于设置联合服务器。 设置服务通信证书
如果这是组织中的第一个联合服务器,请配置联合身份验证服务,使其符合 AD FS 设计。 清单图标:配置帐户合作伙伴组织链接,可用于设置联合服务器。 清单:配置帐户伙伴组织

清单图标:配置资源合作伙伴组织链接,可用于设置联合服务器。 清单:配置资源合作伙伴组织
在客户端计算机上,验证联合服务器是否正常运行。 设置联合服务器 验证联合服务器是否正常运行