1. 先决条件
AD 部署先决条件
- Windows Server 2016 或以上;
- 服务器IP固定;
ADFS 部署先决条件
- ADFS 服务账户:可以用AD中普通的域账户也可以用AD的组托管服务账户;
- ADFS证书:ADFS HTTPS登录页面依赖该证书,另外Token签名和加密也依赖该证书……。
- ADFS数据库:可以使用windows内部数据库或者SQL Sever(强调性能及可用性则使用SQL Sever)
1.1 ADFS 证书
1.1.1 cer 证书
测试环境下ADFS证书可以使用自签证书,生成PowerShell脚本如下:
--生成自签证书:有效期50年;{domain}:域名;
$cert = New-SelfSignedCertificate -DnsName "{domain}" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -NotAfter (Get-Date).AddYears(50)
--列出存储在当前用户的个人证书存储区域中的所有证书
Get-ChildItem -Path Cert:\CurrentUser\My
--导出cer证书:{Thumbprint}:证书对应的指纹;
$certPath = "Cert:\CurrentUser\My\{Thumbprint}"
Export-Certificate -Cert $certPath -FilePath "{dir}/{fileName}.cer"
1.1.2 pfx 证书
由于在ADFS的配置过程要要求使用 pfx 证书,因此需要将cer 证书转为 pfx 证书;
$certPath = "Cert:\CurrentUser\My\{Thumbprint}"
$password = ConvertTo-SecureString -String "{Password}" -Force -AsPlainText
Export-PfxCertificate -Cert $certPath -FilePath "{Dir}/{FileName}.pfx" -Password $password
1.2 ADFS 服务账户
可以用AD中普通的域账户也可以用AD的组托管服务账户,不过推荐使用组托管服务账户,ADFS的组托管服务账户可以在 AD 用户和计算机 - Managed Service Accounts中查看,当前没有安装使用组托管服务账户的ADFS服务(对于组托管账户的创建需要使用ADFS的安装向导去创建),因此没有任何账户存在。
如果要使用组托管服务账户做为ADFS服务账户则先启用组托管账户RootKey,否则在ADFS配置时会不让使用组托管服务账户,如下图:
1.2.1 启用组托管账户RootKey
默认情况下需要10个小时同步到其他AD域服务器,如果只有一台AD域服务器则会立刻生效。在生成环境中不需要指定getData.AddHours参数等待10小时之后再对ADFS进行安装和配置。
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
2. Active Directory 部署
1、服务器管理器 - 添加角色和功能 - 下一页
2、基于角色或者基于功能的安装
3、选择服务器:
4、选择AD域服务(由于之前已经安装,因此显示:已安装)
5、默认设置即可
6、勾选:自动重启,点击:安装;
2.2 AD 配置
1、点击:将此服务器设置为域控服务器
2、选择:添加新林;输入根域名;
3、使用默认配置;设置备份密码(window自带一个AD备份还原软件,该密码用于还原)
4、默认配置,下一步(只要没有错误,警告可以忽略);
5、等待一会,让系统自动自动填充NetBIOS域名,加入域的时候输入该名称即可(大小写不敏感);
6、设置日志、数据存放路径(默认C盘,一般情况建议放到其他盘下)
7、确认配置无误后下一步
8、安装(同样,警告可以暂时不管)
9、等待安装完成即可(一般安装完成会自动或者要求重启);
10、重启计算即可出现:AD 用户和计算机菜单;
3. ADFS 部署
3.1 ADFS 安装
1、登录ADFS服务器进行功能添加;
2、安装类型
3、选择服务器
4、选择角色功能
5、默认下一步
安装完成之后在服务列表中可以看到多了一个adfssrv的服务(后面可以将其配置为服务组托管账户);
3.2 ADFS 配置
1、配置
2、创建第一个联合服务器(高可用则至少需要2台,然后前面挂负载,测试环境快速部署选择创建第一个联合服务器即可)
3、输入管理员账户/密码
4、指定ADFS证书(服务显示名称根据实际情况填写即可)
5、设置ADFS账户(推荐使用组托管服务账户的方式),如果ADFS安装/设置成功完成之后,则在AD用户和计算机 - Managed Service Accounts中就可以看到这个创建好的组托管服务账户;
6、设置ADFS数据库
- 可以使用windows内部数据库(如果该服务器尚未安装 Windows 内部数据库会自动在此服务器上安装Windows 内部数据库)
- 如果强调性能、可用性等则应当使用SQL Server 做为 ADFS 数据库。
7、选项查看
8、条件检查:没有错误即可,警告可用先忽略。
9,初始化配置/安装
10,注意安装完毕之后需要重启服务器,之后在AD 用户和计算机 - Managed Service Accounts中即可看到创建好的账户。
3.3 启用 ADFS 登录页面
ADFS 安装配置完成之后,可以通过 ADFS 登录页面是否可以登录成功来检测部署是否OK,但是默认情况下ADFS 登录页面是不开启的,需要通过如下power shell 脚本进行开启。
Set-AdfsProperties -EnableIdPInitiatedSignonPage $True
3.4 ADFS 登录验证测试
设置完成之后浏览器访问:https://localhost/adfs/ls/IdpInitiatedSignon.aspx
注意:由于都是使用的域名,因此内网测试时候需要将前面设置的域名指向加到client机器的host文件中。
hosts文件修改完成之后,可以直接用域名访问:
至此, AD 及 ADFS 的安装和配置已经全部完成。以上步骤为Windows Server 2019 Datacenter 系统下实操过程。
4. ADFS 卸载
4.1 关闭 ADFS 服务器
在开始卸载过程之前,确保停止 ADFS 服务器服务(Active Directory Federation Services)。你可以在 Windows 服务器上使用服务管理器来停止 ADFS 服务。
4.2 卸载 ADFS 角色
在 Windows 服务器上,你可以通过以下步骤卸载 ADFS 角色:
打开“服务器管理器”。
导航到“角色”和“功能”。
找到“Active Directory Federation Services”并取消选中。
然后,按照提示完成卸载过程。
取消勾选ADFS
确认删除
重启服务器
原创不易,请给作者打赏或点赞,您的支持是我坚持原创和分享的最大动力!
902
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
