服务器2012系统参数,为 Windows Server 2012 R2 配置联合服务器 AD FS | Microsoft Docs

最新推荐文章于 2022-09-02 13:31:43 发布

事实求是

最新推荐文章于 2022-09-02 13:31:43 发布

阅读量596

点赞数 1

文章标签：服务器2012系统参数

配置联合服务器

05/31/2017

本文内容

在您的 ( 计算机上安装 Active Directory 联合身份验证服务 AD FS ) 角色服务后，您就可以将此计算机配置为联合服务器了。可以执行以下操作之一：

配置新联合服务器场中的第一台联合服务器

使用 Active Directory 联合身份验证服务配置向导在新的联合服务器场中配置第一台联合服务器

备注

执行此过程之前，请确保你具有域管理员权限，或具有可用的域管理员凭据。

在服务器管理器的 “仪表板” 页上，单击 “通知” 标志，然后单击 “在服务器上配置联合身份验证服务”。

打开“Active Directory 联合身份验证服务配置向导”。

在“欢迎使用”页面上，选择“在联合服务器场中创建第一个联合服务器”，然后单击“下一步”。

在 "连接 AD DS " 页上，使用 "域管理员" 权限为 ( 此计算机加入的 Active Directory AD 域指定一个帐户 ) ，然后单击 "下一步"。

在“指定服务属性”页面上，执行以下操作，然后再单击“下一步”：

导入 .pfx 文件，其中包含之前获取的安全套接字层 ( SSL ) 证书和密钥。在步骤2：注册 AD FS 的 SSL 证书时，已获取此证书，并将其复制到要配置为联合服务器的计算机上。若要通过向导导入 .pfx 文件，请单击 " 导入"，然后浏览到文件的位置。出现提示时，请输入 .pfx 文件的密码。

提供联合身份验证服务的名称。例如 fs.contoso.com。此名称必须与证书中的使用者名称或使用者可选名称之一匹配。

提供联合身份验证服务的显示名称。例如 Contoso Corporation。用户将在 Active Directory 联合身份验证服务 ( AD FS 登录页上看到此名称 ) - 。

在 “指定服务帐户” 页上指定一个服务帐户。你可以创建或使用现有的组托管服务帐户 ( gMSA ) 或使用现有的域用户帐户。如果选择 "创建新的 gMSA 帐户" 选项，请指定新帐户的名称。如果选择 "使用现有 gMSA 或域帐户" 选项，请单击 " 选择 " 以选择帐户。

备注

使用 gMSA 帐户的好处是它的自动 - 协商密码更新功能。

警告

如果要使用 gMSA 帐户，你的环境中必须至少有一个域控制器运行 Windows Server 2012 操作系统。

如果 gMSA 选项已禁用，并且你看到一条错误消息，如 "组托管服务帐户由于尚未设置 KDS 根密钥" 而不可用，则可以通过在你的 Active Directory 域中运行 Windows Server 2012 或更高版本的域控制器上运行以下 Windows PowerShell 命令，在域中启用 gMSA： Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 。然后返回到向导，单击 " 上一步"，然后单击 " 下一步 " 以重新 - 输入 " 指定服务帐户 " 页。现在应启用 gMSA 选项。可以选择该名称，并输入要使用的 gMSA 帐户名称。

在 " 指定配置数据库 " 页上，指定 AD FS 配置数据库，然后单击 " 下一步"。您可以使用 Windows 内部数据库 WID 在此计算机上创建数据库 ( ) ，也可以指定 Microsoft SQL Server 的位置和实例名称。

重要

如果要创建 AD FS 场并使用 SQL Server 来存储配置数据，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012 和 SQL Server 2014。

在“查看选项”页面上，验证你的配置选择，然后单击“下一步”。

在 " 先决条件 - 检查 " 页上，验证是否已成功完成所有先决条件检查，然后单击 " 配置"。

在 " 结果 " 页上，查看结果并检查配置是否已成功完成，然后单击 " 完成联合身份验证服务部署所需的后续步骤"。有关详细信息，请参阅完成 AD FS 安装的后续步骤。单击“关闭”退出向导。

通过 Windows PowerShell 配置新联合服务器场中的第一台联合服务器

您可以使用新的或现有的 gMSA 帐户或现有的域用户帐户创建新的联合服务器场。

如果要使用新的 gMSA 帐户创建新的联合服务器，请执行以下操作：

重要

若要在新联合服务器场中创建第一台联合服务器，你必须拥有域管理员权限。

在要配置为联合服务器的计算机上，确保所需的 SSL 证书已导入到本地计算机的 \ "我的应用商店" 目录中。你可以通过在 "Windows PowerShell 命令" 窗口中运行以下命令来验证是否已导入 SSL 证书： dir Cert:\LocalMachine\My 。证书在本地计算机的 \ "我的应用商店 " 目录中按其指纹列出。

在域控制器上，打开 Windows PowerShell 命令窗口并运行以下命令，验证是否已在域中创建 KDS 根密钥： Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 。如果尚未创建它，因此输出不显示任何信息，请运行以下命令来创建密钥： Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 。

在要配置为联合服务器的计算机上，打开 Windows PowerShell 命令窗口并运行以下命令：

Install-AdfsFarm -CertificateThumbprint -FederationServiceName -GroupServiceAccountIdentifier \$

警告

$需要前一个命令末尾的符号。

若要获取的值，请运行 dir Cert:\LocalMachine\My ，然后选择 SSL 证书的指纹。的值是联合身份验证服务的名称，例如 fs.contoso.com。

备注

如果这不是第一次运行此命令，请添加 OverwriteConfiguration 参数。

备注

上述命令将创建一个 WID 场。如果要创建 SQL Server 服务器场，则必须已安装和运行 SQL Server 的实例。

您可以使用以下命令在使用 SQL Server 实例的新场中创建第一个联合服务器： Install-AdfsFarm -CertificateThumbprint -FederationServiceName -GroupServiceAccountIdentifier \$ -SQLConnectionString "Data Source=;Integrated Security=True" 其中，是运行 SQL Server 的服务器的名称，是 SQL Server 实例的名称。如果使用 SQL Server 的默认实例，请使用 SQLConnectionString 值 "Data Source =; 集成安全性 = True"。

重要

如果需要创建 AD FS 场并使用 SQL Server 来存储配置数据，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012。

如果要使用现有的域用户帐户创建新的联合服务器，请执行以下操作：

在要配置为联合服务器的计算机上，打开 Windows PowerShell 命令窗口，并运行以下命令： $fscred = Get-Credential 。输入要用于联合身份验证服务帐户的域用户帐户凭据，格式为 "域用户名" \ 。

在同一个 Windows PowerShell 命令窗口中运行以下命令：

Install-AdfsFarm -CertificateThumbprint -FederationServiceName -ServiceAccountCredential $fscred

若要获取，请运行 dir Cert:\LocalMachine\My ，然后选择 SSL 证书的指纹。的值是联合身份验证服务的名称，例如 fs.contoso.com。

备注

如果这不是第一次运行此命令，请添加 OverwriteConfiguration 参数。

备注

上述命令将创建一个 WID 场。如果你想要创建 SQL Server 场，你必须已安装 SQL Server 实例且该实例可操作。

您可以使用以下命令在使用 SQL Server 实例的新场中创建第一个联合服务器： Install-AdfsFarm -CertificateThumbprint -FederationServiceName -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=\;Integrated Security=True" 其中 SQL _ Host _ name 是运行 SQL Server 的服务器的名称， SQL _ 实例 _ 名称是 SQL Server 实例的名称。如果使用 SQL Server 的默认实例，请使用 SQLConnectionString 值 "Data Source =; 集成安全性 = True"。

重要

如果要创建 AD FS 场并使用 SQL Server 来存储配置数据，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012 和 SQL Server 2014。

将联合服务器添加到现有的联合服务器场中

重要

在开始本部分中的任何过程之前，请确保已完成步骤3：安装 AD FS 角色服务。

重要

在完成此过程之前，请确保已获得有效的 SSL 服务器身份验证证书。

通过 Active Directory 联合身份验证服务配置向导将联合服务器添加到现有的联合服务器场中

在服务器管理器的 “仪表板” 页上，单击 “通知” 标志，然后单击 “在服务器上配置联合身份验证服务”。

打开“Active Directory 联合身份验证服务配置向导”。

在 " 欢迎 " 页上，选择 " 将联合服务器添加到联合服务器场"，然后单击 " 下一步"。

在 "连接 AD DS " 页上，使用此计算机加入的 AD 域的 "域管理员" 权限指定帐户，然后单击 "下一步"。

在 "指定场" 页上，提供在场中使用 WID 的主联合服务器的名称，或者指定使用 SQL Server 的现有联合服务器场的数据库主机名和数据库实例名称。

警告

在 Windows Server ® 2012 R2 中，有一种方法可以指定 SQL Server 的默认实例。此方法不是使用用户界面，相反，请使用中的步骤通过 Windows PowerShell 在新的联合服务器场中配置第一台联合服务器。

重要

如果需要创建 AD FS 场并使用 SQL Server 来存储配置数据，可以使用 SQL Server 2008 和更新版本，包括 SQL Server 2012。

在 " 指定 Ssl 证书 " 页上，导入包含你之前获取的 SSL 证书和密钥的 .pfx 文件。此证书是所需的服务身份验证证书。在步骤2：注册 AD FS 的 SSL 证书时，已获取此证书，并将其复制到要配置为联合服务器的计算机。若要通过向导导入 .pfx 文件，请单击 " 导入 " 并浏览到文件的位置。出现提示时，请输入 .pfx 文件的密码。

在 " 指定服务帐户 " 页上，指定你在服务器场中创建第一台联合服务器时配置的相同服务帐户。可以使用现有的组托管服务帐户或现有的域用户帐户。

重要

你指定的帐户必须与在此服务器场中的主联合服务器上使用的帐户相同。

在“查看选项”页面上，验证你的配置选择，然后单击“下一步”。

在"- 先决条件检查" 页上，验证所有先决条件检查是否成功完成，然后单击"配置 "。

在"结果"页上，查看结果并检查配置是否成功完成，然后单击完成联合身份验证服务部署所需的"下一步步骤"。有关详细信息，请参阅完成应用程序安装AD FS步骤。单击“关闭”退出向导。

通过 Windows PowerShell 将联合服务器添加到现有的联合服务器场中

可以使用现有 gMSA 帐户或现有域用户帐户将联合服务器添加到现有场。

如果要使用现有的 gMSA 帐户将联合服务器加入场，请执行下列操作：

在要配置为联合服务器的计算机上，确保所需的 SSL 证书已导入到本地计算机 My \ Store 目录中。可以通过在命令窗口中运行以下命令来验证是否已导入 SSL dir Cert:\LocalMachine\My Windows PowerShell：。证书按其指纹在"本地计算机我的商店 "目录中 \ 列出。

在要配置为联合服务器的计算机上，打开 Windows PowerShell 命令窗口，并运行以下命令。

Add-AdfsFarmNode -GroupServiceAccountIdentifier \$ -PrimaryComputerName -CertificateThumbprint

\ 是 AD 域和该域中 gMSA 帐户的名称。是此现有场中主联合服务器的主机名。

可以通过在上一步中运行 dir Cert:\LocalMachine\My 来获取的值。

备注

如果这不是第一次运行此命令，请添加 OverwriteConfiguration 参数。

备注

上一命令创建 WID 场节点。如果要创建运行 SQL Server 的计算机的服务器场节点，则必须已安装并SQL Server实例。

可以使用以下命令将联合服务器添加到使用 SQL Server 实例的现有场：其中 SQL 主机名是运行 SQL Server 的服务器的名称，SQL 实例名称是 Add-AdfsFarmNode -GroupServiceAccountIdentifier \$ -SQLConnectionString "Data Source=\;Integrated Security=True" SQL Server 实例的名称 _ _****_ _。如果使用数据库的默认实例，SQL Server SQLConnectionString 值"数据源集成安全性 = _ _ = True"。

重要

如果要创建 AD FS 场并使用 SQL Server 存储配置数据，可以使用 SQL Server 2008 及更高版本，包括 SQL Server 2012 和 SQL Server 2014。

如果要使用现有域用户帐户将联合服务器加入场，请执行下列操作：

在要配置为联合服务器的计算机上，打开 powerShell 命令Windows，然后运行以下命令 $fscred = get-credential ：。以域用户名格式输入要用于联合身份验证服务帐户的域 \ 用户帐户凭据。

在要配置为联合服务器的计算机上，确保所需的 SSL 证书已导入到本地计算机 My \ Store 目录中。可以通过在 PowerShell 命令窗口中运行以下命令来验证是否已导入 SSL dir Cert:\LocalMachine\My Windows：。证书按其指纹在"本地计算机我的商店 "目录中 \ 列出。

在同一Windows PowerShell窗口中，运行以下命令。

Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName -CertificateThumbprint

备注

如果这不是第一次运行此命令，请添加 OverwriteConfiguration 参数。

备注

上一命令创建 WID 场节点。如果要创建运行 SQL Server 的计算机的服务器场节点，则必须已安装并SQL Server实例。可以使用以下命令，通过使用 SQL Server 实例将联合服务器添加到现有场：其中 SQL 主机名是运行 SQL Server 实例的服务器的名称，SQL 实例名称是 Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=\;Integrated Security=True" SQL Server 实例的名称 _ _****_ _。如果使用数据库的默认实例，SQL Server SQLConnectionString 值"数据源集成安全性 = _ _ = True"。

重要

如果要创建 AD FS 场并使用 SQL Server 存储配置数据，可以使用 SQL Server 2008 及更高版本，包括 SQL Server 2012 和 SQL Server 2014。

另请参阅