Compartir a través de

Configurar un servidor de federación

Después de instalar el servicio de rol de Servicios de federación de Active Directory (AD FS) en el equipo, estará listo para configurar este equipo para que se convierta en un servidor de federación. Puede realizar una de las operaciones siguientes:

Configurar el primer servidor de federación en una nueva granja de servidores de federación

Para configurar el primer servidor de federación en una nueva granja de servidores de federación mediante el Asistente para configuración del servicio de federación de Active Directory

Nota:

Asegúrese de que tiene permisos de administrador de dominio o que tiene credenciales de administrador de dominio disponibles antes de realizar este procedimiento.

  1. En la página Panel del Administrador del servidor, haga clic en la marca Notificaciones y, a continuación, haga clic en Configurar el servicio de federación en el servidor.

    Se abre el asistente de configuración del servicio de federación de Active Directory .

  2. En la página principal , seleccione Crear el primer servidor de federación en una granja de servidores de federación y, a continuación, haga clic en Siguiente.

  3. En la página Conectar a AD DS , especifique una cuenta mediante permisos de administrador de dominio para el dominio de Active Directory (AD) al que está unido este equipo y, a continuación, haga clic en Siguiente.

  4. En la página Especificar propiedades del servicio , haga lo siguiente y, a continuación, haga clic en Siguiente:

    • Importe el archivo .pfx que contiene el certificado de capa de socket seguro (SSL) y la clave que obtuvo anteriormente. En paso 2: Inscribir un certificado SSL para AD FS, ha obtenido este certificado y lo ha copiado en el equipo que desea configurar como servidor de federación. Para importar el archivo .pfx a través del asistente, haga clic en Importar y, a continuación, vaya a la ubicación del archivo. Escriba la contraseña del archivo .pfx cuando se le solicite.

    • Escriba un nombre para el servicio de federación. Por ejemplo, fs.contoso.com. Este nombre debe coincidir con uno de los nombres del sujeto o los nombres alternativos del sujeto en el certificado.

    • Escriba un nombre para mostrar para el servicio de federación. Por ejemplo, Contoso Corporation. Los usuarios ven este nombre en la página de inicio de sesión de Servicios de federación de Active Directory (AD FS).

  5. En la página Especificar cuenta de servicio , especifique una cuenta de servicio. Puede crear o usar una cuenta de servicio administrada de grupo existente (gMSA) o usar una cuenta de usuario de dominio existente. Si selecciona la opción para crear una nueva cuenta de gMSA, especifique un nombre para la nueva cuenta. Si selecciona la opción para usar una cuenta de dominio o gMSA existente, haga clic en Seleccionar para seleccionar una cuenta.

    Nota:

    La ventaja de usar una cuenta de gMSA es su característica de actualización automática de contraseñas negociada.

    Advertencia

    Si desea usar una cuenta de gMSA, debe tener al menos un controlador de dominio en su entorno que ejecute el sistema operativo Windows Server 2012.

    Si la opción gMSA está deshabilitada y ve un mensaje de error, como cuentas de servicio administradas de grupo no están disponibles porque no se ha establecido la clave raíz KDS, puede habilitar gMSA en el dominio ejecutando el siguiente comando de Windows PowerShell en un controlador de dominio, que ejecuta Windows Server 2012 o posterior, en el dominio de Active Directory: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). A continuación, vuelva al asistente, haga clic en Anterior, a continuación, haga clic en Siguiente para volver a entrar en la página Especificar cuenta de servicio. La opción gMSA ahora debe estar habilitada. Puede seleccionarlo y escribir un nombre de cuenta de gMSA que quiera usar.

  6. En la página Especificar base de datos de configuración , especifique una base de datos de configuración de AD FS y, a continuación, haga clic en Siguiente. Puede crear una base de datos en este equipo mediante Windows Internal Database (WID) o puede especificar la ubicación y el nombre de instancia de Microsoft SQL Server.

    Para más información, consulte El papel de la base de datos de configuración de AD FS.

    Importante

    Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones más recientes, incluidas SQL Server 2012 y SQL Server 2014.

  7. En la página Opciones de revisión , compruebe las selecciones de configuración y, a continuación, haga clic en Siguiente.

  8. En la página Comprobaciones de requisitos previos , compruebe que todas las comprobaciones de requisitos previos se hayan completado correctamente y, a continuación, haga clic en Configurar.

  9. En la página Resultados , revise los resultados y compruebe si la configuración se ha completado correctamente y, a continuación, haga clic en Pasos siguientes necesarios para completar la implementación del servicio de federación. Para obtener más información, consulte Pasos siguientes para completar la instalación de AD FS. Haga clic en Cerrar para salir del asistente.

Para configurar el primer servidor de federación en una nueva granja de servidores de federación a través de Windows PowerShell

Puede crear una nueva granja de servidores de federación mediante una cuenta de gMSA nueva o existente o una cuenta de usuario de dominio existente.

  • Si desea crear un nuevo servidor de federación mediante una nueva cuenta de gMSA, haga lo siguiente:

    Importante

    Debe tener permisos de administrador de dominio para crear el primer servidor de federación en una nueva granja de servidores de federación.

    1. En el equipo que desea configurar como servidor de federación, asegúrese de que el certificado SSL necesario se ha importado en el directorio Equipo local\Mi tienda . Puede comprobar si el certificado SSL se ha importado ejecutando el siguiente comando en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece por su huella digital en el directorio Equipo local\Mi tienda .

    2. En el controlador de dominio, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando para comprobar si la clave raíz KDS se ha creado en el dominio: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Si no se ha creado para que la salida no muestre información, ejecute el siguiente comando para crear la clave: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

    3. En el equipo que desea configurar como servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <___domain>\<GMSA_Name>$

      Advertencia

      El signo $ es requerido al final del comando anterior.

      Para obtener el valor de <certificate_thumbprint>, ejecute dir Cert:\LocalMachine\Myy, a continuación, seleccione la huella digital del certificado SSL. El valor de <federation_service_name> es el nombre del servicio de federación, por ejemplo, fs.contoso.com.

      Nota:

      Si no es la primera vez que ejecuta este comando, agregue el OverwriteConfiguration parámetro .

      Nota:

      El comando anterior crea una granja de WID. Si desea crear una granja de servidores de SQL Server, debe tener una instancia de SQL Server ya instalada y operativa.

      Puede usar el siguiente comando para crear el primer servidor de federación en una nueva granja que use una instancia de SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" donde <SQL_Host_Name> es el nombre del servidor en el que se ejecuta SQL Server y <SQL_instance_name> es el nombre de la instancia de SQL Server. Si usa la instancia predeterminada de SQL Server, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Importante

      Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones más recientes, incluido SQL Server 2012.

  • Si desea crear un nuevo servidor de federación mediante una cuenta de usuario de dominio existente, haga lo siguiente:

    1. En el equipo que desea configurar como servidor de federación, asegúrese de que el certificado SSL necesario se ha importado en el directorio Equipo local\Mi tienda . Puede comprobar si el certificado SSL se ha importado ejecutando el siguiente comando en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece por su huella digital en el directorio Equipo local\Mi tienda .

    2. En el equipo que desea configurar como servidor de federación, abra la ventana de comandos de Windows PowerShell y, a continuación, ejecute el siguiente comando: $fscred = Get-Credential. Escriba las credenciales de la cuenta de usuario de dominio que desea usar para la cuenta de servicio de federación con el formato dominio\nombre de usuario.

    3. En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      Para obtener el valor de <certificate_thumbprint>, ejecute dir Cert:\LocalMachine\Myy, a continuación, seleccione la huella digital del certificado SSL. El valor de <federation_service_name> es el nombre del servicio de federación, por ejemplo, fs.contoso.com.

      Nota:

      Si no es la primera vez que ejecuta este comando, agregue el OverwriteConfiguration parámetro .

      Nota:

      El comando anterior crea una granja de WID. Si desea crear una granja de SQL Server, debe tener la instancia de SQL Server ya instalada y operativa.

      Puede usar el siguiente comando para crear el primer servidor de federación en una nueva granja que use una instancia de SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" donde SQL_Host_Name es el nombre del servidor en el que se ejecuta SQL Server y SQL_instance_name es el nombre de la instancia de SQL Server. Si usa la instancia predeterminada de SQL Server, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Importante

      Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones más recientes, incluidas SQL Server 2012 y SQL Server 2014.

Agregar un servidor de federación a una granja de servidores de federación existente

Importante

Asegúrese de que ha completado el paso 3: Instalar el servicio de rol de AD FS antes de iniciar cualquiera de los procedimientos de esta sección.

Importante

Asegúrese de que ha obtenido un certificado de autenticación de servidor SSL válido antes de completar este procedimiento.

Para agregar un servidor de federación a una granja de servidores de federación existente mediante el Asistente para configuración del servicio de federación de Active Directory

  1. En la página Panel del Administrador del servidor, haga clic en la marca Notificaciones y, a continuación, haga clic en Configurar el servicio de federación en el servidor.

    Se abre el asistente de configuración del servicio de federación de Active Directory .

  2. En la página principal , seleccione Agregar un servidor de federación a una granja de servidores de federación y, a continuación, haga clic en Siguiente.

  3. En la página Conectar a AD DS , especifique una cuenta mediante permisos de administrador de dominio para el dominio de AD al que está unido este equipo y, a continuación, haga clic en Siguiente.

  4. En la página Especificar granja de servidores, proporcione el nombre del servidor de federación principal en una granja que use WID o especifique el nombre de host de la base de datos y el nombre de la instancia de base de datos de una granja de servidores de federación existente que use SQL Server.

    Advertencia

    En Windows Server® 2012 R2, hay una solución alternativa para especificar la instancia predeterminada de SQL Server. La solución alternativa es no usar la interfaz de usuario. En su lugar, siga los pasos descritos en Para configurar el primer servidor de federación en una nueva granja de servidores de federación a través de Windows PowerShell.

    Importante

    Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones más recientes, incluido SQL Server 2012.

  5. En la página Especificar certificado SSL , importe el archivo .pfx que contiene el certificado SSL y la clave que obtuvo anteriormente. Este certificado es el certificado de autenticación de servicio necesario. En paso 2: Inscribir un certificado SSL para AD FS, ha obtenido este certificado y lo ha copiado en el equipo que desea configurar como servidor de federación. Para importar el archivo .pfx a través del asistente, haga clic en Importar y vaya a la ubicación del archivo. Escriba la contraseña del archivo .pfx cuando se le solicite.

  6. En la página Especificar cuenta de servicio, especifique la misma cuenta de servicio que configuró al crear el primer servidor de federación de la granja de servidores. Puede usar una cuenta de servicio administrada de grupo existente o una cuenta de usuario de dominio existente.

    Importante

    La cuenta que especifique debe ser la misma que la cuenta que se usó en el servidor de federación principal de esta granja de servidores.

  7. En la página Opciones de revisión , compruebe las selecciones de configuración y, a continuación, haga clic en Siguiente.

  8. En la página Comprobaciones de requisitos previos , compruebe que todas las comprobaciones de requisitos previos se hayan completado correctamente y, a continuación, haga clic en Configurar.

  9. En la página Resultados , revise los resultados y compruebe si la configuración se ha completado correctamente y, a continuación, haga clic en Pasos siguientes necesarios para completar la implementación del servicio de federación. Para obtener más información, consulte Pasos siguientes para completar la instalación de AD FS. Haga clic en Cerrar para salir del asistente.

Para agregar un servidor de federación a una granja de servidores de federación existente a través de Windows PowerShell

Puede agregar un servidor de federación a una granja existente mediante una cuenta de gMSA existente o una cuenta de usuario de dominio existente.

  • Si desea unir un servidor de federación a una granja de servidores mediante una cuenta de gMSA existente, haga lo siguiente:

    1. En el equipo que desea configurar como servidor de federación, asegúrese de que el certificado SSL necesario se ha importado en el directorio Equipo local\Mi tienda . Puede comprobar si el certificado SSL se ha importado ejecutando el siguiente comando en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece por su huella digital en el directorio Equipo local\Mi tienda .

    2. En el equipo que desea configurar como servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <___domain>\<GMSA_name> es tu dominio de AD y el nombre de tu cuenta de gMSA en ese dominio. <first_federation_server_hostname> es el nombre de host del servidor de federación principal de esta granja existente.

      Puede obtener el valor de <certificate_thumbprint> ejecutando dir Cert:\LocalMachine\My en el paso anterior.

      Nota:

      Si no es la primera vez que ejecuta este comando, agregue el OverwriteConfiguration parámetro .

      Nota:

      El comando anterior crea un nodo de granja de servidores WID. Si desea crear un nodo de granja de servidores de equipos que ejecutan SQL Server, debe tener la instancia de SQL Server ya instalada y operativa.

      Puede usar el siguiente comando para agregar un servidor de federación a una granja existente que use una instancia de SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" donde SQL_Host_Name es el nombre del servidor en el que se ejecuta SQL Server y SQL_instance_name es el nombre de la instancia de SQL Server. Si usa la instancia predeterminada de SQL Server, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Importante

      Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones más recientes, incluidas SQL Server 2012 y SQL Server 2014.

  • Si desea unir un servidor de federación a una granja de servidores mediante una cuenta de usuario de dominio existente, haga lo siguiente:

    1. En el equipo que desea configurar como servidor de federación, abra la ventana de comandos de Windows PowerShell y, a continuación, ejecute el siguiente comando: $fscred = get-credential. Escriba las credenciales de la cuenta de usuario de dominio que desea usar para la cuenta de servicio de federación con el formato dominio\nombre de usuario.

    2. En el equipo que desea configurar como servidor de federación, asegúrese de que el certificado SSL necesario se ha importado en el directorio Equipo local\Mi tienda . Puede comprobar si el certificado SSL se ha importado ejecutando el siguiente comando en la ventana de comandos de Windows PowerShell: dir Cert:\LocalMachine\My. El certificado aparece por su huella digital en el directorio Equipo local\Mi tienda .

    3. En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando.

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Nota:

      Si no es la primera vez que ejecuta este comando, agregue el OverwriteConfiguration parámetro .

      Nota:

      El comando anterior crea un nodo de granja de servidores WID. Si desea crear un nodo de granja de servidores de equipos que ejecutan SQL Server, debe tener la instancia de SQL Server ya instalada y operativa. Puede usar el siguiente comando para agregar un servidor de federación a una granja existente mediante una instancia de SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" donde SQL_Host_Name es el nombre del servidor en el que se ejecuta la instancia de SQL Server y SQL_instance_name es el nombre de la instancia de SQL Server. Si usa la instancia predeterminada de SQL Server, use un valor SQLConnectionString de "Data Source=<SQL_Host_Name>; Integrated Security=True".

      Importante

      Si desea crear una granja de AD FS y usar SQL Server para almacenar los datos de configuración, puede usar SQL Server 2008 y versiones más recientes, incluidas SQL Server 2012 y SQL Server 2014.

Véase también

Implementación de AD FS

Guía de implementación de Windows Server 2012 R2 AD FS

Implementación de una granja de servidores de federación