此清单包括用于为 Active Directory 联合身份验证服务(AD FS)中的联合服务器代理角色准备运行 Windows Server® 2012 的服务器的部署任务。
注释
请按顺序完成本清单中的任务。 引用链接将你带到某个过程后,在完成该过程中的步骤后返回到本主题,以便你可以继续执行此清单中的剩余任务。
清单:设置联合服务器代理
| 任务 | 参考文献 |
|---|---|
| 在开始部署 AD FS 联合服务器代理之前,请查看 AD FS 部署拓扑类型及其关联的服务器放置和网络布局建议。 |
确定 AD FS 部署拓扑 |
| 查看 AD FS 容量规划指南,以确定应在生产环境中使用的联合服务器代理数。 |
联合服务器代理容量规划 |
| 确定单个联合服务器代理还是联合服务器代理服务器场更适合部署。 注意: 联合服务器还会执行联合服务器代理责任。 |
何时创建联合服务器代理 |
| 确定此新的联合服务器代理是在帐户合作伙伴组织的外围网络中还是资源伙伴组织中创建的。 |
审查帐户合作伙伴中联合服务器代理的角色 |
| 在将 AD FS 安装到将成为联合服务器代理的计算机之前,请了解服务器身份验证证书的重要性,特别是对于联合服务器代理服务器场而言,以及如何在服务器场中的所有服务器上添加或共享证书。 |
联合服务器代理的证书要求 |
| 请查阅 AD FS 设计指南中有关如何更新外围网络中域名系统(DNS)的信息,以便联合服务器和联合服务器代理能成功进行名称解析。 |
联合服务器代理的名称解析要求 |
| 确定联合服务器代理是否必须加入域。 尽管联合服务器代理不必加入域,但它们在加入域时更易于使用远程管理和组策略功能进行管理。 |
将计算机加入域 |
| 根据外围网络中 DNS 基础结构的配置方式,在组织中部署联合服务器代理之前,请完成右侧主题中的其中一个过程。 注意: 不要执行这两个过程。 阅读 联合服务器代理的名称解析要求 ,以确定哪种过程最符合组织的要求。 |
在仅为外围网络提供服务的 DNS 区域中为联合服务器代理配置名称解析 |
| 获取服务器身份验证证书后,必须在联合服务器代理的默认网站上将其安装在 Internet Information Services (IIS)中。 |
将服务器身份验证证书导入默认网站 |
| (可选)作为从证书颁发机构(CA)获取服务器身份验证证书的替代方法,可以使用 IIS 获取联合服务器代理的示例证书。 由于 IIS 生成不源自受信任源的自签名证书,因此仅在以下方案中使用它来创建自签名证书: - 当必须在服务器与有限的已知用户组之间创建安全套接字层 (SSL) 通道时 |
IIS:创建 Self-Signed 服务器证书 |
| 在将成为联合服务器代理的计算机上安装联合身份验证服务代理角色服务。 |
安装联合身份验证服务代理角色服务 |
| 使用 AD FS 联合服务器代理配置向导将计算机上的 AD FS 软件配置为充当联合服务器代理角色。 |
为联合服务器代理角色配置计算机 |
| 使用事件查看器,验证联合服务器代理服务器服务是否已启动。 |
,验证联合服务器代理是否正常运行 |