在计算机上安装联合身份验证服务角色服务并配置所需的证书后,即可将计算机配置为成为联合服务器。 您可以使用以下步骤,通过使用 AD FS 联合服务器配置向导,将计算机配置为新联合服务器场中的第一个联合服务器。
在服务器场中创建第一个联合服务器的操作还将创建一个新的联合身份验证服务,并使此计算机成为主联合服务器。 这意味着,此计算机将使用 AD FS 配置数据库的读/写副本进行配置。 此场中的所有其他联合服务器都必须将主联合服务器上所做的任何更改复制到本地存储的 AD FS 配置数据库的只读副本。 有关此复制过程的详细信息,请参阅 AD FS 配置数据库的角色。
注释
对于联合 Web 单一登录 (SSO) 设计,你必须至少在帐户伙伴组织中具有一台联合服务器,并至少在资源伙伴组织中具有一台联合服务器。 有关详细信息,请参阅“ 在何处放置联合服务器”。
域管理员的成员身份或已被授予 Active Directory 中 Program Data 容器的写入访问权限的委派域帐户是完成此过程所需的最低要求。
在联合服务器场中创建第一个联合服务器
可通过两种方法启动 AD FS 联合服务器配置向导。 若要启动向导,请执行下列操作之一:
联合身份验证服务角色服务安装完成后,打开 AD FS 管理单元,然后单击“概述”页面上或“操作”窗格中的 AD FS 联合服务器配置向导链接。
安装向导完成后,随时打开 Windows 资源管理器,导航到 C:\Windows\ADFS 文件夹,然后双击 FsConfigWizard.exe。
在 “欢迎 ”页上,验证是否选择了“ 创建新的联合身份验证服务 ”,然后单击“ 下一步”。
在 “选择 Stand-Alone”或“场部署 ”页上,单击“ 新建联合服务器场”,然后单击“ 下一步”。
在 “指定联合身份验证服务名称 ”页上,验证显示的 SSL 证书 是否正确。 如果这不是正确的证书,请从 SSL 证书 列表中选择相应的证书。
此证书是从默认网站的安全套接字层 (SSL) 设置生成的。 如果默认网站只配置了一个 SSL 证书,则会显示该证书并自动选择以供使用。 如果为默认网站配置了多个 SSL 证书,则此处列出了所有这些证书,必须从它们中进行选择。 如果没有为默认网站配置的 SSL 设置,则会从本地计算机上的个人证书存储中可用的证书生成列表。
注释
如果为 IIS 配置了 SSL 证书,则该向导将不允许覆盖证书。 这可确保保留用于 SSL 证书的任何预期以前的 IIS 配置。 若要解决此问题,可以使用 IIS 管理控制台删除证书或手动重新配置证书。
如果所选的 AD FS 数据库已存在,将显示 “现有 AD FS 配置数据库检测到 ”页。 如果该页出现,请单击“ 删除数据库”,然后单击“ 下一步”。
谨慎
仅当确定此 AD FS 数据库中的数据不重要或未在生产联合服务器场中使用时,才选择此选项。
在“ 指定服务帐户 ”页上,单击“ 浏览”。 在 “浏览 ”对话框中,找到将用作此新联合服务器场中的服务帐户的域帐户,然后单击“ 确定”。 键入此帐户的密码,确认密码,然后单击“ 下一步”。
注释
有关为联合服务器场指定服务帐户的详细信息,请参阅 为联合服务器场手动配置 服务帐户。 联合服务器场中的每个联合服务器都必须为服务器场指定相同的服务帐户才能正常运行。 例如,如果已创建的服务帐户是 contoso\ADFS2SVC,则为联合服务器角色配置的并且将在同一个服务器场中参与的每台计算机,都必须在联合服务器配置向导的此步骤中指定 contoso\ADFS2SVC,这样服务器场才能正常运行。
在 “准备应用设置” 页上,查看详细信息。 如果设置看起来正确,请单击“ 下一步 ”开始使用这些设置配置 AD FS。
在 “配置结果 ”页上,查看结果。 完成所有配置步骤后,单击“ 关闭 ”退出向导。
重要
出于安全部署的目的,在你使用 AD FS 联合服务器配置向导来配置联合服务器场时,将禁用项目分辨率和回复检测。 此向导会自动配置用于存储服务配置数据的 Windows 内部数据库。 但是,你可能会通过使用“AD FS 管理”管理单元中的“终结点”节点或 Windows PowerShell 中的 Enable-ADFSEndpoint cmdlet 启用项目分辨率终结点,而错误地撤消此更改。 请注意不要重新配置默认设置,以便在同时使用联合服务器场和 Windows 内部数据库时此终结点保持禁用状态。