Naplánování a nasazení služby AD FS 2.0 pro použití s jednotným přihlašováním

Výchozí topologií služeb Office 365 je federační serverová farma služby AD FS 2.0 sestávající z více serverů hostujících službu FS (Federation Service) vaší organizace. V této topologii využívá služba AD FS 2.0 databázi WID jako konfigurační databázi služby AD FS 2.0 pro všechny federační servery připojené k této farmě. Farma replikuje a spravuje data služby FS (Federation Service) v konfigurační databázi v každém serveru ve farmě.

Vytvořením prvního federačního serveru ve farmě je zároveň vytvořena nová služba FS (Federation Service). Pokud je jako konfigurační databáze služby AD FS 2.0 použita databáze WID, první federační server vytvořený ve farmě se označuje jako primární federační server. To znamená, že tento počítač bude nakonfigurován s kopií konfigurační databáze služby AD FS 2.0 pro čtení i zápis.

Všechny ostatní federační servery nakonfigurované pro tuto farmu se označují jako sekundární federační servery, protože musejí replikovat veškeré změny provedené na primárním federačním serveru ve svých kopiích konfigurační databáze služby AD FS 2.0 jen pro čtení, které jsou na nich lokálně uloženy.

Poznámka:
Doporučujeme použít nejméně dva federační servery v konfiguraci s vyrovnaným zatížením.

Nastavení této základní topologie federační serverové farmy představuje první fázi nasazení služby AD FS 2.0. Druhá fáze spočívá ve stanovení způsobu poskytování funkce řízení přístupu externím uživatelům prostřednictvím nasazení proxy federačního serveru.

Fáze 1: Nasazení federační serverové farmy

---

Až budete připraveni zahájit nasazení farmy, měli byste naplánovat umístění všech federačních serverů do podnikové sítě za hostitele služby Vyrovnávání zatížení sítě (NLB), kterého lze nakonfigurovat pro cluster služby Vyrovnávání zatížení sítě s vyhrazeným názvem DNS clusteru a IP adresou clusteru.

Důležité:
Tento název DNS clusteru se musí shodovat s názvem služby FS (Federation Service), například fs.fabrikam.com, a musí být internetově směrovací pro instanci služby AD FS 2.0, jejíž nasazení provádíte.

Hostitel služby Vyrovnávání zatížení sítě může používat nastavení definovaná v tomto clusteru NLB k přidělení požadavků klientů jednotlivým federačním serverům. Následující diagram zobrazuje, jak by společnost Fabrikam, Inc. mohla nastavit první fázi nasazení pomocí federační serverové farmy o dvou počítačích (fs1 a fs2) s databází WID a umístění serveru služby Vyrovnávání zatížení sítě a jediného hostitele NLB připojeného kabelem k podnikové síti.

Poznámka:
V případě selhání tohoto jediného hostitele služby Vyrovnávání zatížení sítě nebudou mít uživatelé přístup ke službám Office 365. Pokud si váš podnik nemůže dovolit existenci jediného bodu selhání, je třeba přidat další hostitele služby Vyrovnávání zatížení sítě.

Fáze 2: Nasazení proxy federačního serveru

---

Obecně platí, že proxy federačního serveru slouží k přesměrování požadavků na ověření klienta přicházející z míst mimo podnikovou síť na federační serverovou farmu. V případě podnikových zákazníků služeb Office 365 je nasazení proxy federačního serveru do stávající infrastruktury služby AD FS 2.0 nezbytné k umožnění následujících uživatelských scénářů:

• Pracovní počítač, roaming: Uživatelé, kteří jsou pomocí podnikových pověření přihlášeni k počítačům připojeným k doméně, avšak nejsou připojeni k podnikové síti (např. pracovní počítač doma či v hotelu), mají ke službám Office 365 přístup.
  
• Domácí nebo veřejný počítač: Používají-li uživatelé počítač, který není připojen k podnikové doméně, je nutné, aby se přihlásili pomocí podnikových pověření a mohli tak přistupovat k jednotlivým službám Office 365.
  
• Smartphone: Chce-li uživatel na svém smartphonu získat přístup ke službám Office 365 (například k systému Microsoft Exchange Online) prostřednictvím protokolu Microsoft Exchange ActiveSync, daný uživatel se musí přihlásit prostřednictvím podnikových pověření.
  
• Aplikace Microsoft Outlook a další e-mailoví klienti: Pokud uživatelé používají pro přístup k e-mailu služeb Office 365 aplikaci Outlook nebo e-mailového klienta, který není součástí systému Office (např. klienta IMAP nebo POP), je nutné, aby se přihlásili pomocí podnikových pověření.
  

Za účelem zajištění podpory těchto uživatelských scénářů bude tato druhá fáze stavět na výše probírané fázi 1 nasazení, a to přidáním dvou proxy federačního serveru, poskytnutím přístupu k serveru DNS v hraniční síti a přístupu k druhému hostiteli služby Vyrovnávání zatížení sítě v hraniční síti.

Druhý hostitel služby Vyrovnávání zatížení sítě musí být konfigurován s clusterem služby Vyrovnávání zatížení sítě využívajícím internetově přístupnou IP adresu clusteru a musí využívat tentýž název DNS clusteru jako předchozí cluster služby Vyrovnávání zatížení sítě, který jste nakonfigurovali v podnikové síti ve fázi 1 (fs.fabrikam.com). Proxy federačního serveru budou rovněž nakonfigurovány s internetově přístupnými IP adresami.

Následující diagram zobrazuje stávající nasazení ve fázi 1 a dále způsob, jímž by společnost Fabrikam, Inc. mohla poskytovat přístup k hraničním serverům DNS, přidat druhého hostitele služby Vyrovnávání zatížení sítě se stejným názvem DNS clusteru (fs.fabrikam.com) a přidat dva proxy federačního serveru (fsp1 a fsp2) do hraniční sítě.

Poznámka:

Chcete-li publikovat službu AD FS 2.0 na extranetu, můžete použít reverzní proxy server HTTP od třetích stran. Další informace týkající se tohoto postupu naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0. Veškerá komunikace služby AD FS 2.0 procházející bránou firewall je založena na protokolu HTTPS. V rámci služby AD FS 2.0 můžete vytvářet vlastní pravidla deklarace identity, na základě kterých bude omezen přístup uživatelů ke službám Office 365 podle fyzické polohy klientského počítače nebo klientského zařízení, prostřednictvím kterého uživatel získává přístup. Další informace o tom, jak tato pravidla vytvářet, naleznete v tématu Omezování přístupu ke službám Office 365 na základě fyzické polohy klienta.

Toto je rozšířená možnost topologie nasazení služby AD FS 2.0, která využívá proxy federačního serveru a konfiguraci serveru SQL Server, aby všem serverům ve farmě umožnila čtení a zápis do společné databáze serveru SQL Server. Použití databáze serveru SQL Server jako konfigurační databáze služby AD FS 2.0 má oproti databázi WID následující výhody:

• Funkce vysoké dostupnosti systému SQL Server, které mohou správci využít
  
• Další zlepšení výkonu, včetně schopnosti zvýšit rozsah pomocí více než pěti federačních serverů (databáze WID je omezena na pět federačních serverů na jednu farmu).
  
• Geografické vyrovnání zatížení, které pomáhá zajistit zvýšení pro vysoký provoz na základě umístění.
  

Poznámka:
Vzhledem k tomu, že tato topologie představuje rozšířenou možnost nasazení služby AD FS 2.0, tento článek se podrobnostmi fungování této topologie ani způsobem jejího nasazení nezabývá.

Další informace týkající se této možnosti topologie naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0.

Můžete použít následující tabulku, které vám pomůže odhadnout minimální počet federačních serverů a proxy federačního serveru služby AD FS 2.0, které bude třeba umístit do federační serverové farmy nakonfigurované s databází WID v rámci celé podnikové síťové infrastruktury, a to podle počtu uživatelů, kteří budou potřebovat přístup prostřednictvím jednotného přihlašování (včetně vzdáleného přístupu) ke službám Office 365.

Poznámka:
Ve všech počítačích, které budou nakonfigurovány pro roli federačního serveru nebo proxy federačního serveru, musí být spuštěn operační systém Windows Server 2008 nebo Windows Server 2008 R2.

Doporučujeme použít jeden federační server k zajištění zálohy. Následující tabulka toto doporučení zohledňuje.

Počet uživatelů přistupujících ke službám Office 365	Minimální počet serverů, které je třeba nasadit	Doporučení a kroky
Méně než 1 000 uživatelů	0 vyhrazených federačních serverů 0 vyhrazených proxy federačního serveru 1 vyhrazený server služby Vyrovnávání zatížení sítě	V případě federačních serverů použijte dva stávající řadiče domény služby Active Directory a oba nakonfigurujte pro roli federačního serveru. Chcete-li takto postupovat, nejprve vyberte dva stávající řadiče domény a poté: Na obou řadičích domény nainstalujte službu AD FS 2.0. Jeden konfigurujte jako první federační server v nové farmě. Druhý připojte k federační serverové farmě. V případě služby Vyrovnávání zatížení sítě nakonfigurujte stávajícího hostitele služby Vyrovnávání zatížení sítě nebo získejte vyhrazený server, poté na něj nainstalujte roli serveru služby Vyrovnávání zatížení sítě a následně tento server služby Vyrovnávání zatížení sítě nakonfigurujte. V případě proxy federačního serveru použijte dva stávající webové nebo proxy servery a oba nakonfigurujte pro roli proxy federačního serveru. Chcete-li takto postupovat, vyberte dva stávající webové nebo proxy servery, které jsou umístěny v extranetu, a poté: Na obou serverech instalujte službu AD FS 2.0. Konfigurujte je pro roli federačního proxy serveru. Do jednoho z federačních proxy serverů instalujte roli serveru NLB nebo konfigurujte stávajícího hostitele NLB. Poznámka: Pokud nemáte dva stávající řadiče domény a dva webové nebo proxy servery, nebo pokud na nich není spuštěn systém Windows Server 2008 nebo Windows Server 2008 R2, měli byste namísto toho nasadit vyhrazené servery, jak je popsáno v následujícím řádku této tabulky.
1 000 až 15 000 uživatelů	2 vyhrazené federační servery 2 vyhrazené proxy federačního serveru	V případě federačních serverů získejte dva vyhrazené servery a poté: Na obou serverech instalujte službu AD FS 2.0. Jeden konfigurujte jako první federační server v nové farmě. Připojit k prvnímu serveru do farmy. Do jednoho z federačních serverů nainstalujte roli serveru služby Vyrovnávání zatížení sítě nebo nakonfigurujte stávajícího hostitele služby Vyrovnávání zatížení sítě. V případě federačních serverů získejte dva vyhrazené servery, které můžete umístit na extranet: Na obou serverech instalujte službu AD FS 2.0. Konfigurujte je pro roli federačního proxy serveru. Do jednoho z federačních proxy serverů instalujte roli serveru NLB nebo konfigurujte stávajícího hostitele NLB.
15 000 až 60 000 uživatelů	Od 3 do 5 vyhrazených federačních serverů Nejméně 2 vyhrazené proxy federačního serveru	Každý vyhrazený federační server může podporovat přibližně 15 000 uživatelů. Proto na každých 15 000 uživatelů, kteří budou vyžadovat přístup ke službám Office 365, přidejte další vyhrazený federační server k výše popsanému základnímu nasazení dvou federačních serverů, a to až do maximálního počtu pěti federačních serverů ve farmě nebo 60 000 uživatelů. Poznámka: Federační serverová farma služby AD FS 2.0 konfigurovaná k používání databáze WID podporuje nejvýše pět federačních serverů. Potřebujete-li více než pět federačních serverů, musíte nakonfigurovat databázi serveru SQL Server k uložení konfigurační databáze služby AD FS 2.0. Další informace týkající se této možnosti naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0.

Doporučení týkající se minimálního počtu uživatelů k serverům uvedená v předchozí tabulce jsou vypočtena na základě následujícího hardwaru:

Jsou-li ve farmě využívající technologii služby Vyrovnávání zatížení sítě nakonfigurovány dva nebo více federačních serverů, mohou pracovat nezávisle a pomoci zpracovat zatížení příchozími požadavky uživatelů na službu FS (Federation Service) služby AD FS 2.0, aniž by došlo ke snížení celkového výkonu služby jako celku. Poté, co jste ve své síti strategicky nasadili původní federační servery, je proto přidání dalších federačních serverů do stávajícího provozního prostředí spojeno s nízkou režií.

Zpět nahoru

Software služby AD FS 2.0 musí být nainstalován v každém počítači, který připravujete pro roli federačního serveru nebo proxy federačního serveru. Tento software můžete nainstalovat buď pomocí průvodce instalací služby AD FS 2.0, nebo provedením tiché instalace pomocí parametru adfssetup.exe /quiet v příkazovém řádku.

Jako základní instalační platformu vyžaduje služba AD FS 2.0 operační systém Windows Server 2008 nebo Windows Server 2008 R2. Služba AD FS 2.0 má pro každý z těchto operačních systémů samostatný instalační balíček.

Nejdůležitější roli při zajišťování komunikace mezi federačními servery, proxy federačního serveru, službami Office 365 a webovými klienty hrají certifikáty. Požadavky na certifikáty se liší - podle toho, zda nastavujete počítač federačního serveru nebo proxy federačního serveru - jak je popsáno v následujících tabulkách.

Certifikáty federačního serveru

---

Federační servery vyžadují certifikáty uvedené v následující tabulce.

 

Typ certifikátu	Popis	Co je nutné před nasazením vědět
Certifikát protokolu SSL (také označovaný jako ověřovací certifikát serverů)	Toto je standardní certifikát protokolu SSL (Secure Sockets Layer), který se používá k zabezpečení komunikace mezi federačními servery, klienty a počítači proxy federačního serveru.	Služba AD FS 2.0 vyžaduje při konfiguraci nastavení federačního serveru certifikát protokolu SSL. Ve výchozím nastavení služba AD FS 2.0 používá certifikát protokolu SSL, který byl nakonfigurován pro výchozí web v Internetové informační službě (IIS). Název předmětu tohoto certifikátu protokolu SSL slouží ke stanovení názvu služby FS (Federation Service) pro jednotlivé vámi nasazené instance služby AD FS 2.0. Z tohoto pro vás může být výhodné zvážit u každého nového certifikátu vydaného certifikační autoritou (CA) výběr Názvu předmětu, který nejlépe reprezentuje název vaší společnosti nebo organizace vůči službám Office 365 a tento název musí být internetově směrovací. V diagramu znázorněném dříve v tomto článku (viz Fáze 2) by například název předmětu certifikátu byl fs.fabrikam.com. Důležité: Služba AD FS 2.0 vyžaduje, aby tento certifikát protokolu SSL byl bez Názvu předmětu bez tečky (krátký název). Požadováno: Vzhledem k tomu, že tomuto certifikátu musí důvěřovat klienti služby AD FS 2.0 a služeb Office 365, použijte certifikát protokolu SSL vydaný veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou, která je podřízená veřejně důvěryhodné kořenové certifikační autoritě; například VeriSign nebo Thawte.
Podpisový certifikát tokenu	Toto je standardní certifikát X.509 používaný k bezpečnému podepisování všech tokenů, které federační server vydá a které služby Office 365 přijmou a ověří.	Podpisový certifikát tokenu musí obsahovat privátní klíč a měl by být řetězen k důvěryhodné kořenové certifikační autoritě ve službě FS (Federation Service). Ve výchozím nastavení služba AD FS 2.0 vytváří certifikát podepsaný svým držitelem (self-signed certificate). V závislosti na potřebách své organizace však můžete toto nastavení později změnit na certifikát vydaný certifikační autoritou, a to pomocí modulu snap-in Správa služby AD FS 2.0. Doporučení: Použijte podpisový certifikát tokenu podepsaný svým držitelem (self-signed certificate) vytvořený službou AD FS 2.0. Pokud tak učiníte, služba AD FS 2.0 bude tento certifikát ve výchozím nastavení spravovat za vás. Přiblíží-li se například konec platnosti certifikátu, služba AD FS 2.0 s předstihem vytvoří a bude používat nový certifikát podepsaný svým držitelem (self-signed certificate).

Upozornění:

Podpisový certifikát tokenu má zásadní význam pro stabilitu služby FS (Federation Service). Dojde-li k jeho změně, tuto změnu je třeba oznámit službám Office 365. V opačném případě se požadavky zaslané službám Office 365 nezdaří. Z tohoto důvodu doporučujeme stáhnout a konfiguraci Nástroje Microsoft Office 365 federace Metadata aktualizace automatizace instalace, který bude automaticky sledovat a aktualizace metadat federace Office 365 pravidelně, aby změny provedené v tokenu podpisový certifikát služby AD FS 2.0 Federation Service automaticky replikovány do Office 365. Obecné informace o správě certifikátů v rámci serverové farmy federace služby AD FS 2.0 a služeb Office 365 naleznete v tématu Aktualizace vlastností důvěryhodnosti.

Správná konfigurace následujících síťových služeb je kritická pro úspěšné nasazení služby AD FS 2.0 ve vaší organizaci.

Má-li služba AD FS 2.0 fungovat, jednotlivé počítače fungující jako federační servery musí být připojeny k doméně. Proxy federačního serveru mohou být připojeny k doméně, avšak není to vyžadováno.

1. V počítači, který chcete připojit k doméně, klikněte na položku Start, klikněte na položku Ovládací panely a poté dvakrát klikněte na položku Systém.

2. V části Název počítače, doména a nastavení pracovní skupiny klikněte na položku Změnit nastavení.

3. Na kartě Název počítače klikněte na položku Změnit.

4. V části Člen klikněte na položku Doména, zadejte název domény, k němuž bude tento počítač připojen, a poté klikněte na tlačítko OK.

5. Klikněte na tlačítko OK a poté restartujte počítač.

Klienti v podnikové síti mohou úspěšně získat přístup ke službě FS (Federation Service) pouze tehdy, pokud byl nejprve vytvořen záznamu o prostředku hostitele (A) v podnikovém systému DNS (Domain Name System), který přeloží název DNS clusteru služby FS (Federation Service) (například fs.fabrikam.com) do IP adresy clusteru v podnikové síti (například 172.16.1.3). Chcete-li přidat záznamu o prostředku hostitele (A) do podnikového systému DNS pro cluster služby Vyrovnávání zatížení sítě, můžete použít následující postup.

1. Na serveru DNS pro podnikovou síť otevřete modul snap-in systému DNS.

2. Ve stromu konzoly klikněte pravým tlačítkem myši na příslušnou zónu dopředného vyhledávání (například fabrikam.com) a poté klikněte na položku Nový hostitel (A nebo AAAA).

3. Do pole Název zadejte pouze název počítače federačního serveru nebo federačního serverového clusteru; v případě plně kvalifikovaného názvu domény fs.fabrikam.com například zadejte fs.

4. Do pole IP adresa zadejte IP adresu federačního serveru nebo federačního serverového clusteru; například 172.16.1.3.

5. Klikněte na Přidat hostitele.

   Důležité:
   Předpokládá se, že používáte server DNS, máte spuštěn systém Windows 2000 Server, Windows Server 2003 nebo Windows Server 2008 se službou server DNS, za účelem řízení zóny DNS.

Jakmile od certifikační autority obdržíte ověřovací certifikát serverů, tento certifikát je třeba ručně nainstalovat na výchozí web pro jednotlivé federační servery ve vaší farmě.

Vzhledem k tomu, že tomuto certifikátu musí důvěřovat klienti služby AD FS 2.0 a služeb Office 365, použijte certifikát protokolu SSL vydaný veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou, která je podřízená veřejně důvěryhodné kořenové certifikační autoritě; například VeriSign nebo Thawte. Informace týkající se instalace certifikátu od veřejné certifikační autority naleznete v tématu IIS 7.0: Vyžádání certifikátu internetového serveru.

Poznámka:

Název předmětu tohoto ověřovacího certifikátu serverů se musí shodovat s plně kvalifikovaným názvem domény clusteru názvu DNS (například fs.fabrikam.com), který jste dříve vytvořili v hostiteli služby Vyrovnávání zatížení sítě. Nebyla-li instalována Internetová informační služba (IIS), je nutné službu IIS nejdříve instalovat, abyste tuto úlohu dokončili. Při první instalaci služby IIS doporučujeme při výzvě použít výchozí možností funkcí během instalace role serveru.

1. V nabídce Start přejděte na položku Všechny programy, Nástroje pro správu a klikněte na položku Správce Internetové informační služby (IIS).

2. Ve stromu konzoly klikněte na NázevPočítače.

3. V středovém podokně klikněte na položku Certifikáty serveru.

4. V podokně Akce klikněte na Import.

5. V dialogovém okně Import certifikátu klikněte na tlačítko … .

6. Vyhledejte soubor s certifikátem PFX, označte jej a klikněte na tlačítko Otevřít.

7. Zadejte heslo certifikátu a klikněte na tlačítko OK.

Chcete-li ve službě AD FS 2.0 nakonfigurovat prostředí federační serverové farmy, je třeba vytvořit a nakonfigurovat vyhrazený účet služby ve službě Active Directory, kde bude farma umístěna. Tento vyhrazený účet služby je nezbytný k zajištění toho, aby byl veškerým zdrojům vyžadovaným farmou služby AD FS 2.0 udělen přístup k jednotlivým federačním serverům ve farmě.

Poté nakonfigurujte jednotlivé federační servery ve farmě tak, aby používaly tento stejný účet služby. Pokud byl například vytvořen účet služby fabrikam\ADFS2SVC, potom každý počítač, který konfigurujete pro roli federačního serveru a který se bude podílet na téže farmě, musí v tomto kroku v Průvodci konfigurací federačního serveru zadat fabrikam\ADFS2SVC, jinak nebude farma funkční.

Poznámka:
Úkoly uvedené v tomto postupu je třeba provést pouze jednou pro celou federační serverovou farmu. Později, když vytvoříte federační server pomocí Průvodce konfigurací federačního serveru služby AD FS 2.0, je třeba zadat tento stejný účet na stránce průvodce Účet služby na každém federačním serveru ve farmě.

1. Vytvoření vyhrazeného uživatelského účtu / účtu služby v doménové struktuře služby Active Directory, kterou budete ve své organizaci používat.

2. Upravte vlastnosti uživatelského účtu a zaškrtněte políčko Heslo je platné stále. Tímto krokem zajistíte, aby nebyla funkce účtu služby přerušena v důsledku požadavku na změnu hesla domény.

   Poznámka:
   Potřebujete-li měnit heslo pro účet služby pravidelně, najdete další informace v tématu Konfigurace rozšířených možností služby AD FS 2.0. Použití účtu síťové služby pro tento vyhrazený účet bude mít při pokusu o získání přístupu pomocí integrovaného ověřování systému Windows za následek náhodná selhání, protože lístky protokolu Kerberos nebudou ověřeny z jednoho serveru do druhého.

Software služby AD FS 2.0 musí být nainstalován v každém počítači, který připravujete pro roli federačního serveru. Tento software můžete nainstalovat buď pomocí průvodce instalací služby AD FS 2.0, nebo pomocí parametru příkazového řádku. Další informace týkající se tohoto parametru naleznete v tématu Průvodce nasazením služby AD FS 2.0.

Nezapomeňte dokončit proces instalace a nainstalovat veškeré požadované opravy hotfix do každého počítače federačního serveru, jak je uvedeno v posledním kroku tohoto postupu.

1. Uložením instalačního souboru AdfsSetup.exe do počítače stáhněte softwarový balík služby AD FS 2.0 pro danou verzi operačního systému (buď Windows Server 2008, nebo Windows Server 2008 R2). Soubor stáhnete z webu Active Directory Federation Services 2.0 RTW.

2. Vyhledejte instalační soubor AdfsSetup.exe, který jste stáhli do počítače, a dvakrát na něj klikněte.

3. Na úvodní stránce Průvodce nastavením služby AD FS 2.0 klikněte na tlačítko Další.

4. Na stránce Licenční smlouva s koncovým uživatelem si přečtěte licenční podmínky.

5. Souhlasíte-li s podmínkami, zaškrtněte políčko Přijímám podmínky licenční smlouvy a klikněte na tlačítko Další.

6. Na stránce Role serveru vyberte položku Federační server a poté klikněte na tlačítko Další.

7. Na stránce Průvodce nastavením služby AD FS 2.0 byl dokončen klikněte na tlačítko Dokončit.

   Důležité:
   Je možné, že instalace služby AD FS 2.0 bude v určitých situacích vyžadovat restart počítače (například pokud byly nainstalovány závislé opravy hotfix).

8. Nainstalujte všechny opravy hotfix uvedené v tématu Popis kumulativní aktualizace 2 pro službu AD FS (Active Directory Federation Services) 2.0.

Chcete-li nastavit počítač tak, aby se stal prvním federačním serverem v nové federační serverové farmě, můžete použít následující postup prostřednictvím Průvodce konfigurací federačního serveru služby AD FS 2.0.

Členství ve správcích domény nebo delegovaný účet domény, jemuž bylo uděleno oprávnění k zápisu ke kontejneru dat programu ve službě Active Directory, představují minimální přístup vyžadovaný k dokončení tohoto postupu.

1. Po dokončení instalace softwaru služby AD FS 2.0 klikněte na tlačítko Start a na příkaz Nástroje pro správu. Potom kliknutím na možnost Správa služby AD FS 2.0 otevřete modul snap-in Správa služby AD FS 2.0.

2. Na stránce Přehled klikněte na položku Průvodce konfigurací federačního serveru služby AD FS 2.0.

3. Na stránce Vítejte ověřte, že je vybrána možnost Vytvořit novou službu FS (Federation Service), a poté klikněte na tlačítko Další.

4. Na stránce Vybrat samostatné nasazení nebo nasazení farmy klikněte na možnost Nová federační serverová farma a poté klikněte na tlačítko Další.

5. Na stránce Zadat název služby FS (Federation Service) ověřte, že se zobrazený Certifikát SSL shoduje s názvem certifikátu, který byl dříve importován na výchozí web ve službě IIS. Pokud toto není správný certifikát, vyberte příslušný certifikát v seznamu Certifikát SSL.

   Poznámka:
   Je-li certifikát protokolu SSL nakonfigurován pro službu IIS, průvodce vám nepovolí certifikát přepsat.

6. Pokud jste dříve na tento počítač znovu nainstalovali službu AD FS, zobrazí se stránka Byla zjištěna stávající konfigurační databáze služby AD FS. Pokud se tato stránka zobrazí, klikněte na položku Odstranit databázi a poté klikněte na tlačítko Další.

7. Na stránce Určit účet služby klikněte na možnost Procházet. V dialogovém okně Procházet najděte účet domény, který se použije jako účet služby v této nové federační serverové farmě, a poté klikněte na tlačítko OK. Zadejte heslo pro tento účet, potvrďte jej a poté klikněte na tlačítko Další.

   Poznámka:
   Další informace o účtu služby, který jste dříve vytvořili v tomto článku, naleznete v tématu Vytvoření vyhrazeného účtu služby pro federační serverovou farmu.

8. Na stránce Připraveno k použití nastavení zkontrolujte podrobnosti. Jsou-li nastavení v pořádku, klikněte na tlačítko Další a zahajte konfiguraci služby AD FS 2.0 s tímto nastavením.

9. Prohlédněte si výsledky na stránce Výsledky konfigurace. Po dokončení všech konfiguračních kroků kliknutím na tlačítko Zavřít průvodce ukončíte.

Poznámka:

Jakmile dokončíte kroky tohoto postupu, automaticky se otevře modul snap-in Správa služby AD FS 2.0 a zobrazí se zpráva s informací, že požadovaná konfigurace je dokončena a že byste měli přidat důvěryhodnou předávající stranu. Tuto zprávu můžete ignorovat. Důvěryhodnost předávající strany pro služby Office 365 bude přidána v jednom z pozdějších kroků. Další informace naleznete v tématu Instalace prostředí Windows PowerShell pro jednotné přihlašování. Jakmile bude tento krok dokončen, tato zpráva zmizí z modul snap-in Správa služby AD FS 2.0.

Jakmile nainstalujete software služby AD FS 2.0 a nakonfigurujete požadované certifikáty v počítači, jste připraveni nakonfigurovat počítač tak, aby se stal federačním serverem. Chcete-li připojit počítač k nové federační serverové farmě, můžete použít následující postup.

Pro připojení počítače k farmě se používá Průvodce konfigurací federačního serveru služby AD FS 2.0. Když použijete tohoto pomocníka k připojení počítače ke stávající farmě, počítač je nakonfigurován s kopií konfigurační databáze služby AD FS 2.0 jen pro čtení a musí přijímat aktualizace z primárního federačního serveru.

1. Po dokončení instalace softwaru služby AD FS 2.0 klikněte na tlačítko Start a na příkaz Nástroje pro správu. Potom kliknutím na možnost Správa služby AD FS 2.0 otevřete modul snap-in Správa služby AD FS 2.0.

2. Na stránce Přehled nebo v podokně Akce klikněte na možnost Průvodce konfigurací federačního serveru služby AD FS 2.0.

3. Na stránce Vítejte ověřte, že je vybrána možnost Přidat federační server ke stávající službě FS (Federation Service), a poté klikněte na tlačítko Další.

4. Pokud vámi vybraná databáze služby AD FS 2.0 již existuje, zobrazí se stránka Byla zjištěna stávající konfigurační databáze služby AD FS. Pokud k tomu dojde, klikněte na položku Odstranit databázi a poté klikněte na tlačítko Další.

   Upozornění:
   Tuto možnost vyberte, pouze pokud jste si jistí, že data v této databázi služby AD FS 2.0 nejsou důležitá nebo že nejsou používána v provozní federační serverové farmě.

5. Na stránce Zadat primární federační server a účet služby zadejte v části Název primárního federačního serveru název počítače primárního federačního serveru ve farmě a poté klikněte na možnost Procházet. V dialogovém okně Procházet najděte účet domény, který je používán jako účet služby všemi ostatními federačními servery ve stávající federační serverové farmě, a poté klikněte na tlačítko OK. Zadejte heslo, potvrďte jej a poté klikněte na tlačítko Další.

   Poznámka:
   Další informace o účtu služby, který jste dříve vytvořili v tomto článku, naleznete v tématu Vytvoření vyhrazeného účtu služby pro federační serverovou farmu.

6. Na stránce Připraveno k použití nastavení zkontrolujte podrobnosti. Jsou-li nastavení v pořádku, klikněte na tlačítko Další a zahajte konfiguraci služby AD FS 2.0 s tímto nastavením.

7. Prohlédněte si výsledky na stránce Výsledky konfigurace. Po dokončení všech konfiguračních kroků kliknutím na tlačítko Zavřít průvodce ukončíte.

K ověření funkčnosti federačního serveru můžete použít následující postupy (tedy k ověření skutečnosti, zda se každý klient na téže síti může připojit k novému federačnímu serveru).

1. Přihlaste se ke klientskému počítači umístěnému ve stejné doménové struktuře jako federační server.

2. Otevřete okno prohlížeče. Do panelu Adresa zadejte název hostitele DNS federačního serveru a poté k němu připojte /FederationMetadata/2007-06/FederationMetadata.xml pro nový federační server, například:

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Stiskněte klávesu ENTER a potom dokončete další postup v počítači federačního serveru. Pokud se zobrazí zpráva Došlo k problému s certifikátem zabezpečení tohoto webu, klikněte na položku Pokračovat na tento web.

   Očekávaným výstupem je zobrazení dokumentu XML s popisem služby. Pokud se tato stránka zobrazí, služba IIS na federačním serveru je funkční a úspěšně obsluhuje stránky.

1. Přihlaste se k novému federačnímu serveru jako správce.

2. Klikněte na tlačítko Start, přejděte k položce Nástroje pro správu a klikněte na možnost Prohlížeč událostí.

3. V podokně podrobností dvakrát klikněte na položku Protokoly aplikací a služeb, dvakrát klikněte na položku Zpracování událostí služby AD FS 2.0. Klikněte na možnost Správce.

4. Ve sloupci ID události hledejte ID události ID 100. Pokud je federační server nakonfigurován správně, uvidíte novou událost — v protokolu Aplikace Prohlížeče událostí — s ID události 100. Tato událost potvrzuje, že federační server byl schopen úspěšně komunikovat se službou FS (Federation Service).

Zpět nahoru

Má-li proxy federačního serveru fungovat v hraniční síti dle očekávání, je třeba do souboru hostitelů v každém počítači proxy federačního serveru přidat položku směrující na název DNS clusteru hostovaný službou Vyrovnávání zatížení sítě v podnikové síti (například fs.fabrikam.com) a jeho IP adresu (například 172.16.1.3). Přidání této položky do souboru hostitelů umožní proxy federačního serveru řádně směrovat klientem zahájené volání na federační server buď uvnitř hraniční sítě, nebo mimo hraniční síť.

1. Přejděte do složky adresáře %systemroot%\Winnt\System32\Drivers a najděte soubor Hostitelé.

2. Spusťte Poznámkový blok a poté otevřete soubor Hostitelé.

3. Přidejte IP adresu a název hostitele federačního serveru do souboru Hostitelé, jak ukazuje následující příklad:

   172.16.1.3             fs.fabrikam.com

4. Soubor uložte a zavřete.

Důležité:
Pokud se adresa IP clusteru v hostiteli služby Vyrovnávání zatížení sítě v podnikové síti někdy změní, je nutné aktualizovat lokální soubor hostitelů na každém proxy federačního serveru.

Za účelem obsluhy požadavků na ověření od klientů buď uvnitř nebo mimo hraniční sítě, nebo mimo hraniční síť služba AD FS 2.0 vyžaduje, aby byl nakonfigurován překlad názvů na externích serverech DNS hostujících zónu organizace (například fabrikam.com).

Chcete-li tak učinit, přidejte záznam o prostředku hostitele (A) k externímu serveru DNS obsluhujícímu pouze hraniční síť pro název DNS clusteru (například „fs.fabrikam.com“) tak, aby odkazoval na právě nakonfigurovanou IP adresu externího clusteru.

1. Na serveru DNS hraniční sítě otevřete modul snap-in systému DNS. Klikněte na tlačítko Start, přejděte k položce Nástroje pro správu a klikněte na možnost DNS.

2. Ve stromu konzoly klikněte pravým tlačítkem myši na příslušnou zónu dopředného vyhledávání (například fabrikam.com) a poté klikněte na položku Nový hostitel (A nebo AAAA).

3. Do pole Název zadejte pouze název DNS clusteru, který jste zadali v hostiteli služby Vyrovnávání zatížení sítě v hraniční síti (tento název DNS by měl být stejný jako název služby FS (Federation Service)). V případě plně kvalifikovaného názvu domény fs.fabrikam.com například zadejte fs.

4. Do pole IP adresa zadejte IP adresu pro novou IP adresu clusteru, kterou jste zadali v hostiteli služby Vyrovnávání zatížení sítě v hraniční síti. Například 192.0.2.3.

5. Klikněte na Přidat hostitele.

Jakmile obdržíte ověřovací certifikát serverů používaný jedním z federačních serverů v podnikové síti, tento certifikát je třeba ručně nainstalovat na výchozí web pro každý proxy federačního serveru v organizaci.

Vzhledem k tomu, že tomuto certifikátu musí důvěřovat klienti služby AD FS 2.0 a služeb Office 365, použijte certifikát protokolu SSL vydaný veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou, která je podřízená veřejně důvěryhodné kořenové certifikační autoritě; například VeriSign nebo Thawte. Informace týkající se instalace certifikátu od veřejné certifikační autority naleznete v tématu IIS 7.0: Vyžádání certifikátu internetového serveru.

Poznámka:

Název předmětu tohoto ověřovacího certifikátu serverů se musí shodovat s plně kvalifikovaným názvem domény clusteru názvu DNS (například fs.fabrikam.com), který jste dříve vytvořili v hostiteli služby Vyrovnávání zatížení sítě. Nebyla-li instalována Internetová informační služba (IIS), je nutné službu IIS nejdříve instalovat, abyste tuto úlohu dokončili. Při první instalaci služby IIS doporučujeme při výzvě použít výchozí možností funkcí během instalace role serveru.

1. V nabídce Start přejděte na položku Všechny programy, Nástroje pro správu a klikněte na položku Správce Internetové informační služby (IIS).

2. Ve stromu konzoly klikněte na NázevPočítače.

3. V středovém podokně klikněte na položku Certifikáty serveru.

4. V podokně Akce klikněte na Import.

5. V dialogovém okně Import certifikátu klikněte na tlačítko … .

6. Vyhledejte soubor s certifikátem PFX, označte jej a klikněte na tlačítko Otevřít.

7. Zadejte heslo certifikátu a klikněte na tlačítko OK.

Software služby AD FS 2.0 musí být nainstalován v každém počítači, který připravujete pro roli proxy serveru federačního serveru. Tento software můžete nainstalovat buď pomocí průvodce instalací služby AD FS 2.0, nebo pomocí parametru příkazového řádku. Další informace týkající se tohoto parametru naleznete v tématu Průvodce nasazením služby AD FS 2.0.

Nezapomeňte dokončit proces instalace a nainstalovat veškeré požadované opravy hotfix do každého počítače proxy federačního serveru, jak je uvedeno v posledním kroku tohoto postupu.

1. Uložením instalačního souboru AdfsSetup.exe do počítače stáhněte softwarový balík služby AD FS 2.0 pro danou verzi operačního systému (buď Windows Server 2008, nebo Windows Server 2008 R2). Soubor stáhnete z webu Active Directory Federation Services 2.0 RTW.

2. Vyhledejte instalační soubor AdfsSetup.exe, který jste stáhli do počítače, a dvakrát na něj klikněte.

3. Na úvodní stránce Průvodce nastavením služby AD FS 2.0 klikněte na tlačítko Další.

4. Na stránce Licenční smlouva s koncovým uživatelem si přečtěte licenční podmínky.

5. Souhlasíte-li s podmínkami, zaškrtněte políčko Přijímám podmínky licenční smlouvy a klikněte na tlačítko Další.

6. Na stránce Role serveru vyberte možnost Proxy federačního serveru a poté klikněte na tlačítko Další.

7. Na stránce Průvodce nastavením služby AD FS 2.0 byl dokončen ověřte, že je zaškrtnuté políčko Po ukončení tohoto průvodce otevřít Průvodce konfigurací proxy federačního serveru služby AD FS 2.0, a poté kliknutím na tlačítko Dokončit restartujte počítač.

   Důležité:
   Je možné, že instalace služby AD FS 2.0 bude v určitých situacích vyžadovat restart počítače (například pokud byly nainstalovány závislé opravy hotfix). V takovém případě nezapomeňte zaškrtnout políčko Restartovat nyní na stránce Průvodce nastavením služby AD FS 2.0 byl dokončen a poté kliknutím na tlačítko Dokončit restartujte počítač.

8. Nainstalujte všechny opravy hotfix uvedené v tématu Popis kumulativní aktualizace 2 pro službu AD FS (Active Directory Federation Services) 2.0.

Jakmile nakonfigurujete počítač pomocí požadovaných certifikátů a nainstalujete software služeb AD FS 2.0, můžete konfigurovat počítač tak, aby se stal proxy federačního serveru. Chcete-li, aby počítač vystupoval v roli proxy federačního serveru, můžete použít následující postup.

Důležité:

Dříve, než použijete tento postup ke konfiguraci počítače proxy federačního serveru, ujistěte se, že jste v uvedeném pořadí dodrželi všechny kroky uvedené v kontrolních seznamech v části Nasazení federační serverové farmy. Ujistěte se, že je nasazen nejméně jeden federační server a že jsou implementována všechna nezbytná pověření pro autorizaci konfigurace proxy federačního serveru. Dále je třeba konfigurovat vazby certifikátu protokolu SSL (Secure Sockets Layer) na výchozím webu, protože v opačném případě se tento průvodce nespustí. Tento proxy federačního serveru může fungovat až poté, co budou všechny tyto úkoly dokončeny.

1. Na stránce Průvodce nastavením služby AD FS 2.0 byl dokončen v Průvodci nastavením služby AD FS 2.0 je ve výchozím nastavení zaškrtnuto políčko s názvem Po ukončení tohoto průvodce otevřít Průvodce konfigurací proxy federačního serveru služby AD FS 2.0. Spusťte průvodce a potom na stránce Vítejte klikněte na tlačítko Další.

2. Na stránce Zadat název služby FS (Federation Service) zadejte v části Název služby FS (Federation Service) název reprezentující službu FS (Federation Service), pro kterou bude tento počítač vystupovat v roli proxy (například fs.fabrikam.com).

3. Na základě svých konkrétních požadavků sítě určete, zda budete potřebovat použít proxy server protokolu HTTP k přesměrování požadavků do služby FS (Federation Service). Pokud ano, zaškrtněte políčko Použít při zasílání požadavků této službě FS (Federation Service) proxy server protokolu HTTP, v části Adresa proxy serveru protokolu HTTP zadejte adresu proxy serveru, kliknutím na položku Testovat připojení ověřte připojení a poté klikněte na tlačítko Další.

4. Po vyzvání zadejte pověření nezbytná k vytvoření vztahu důvěryhodnosti mezi tímto proxy federačního serveru a službou FS (Federation Service).

   Ve výchozím nastavení platí, že pouze účet služby používaný službou FS (Federation Service) nebo členem místní skupiny BUILTIN\Administrators může autorizovat proxy federačního serveru.

5. Na stránce Připraveno k použití nastavení zkontrolujte podrobnosti. Jsou-li nastavení v pořádku, klikněte na tlačítko Další a zahajte konfiguraci tohoto počítače s těmito nastaveními proxy.

6. Prohlédněte si výsledky na stránce Výsledky konfigurace. Po dokončení všech konfiguračních kroků kliknutím na tlačítko Zavřít průvodce ukončíte.

Po dokončení nastavení počítače ověřte, že proxy server federačního serveru pracuje dle očekávání.

Chcete-li ověřit, že proxy federačního serveru dokáže komunikovat se službou FS (Federation Service) ve službě AD FS 2.0, můžete použít následující postup. Tento postup použijte poté, co jste spuštěním Průvodce konfigurací proxy federačního serveru služby AD FS 2.0 nakonfigurovali počítač tak, aby pracoval v roli proxy federačního serveru. Další informace týkající se spuštění tohoto průvodce naleznete v tématu Konfigurace počítače pro roli proxy federačního serveru.

Poznámka:
Výsledkem tohoto testu je úspěšné vygenerování konkrétní události v Prohlížeči událostí v počítači proxy federačního serveru.

1. Přihlaste se k proxy federačního serveru jako správce.

2. Klikněte na tlačítko Start, přejděte k položce Nástroje pro správu a klikněte na možnost Prohlížeč událostí.

3. V podokně podrobností dvakrát klikněte na položku Protokoly aplikací a služeb, dvakrát klikněte na položku Zpracování událostí služby AD FS 2.0. Klikněte na možnost Správce.

4. Ve sloupci ID události hledejte ID události 198.

   Pokud je proxy federačního serveru nakonfigurován správně, v protokolu Aplikace Prohlížeče událostí uvidíte novou událost s ID události 198. Tato událost potvrzuje, že byla služba proxy federačního serveru úspěšně zahájena a nyní je online.

Zpět nahoru

Máte-li zájem o všeobecný přehled, hodnocení či informace o pokročilém řešení potíží služby AD FS 2.0, použijte příslušné následující referenční odkazy:

• Nápověda služby AD FS 2.0
  
• Podrobní průvodci a Průvodci jak na to služby AD FS 2.0
  
• Průvodce odstraňováním potíží se službou AD FS 2.0
  

Zvažujete-li nasazení složitější infrastruktury služby AD FS 2.0, než jaká je uvažována v tomto článku, doporučujeme prostudovat pokročilé informace týkající se plánování a nasazení, které jsou dostupné prostřednictvím následujících referenčních odkazů.

• Průvodce návrhem služby AD FS 2.0
  
• Průvodce nasazením služby AD FS 2.0
  
• Popis kumulativní aktualizace 2 pro službu AD FS (Active Directory Federation Services) 2.0
  
• Plánování kapacity serveru služby AD FS 2.0
  
• Konfigurace rozšířených možností služby AD FS 2.0
  

Zpět nahoru