Planen und Bereitstellen von AD FS 2.0 zur Verwendung mit der einmaligen Anmeldung

Die Standardtopologie für Office 365 entspricht einer AD FS 2.0-Verbundserverfarm, die aus mehreren Servern besteht, auf denen der Verbunddienst der Organisation gehostet wird. In dieser Topologie wird WID von AD FS 2.0 als AD FS 2.0-Konfigurationsdatenbank für alle Verbundserver verwendet, die mit der betreffenden Farm verbunden sind. Die Verbunddienstdaten in der Konfigurationsdatenbank werden von der Farm auf alle Server der Farm repliziert und dort verwaltet.

Beim Erstellen des ersten Verbundservers in einer Farm wird auch ein neuer Verbunddienst erstellt. Bei Verwendung von WID als AD FS 2.0-Konfigurationsdatenbank wird der erste Verbundserver, der in der Farm erstellt wird, als primärer Verbundserver bezeichnet. Dies bedeutet, dass dieser Computer mit einer Lese-/Schreibkopie der AD FS 2.0-Konfigurationsdatenbank konfiguriert wird.

Alle anderen für diese Farm konfigurierten Verbundserver werden als sekundäre Verbundserver bezeichnet, da für diese sämtliche auf dem primären Verbundserver vorgenommenen Änderungen in die lokal gespeicherten, schreibgeschützten Kopien der AD FS 2.0-Konfigurationsdatenbank repliziert werden müssen.

Hinweis:
Es wird empfohlen, mindestens zwei Verbundserver in einer Konfiguration mit Lastenausgleich zu verwenden.

Das Einrichten dieser einfachen Verbundserverfarm-Topologie bildet die erste Phase der AD FS 2.0-Bereitstellung. In der zweiten Phase legen Sie fest, wie die Zugriffssteuerungsfunktion für externe Benutzer durch Bereitstellen von Verbundserverproxys implementiert wird.

Phase 1: Bereitstellen der Verbundserverfarm

---

Wenn Sie zum Bereitstellen der Farm bereit sind, sollten Sie planen, sämtliche Verbundserver im Unternehmensnetzwerk hinter einem NLB-Host (Network Load Balancing, Netzwerklastenausgleich) zu platzieren. Dieser kann bei einem NLB-Cluster mit einem dedizierten DNS-Namen und einer IP-Adresse für den Cluster konfiguriert werden.

Wichtig:
Dieser DNS-Clustername muss mit dem Verbunddienstnamen (z. B. fs.fabrikam.com) übereinstimmen und eine Internetweiterleitungsfunktion für die von Ihnen bereitgestellte Instanz von AD FS 2.0 bieten. Wenn die Namen nicht übereinstimmen, wird die Authentifizierungsanforderung nicht an den richtigen DNS-Server oder Verbundserver weitergeleitet.

Anhand der in diesem NLB-Cluster definierten Einstellungen können Clientanforderungen vom NLB-Host den einzelnen Verbundservern zugeordnet werden. Das folgende Diagramm zeigt, wie bei Fabrikam, Inc. die erste Bereitstellungsphase mit einer Verbundserverfarm mit zwei Computern (fs1 und fs2) mit WID eingerichtet werden kann, sowie die Positionierung eines DNS-Servers und eines einzelnen NLB-Hosts mit Kabelverbindung zum Unternehmensnetzwerk.

Hinweis:
Bei einem Ausfall dieses einzelnen NLB-Hosts können die Benutzer nicht auf die Office 365-Dienste zugreifen. Fügen Sie weitere NLB-Hosts hinzu, wenn Ihre Geschäftsanforderungen eine einzelne Fehlerquelle nicht zulassen.

Phase 2: Bereitstellen der Verbundserverproxys

---

Im Allgemeinen werden Verbundserverproxys zum Weiterleiten von Clientauthentifizierungsanforderungen verwendet, die außerhalb des Unternehmensnetzwerks an die Verbundserverfarm gestellt werden. Für Office 365-Unternehmenskunden müssen Verbundserverproxys in einer vorhandenen AD FS 2.0-Infrastruktur bereitgestellt werden, um die folgenden Benutzerszenarien zu ermöglichen:

• Arbeitscomputer, Roaming: Benutzer, die mit ihren Unternehmensanmeldeinformationen an Computern angemeldet sind, die einer Domäne angehören und nicht mit dem Unternehmensnetzwerk verbunden sind (z. B. einem Arbeitscomputer zu Hause oder in einem Hotel), können auf die Dienste in Office 365 zugreifen.
  
• Heimcomputer oder öffentlicher Computer: Wenn der Benutzer einen Computer verwendet, der nicht zur Unternehmensdomäne gehört, muss sich der Benutzer mit den Unternehmensanmeldeinformationen anmelden, um auf die Dienste in Office 365 zugreifen zu können.
  
• Smartphone: Damit über ein Smartphone auf die Dienste in Office 365 (wie Microsoft Exchange Online) mithilfe von Microsoft Exchange ActiveSync zugegriffen werden kann, muss der Benutzer sich mit den Unternehmensanmeldeinformationen anmelden.
  
• Microsoft Outlook oder andere E-Mail-Clients: Benutzer müssen sich mit ihren Unternehmensanmeldeinformationen anmelden, um auf ihre Office 365-E-Mails zugreifen zu können, wenn sie Outlook oder einen E-Mail-Client verwenden, der nicht Teil von Office ist, beispielsweise ein IMAP- oder POP-Client.
  

Zur Unterstützung dieser Benutzerszenarien beruht diese zweite Phase auf der zuvor besprochenen Phase 1 der Bereitstellung, indem zwei Verbundserverproxys hinzugefügt werden und der Zugriff auf einen DNS-Server im Umkreisnetzwerk sowie auf einen zweiten NLB-Host im Umkreisnetzwerk gewährt wird.

Der zweite NLB-Host muss mit einem NLB-Cluster konfiguriert werden, für den eine aus dem Internet zugängliche IP-Clusteradresse verwendet wird. Zudem muss für diesen die gleiche DNS-Clusternameneinstellung wie für den vorherigen NLB-Cluster verwendet werden, den Sie in Phase 1 im Unternehmensnetzwerk konfiguriert haben („fs.fabrikam.com“). Die Verbundserverproxys werden ebenfalls mit aus dem Internet zugänglichen IP-Adressen konfiguriert.

Das folgende Diagramm zeigt die vorhandene Bereitstellung aus Phase 1 und außerdem, wie von Fabrikam, Inc. der Zugriff auf einen DNS-Server im Umkreisnetzwerk erteilt, ein zweiter NLB-Host mit dem gleichen DNS-Clusternamen („fs.fabrikam.com“) hinzugefügt werden kann und dem Umkreisnetzwerk zwei Verbundserverproxys (fsp1 und fsp2) hinzugefügt werden können.

Hinweis:

Sie können eine HTTP-Reverseproxy-Lösung eines Drittanbieters verwenden, um AD FS 2.0 im Extranet bereitzustellen. Weitere Informationen dazu finden Sie unter Konfigurieren von erweiterten Optionen für AD FS 2.0. Die gesamte AD FS 2.0-Kommunikation, die durch die Firewall geleitet wird, beruht auf HTTPS. Sie können benutzerdefinierte Anspruchsregeln in AD FS 2.0 erstellen, mit denen der Zugriff Ihrer Benutzer auf Office 365-Dienste anhand des physischen Standorts des Clientcomputers oder Clientgeräts beschränkt wird, mit dem der Benutzer zugreifen möchte. Weitere Informationen zum Erstellen dieser Regeln finden Sie unter Einschränkung des Zugriffs auf Office 365-Dienste basierend auf dem Clientstandort (möglicherweise in englischer Sprache).

Dabei handelt es sich um eine erweiterte Option für die AD FS 2.0-Bereitstellungstopologie, bei der Verbundserverproxys und eine SQL Server-Konfiguration verwendet werden, damit allen Verbundservern in der Farm das Lesen und Schreiben in einer gemeinsamen SQL Server-Datenbank ermöglicht wird. Die Verwendung einer SQL Server-Datenbank als AD FS 2.0-Konfigurationsdatenbank bietet im Vergleich zur Verwendung von WID folgende Vorteile:

• Funktionen für hohe Verfügbarkeit von SQL Server, die Administratoren verwenden können.
  
• Weitere Leistungsverbesserungen, darunter die Möglichkeit, eine Skalierung für mehr als fünf Verbundserver vorzunehmen (WID ist auf fünf Verbundserver pro Farm beschränkt).
  
• Geografischer Lastenausgleich, um standortabhängig Erhöhungen bei starkem Datenverkehr vornehmen zu können.
  

Hinweis:
Da es sich bei dieser Topologie um eine erweiterte AD FS 2.0-Bereitstellungsoption handelt, werden die Details zur Funktionsweise sowie die Bereitstellung dieser Topologie in diesem Artikel nicht behandelt.

Weitere Informationen zu dieser Topologie finden Sie unter Konfigurieren von erweiterten Optionen für AD FS 2.0.

Anhand der folgenden Tabelle können Sie die minimale Anzahl von AD FS 2.0-Verbundservern und Verbundserverproxys bestimmen, die Sie in einer mit WID konfigurierten Verbundserverfarm in der gesamten Unternehmensnetzwerk-Infrastruktur platzieren müssen. Die Zahl ist von der Anzahl der Benutzer abhängig, die Zugriff per einmaligem Anmelden, einschließlich Remotezugriff, auf Office 365 benötigen.

Hinweis:
Alle Computer, die für die Verbundserver- oder Verbundserverproxy-Rolle konfiguriert werden, müssen unter dem Betriebssystem Windows Server 2008 oder Windows Server 2008 R2 ausgeführt werden.

Es wird empfohlen, einen Verbundserver zu Redundanzzwecken zu verwenden. In der folgenden Tabelle wurde diese Empfehlung befolgt.

Anzahl der Benutzer, die auf Office 365 zugreifen	Mindestanzahl bereitzustellender Server	Empfehlung und Schritte
Weniger als 1.000 Benutzer	0 dedizierte Verbundserver 0 dedizierte Verbundserverproxys 1 dedizierter NLB-Server	Verwenden Sie für die Verbundserver zwei vorhandene Active Directory-Domänencontroller, und konfigurieren Sie beide für die Verbundserver-Rolle. Wählen Sie dazu zunächst zwei vorhandene Domänencontroller aus, und gehen Sie dann wie folgt vor: Installieren Sie AD FS 2.0 auf beiden Domänencontrollern. Konfigurieren Sie einen als ersten Verbundserver in einer neuen Farm. Fügen Sie den zweiten der Verbundserverfarm hinzu. Konfigurieren Sie für den Netzwerklastenausgleich einen vorhandenen NLB-Host, oder installieren Sie auf einem dedizierten Server die NLB-Server-Rolle, und konfigurieren Sie den NLB-Server. Verwenden Sie für die Verbundserverproxys zwei vorhandene Web- oder Proxyserver, und konfigurieren Sie beide für die Verbundserverproxy-Rolle. Wählen Sie dazu zwei vorhandene Web- oder Proxyserver im Extranet aus, und gehen Sie dann wie folgt vor: Installieren Sie AD FS 2.0 auf beiden Servern. Konfigurieren Sie diese für die Rolle als Verbundserverproxy. Installieren Sie die NLB-Serverrolle (Network Load Balancing, Netzwerklastenausgleich) auf einem der Verbundserverproxys, oder konfigurieren Sie einen vorhandenen NLB-Host. Hinweis: Wenn Sie nicht über zwei vorhandene Domänencontroller und zwei Web- oder Proxyserver verfügen oder diese nicht unter Windows Server 2008 oder Windows Server 2008 R2 ausgeführt werden, müssen Sie stattdessen dedizierte Server bereitstellen, wie in der nächsten Zeile dieser Tabelle dargestellt.
1.000 bis 15.000 Benutzer	2 dedizierte Verbundserver 2 dedizierte Verbundserverproxys	Verwenden Sie als Verbundserver zwei dedizierte Server, und gehen Sie dann wie folgt vor: Installieren Sie AD FS 2.0 auf beiden Servern. Konfigurieren Sie einen als ersten Verbundserver in einer neuen Farm. Fügen Sie den zweiten der Farm hinzu. Installieren Sie die NLB-Serverrolle (Network Load Balancing, Netzwerklastenausgleich) auf einem der Verbundserver, oder konfigurieren Sie einen vorhandenen NLB-Host. Verwenden Sie als Verbundserver zwei dedizierte Server, die Sie im Extranet platzieren können: Installieren Sie AD FS 2.0 auf beiden Servern. Konfigurieren Sie sie für die Rolle als Verbundserverproxy. Installieren Sie die NLB-Serverrolle (Network Load Balancing, Netzwerklastenausgleich) auf einem der Verbundserverproxys, oder konfigurieren Sie einen vorhandenen NLB-Host.
15.000 bis 60.000 Benutzer	3 bis 5 dedizierte Verbundserver Mindestens 2 dedizierte Verbundserverproxys	Jeder dedizierte Verbundserver kann etwa 15.000 Benutzer unterstützen. Fügen Sie der zuvor beschriebenen einfachen Bereitstellung mit zwei Verbundservern daher für jeweils 15.000 Benutzer, die Zugriff auf Office 365 benötigen, einen weiteren dedizierten Verbundserver hinzu. Maximal fünf Verbundserver oder 60.000 Benutzer werden in der Farm unterstützt. Hinweis: Eine für die Verwendung von WID konfigurierte AD FS 2.0-Verbundserverfarm unterstützt maximal fünf Verbundserver. Wenn Sie mehr als fünf Verbundserver benötigen, müssen Sie zum Speichern der AD FS 2.0-Konfigurationsdatenbank eine SQL Server-Datenbank konfigurieren. Weitere Informationen zu dieser Option finden Sie unter Konfigurieren von erweiterten Optionen für AD FS 2.0.

Die empfohlene Mindestzahl von Benutzern pro Server in der obigen Tabelle wurden anhand der folgenden Hardware berechnet:

Wenn mit der NLB-Technologie zwei oder mehr Verbundserver in einer Farm konfiguriert werden, können sie unabhängig voneinander betrieben werden, um die Last eingehender Anforderungen an den AD FS 2.0-Verbunddienst zu verarbeiten, ohne die Gesamtleistung des Diensts als Ganzes zu beeinträchtigen. Daher tritt wenig zusätzlicher Verwaltungsaufwand auf, wenn Sie nach dem strategischen Bereitstellen der anfänglichen Verbundserver im Netzwerk der vorhandenen Produktionsumgebung weitere Verbundserver hinzufügen.

Zurück nach oben

Die AD FS 2.0-Software muss auf jedem Computer installiert werden, den Sie für die Verbundserver- oder Verbundserverproxy-Rolle vorbereiten. Sie können diese Software installieren, indem Sie den AD FS 2.0-Setup-Assistenten verwenden oder aber in einer Befehlszeile eine unbeaufsichtigte Installation mit dem adfssetup.exe /quiet-Parameter ausführen.

Bei einer einfachen Installationsplattform erfordert AD FS 2.0 das Betriebssystem Windows Server 2008 oder Windows Server 2008 R2. AD FS 2.0 bietet für beide Betriebssystemplattformen jeweils ein eigenes Installationspaket.

Zertifikate spielen bei der Sicherung der Kommunikation zwischen Verbundservern, Verbundserverproxys, Office 365 und Webclients die entscheidende Rolle. Die Anforderungen an Zertifikate sind davon abhängig, ob Sie einen Verbundserver- oder einen Verbundserverproxy-Computer einrichten, wie in den folgenden Tabellen beschrieben.

Verbundserverzertifikate

---

Verbundserver erfordern die Zertifikate in der folgenden Tabelle.

 

Zertifikattyp	Beschreibung	Wissenswertes im Vorfeld einer Bereitstellung
SSL-Zertifikat (auch als Serverauthentifizierungszertifikat bezeichnet)	Hierbei handelt es sich um ein standardmäßiges SSL-Zertifikat (Secure Sockets Layer), das für die Sicherung der Kommunikation zwischen Verbundserver-, Client- und Verbundserverproxy-Computern verwendet wird.	Von AD FS 2.0 wird beim Konfigurieren der Verbundservereinstellungen ein SSL-Zertifikat angefordert. Standardmäßig wird für AD FS 2.0 das SSL-Zertifikat verwendet, das für die Standardwebsite in Internetinformationsdienste (IIS) konfiguriert ist. Anhand des Antragstellernamens für dieses SSL-Zertifikat wird der Verbunddienstname jeder bereitgestellten Instanz von AD FS 2.0 bestimmt. Aus diesem Grund können Sie für jedes von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellte Zertifikat einen Antragstellernamen auswählen, der den Namen Ihres Unternehmens oder Ihrer Organisation in Office 365 am besten darstellt. Dieser Name muss eine Internetweiterleitungsfunktion ermöglichen. Beispielsweise lautet im weiter oben in diesem Artikel gezeigten Diagramm (siehe „Phase 2“) der Antragstellername des Zertifikats „fs.fabrikam.com“. Wichtig: AD FS 2.0 erfordert, dass dieses SSL-Zertifikat keinen Antragstellernamen ohne Punkt (Kurzname) enthält. Erforderlich: Da dieses Zertifikat von den AD FS 2.0-Clients und den Office 365-Diensten als vertrauenswürdig eingestuft werden muss, verwenden Sie ein SSL-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (eines Drittanbieters) oder einer Zertifizierungsstelle ausgestellt wurde, die einer öffentlich vertrauenswürdigen Stammzertifizierungsstelle untergeordnet ist, z. B. VeriSign oder Thawte.
Tokensignaturzertifikat	Hierbei handelt es sich um ein standardmäßiges X.509-Zertifikat, das zum sicheren Signieren aller Token verwendet wird, die vom Verbundserver ausgestellt und von Office 365 akzeptiert und validiert werden.	Das Tokensignaturzertifikat muss einen privaten Schlüssel enthalten und mit einem vertrauenswürdigen Stamm im Verbunddienst verkettet sein. Standardmäßig wird von AD FS 2.0 ein selbstsigniertes Zertifikat erstellt. Je nach Anforderungen Ihrer Organisation können Sie dies jedoch später über das AD FS 2.0-Verwaltungs-Snap-In in ein von einer Zertifizierungsstelle ausgestelltes Zertifikat ändern. Empfehlung: Verwenden Sie das von AD FS 2.0 generierte selbstsignierte Tokensignaturzertifikat. In diesem Fall wird dieses Zertifikat standardmäßig von AD FS 2.0 verwaltet. Wenn das Zertifikat beispielsweise abläuft, wird von AD FS 2.0 im Voraus ein neues selbstsigniertes Zertifikat generiert, das dann verwendet wird.

Vorsicht:

Das Tokensignaturzertifikat ist für die Stabilität des Verbunddiensts unerlässlich. Im Falle einer Änderung muss Office 365 über diese Änderung benachrichtigt werden. Andernfalls treten bei den Anforderungen an Office 365-Dienste Fehler auf. Aus diesem Grund wird empfohlen, das Installationstool zur automatischen Aktualisierung der Microsoft Office 365-Verbundmetadaten herunterzuladen und zu konfigurieren, das die Office 365-Verbundmetadaten automatisch überwacht und in regelmäßigen Abständen aktualisiert, sodass Änderungen am Tokensignaturzertifikat im AD FS 2.0-Verbunddienst automatisch nach Office 365 repliziert wird. Allgemeine Informationen zum serverübergreifenden Verwalten von Zertifikaten in einer AD FS 2.0-Verbundserverfarm und Office 365 finden Sie unter Aktualisieren der Vertrauenseigenschaften.

Das ordnungsgemäße Konfigurieren der folgenden Netzwerkdienste ist für die erfolgreiche Bereitstellung von AD FS 2.0 in der Organisation unerlässlich.

AD FS 2.0 kann nur ordnungsgemäß verwendet werden, wenn jeder Computer, der als Verbundserver verwendet werden soll, einer Domäne hinzugefügt wurde. Verbundserverproxys können ebenfalls einer Domäne hinzugefügt werden, jedoch ist dies nicht erforderlich.

1. Klicken Sie auf dem Computer, den Sie einer Domäne hinzufügen möchten, im Startmenü auf Systemsteuerung, und doppelklicken Sie dann auf System.

2. Klicken Sie unter Einstellungen für Computernamen, Domäne und Arbeitsgruppe auf Einstellungen ändern.

3. Klicken Sie auf der Registerkarte Computername auf Ändern.

4. Klicken Sie unter Mitglied von auf Domäne, geben Sie den Namen der Domäne ein, der dieser Computer hinzugefügt werden soll, und klicken Sie dann auf OK.

5. Klicken Sie auf OK, und starten Sie dann den Computer erneut.

Clients im Unternehmensnetzwerk können nur erfolgreich auf den Verbunddienst zugreifen, wenn zunächst im DNS (Domain Name System) des Unternehmens ein Hostressourceneintrag (A-Eintrag) erstellt wurde, der den DNS-Clusternamen des Verbunddiensts (z. B. „fs.fabrikam.com“) zur IP-Clusteradresse im Unternehmensnetzwerk (z. B. 172.16.1.3) auflöst. Anhand der folgenden Prozedur können Sie dem Unternehmens-DNS einen Hostressourceneintrag (A-Eintrag) für den NLB-Cluster hinzufügen.

1. Öffnen Sie auf einem DNS-Server für das Unternehmensnetzwerk das DNS-Snap-In.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die betreffende Forward-Lookupzone (z. B. „fabrikam.com“), und klicken Sie dann auf Neuer Host (A oder AAAA).

3. Geben Sie unter Name nur den Computernamen des Verbundservers oder Verbundserverclusters ein, z. B. geben Sie für den vollqualifizierten Domänennamen (Fully-qualified Domain Name, FQDN) „fs.fabrikam.com“ die Zeichenfolge fs ein.

4. Geben Sie unter IP-Adresse die IP-Adresse für den Verbundserver oder den Verbundservercluster ein, z. B. „172.16.1.3“.

5. Klicken Sie auf Host hinzufügen.

   Wichtig:
   Es wird davon ausgegangen, dass Sie einen DNS-Server unter Windows 2000 Server, Windows Server 2003 oder Windows Server 2008 mit dem DNS Server-Dienst ausführen, um die DNS-Zone zu steuern.

Wenn Sie von einer Zertifizierungsstelle ein Serverauthentifizierungszertifikat abgerufen haben, müssen Sie dieses Zertifikat manuell auf der Standardwebsite jedes Verbundservers in der Farm installieren.

Da dieses Zertifikat auf den AD FS 2.0-Clients als vertrauenswürdig eingestuft werden muss, verwenden Sie ein SSL-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (eines Drittanbieters) oder einer Zertifizierungsstelle ausgestellt wurde, die einer öffentlich vertrauenswürdigen Stammzertifizierungsstelle untergeordnet ist, z. B. VeriSign oder Thawte. Informationen zum Installieren eines Zertifikats von einer öffentlichen Zertifizierungsstelle finden Sie unter IIS 7.0: Anfordern eines Internet-Serverzertifikats.

Hinweis:

Der Antragstellername für das Serverauthentifizierungszertifikat muss mit dem FQDN des Cluster-DNS-Namen (z. B., „fs.fabrikam.com“) übereinstimmen, den Sie vorher auf dem NLB-Host erstellt haben. Wenn Internetinformationsdienste (IIS) noch nicht installiert wurde, müssen Sie IIS zunächst installieren, bevor die Aufgabe abgeschlossen werden kann. Wenn Sie IIS erstmalig installieren, wird empfohlen, die Installation der Serverrolle mit den Standardoptionen auszuführen, wenn Sie zu der entsprechenden Angabe aufgefordert werden.

1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Systemverwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

2. Klicken Sie in der Konsolenstruktur auf ComputerName.

3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate aus.

4. Klicken Sie im Bereich Aktionen auf Importieren.

5. Klicken Sie im Dialogfeld Zertifikat importieren auf die Schaltfläche …

6. Suchen Sie nach dem Speicherort der Zertifikatdatei im PFX-Format, wählen Sie sie aus, und klicken Sie auf Öffnen.

7. Geben Sie ein Kennwort für das Zertifikat ein, und klicken Sie anschließend auf OK.

Zum Konfigurieren einer Verbundserverfarm-Umgebung in AD FS 2.0 müssen Sie ein dediziertes Dienstkonto in Active Directory erstellen und konfigurieren, unter dem die Farm verwaltet wird. Dieses dedizierte Dienstkonto ist erforderlich, um sicherzustellen, dass alle für die AD FS 2.0-Farm erforderlichen Ressourcen über Zugriff auf jeden Verbundserver in der Farm verfügen.

Dann konfigurieren Sie jeden Verbundserver in der Farm für die Verwendung desselben Dienstkontos. Wenn beispielsweise das erstellte Dienstkonto „fabrikam\ADFS2SVC“ lautet, muss zur Funktionstüchtigkeit jedes Computers, den Sie für die Verbundserver-Rolle konfigurieren und der Teil derselben Farm sein wird, in diesem Schritt des Konfigurations-Assistenten für den Verbundserver „fabrikam\ADFS2SVC“ angegeben werden.

Hinweis:
Die Aufgaben in dieser Prozedur müssen Sie nur einmal für die gesamte Verbundserverfarm ausführen. Wenn Sie später einen Verbundserver mithilfe des Konfigurations-Assistenten für den Verbundserver von AD FS 2.0 erstellen, müssen Sie dieses Konto auf der Assistentenseite Dienstkonto für jeden Verbundserver in der Farm angeben.

1. Erstellen Sie ein dediziertes Benutzer-/Dienstkonto in der Active Directory-Gesamtstruktur, die Sie in Ihrer Organisation verwenden möchten.

2. Bearbeiten Sie die Benutzerkontoeigenschaften, und aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab. Damit stellen Sie sicher, dass die Funktion dieses Kontos nicht durch Änderungsanforderungen für das Domänenkennwort unterbrochen wird.

   Hinweis:
   Wenn Sie das Kennwort für das Dienstkonto regelmäßig ändern müssen, lesen Sie die Informationen unter Konfigurieren von erweiterten Optionen für AD FS 2.0. Die Verwendung des Netzwerkdienstkontos für dieses dedizierte Konto führt beim Zugriff per integrierter Windows-Authentifizierung zu zufällig generierten Fehlern, da Kerberos-Tickets nicht serverübergreifend validiert werden.

Die AD FS 2.0-Software muss auf jedem Computer installiert werden, den Sie für die Verbundserverrolle vorbereiten. Sie können diese Software installieren, indem Sie den AD FS 2.0-Setup-Assistenten verwenden oder einen Befehlszeilenparameter verwenden. Weitere Informationen zu diesem Parameter finden Sie unter Handbuch zur Bereitstellung von AD FS 2.0.

Installieren Sie am Ende des Installationsvorgangs auf den einzelnen Verbundservercomputern unbedingt alle erforderlichen Hotfixes, wie im letzten Schritt dieser Prozedur angegeben.

1. Laden Sie das AD FS 2.0-Softwarepaket für Ihre Betriebssystemversion herunter (entweder Windows Server 2008 oder Windows Server 2008 R2), indem Sie die Setupdatei AdfsSetup.exe auf dem Computer speichern. Die Datei steht unter Active Directory-Verbunddienste 2.0 RTW zum Download bereit.

2. Navigieren Sie zu der Setupdatei AdfsSetup.exe, die Sie auf den Computer heruntergeladen haben, und doppelklicken Sie auf die Datei aus.

3. Klicken Sie auf der Seite Willkommen beim Setup-Assistent für AD FS 2.0 auf Weiter.

4. Lesen Sie die Lizenzbedingungen auf der Seite Microsoft-Software-Lizenzbedingungen.

5. Wenn Sie zustimmen, aktivieren Sie das Kontrollkästchen neben Ich stimme den Bedingungen des Lizenzvertrags zu. Klicken Sie anschließend auf Weiter.

6. Wählen Sie auf der Seite Serverrolle die Option Verbundserver aus, und klicken Sie dann auf Weiter.

7. Klicken Sie auf der Seite Setup-Assistent für AD FS 2.0 abgeschlossen auf Fertig stellen.

   Wichtig:
   In manchen Situationen kann die AD FS 2.0-Installation einen Neustart erfordern (beispielsweise, wenn abhängige Hotfixes installiert wurden).

8. Installieren Sie die Hotfixes gemäß den Informationen unter Beschreibung von Updaterollup 2 für die Active Directory-Verbunddienste (AD FS) 2.0 (möglicherweise in englischer Sprache).

Anhand der folgenden Prozedur können Sie den Computer mithilfe des Konfigurations-Assistenten für den Verbundserver von AD FS 2.0 als ersten Verbundserver in einer neuen Verbundserverfarm einrichten.

Die Mitgliedschaft in der Gruppe der Domänenadministratoren oder ein delegiertes Domänenkonto mit Schreibzugriff auf den Programmdatencontainer in Active Directory bilden die minimalen Zugriffsrechte zum Ausführen dieser Prozedur.

1. Klicken Sie nach Abschluss der AD FS 2.0-Softwareinstallation auf Start, klicken Sie dann auf Verwaltung, und klicken Sie dann auf AD FS 2.0 Management, um das AD FS 2.0-Verwaltungs-Snap-In zu öffnen.

2. Klicken Sie auf der Seite Übersicht auf AD FS 2.0-Verbundserver-Konfigurations-Assistent.

3. Überprüfen Sie auf der Seite Willkommen, ob Neuen Verbunddienst erstellen ausgewählt ist, und klicken Sie dann auf Weiter.

4. Klicken Sie auf der Seite Eigenständige oder Farmbereitstellung auswählen auf Neue Verbundserverfarm und dann auf Weiter.

5. Überprüfen Sie auf der Seite Namen des Verbunddiensts angeben, ob das angezeigte SSL-Zertifikat mit dem Namen des Zertifikats übereinstimmt, das zuvor auf die Standardwebsite in IIS importiert wurde. Wenn es sich nicht um das richtige Zertifikat handelt, wählen Sie das richtige Zertifikat in der Liste SSL-Zertifikat aus.

   Hinweis:
   Der Assistent lässt das Überschreiben des Zertifikats nicht zu, wenn für IIS ein SSL-Zertifikat konfiguriert ist. Damit wird sichergestellt, dass eine ggf. zuvor festgelegte IIS-Konfiguration für SSL-Zertifikate beibehalten wird. Zum Umgehen dieses Problems können Sie zurückwechseln und das Zertifikat erneut auf die Standardwebsite in IIS importieren.

6. Wenn Sie AD FS auf diesem Computer schon einmal erneut installiert haben, wird die Seite Vorhandene AD FS-Konfigurationsdatenbank gefunden angezeigt. Wenn diese Seite angezeigt wird, klicken Sie auf Datenbank löschen und dann auf Weiter.

7. Klicken Sie auf der Seite Dienstkonto angeben auf Durchsuchen. Suchen Sie im Dialogfeld Durchsuchen das Domänenkonto, das als Dienstkonto in dieser neuen Verbundserverfarm verwendet werden soll, und klicken Sie dann auf OK. Geben Sie das Kennwort für dieses Konto ein, bestätigen Sie es, und klicken Sie dann auf Weiter.

   Hinweis:
   Weitere Informationen zu dem gemäß den vorhergehenden Beschreibungen in diesem Artikel erstellten Dienstkonto finden Sie unter Erstellen eines dedizierten Dienstkontos für die Verbundserverfarm.

8. Überprüfen Sie die Einstellungen auf der Seite Bereit zum Übernehmen der Einstellungen. Wenn die Einstellungen richtig sind, klicken Sie auf Weiter, um die Konfiguration von AD FS 2.0 mit diesen Einstellungen zu starten.

9. Überprüfen Sie auf der Seite Konfigurationsergebnisse die Ergebnisse. Wenn alle Konfigurationsschritte abgeschlossen wurden, klicken Sie auf Schließen, um den Assistent zu verlassen.

Hinweis:

Wenn Sie die Schritte in diesem Verfahren fertig stellen, wird automatisch das AD FS 2.0-Verwaltungs-Snap-In geöffnet, und in einer Meldung werden Sie darüber benachrichtigt, dass die erforderliche Konfiguration unvollständig ist und Sie eine vertrauenswürdige vertrauende Seite hinzufügen müssen. Diese Meldung können Sie ignorieren. Eine Vertrauensbeziehung der vertrauenden Seite (Relying Party Trust) für Office 365 wird in einem späteren Schritt hinzugefügt. Weitere Informationen finden Sie unter Installieren von Windows PowerShell für das einmalige Anmelden. Wenn dieser Schritt abgeschlossen ist, wird die Meldung im AD FS 2.0-Verwaltungs-Snap-In ausgeblendet.

Wenn Sie die AD FS 2.0-Software installiert und die erforderlichen Zertifikate auf einem Computer konfiguriert haben, können Sie den Computer als Verbundserver konfigurieren. Mit der folgenden Prozedur fügen Sie einen Computer einer neuen Verbundserverfarm hinzu.

Einen Computer fügen Sie einer Farm mit dem Konfigurations-Assistenten für den Verbundserver von AD FS 2.0 hinzu. Wenn Sie diesen Assistenten zum Hinzufügen eines Computers zu einer vorhandenen Farm verwenden, wird der Computer mit einer schreibgeschützten Kopie der AD FS 2.0-Konfigurationsdatenbank konfiguriert und muss Aktualisierungen von einem primären Verbundserver empfangen.

1. Klicken Sie nach Abschluss der AD FS 2.0-Softwareinstallation auf Start, klicken Sie dann auf Verwaltung, und klicken Sie dann auf AD FS 2.0 Management, um das AD FS 2.0-Verwaltungs-Snap-In zu öffnen.

2. Klicken Sie auf der Seite Übersicht oder im Bereich Aktionen auf AD FS 2.0-Verbundserver-Konfigurations-Assistent.

3. Überprüfen Sie auf der Seite Willkommen, ob Verbundserver vorhandenem Verbunddienst hinzufügen ausgewählt ist, und klicken Sie dann auf Weiter.

4. Wenn die ausgewählte AD FS 2.0-Datenbank bereits vorhanden ist, wird die Seite Vorhandene AD FS-Konfigurationsdatenbank gefunden angezeigt. Klicken Sie in diesem Fall auf Datenbank löschen und dann auf Weiter.

   Vorsicht:
   Wählen Sie diese Option nur aus, wenn Sie sicher sind, dass die Daten in dieser AD FS 2.0-Datenbank nicht wichtig sind oder in keiner Verbundserverfarm für die Produktion verwendet werden.

5. Geben Sie auf der Seite Primären Verbundserver und Dienstkonto angeben unter Name des primären Verbundservers den Computernamen des primären Verbundservers in der Farm ein, und klicken Sie dann auf Durchsuchen. Suchen Sie im Dialogfeld Durchsuchen das Domänenkonto, das von allen anderen Verbundservern in der vorhandenen Verbundserverfarm als Dienstkonto verwendet werden soll, und klicken Sie dann auf OK. Geben Sie das Kennwort ein, bestätigen Sie dieses, und klicken Sie dann auf Weiter.

   Hinweis:
   Weitere Informationen zu dem gemäß den vorhergehenden Beschreibungen in diesem Artikel erstellten Dienstkonto finden Sie unter Erstellen eines dedizierten Dienstkontos für die Verbundserverfarm.

6. Überprüfen Sie die Einstellungen auf der Seite Bereit zum Übernehmen der Einstellungen. Wenn die Einstellungen richtig sind, klicken Sie auf Weiter, um die Konfiguration von AD FS 2.0 mit diesen Einstellungen zu starten.

7. Überprüfen Sie auf der Seite Konfigurationsergebnisse die Ergebnisse. Wenn alle Konfigurationsschritte abgeschlossen wurden, klicken Sie auf Schließen, um den Assistent zu verlassen.

Mit den folgenden Prozeduren können Sie sicherstellen, dass ein Verbundserver funktionstüchtig ist, d. h., dass jeder Client in demselben Netzwerk einen neuen Verbundserver erreichen kann.

1. Melden Sie sich bei einem Clientcomputer an, der sich in derselben Gesamtstruktur wie der Verbundserver befindet.

2. Öffnen Sie ein Browserfenster. Geben Sie in der Adressleiste den DNS-Hostnamen des Verbundservers ein, und fügen Sie dann /FederationMetadata/2007-06/FederationMetadata.xml für den neuen Verbundserver an diesen an, z. B.:

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Drücken Sie die EINGABETASTE, und führen Sie dann auf dem Verbundservercomputer die nächste Prozedur aus. Wenn die Meldung Es besteht ein Problem mit dem Sicherheitszertifikat der Website angezeigt wird, klicken Sie auf Laden dieser Website fortsetzen.

   Als Ausgabe wird eine XML-Anzeige mit dem Dienstbeschreibungsdokument erwartet. Wenn diese Seite angezeigt wird, ist IIS auf dem Verbundserver funktionstüchtig und verarbeitet Anforderungen der Seiten erfolgreich.

1. Melden Sie sich beim neuen Verbundserver als Administrator an.

2. Klicken Sie auf Start, zeigen Sie auf Systemverwaltung, und klicken Sie anschließend auf Ereignisanzeige.

3. Doppelklicken Sie im Detailbereich auf Anwendungs- und Dienstprotokolle und dann auf AD FS 2.0-Ereignisprotokollierung aus, und klicken Sie anschließend auf Administrator.

4. Suchen Sie in der Spalte Ereignis-ID nach der Ereignis-ID 100. Wenn der Verbundserver richtig konfiguriert ist, wird im Anwendungsprotokoll der Ereignisanzeige ein neues Ereignis mit der Ereignis-ID 100 angezeigt. Dieses Ereignis ist Beleg dafür, dass der Verbundserver erfolgreich mit dem Verbunddienst kommunizieren konnte.

Zurück nach oben

Der Verbundserverproxy kann nur erwartungsgemäß im Umkreisnetzwerk verwendet werden, wenn Sie der Hostdatei auf jedem Verbundserverproxy-Computer einen Eintrag hinzufügen, der auf den vom NLB im Unternehmensnetzwerk gehosteten DNS-Clusternamen (z. B. „fs.fabrikam.com“) und die zugehörige IP-Adresse (z. B. 172.16.1.3) zeigt. Durch Hinzufügen dieses Eintrags zur Hostdatei können von Clients initiierte Aufrufe eines Verbundservers im Umkreisnetzwerk oder außerhalb des Umkreisnetzwerks ordnungsgemäß vom Verbundserverproxy weitergeleitet werden.

1. Navigieren Sie zum Verzeichnis %systemroot%\Winnt\System32\Drivers, und suchen Sie die Datei hosts.

2. Starten Sie Editor, und öffnen Sie dann die Datei hosts.

3. Fügen Sie in der Datei hosts die IP-Adresse und den Hostnamen eines Verbundservers hinzu, wie im folgenden Beispiel gezeigt:

   172.16.1.3             fs.fabrikam.com

4. Speichern und schließen Sie die Datei.

Wichtig:
Wenn die IP-Clusteradresse auf dem NLB-Host im Unternehmensnetzwerk je geändert wird, müssen Sie die lokalen Dateien hosts auf jedem Verbundserverproxy aktualisieren.

Zum Verarbeiten von Dienstauthentifizierungsanforderungen von Clients im Umkreisnetzwerk oder außerhalb des Umkreisnetzwerks erfordert AD FS 2.0 die Konfiguration der Namensauflösung auf den nach außen gerichteten DNS-Servern, auf denen die Zone der Organisation (z. B. „fabrikam.com“) gehostet wird.

Dazu fügen Sie dem nach außen gerichteten DNS-Server, auf dem nur Anforderungen aus dem Umkreisnetzwerk für den DNS-Clusternamen verarbeitet werden (z. B. „fs.fabrikam.com“) einen Hostressourceneintrag (A-Eintrag) hinzu, der auf die eben konfigurierte externe IP-Clusteradresse zeigt.

1. Öffnen Sie auf einem DNS-Server für das Umkreisnetzwerk das DNS-Snap-In. Zeigen Sie im Startmenü auf Verwaltung, und klicken Sie dann auf DNS.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die betreffende Forward-Lookupzone (z. B. „fabrikam.com“), und klicken Sie dann auf Neuer Host (A oder AAAA).

3. Geben Sie unter Name nur den DNS-Clusternamen ein, den Sie auf dem NLB-Host im Umkreisnetzwerk angegeben haben (dieser DNS-Name muss mit dem Namen des Verbunddiensts identisch sein). Geben Sie beispielsweise für den FQDN „fs.fabrikam.com“ die Zeichenfolge fs ein.

4. Geben Sie unter IP-Adresse als neue IP-Clusteradresse die IP-Adresse ein, die Sie auf dem NLB-Host im Umkreisnetzwerk angegeben haben. Beispiel: 192.0.2.3.

5. Klicken Sie auf Host hinzufügen.

Wenn Sie ein Serverauthentifizierungszertifikat abgerufen haben, das von einem der Verbundserver im Unternehmensnetzwerk verwendet wird, müssen Sie dieses Zertifikat manuell auf der Standardwebsite jedes Verbundserverproxys in der Organisation installieren.

Da dieses Zertifikat auf den AD FS 2.0-Clients als vertrauenswürdig eingestuft werden muss, verwenden Sie ein SSL-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (eines Drittanbieters) oder einer Zertifizierungsstelle ausgestellt wurde, die einer öffentlich vertrauenswürdigen Stammzertifizierungsstelle untergeordnet ist, z. B. VeriSign oder Thawte. Informationen zum Installieren eines Zertifikats von einer öffentlichen Zertifizierungsstelle finden Sie unter IIS 7.0: Anfordern eines Internet-Serverzertifikats.

Hinweis:

Der Antragstellername für das Serverauthentifizierungszertifikat muss mit dem FQDN des Cluster-DNS-Namen (z. B., „fs.fabrikam.com“) übereinstimmen, den Sie vorher auf dem NLB-Host erstellt haben. Wenn Internetinformationsdienste (IIS) noch nicht installiert wurde, müssen Sie IIS zunächst installieren, bevor die Aufgabe abgeschlossen werden kann. Wenn Sie IIS erstmalig installieren, wird empfohlen, die Installation der Serverrolle mit den Standardoptionen auszuführen, wenn Sie zu der entsprechenden Angabe aufgefordert werden.

1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Systemverwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

2. Klicken Sie in der Konsolenstruktur auf ComputerName.

3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate aus.

4. Klicken Sie im Bereich Aktionen auf Importieren.

5. Klicken Sie im Dialogfeld Zertifikat importieren auf die Schaltfläche …

6. Suchen Sie nach dem Speicherort der Zertifikatdatei im PFX-Format, wählen Sie sie aus, und klicken Sie auf Öffnen.

7. Geben Sie ein Kennwort für das Zertifikat ein, und klicken Sie anschließend auf OK.

Die AD FS 2.0-Software muss auf jedem Computer installiert werden, den Sie für die Verbundserver-Proxyrolle vorbereiten. Sie können diese Software installieren, indem Sie den AD FS 2.0-Setup-Assistenten verwenden oder einen Befehlszeilenparameter verwenden. Weitere Informationen zu diesem Parameter finden Sie unter Handbuch zur Bereitstellung von AD FS 2.0.

Schließen Sie den Installationsvorgang unbedingt ab, indem Sie auf den einzelnen Verbundserverproxy-Computern alle erforderlichen Hotfixes installieren, wie im letzten Schritt dieser Prozedur angegeben.

1. Laden Sie das AD FS 2.0-Softwarepaket für Ihre Betriebssystemversion herunter (entweder Windows Server 2008 oder Windows Server 2008 R2), indem Sie die Setupdatei AdfsSetup.exe auf dem Computer speichern. Die Datei steht unter Active Directory-Verbunddienste 2.0 RTW zum Download bereit.

2. Navigieren Sie zu der Setupdatei AdfsSetup.exe, die Sie auf den Computer heruntergeladen haben, und doppelklicken Sie auf die Datei aus.

3. Klicken Sie auf der Seite Willkommen beim Setup-Assistent für AD FS 2.0 auf Weiter.

4. Lesen Sie die Lizenzbedingungen auf der Seite Microsoft-Software-Lizenzbedingungen.

5. Wenn Sie zustimmen, aktivieren Sie das Kontrollkästchen neben Ich stimme den Bedingungen des Lizenzvertrags zu. Klicken Sie anschließend auf Weiter.

6. Wählen Sie auf der Seite Serverrolle die Option Verbundserverproxy aus, und klicken Sie dann auf Weiter.

7. Überprüfen Sie auf der Seite Setup-Assistent für AD FS 2.0 abgeschlossen, ob das Kontrollkästchen Konfigurations-Assistenten für den Verbundserverproxy von AD FS 2.0 starten, wenn dieser Assistent geschlossen wird aktiviert ist, und klicken Sie dann auf Fertig stellen, um den Computer erneut zu starten.

   Wichtig:
   In manchen Situationen kann die AD FS 2.0-Installation einen Neustart erfordern (beispielsweise, wenn abhängige Hotfixes installiert wurden). In diesem Fall müssen Sie sicherstellen, dass auf der Seite Setup-Assistent für AD FS 2.0 abgeschlossen das Kontrollkästchen Jetzt neu starten aktiviert ist, und klicken Sie dann auf Fertig stellen, um den Computer erneut zu starten.

8. Installieren Sie die Hotfixes gemäß den Informationen unter Beschreibung von Updaterollup 2 für die Active Directory-Verbunddienste (AD FS) 2.0 (möglicherweise in englischer Sprache).

Wenn Sie einen Computer mit den erforderlichen Zertifikaten konfiguriert und die AD FS 2.0-Software installiert haben, können Sie den Computer als Verbundserverproxy konfigurieren. Sie können die folgende Prozedur verwenden, um den Computer für die Verbundserverproxy-Rolle einzurichten.

Wichtig:

Stellen Sie vor dem Konfigurieren des Verbundserverproxy-Computers mit dieser Prozedur sicher, dass Sie alle Schritte in den Prüflisten unter Bereitstellen der Verbundserverfarm in der dort angegebenen Reihenfolge ausgeführt haben. Stellen Sie sicher, dass mindestens ein Verbundserver bereitgestellt wurde und alle erforderlichen Anmeldeinformationen für die Autorisierung einer Verbundserverproxy-Konfiguration implementiert sind. Außerdem müssen Sie auf der Standardwebsite SSL-Bindungen (Secure Sockets Layer) konfigurieren, andernfalls wird dieser Assistent nicht gestartet. Alle genannten Aufgaben müssen abgeschlossen sein, damit dieser Verbundserverproxy ordnungsgemäß verwendet werden kann.

1. Auf der Seite Setup-Assistent für AD FS 2.0 abgeschlossen des AD FS 2.0-Setup-Assistenten ist das Kontrollkästchen Konfigurations-Assistenten für den Verbundserverproxy von AD FS 2.0 starten, wenn dieser Assistent geschlossen wird standardmäßig aktiviert. Starten Sie den Assistenten, und klicken Sie dann auf der Seite Willkommen auf Weiter.

2. Geben Sie auf der Seite Namen des Verbunddiensts angeben unter Name des Verbunddiensts den Namen ein, der den Verbunddienst darstellt, für den dieser Computer die Proxy-Rolle erfüllt (z. B. „fs.fabrikam.com“).

3. Ermitteln Sie je nach vorliegenden Netzwerkanforderungen, ob Sie zum Weiterleiten von Anforderungen an den Verbunddienst einen HTTP-Proxyserver verwenden müssen. Wenn dies der Fall ist, aktivieren Sie das Kontrollkästchen Beim Senden von Anforderungen an diesen Verbunddienst HTTP-Proxyserver verwenden, geben Sie unter HTTP-Proxyserveradresse die Adresse des Proxyservers ein, klicken Sie auf Verbindung testen, um die Verbindung zu überprüfen, und klicken Sie dann auf Weiter.

4. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen an, die zum Einrichten einer Vertrauensstellung zwischen diesem Verbundserverproxy und dem Verbunddienst erforderlich sind.

   Standardmäßig kann ein Verbundserverproxy nur von dem Dienstkonto, das vom Verbunddienst verwendet wird, oder von einem Mitglied der lokalen Gruppe BUILTIN\Administrators autorisiert werden.

5. Überprüfen Sie die Details auf der Seite Bereit zum Übernehmen der Einstellungen. Wenn die richtigen Einstellungen ausgewählt wurden, klicken Sie auf Weiter, um mit der Konfiguration dieses Computers mit diesen Einstellungen zu beginnen.

6. Überprüfen Sie auf der Seite Konfigurationsergebnisse die Ergebnisse. Wenn alle Konfigurationsschritte abgeschlossen wurden, klicken Sie auf Schließen, um den Assistent zu verlassen.

Wenn Sie das Einrichten des Computers fertig gestellt haben, überprüfen Sie, ob die Funktionsweise des Verbundserverproxys den Erwartungen entspricht.

Mit der folgenden Prozedur können Sie überprüfen, ob der Verbundserverproxy mit dem Verbunddienst in AD FS 2.0 kommunizieren kann. Diese Prozedur führen Sie aus, nachdem Sie den Konfigurations-Assistenten für den Verbundserverproxy von AD FS 2.0 ausgeführt haben, um den Computer für die Ausführung mit der Verbundserverproxy-Rolle zu konfigurieren. Weitere Informationen zum Ausführen dieses Assistenten finden Sie unter Konfigurieren eines Computers für die Verbundserverproxy-Rolle.

Hinweis:
Das Ergebnis dieses Tests besteht im erfolgreichen Generieren eines bestimmten Ereignisses in der Ereignisanzeige auf dem Verbundserverproxy-Computer.

1. Melden Sie sich beim Verbundserverproxy als Administrator an.

2. Klicken Sie auf Start, zeigen Sie auf Systemverwaltung, und klicken Sie anschließend auf Ereignisanzeige.

3. Doppelklicken Sie im Detailbereich auf Anwendungs- und Dienstprotokolle und dann auf AD FS 2.0-Ereignisprotokollierung aus, und klicken Sie anschließend auf Administrator.

4. Suchen Sie in der Spalte Ereignis-ID nach der Ereignis-ID 198.

   Wenn der Verbundserverproxy richtig konfiguriert wurde, wird im Anwendungsprotokoll der Ereignisanzeige ein neues Ereignis mit der Ereignis-ID 198 angezeigt. Dieses Ereignis ist Beleg dafür, dass der Verbundserverproxy-Dienst erfolgreich gestartet wurde und nun online ist.

Zurück nach oben

Eine allgemeine Übersicht, Bewertungen oder erweiterte Problembehandlungsinformationen zu AD FS 2.0 finden Sie über die folgenden Referenzlinks:

• AD FS 2.0-Hilfe
  
• Schrittanleitungen zu AD FS 2.0
  
• Handbuch zur Problembehandlung für AD FS 2.0
  

Wenn Sie die Bereitstellung einer komplexeren AD FS 2.0-Infrastruktur als in diesem Artikel beschrieben erwägen, sollten Sie möglicherweise die zusätzlichen Planungs- und Bereitstellungsinformationen lesen, die Sie unter den folgenden Referenzlinks finden.

• Handbuch für den AD FS 2.0-Entwurf
  
• Handbuch zur Bereitstellung von AD FS 2.0
  
• Beschreibung von Updaterollup 1 für die Active Directory-Verbunddienste (AD FS) 2.0
  
• Planen der AD FS 2.0-Serverkapazität
  
• Konfigurieren von erweiterten Optionen für AD FS 2.0
  

Zurück nach oben