Planear e implementar AD FS 2.0 para su uso con el inicio de sesión único

La topología predeterminada de Office 365 es una granja de servidores de federación de AD FS 2.0 que consiste en varios servidores que hospedan el Servicio de federación de su organización. En esta topología, AD FS 2.0 usa WID como la base de datos de configuración de AD FS 2.0 para todos los servidores de federación unidos a esta granja. La granja replica y mantiene los datos del Servicio de federación de la base de datos de configuración de todos los servidores de la granja.

Al crear el primer servidor de federación en una granja, se crea también un nuevo Servicio de federación. Cuando se usa WID como base de datos de configuración de AD FS 2.0, el primer servidor de federación creado en la granja se denominará servidor de federación principal. Esto significa que el equipo se configurará con una copia de lectura/escritura de la base de datos de configuración de AD FS 2.0.

Todos los demás servidores de federación configurados para esta granja se denominan servidores de federación secundarios, ya que deben replicar todos los cambios realizados en el servidor de federación principal en sus copias de solo lectura de la base de datos de configuración de AD FS 2.0 que almacenan de forma local.

Nota:
Recomendamos usar al menos dos servidores de federación en las configuraciones de carga equilibrada.

La configuración de esta topología básica de granja de servidores de federación es la primera fase de la implementación de AD FS 2.0. La segunda fase consiste en determinar un modo para proporcionar la funcionalidad de control de acceso a los usuarios externos mediante la implementación de servidores proxy de federación.

Fase 1: Implementar la granja de servidores de federación

---

Cuando esté preparado para iniciar la implementación de su granja, deberá planear la ubicación de todos los servidores de federación de su red corporativa detrás de un host de Equilibrio de carga de red (NLB) que puede configurarse para un clúster de NLB con un nombre DNS de clúster dedicado y una dirección IP de clúster.

Importante:
Este nombre DNS de clúster debe coincidir con el nombre del Servicio de federación (por ejemplo, fs.fabrikam.com) y poder enrutarse en Internet para la instancia de AD FS 2.0 que implemente. Si el nombre no coincide, la solicitud de autenticación no se redirigirá al servidor DNS o servidor de federación correctos.

El host de NLB puede usar la configuración definida en este clúster de NLB para asignar solicitudes de cliente a los servidores de federación individuales. En el siguiente diagrama se muestra cómo Fabrikam, Inc. puede configurar la primera fase de su implementación mediante una granja de servidores de federación de dos equipos (fs1 y fs2) con WID y el posicionamiento de un servidor DNS y un único host de NLB conectado a la red corporativa.

Nota:
Si se produce un error en este host de NLB único, los usuarios no podrán acceder a los servicios de Office 365. Agregue más hosts de NLB si sus necesidades empresariales no le permiten tener un único punto de error.

Fase 2: Implementar los servidores proxy de federación

---

En general, los servidores proxy de federación se usan para redirigir las solicitudes de autenticación del cliente procedentes del exterior de su red corporativa a la granja de servidores de federación. En el caso de los clientes empresariales de Office 365, la implementación de los servidores proxy de federación en su infraestructura existente de AD FS 2.0 es necesaria para habilitar las siguientes escenarios de usuario:

• Movilidad con un equipo de trabajo: los usuarios que inician sesión en equipos unidos al dominio con sus credenciales corporativas, pero que no están conectados a la red corporativa (por ejemplo, un equipo de trabajo en casa o en un hotel), pueden acceder a los servicios de Office 365.
  
• Equipo doméstico o público: cuando el usuario usa un equipo que no está unido al dominio corporativo, debe iniciar sesión con sus credenciales corporativas para obtener acceso a los servicios de Office 365.
  
• Smartphone: en los smartphones, el usuario debe iniciar sesión con sus credenciales corporativas para obtener acceso a los servicios de Office 365, como Microsoft Exchange Online con Microsoft Exchange ActiveSync.
  
• Microsoft Outlook u otros clientes de correo electrónico: el usuario deberá iniciar sesión con sus credenciales corporativas para tener acceso a su correo electrónico de Office 365 si utiliza Outlook o un cliente de correo electrónico que no forme parte de Office; por ejemplo, un cliente POP o IMAP.
  

Para lograr la compatibilidad con estos escenarios de usuario, la segunda fase se integrará en la Fase 1 de implementación explicada anteriormente, mediante la adición de dos servidores proxy de federación y el acceso a un servidor DNS en la red perimetral, así como a un segundo host de NLB en la red perimetral.

El segundo host de NLB debe configurarse con un clúster de NLB que usa una dirección IP de clúster a la que se puede acceder desde Internet, y debe usar la misma configuración de nombre DNS de clúster que el clúster de NLB anterior configurado en la red corporativa durante la Fase 1 (fs.fabrikam.com). Los servidores proxy de federación también se configurarán con direcciones IP a las que se puede acceder desde Internet.

El siguiente diagrama muestra la implementación existente de la Fase 1 y cómo Fabrikam, Inc. puede proporcionar acceso a un servidor DNS perimetral, agregar un segundo host de NLB con el mismo nombre DNS de clúster (fs.fabrikam.com) y agregar dos servidores proxy de federación (fsp1 y fsp2) a la red perimetral.

Nota:

Puede usar soluciones de proxy inverso HTTP de terceros para publicar AD FS 2.0 en la extranet. Para obtener más información acerca de cómo hacerlo, consulte Configuración de opciones avanzadas de AD FS 2.0. Todas las comunicaciones de AD FS 2.0 que pasan por el firewall están basadas en HTTPS. Puede crear reglas de notificaciones personalizadas en AD FS 2.0 que limitarán el acceso de los usuarios a los servicios de Office 365 según la ubicación física del equipo o dispositivo cliente desde el que el usuario solicite acceso. Para obtener más información acerca de cómo crear estas reglas, consulte Limitación del acceso a los servicios de Office 365 basados en la ubicación del cliente.

Opción avanzada de topología de implementación de AD FS 2.0 que usa los servidores proxy de federación y una configuración de SQL Server para habilitar todos los servidores de federación en la granja para la lectura y escritura en una base de datos común de SQL Server. El uso de la base de datos de SQL Server como base de datos de configuración de AD FS 2.0 supone las siguientes ventajas respecto a WID:

• Características de alta disponibilidad de SQL Server que pueden usar los administradores.
  
• Mejoras del rendimiento adicionales, entre las que se incluye la posibilidad de escalar más de cinco servidores de federación (WID está limitado a cinco servidores de federación por granja).
  
• Equilibrio de carga geográfico para contribuir a los aumentos en el tráfico elevado basado en la ubicación.
  

Nota:
Como esta topología es una opción avanzada de implementación de AD FS 2.0, los detalles de su modo de funcionamiento y de implementación de no se tratan en este artículo.

Para obtener más información sobre esta opción de topología, consulte Configuración de opciones avanzadas de AD FS 2.0.

Puede usar la siguiente tabla para estimar más fácilmente el número mínimo de servidores de federación y servidores proxy de federación de AD FS 2.0 que necesitará ubicar en una granja de servidores de federación configurada con WID en toda la infraestructura de su red corporativa, en función del número de usuarios que necesiten el acceso de inicio de sesión único, incluido el acceso remoto, a Office 365.

Nota:
Todos los equipos que se vayan a configurar para el rol de servidor de federación o servidor proxy de federación deben ejecutarse en el sistema operativo Windows Server 2008 o Windows Server 2008 R2.

Le recomendamos que use un servidor de federación para dar cuenta de la redundancia. La siguiente tabla sigue esta recomendación.

Número de usuarios que acceden a Office 365	Número mínimo de servidores para implementación	Recomendación y pasos
Menos de 1000 usuarios	0 servidores de federación dedicados 0 servidores proxy de federación dedicados 1 servidor de NLB dedicado	En los servidores de federación, use dos controladores de dominio (DC) de Active Directory existentes y configúrelos para el rol de servidor de federación. Para ello, seleccione primero dos DC existentes y, a continuación, haga lo siguiente: Instale AD FS 2.0 en ambos controladores de dominio. Configure uno como el servidor de federación principal en una nueva granja. Una el segundo a la granja de servidores de federación. En NLB, configure un host de NLB existente u obtenga un servidor dedicado y, a continuación, instale el rol de servidor de NLB en él y configure el servidor de NLB. En los servidores proxy de federación, use dos servidores web o proxy existentes y configúrelos para el rol de servidor proxy de federación. Para ello, seleccione dos servidores web o proxy existentes que residen en la extranet y, a continuación, haga lo siguiente: Instale AD FS 2.0 en ambos servidores. Configúrelos para el rol de servidor proxy de federación. Instale el rol de servidor de NLB en uno de los servidores proxy de federación o configure un host de NLB existente. Nota: Si no dispone de dos DC existentes y dos servidores web o proxy, o estos no se ejecutan en Windows Server 2008 o Windows Server 2008 R2, debe implementar en su lugar servidores dedicados, tal como se explica en la siguiente fila de esta tabla.
Entre 1000 y 15 000 usuarios	2 servidores de federación dedicados 2 servidores proxy de federación dedicados	En los servidores de federación, obtenga dos servidores dedicados y, a continuación, haga lo siguiente: Instale AD FS 2.0 en ambos servidores. Configure uno como el servidor de federación principal en una nueva granja. Una el segundo a la granja. Instale el rol de servidor de NLB en uno de los servidores de federación o configure un host de NLB existente. En los servidores de federación, obtenga dos servidores dedicados que pueda ubicar en la extranet: Instale AD FS 2.0 en ambos servidores. Configúrelos para el rol de servidor proxy de federación. Instale el rol de servidor de NLB en uno de los servidores proxy de federación o configure un host de NLB existente.
Entre 15 000 y 60 000 usuarios	Entre 3 y 5 servidores de federación dedicados Al menos 2 servidores proxy de federación dedicados	Cada servidor de federación dedicado puede admitir aproximadamente 15 000 usuarios; por tanto, agregue un servidor de federación dedicado adicional a la implementación de base de dos servidores de federación descrita anteriormente para cada 15 000 usuarios que necesiten acceder a Office 365, hasta un máximo de cinco servidores de federación en la granja o 60 000 usuarios. Nota: Una granja de servidores de federación de AD FS 2.0 configurada para usar WID admite un máximo de cinco servidores de federación. Si necesita más de cinco, deberá configurar una base de datos SQL Server para almacenar la base de datos de configuración de AD FS 2.0. Para obtener más información sobre esta opción, consulte Configuración de opciones avanzadas de AD FS 2.0.

Las recomendaciones sobre el número mínimo de usuarios por servidor proporcionadas en la tabla anterior se calculan en función del siguiente hardware:

Cuando se configuran dos o más servidores de federación en una granja mediante la tecnología NLB, pueden operar de forma independiente para contribuir al procesamiento de la carga de las solicitudes de usuario entrantes realizadas al Servicio de federación de AD FS 2.0, sin necesidad de restar rendimiento general al servicio completo. Por tanto, la adición de más servidores de federación al entorno de producción existente supone poca sobrecarga una vez ha implementado los servidores de federación iniciales de forma estratégica en su red.

Realizar estos pasos

El software AD FS 2.0 debe instalarse en cualquier equipo que esté preparando para el rol de servidor de federación o de servidor proxy de federación. Puede instalar este software mediante el asistente para la instalación de AD FS 2.0 o realizando una instalación silenciosa con el parámetro adfssetup.exe /quiet en la línea de comandos.

En las plataformas de instalación de base, AD FS 2.0 requiere el sistema operativo Windows Server 2008 o Windows Server 2008 R2. AD FS 2.0 dispone de un paquete de instalación independiente para cada plataforma de sistema operativo.

Los certificados desempeñan el papel más importante a la hora de asegurar las comunicaciones entre los servidores de federación, los servidores proxy de federación, Office 365 y los clientes web. Los requisitos de los certificados varían en función de si lo que se configura es un servidor de federación o un equipo de servidor proxy de federación, tal como se describe en las siguientes tablas.

Certificados de servidor de federación

---

Los servidores de federación requieren los certificados que se detallan en la siguiente tabla.

 

Tipo de certificado	Descripción	Lo que necesita saber antes de la implementación
Certificado SSL (también denominado "certificado de autenticación de servidor")	Este es un certificado estándar de capa de sockets seguros (SSL) que se usa para asegurar las comunicaciones entre los servidores de federación, los clientes y los equipos de servidor proxy de federación.	AD FS 2.0 requiere un certificado SSL para definir la configuración del servidor de federación. De forma predeterminada, AD FS 2.0 usa el certificado SSL configurado para el Sitio web predeterminado de Internet Information Services (IIS). El Nombre de sujeto de este certificado SSL se usa para determinar el nombre del Servicio de federación de cada versión de AD FS 2.0 que implemente. Por este motivo, es posible que desee contemplar la posibilidad de elegir un Nombre de sujeto de certificados emitidos por una nueva entidad de certificación (CA) que represente a la perfección el nombre de su compañía u organización para Office 365; este nombre debe poder enrutarse por Internet. Por ejemplo, en el diagrama anterior (consulte la “Fase 2”), el nombre de sujeto del certificado sería fs.fabrikam.com. Importante: AD FS 2.0 requiere que este certificado SSL carezca de un Nombre de sujeto sin punto (o nombre corto). Requerido: dado que es necesario que los clientes de AD FS 2.0 y Office 365 confíen en este certificado, deberá usar un certificado SSL emitido por una entidad de certificación pública (externa) o una subordinada a una raíz de confianza pública, como VeriSign o Thawte.
Certificado de firma de tokens	Certificado X.509 estándar que se usa para firmar de forma segura todos los tokens emitidos por el servidor de federación y que Office 365 aceptará y validará.	El certificado de firma de tokens debe contener una clave privada, y esta debe estar ligada a una raíz de confianza del Servicio de federación. De forma predeterminada, AD FS 2.0 crea un certificado autofirmado. No obstante, podrá cambiarlo más tarde por un certificado emitido por una entidad de certificación para adecuarlo a las necesidades de su organización, mediante el complemento Administración de AD FS 2.0. Recomendación: use el certificado autofirmado de firma de tokens generado por AD FS 2.0. Si hace esto, AD FS 2.0 administrará este certificado por usted de forma predeterminada. Por ejemplo, en caso de que vaya a expirar, AD FS 2.0 generará un nuevo certificado autofirmado para usarlo con antelación.

Precaución:

El certificado de firma de tokens es fundamental para la estabilidad del Servicio de federación. Si se modifica, este cambio deberá notificarse a Office 365 . De lo contrario, se producirán errores en las solicitudes de servicios de Office 365. Por este motivo, se recomienda descargar y configurar la Herramienta de instalación de automatización de actualización de metadatos de federación de Microsoft Office 365, que supervisará y actualizará automáticamente los metadatos de federación de Office 365 de forma periódica para que los cambios realizados en el certificado de firma de token en el Servicio de federación de AD FS 2.0 se repliquen en Office 365 automáticamente. Para obtener información general acerca de la administración de certificados en la granja de servidores de federación de AD FS 2.0 y en Office 365, consulte Actualizar las propiedades de confianza.

La configuración correcta de los siguientes servicios de red es fundamental para implementar adecuadamente AD FS 2.0 en su organización.

Para que funcione AD FS 2.0, debe unirse cada equipo que actúe de servidor de federación a un dominio. Los servidores proxy de federación pueden unirse a un dominio, pero no es obligatorio.

1. En el equipo que desee unir a un dominio, haga clic en Inicio y en Panel de control, y haga doble clic en Sistema.

2. En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic en Cambiar configuración.

3. En la pestaña Nombre de equipo, haga clic en Cambiar.

4. En Miembro de, haga clic en Dominio, escriba el nombre del dominio al que se unirá este equipo y, a continuación, haga clic en Aceptar.

5. Haga clic en Aceptar y, a continuación, reinicie el equipo.

Para que los clientes de la red corporativa accedan correctamente al Servicio de federación, debe crearse un registro de recurso de host (A) en el Sistema de nombres de dominio (DNS) corporativo que resuelve el nombre DNS del clúster del Servicio de federación (por ejemplo, fs.fabrikam.com) a la dirección IP del clúster de la red corporativa (por ejemplo, 172.16.1.3). Puede usar el siguiente procedimiento para agregar un registro de recurso de host (A) al DNS corporativo para el clúster de NLB.

1. En un servidor DNS de la red corporativa, abra el complemento DNS.

2. En el árbol de consola, haga clic con el botón secundario del mouse en la zona de búsqueda directa aplicable (por ejemplo, fabrikam.com) y, a continuación, haga clic en Host nuevo (A o AAAA).

3. En Nombre, escriba únicamente el nombre de equipo del servidor de federación o del clúster del servidor de federación; por ejemplo, en el nombre de dominio completo (FQDN) fs.fabrikam.com, escriba fs.

4. En Dirección IP, escriba la dirección IP del servidor de federación o del clúster del servidor de federación; por ejemplo, 172.16.1.3.

5. Haga clic en Agregar host.

   Importante:
   Se presupone que usa un servidor DNS que ejecuta Windows 2000 Server, Windows Server 2003 o Windows Server 2008 con el servicio Servidor DNS, para controlar la zona de DNS.

Una vez obtenido el certificado de autenticación del servidor emitido por una entidad de certificación (CA), debe instalar manualmente este certificado en el Sitio web predeterminado de cada servidor de federación de su granja.

Dado que es necesario que los clientes de AD FS 2.0 confíen en este certificado, deberá usar un certificado SSL emitido por una entidad de certificación pública (externa) o una subordinada a una raíz de confianza pública, como VeriSign o Thawte. Para obtener información sobre la instalación de certificados desde una CA pública, consulte IIS 7.0: Solicitar un certificado de servidor de Internet.

Nota:

El nombre de sujeto de este certificado de autenticación de servidor debe coincidir con el FQDN del nombre DNS del clúster (por ejemplo, fs.fabrikam.com) creado anteriormente en el host de NLB. Para completar esta tarea, debe instalar primero los servicios de Internet Information Services (IIS), en caso de que no se hayan instalado aún. Al instalar los IIS por primera vez, se recomienda usar las opciones de característica predeterminadas cuando se le indique durante la instalación del rol de servidor.

1. Haga clic en Inicio, elija Todos los programas, Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

2. En el árbol de la consola, haga clic en ComputerName.

3. En el panel central, haga doble clic en Certificados de servidor.

4. En el panel Acciones, haga clic en Importar.

5. Haga clic en el botón ... del cuadro de diálogo Importar certificado.

6. Navegue hasta la ubicación del archivo de certificado Pfx, resáltelo y, a continuación, haga clic en Abrir.

7. Escriba una contraseña para el certificado y, a continuación, haga clic en Aceptar.

Para configurar un entorno de granja de servidores de federación en AD FS 2.0, debe crear y configurar una cuenta de servicio dedicada en Active Directory donde reside la granja. Esta cuenta es necesaria para garantizar que todos los recursos requeridos por la granja de AD FS 2.0 tienen acceso a todos los servidores de federación de la granja.

A continuación, debe configurar cada servidor de federación de la granja para usar esta misma cuenta de servicio. Por ejemplo, si la cuenta de servicio creada era fabrikam\ADFS2SVC, cada equipo configurado para el rol de servidor de federación y que participará en la misma granja deberá especificar fabrikam\ADFS2SVC en este paso en el asistente para la configuración del servidor de federación para que la granja esté operativa.

Nota:
Debe realizar las tareas de este procedimiento una sola vez para toda la granja de servidores de federación. Más tarde, cuando cree un servidor de federación mediante el asistente para la configuración del servidor de federación de AD FS 2.0, deberá especificar esta misma cuenta en la página del asistente de Cuenta de servicio en cada servidor de federación de la granja.

1. Cree una cuenta de usuario/servicio dedicada en el bosque de Active Directory que vaya a usar en su organización.

2. Edite las propiedades de cuenta de usuario y active la casilla La contraseña nunca expira. Esta acción garantiza que esta función de cuenta de servicio no se interrumpe debido al requisito de cambio de contraseña de dominio.

   Nota:
   Si necesita cambiar la contraseña de la cuenta de servicio de forma regular, vea Configurar opciones avanzadas de AD FS 2.0. Si usa la cuenta de Servicio de red para esta cuenta dedicada, se producirán errores aleatorios cuando se intente acceder mediante la autenticación de Windows integrada, debido a que los vales Kerberos no se validan de un servidor a otro.

El software de AD FS 2.0 debe instalarse en cualquier equipo que esté preparando para el rol de servidor de federación. Puede instalar este software con el Asistente para instalación de AD FS 2.0 o mediante un parámetro de la línea de comandos. Para obtener más información sobre este parámetro, consulte la Guía de implementación de AD FS 2.0.

Asegúrese de completar el proceso de instalación con todas las revisiones necesarias en cada equipo de servidor de federación, tal como se indica en el último paso de este procedimiento.

1. Para descargar el paquete de software AD FS 2.0 para la versión específica del sistema operativo (Windows Server 2008 o Windows Server 2008 R2), guarde el archivo de instalación AdfsSetup.exe en el equipo. Para descargar este archivo, vaya a Servicios de federación de Active Directory 2.0 RTW.

2. Busque el archivo de instalación AdfsSetup.exe descargado en el equipo y, a continuación, haga doble clic en él.

3. En la página Bienvenido al asistente para la instalación de AD FS 2.0, haga clic en Siguiente.

4. En la página Contrato de licencia para el usuario final, lea los términos de la licencia.

5. Si acepta los términos, active la casilla Acepto los términos del contrato de licencia y, a continuación, haga clic en Siguiente.

6. En la página Rol de servidor, seleccione Servidor de federación y, a continuación, haga clic en Siguiente.

7. En la página Asistente para la instalación de AD FS 2.0 completado haga clic en Finalizar.

   Importante:
   En algunos casos, es posible que la instalación de AD FS 2.0 exija reiniciar el equipo (por ejemplo, cuando las revisiones dependientes se han instalado).

8. Instale todas las revisiones indicadas en Descripción del paquete acumulativo de actualizaciones 2 para Servicios de federación de Active Directory (AD FS) 2.0.

Puede seguir este procedimiento para configurar el equipo de tal forma que sea el primer servidor de federación de una nueva granja de servidores de federación con el asistente para la configuración del servidor de federación de AD FS 2.0.

La pertenencia a Administradores de dominio, o una cuenta de dominio delegada a la que se ha proporcionado acceso de lectura al contenedor de Datos del programa en Active Directory, representan el acceso mínimo exigido para completar este procedimiento.

1. Una vez completada la instalación del software AD FS 2.0, haga clic en Iniciar, a continuación en Herramientas administrativas y, por último, en Administración de AD FS 2.0 para abrir el complemento Administración de AD FS 2.0.

2. En la página Introducción, haga clic en Asistente para la configuración del servidor de federación de AD FS 2.0.

3. En la página Bienvenido compruebe que Crear un nuevo Servicio de federación está seleccionado y, a continuación, haga clic en Siguiente.

4. En la página Seleccionar Independiente o Implementación de granja, haga clic en Nueva granja de servidores de federación y, a continuación, en Siguiente.

5. En la página Especificar el nombre del Servicio de federación compruebe que el certificado SSL que se muestra coincide con el nombre del certificado importado previamente en el Sitio web predeterminado de IIS. Si no se trata del certificado correcto, seleccione el certificado adecuado en la lista certificado SSL.

   Nota:
   El asistente no permitirá reemplazar el certificado si un certificado SSL está configurado para IIS. Esto garantiza que la configuración de IIS anterior pretendida para los certificados SSL se mantiene. Para solucionar este problema, puede volver e importar de nuevo el certificado al Sitio web predeterminado de IIS.

6. Si ya ha reinstalado AD FS en este equipo, aparecerá la página Base de datos de configuración existente de AD FS detectada. Si aparece, haga clic en Eliminar base de datos y, a continuación, en Siguiente.

7. En la página Especificar cuenta de servicio, haga clic en Examinar. En el cuadro de diálogo Examinar, ubique la cuenta de dominio que se usará como cuenta de servicio en esta nueva granja de servidores de federación y, a continuación, haga clic en Aceptar. Escriba la contraseña de esta cuenta, confírmela y haga clic en Siguiente.

   Nota:
   Para obtener más información sobre la cuenta de servicio creada anteriormente en este artículo, consulte Crear una cuenta de servicio dedicada para la granja de servidores de federación.

8. En la página Preparado para aplicar configuración, revise los detalles. Si la configuración parece ser correcta, haga clic en Siguiente para comenzar a definir AD FS 2.0 con esta configuración.

9. En la página Resultados de configuración, consulte los resultados. Cuando haya terminado todos los pasos de la configuración, haga clic en Cerrar para salir del asistente.

Nota:

Cuando complete este procedimiento, se abrirá automáticamente el complemento Administración de AD FS 2.0 y aparecerá un mensaje que indicará que la configuración requerida está incompleta y que debe agregar un usuario de confianza. Puede ignorarlo. En un paso posterior se agregará una relación de usuario de confianza para Office 365. Para obtener más información, consulte Instalar y configurar Windows PowerShell para el inicio de sesión único. Una vez realizado este paso, el mensaje desaparecerá del complemento Administración de AD FS 2.0.

Una vez instalado el software AD FS 2.0 y configurados los certificados necesarios en un equipo, podrá configurar el equipo para que sea un servidor de federación. Puede realizar el siguiente procedimiento para unir un equipo a una nueva granja de servidores de federación.

Puede unir un equipo a una granja con el asistente para la configuración de servidores de federación de AD FS 2.0. Cuando use este asistente para unir un equipo a una granja existente, el equipo se configurará con una copia de solo lectura de la base de datos de configuración de AD FS 2.0, y deberá recibir actualizaciones de un servidor de federación principal.

1. Una vez completada la instalación del software AD FS 2.0, haga clic en Iniciar, a continuación en Herramientas administrativas y, por último, en Administración de AD FS 2.0 para abrir el complemento Administración de AD FS 2.0.

2. En la página Introducción o en el panel Acciones, haga clic en Asistente para la configuración del servidor de federación de AD FS 2.0.

3. En la página Bienvenido, compruebe que Agregar servidor de federación a un Servicio de federación existente está seleccionado y, a continuación, haga clic en Siguiente.

4. Si la base de datos seleccionada de AD FS 2.0 ya existe, aparecerá la página Base de datos de configuración existente de AD FS detectada. Si aparece, haga clic en Eliminar base de datos y, a continuación, en Siguiente.

   Precaución:
   Seleccione esta opción únicamente cuando esté seguro de que los datos de esta base de datos de AD FS 2.0 no son importantes o no se usan en la granja de servidores de federación de producción.

5. En la página Especificar Servidor de federación principal y Cuenta de servicio, en Nombre del servidor de federación principal, escriba el nombre del equipo del servidor de federación principal de la granja y, a continuación, haga clic en Examinar. En el cuadro de diálogo Examinar, ubique la cuenta de dominio que usan como cuenta de servicio los demás servidores de federación de la granja de servidores de federación y, a continuación, haga clic en Aceptar. Escriba la contraseña, confírmela y haga clic en Siguiente.

   Nota:
   Para obtener más información sobre la cuenta de servicio creada anteriormente en este artículo, consulte Crear una cuenta de servicio dedicada para la granja de servidores de federación.

6. En la página Preparado para aplicar configuración, revise los detalles. Si la configuración parece ser correcta, haga clic en Siguiente para comenzar a definir AD FS 2.0 con esta configuración.

7. En la página Resultados de configuración, consulte los resultados. Cuando haya terminado todos los pasos de la configuración, haga clic en Cerrar para salir del asistente.

Puede realizar los siguientes procedimientos para comprobar que un servidor de federación está operativo; es decir, que todos los clientes de la misma red pueden acceder a un nuevo servidor de federación.

1. Inicie sesión en un equipo de cliente ubicado en el mismo bosque que el servidor de federación.

2. Abra una ventana del explorador. En la barra de direcciones, escriba el nombre de host DNS del servidor de federación y, a continuación, agréguele /FederationMetadata/2007-06/FederationMetadata.xml para el nuevo servidor de federación; por ejemplo:

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Presione ENTRAR y complete el siguiente procedimiento en el equipo de servidor de federación. Si aparece el mensaje Existe un problema con el certificado de seguridad de este sitio web, haga clic en Pasar a este sitio web.

   Se espera que aparezca un documento XML con la descripción del servicio. Si esta página aparece, significa que IIS del servidor de federación está operativo y que está sirviendo correctamente a las páginas.

1. Inicie sesión en el nuevo servidor de federación como Administrador.

2. Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Visor de eventos.

3. En el panel de detalles, haga doble clic en Registros de aplicaciones y servicios, haga doble clic en Eventos de AD FS 2.0 y, a continuación, haga clic en Administrador.

4. En la columna Id. del evento, busque el id. de evento 100. Si el servidor de federación está configurado correctamente, verá un nuevo evento (en el registro Aplicación del Visor de eventos) con el id. de evento 100. Este evento comprueba que el servidor de federación ha podido comunicarse correctamente con el Servicio de federación.

Realizar estos pasos

Para que el servidor proxy de federación funcione de la forma esperada en la red perimetral, debe agregar una entrada en el archivo de hosts de cada equipo de servidor proxy de federación que se asigna al nombre DNS del clúster hospedado por el NLB en la red corporativa (por ejemplo, fs.fabrikam.com) y su dirección IP (por ejemplo, 172.16.1.3). Al agregar esta entrada al archivo de hosts se habilita el servidor proxy de federación para enrutar correctamente una llamada iniciada por el cliente a un servidor de federación de dentro o fuera de la red perimetral.

1. Navegue hasta la carpeta de directorio %systemroot%\Winnt\System32\Drivers y ubique el archivo de hosts.

2. Inicie el Bloc de notas y, a continuación, abra el archivo de hosts.

3. Agregue la dirección IP y el nombre de host de un servidor de federación en el archivo de hosts, tal como ilustra el siguiente ejemplo:

   172.16.1.3             fs.fabrikam.com

4. Guarde y cierre el archivo.

Importante:
Si la dirección IP del clúster del host de NLB de la red corporativa se modifica alguna vez, deberá actualizar el archivo de hosts local en cada servidor proxy de federación.

Para atender las solicitudes de autenticación de los clientes de dentro y fuera de la red perimetral, AD FS 2.0 solicita que la resolución de nombres se configure en los servidores DNS de uso externo que hospedan la zona de la organización (por ejemplo, fabrikam.com).

Para ello, agregue un registro de recurso de host (A) para un servidor DNS de uso externo que sirve únicamente a la red perimetral del nombre DNS del clúster (por ejemplo, “fs.fabrikam.com”) que se asigna a la dirección IP del clúster externo que se acaba de configurar.

1. En un servidor DNS de la red perimetral, abra el complemento DNS. Haga clic en Inicio, elija Herramientas administrativas y haga clic en DNS.

2. En el árbol de consola, haga clic con el botón secundario del mouse en la zona de búsqueda directa aplicable (por ejemplo, fabrikam.com) y, a continuación, haga clic en Host nuevo (A o AAAA).

3. En Nombre, escriba únicamente el nombre DNS del clúster especificado en el host de NLB de la red perimetral (debería ser el mismo nombre DNS que el del Servicio de federación). Por ejemplo, para el FQDN fs.fabrikam.com, escriba fs.

4. En Dirección IP, escriba la dirección IP para la nueva dirección IP del clúster especificada en el host de NLB de la red perimetral. Por ejemplo, 192.0.2.3.

5. Haga clic en Agregar host.

Una vez obtenido un certificado de autenticación de servidor usado por uno de los servidores de federación de la red corporativa, deberá instalar manualmente dicho certificado en el Sitio web predeterminado para cada servidor proxy de federación de su organización.

Dado que es necesario que los clientes de AD FS 2.0 confíen en este certificado, deberá usar un certificado SSL emitido por una entidad de certificación pública (externa) o una subordinada a una raíz de confianza pública, como VeriSign o Thawte. Para obtener información sobre la instalación de certificados desde una CA pública, consulte IIS 7.0: Solicitar un certificado de servidor de Internet.

Nota:

El nombre de sujeto de este certificado de autenticación de servidor debe coincidir con el FQDN del nombre DNS del clúster (por ejemplo, fs.fabrikam.com) creado anteriormente en el host de NLB. Para completar esta tarea, debe instalar primero los servicios de Internet Information Services (IIS), en caso de que no se hayan instalado aún. Al instalar los IIS por primera vez, se recomienda usar las opciones de característica predeterminadas cuando se le indique durante la instalación del rol de servidor.

1. Haga clic en Inicio, elija Todos los programas, Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

2. En el árbol de la consola, haga clic en ComputerName.

3. En el panel central, haga doble clic en Certificados de servidor.

4. En el panel Acciones, haga clic en Importar.

5. Haga clic en el botón ... del cuadro de diálogo Importar certificado.

6. Navegue hasta la ubicación del archivo de certificado Pfx, resáltelo y, a continuación, haga clic en Abrir.

7. Escriba una contraseña para el certificado y, a continuación, haga clic en Aceptar.

El software AD FS 2.0 debe instalarse en cualquier equipo que esté preparando para el rol de servidor de federación. Puede instalar este software con el Asistente para instalación de AD FS 2.0 o mediante un parámetro de la línea de comandos. Para obtener más información sobre este parámetro, consulte la Guía de implementación de AD FS 2.0.

Asegúrese de completar el proceso de instalación con todas las revisiones necesarias en cada equipo de servidor proxy de federación, tal como se indica en el último paso de este procedimiento.

1. Para descargar el paquete de software AD FS 2.0 para la versión específica del sistema operativo (Windows Server 2008 o Windows Server 2008 R2), guarde el archivo de instalación AdfsSetup.exe en el equipo. Para descargar este archivo, vaya a Servicios de federación de Active Directory 2.0 RTW.

2. Busque el archivo de instalación AdfsSetup.exe descargado en el equipo y, a continuación, haga doble clic en él.

3. En la página Bienvenido al asistente para la instalación de AD FS 2.0, haga clic en Siguiente.

4. En la página Contrato de licencia para el usuario final, lea los términos de la licencia.

5. Si acepta los términos, active la casilla Acepto los términos del contrato de licencia y, a continuación, haga clic en Siguiente.

6. En la página Rol de servidor, seleccione Servidor proxy de federación y, a continuación, haga clic en Siguiente.

7. En la página Asistente para la instalación de AD FS 2.0 completado, compruebe que la casilla Iniciar el asistente para la configuración del Servidor proxy de federación de AD FS 2.0 cuando se cierre este asistente está activada y haga clic en Finalizar para reiniciar el equipo.

   Importante:
   En algunos casos, es posible que la instalación de AD FS 2.0 exija reiniciar el equipo (por ejemplo, cuando las revisiones dependientes se han instalado). En este caso, asegúrese de activar la casilla Reiniciar ahora en la página Asistente para la instalación de AD FS 2.0 completado y, a continuación, haga clic en Finalizar para reiniciar el equipo.

8. Instale todas las revisiones indicadas en Descripción del paquete acumulativo de actualizaciones 2 para Servicios de federación de Active Directory (AD FS) 2.0.

Una vez que haya configurado un equipo con los certificados necesarios y haya instalado el software AD FS 2.0, estará preparado para configurar el equipo de tal forma que actúe como un servidor proxy de federación. Puede realizar el siguiente procedimiento para que el equipo actúe como servidor proxy de federación.

Importante:

Antes de realizar este procedimiento para configurar el equipo de servidor proxy de federación, asegúrese de que ha seguido todos los pasos de las listas de comprobación proporcionadas en Implementar granja de servidores de federación en el mismo orden. Asegúrese de que se han implementado al menos un servidor de federación y todas las credenciales necesarias para la autorización de la configuración del servidor proxy de federación. También debe configurar los enlaces de la capa de sockets seguros (SSL) del Sitio web predeterminado para que se inicie este asistente. Todas estas tareas deben completarse para que el servidor proxy de federación funcione.

1. En la página Asistente para la instalación de AD FS 2.0 completado en el Asistente para la instalación de AD FS 2.0, se activa de forma predeterminada una casilla denominada Iniciar el asistente para la configuración del Servidor proxy de federación de AD FS 2.0 cuando se cierre este asistente. Inicie el asistente y, a continuación, en la página Bienvenido, haga clic en Siguiente.

2. En la página Especificar nombre de servicio de federación, en Nombre de servicio de federación, escriba el nombre que represente el servicio de federación para el que este equipo actuará con rol de proxy (por ejemplo, fs.fabrikam.com).

3. En función de sus requisitos de red específicos, determine si tendrá que usar un servidor proxy HTTP para desviar las solicitudes al servicio de federación. De ser así, active la casilla Usar un servidor proxy HTTP al enviar solicitudes a este servicio de federación, en Dirección de servidor proxy HTTP escriba la dirección del servidor proxy, haga clic en Probar conexión para comprobar la conectividad y, a continuación, haga clic en Siguiente.

4. Cuando se le indique, especifique las credenciales necesarias para establecer una relación de confianza entre este servidor proxy de federación y el servicio de federación.

   De forma predeterminada, solo la cuenta de servicio usada por el servicio de federación o un miembro del grupo local de BUILTIN\administradores puede autorizar un servidor proxy de federación.

5. En la página Preparado para aplicar configuración, revise los detalles. Si la configuración parece ser correcta, haga clic en Siguiente para comenzar a definir el equipo con dicha configuración del proxy.

6. En la página Resultados de configuración, consulte los resultados. Cuando haya terminado todos los pasos de la configuración, haga clic en Cerrar para salir del asistente.

Una vez que haya configurado el equipo, compruebe que el servidor proxy de federación funciona del modo esperado.

Puede usar el siguiente procedimiento para comprobar que el servidor proxy de federación puede comunicarse con el servicio de federación de AD FS 2.0. Ejecute este procedimiento tras ejecutar el Asistente para la configuración del servidor proxy de federación AD FS 2.0 para configurar el equipo para que se ejecute con el rol de servidor proxy de federación. Para obtener más información sobre cómo ejecutar este asistente, consulte Configurar un equipo para el rol de servidor proxy de federación.

Nota:
Como resultado de esta prueba, se genera correctamente un evento específico en el Visor de eventos del equipo del servidor proxy de federación.

1. Inicie sesión en el servidor proxy de federación como Administrador.

2. Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Visor de eventos.

3. En el panel de detalles, haga doble clic en Registros de aplicaciones y servicios, haga doble clic en Eventos de AD FS 2.0 y, a continuación, haga clic en Administrador.

4. En la columna Id. del evento, busque el id. de evento 198.

   Si el servidor proxy de federación está configurado correctamente, verá un nuevo evento en el registro Aplicación del Visor de eventos con el id. de evento 198. Este evento comprueba si el servicio del servidor proxy de federación está iniciado correctamente y si está en línea en estos momentos.

Realizar estos pasos

Para obtener una descripción general, una evaluación o información avanzada de solución de problemas sobre AD FS 2.0, use los siguientes vínculos de referencia aplicable:

• Ayuda de AD FS 2.0
  
• Guías paso a paso y de instrucciones de AD FS 2.0
  
• Guía de solución de problemas de AD FS 2.0
  

Si está pensando en implementar una infraestructura más compleja de AD FS 2.0 que la que se describe en este artículo, consulte información avanzada sobre implementación y planeación en los siguientes vínculos de referencia.

• Guía de diseño de AD FS 2.0
  
• Guía de implementación de AD FS 2.0
  
• Descripción del paquete acumulativo de actualizaciones 1 para Servicios de federación de Active Directory (AD FS) 2.0
  
• Planificación de capacidad del servidor de AD FS 2.0
  
• Configuración de opciones avanzadas de AD FS 2.0
  

Realizar estos pasos