AD FS 2.0:n käyttöönotto ja suunnittelu kertakirjautumiskäyttöä varten

Office 365:n oletustopologia on AD FS 2.0 useista palvelimista koostuva liittymispalvelinklusteri, joka isännöi organisaatiosi liittoutumispalvelua. Tässä topologiassa AD FS 2.0 käyttää kaikkien klusteriin liitettyjen liittymispalvelinten AD FS 2.0 -määritystietokantana WID:tä. Klusteri replikoi ja pitää yllä liittoutumispalvelun tietoja klusterin jokaisen palvelimen määritystietokannassa.

Klusterin ensimmäisen liittämispalvelimen luo samalla liittoutumispalvelun. Kun AD FS 2.0 -määritystietokantana käytetään WID:tä, klusterin ensimmäisestä liittämispalvelimesta käytetään nimitystä ensisijainen liittämispalvelimen. Tietokoneen määritykseen käytetään tällöin luku ja kirjoitus -muotoista AD FS 2.0 -määritystietokantaa.

Kaikista muista tämän klusterin liittämispalvelimista käytetään nimitystä toissijainen liittämispalvelin, koska niiden on replikoitava ensisijaisessa liittämispalvelimessa tehdyt muutokset paikallisesti tallennettuihin vain luku -muotoisiin AD FS 2.0 -määritystietokantoihin.

Huomautus:
On suositeltavaa käyttää kahta liittämispalvelinta kokoonpanossa, jossa kuormitus on tasattu.

Tämän liittämispalvelinklusteritopologian määrittäminen on AD FS 2.0:n käyttöönoton ensimmäinen vaihe. Toisessa vaiheessa määritetään ulkoisten käyttäjien pääsynhallinta liittämispalvelinten välityspalvelinten avulla.

Vaihe 1: Liittämispalvelinklusterin käyttöönotto

---

Klusterin käyttöönottoa suunniteltaessa kannattaa miettiä kaikkien yritysverkon liittämispalvelinten asentamista sellaisen verkon kuormituksen tasaamiseen käytettävän NLB-isännän taakse, johon voidaan määrittää NLB-klusteri, jolla on erillinen klusteri-DNS-nimi ja klusteri-IP-osoite.

Tärkeää:
Tämän klusteri-DNS-nimen on vastattava liittoutumispalvelimen nimeä (esimerkiksi fs.fabrikam.com), ja sen on oltava reititettävissä Internetin kautta käyttöön ottamassasi AD FS 2.0 -esiintymässä. Jos nimi ei täsmää, todennuspyyntöä ei reititetä oikeaan DNS-palvelimeen tai liittoutumispalvelimeen.

NLB-isäntä voi käyttää tähän NLB-klusteriin määritettyjä asetuksia asiakkaiden pyyntöjen ohjaamiseksi yksittäisiin liittämispalvelimiin. Seuraava kaavio esittää, miten Fabrikam, Inc. saattaisi määrittää käyttöönottonsa ensimmäisen vaiheen. Kokoonpanossa on WID:tä käyttävä kahden tietokoneen liittymispalvelinklusteri (fs1 ja fs2) ja yritysverkkoon liitetyt DNS-palvelin ja yksittäinen NLB-isäntä.

Huomautus:
Jos tässä yksittäisessä NLB-isännässä esiintyy toimintavirhe, käyttäjät eivät pysty käyttämään Office 365 -palveluita. Lisää toisia NLB-isäntiä, jos organisaatiosi liiketoimintavaatimukset eivät kestä tällaista yksittäistä virhelähdettä.

Vaihe 2: Liittämispalvelinten välityspalvelinten käyttöönotto

---

Liittymispalvelinten välityspalvelimia käytetään yleensä yritysverkon ulkopuolelta saapuvien todennuspyyntöjen uudelleenohjaamiseen liittymispalvelinklusteriin. Office 365:n yritysasiakkaille liittymispalvelinten välityspalvelinten lisääminen nykyiseen AD FS 2.0 -infrastruktuuriin on edellytys seuraavien käyttäjätilanteiden mahdollistamiseksi:

• Verkkovierailu työtietokoneella: toimialueeseen liitettyjä tietokoneita käyttävät käyttäjät voivat käyttää Office 365 -palveluita, jos he ovat kirjautuneet yritystunnistetiedoilla, vaikka he eivät olisikaan yhteydessä yrityksen verkkoon (esimerkiksi työtietokone kotona tai hotellissa).
  
• Kotitietokone tai julkinen tietokone: kun käyttäjä käyttää tietokonetta, jota ei ole liitetty yrityksen toimialueeseen, hänen on kirjauduttava yrityksensä tunnistetiedoilla, jotta hän pystyy käyttämään Office 365 -palveluita.
  
• Älypuhelin: älypuhelimissa Office 365 -palveluiden käyttö (esimerkiksi Microsoft Exchange Online -käyttö Microsoft Exchange ActiveSyncillä) edellyttää, että käyttäjä kirjautuu yritystunnistetiedoillaan.
  
• Microsoft Outlook tai Officeen kuulumattomat sähköpostisovellukset: käyttäjien on kirjauduttava sisään yritystunnistetiedoilla voidakseen käyttää Office 365 -sähköpostiaan, jos heillä on käytössään Outlook tai jokin Officeen kuulumaton sähköpostisovellus, esimerkiksi IMAP- tai POP-asiakasohjelma.
  

Käyttöönoton toinen vaihe rakennetaan ensimmäisen vaiheen päälle näiden käyttäjätilanteiden tukemiseksi. Kokoonpanoon lisätään kaksi liittämispalvelinten välityspalvelinta ja edustaverkossa olevaan DNS-palvelimeen ja toiseen NLB-isäntään myönnetään pääsy.

Toiseen NLB-isäntään on määritettävä NLB-klusteri, jonka klusteri-IP-osoitetta voi käyttää Internetistä käsin. Sen klusteri-DNS-nimen on oltava yhteneväinen yritysverkkoon vaiheessa 1 määrittämäsi edellisen NLB-klusterin nimen kanssa (fs.fabrikam.com). Littämispalvelinten välityspalvelimiin määritetään myös IP-osoitteet, joita voidaan käyttää Internetistä käsin.

Seuraavassa kaaviossa näkyy nykyinen ensimmäisen vaiheen kokoonpano. Lisäksi siinä havainnollistetaan, miten Fabrikam, Inc. voi antaa pääsyn edustaverkon DNS-palvelimeen, lisätä samaa klusteri-DNS-nimeä (fs.fabrikam.com) käyttävän toisen NLB-isännän ja lisätä edustaverkkoon kaksi liittymispalvelinten välityspalvelinta (fsp1 ja fsp2).

Huomautus:

Voit julkaista AD FS 2.0 -palvelun ekstranetiin ulkopuolisten tahojen HTTP-käänteisvälityspalvelinratkaisujen avulla. Lisätietoja on ohjeartikkelissa AD FS 2.0:n lisäasetusten määrittäminen. Kaikki palomuurin kautta kulkeva AD FS 2.0 -viestintä perustuu HTTPS-protokollaan. AD FS 2.0 -palvelussa voit luoda mukautettuja sääntöjä, jotka rajoittavat käyttäjän Office 365 -palveluiden käyttöoikeuksia käytettävän asiakastietokoneen tai -laitteen fyysisen sijainnin perusteella. Jos haluat lisätietoja näiden sääntöjen luomisesta, tutustu seuraavaan ohjeartikkeliin: Office 365 -palveluiden käytön rajoittaminen asiakaskoneen sijainnin perusteella.

Tämä on edistynyt AD FS 2.0 -topologia, jossa käytetään liittämispalvelinten välityspalvelimia ja SQL Server -kokoonpanoa. Kaikki klusterin liittämispalvelimet lukevat saman SQL Server -tietokannan sisältöä ja kirjoittavat siihen. SQL Server -tietokannan käyttäminen AD FS 2.0 -määritystietokantana tarjoaa seuraavat edut WID:hen nähden:

• SQL Serverin suuren käytettävyyden ominaisuudet ovat järjestelmänvalvojien käytettävissä.
  
• Suorituskykyä on mahdollista parantaa eri tavoin, esimerkiksi laajentamalla klusteri kattamaan yli viisi liittämispalvelinta (WID:tä käyttävissä klustereissa voi olla enintään viisi palvelinta).
  
• Maantieteellinen kuorman tasaaminen helpottaa suurten liikennekuormien käsittelyä sijainnin perusteella.
  

Huomautus:
Koska tämä topologia on AD FS 2.0:n käyttöönoton lisäasetus, topologian toimintaa ja käyttöönottoa ei kuvata tässä artikkelissa.

Lisätietoja tästä topologiasta on ohjeartikkelissa AD FS 2.0:n lisäasetusten määrittäminen.

Seuraavan taulukon avulla voit arvioida vähimmäismäärän AD FS 2.0 liittämispalvelimia ja liittämispalvelimen välityspalvelimia, jotka sinun tarvitsee asentaa WID:llä määritettyyn liittämispalvelinklusteriin yritysverkkosi infrastruktuuriin. Lukumäärä perustuu Office 365 -kertakirjautumista tarvitsevien käyttäjien ja etäkäyttäjien määrään.

Huomautus:
Kaikissa liittämispalvelimen tai liittämispalvelimen välityspalvelimen rooliin määritettävissä tietokoneissa on oltava Windows Server 2008- tai Windows Server 2008 R2 -käyttöjärjestelmä .

Suosittelemme yhden liittämispalvelimen käyttöä päällekkäisyyksien varalle. Seuraavassa taulukossa noudatetaan tätä suositusta.

Office 365:tä käyttävien käyttäjien määrä	Käyttöön otettavien palvelinten vähimmäismäärä	Suositus ja vaiheet
Alle 1 000 käyttäjää	0 erillistä liittämispalvelinta 0 erillistä liittämispalvelinten välityspalvelinta 1 erillinen NLB-palvelin	Käytä liittämispalvelimiin kahta olemassa olevaa Active Directory -toimialueen ohjauskonetta (DC:tä) ja määritä kumpikin liittämispalvelimen rooliin. Voit tehdä tämän valitsemalla ensin kaksi olemassa olevaa DC:tä ja tekemällä sitten seuraavat toimet: Asenna AD FS 2.0 kumpaankin toimialueen ohjauskoneeseen. Määritä ensimmäinen palvelin uuden klusterin ensimmäiseksi liittämispalvelimeksi. Liitä toinen palvelin liittämispalvelinklusteriin. Määritä NLB-palvelinta varten NLB-isäntä tai hanki erillinen palvelin. Asenna palvelimeen NLB-palvelinrooli ja määritä NLB-palvelin. Käytä liittämispalvelinten välityspalvelimiin kahta olemassa olevaa WWW- tai välityspalvelinta ja määritä kumpikin liittämispalvelimen välityspalvelimen rooliin. Voit tehdä tämän valitsemalla ensin kaksi extranetissa sijaitsevaa WWW- tai välityspalvelinta ja tekemällä sitten seuraavat toimet: Asenna AD FS 2.0 kumpaankin palvelimeen. Määritä palvelimet liittämispalvelimen välityspalvelimen rooliin. Asenna NLB-palvelinrooli johonkin liittämispalvelinten välityspalvelimeen tai määritä jokin nykyinen NLB-isäntä. Huomautus: Jos sinulla ei ole kahta olemassa olevaa DC:tä eikä kahta WWW- tai välityspalvelinta tai niissä on muu käyttöjärjestelmä kuin Windows Server 2008 tai Windows Server 2008 R2, sinun tulee ottaa käyttöön erilliset palvelimet tämän taulukon seuraavalla rivillä kuvatun mukaisesti.
1 000–15 000 käyttäjää	2 erillistä liittämispalvelinta 2 erillistä liittämispalvelinten välityspalvelinta	Hanki liittämispalvelimia varten kaksi erillistä palvelinta ja tee sitten seuraavat toimet: Asenna AD FS 2.0 kumpaankin palvelimeen. Määritä ensimmäinen palvelin uuden klusterin ensimmäiseksi liittämispalvelimeksi. Liitä toinen palvelin klusteriin. Asenna NLB-palvelinrooli johonkin liittämispalvelimista tai määritä jokin nykyinen NLB-isäntä. Hanki liittämispalvelimia varten kaksi erillistä extranetiin asennettavaa palvelinta. Asenna AD FS 2.0 kumpaankin palvelimeen. Määritä ne liittämispalvelimen välityspalvelimen rooliin Asenna NLB-palvelinrooli johonkin liittämispalvelinten välityspalvelimeen tai määritä jokin nykyinen NLB-isäntä.
15 000–60 000 käyttäjää	3–5 erillistä liittämispalvelinta Vähintään 2 erillistä liittämispalvelinten välityspalvelinta	Kukin erillinen liittämispalvelin tukee noin 15 000 käyttäjää. Lisää siis kahden liittämispalvelimen perusasetelmaan yksi erillinen liittämispalvelin jokaista 15 000 Office 365 -käyttäjää kohden, Enimmäismäärä on viiden liitäntäpalvelimen klusteri, joka tukee 60 000 käyttäjää. Huomautus: AD FS 2.0 -liittämispalvelinklusteri, joka on määritetty käyttämään WID:tä, tukee enintään viittä liittämispalvelinta. Jos tarvitset enemmän kuin viisi liittämispalvelinta, sinun on määritettävä SQL Server -tietokanta AD FS 2.0 -määritystietokannan tallennuspaikaksi. Lisätietoja on ohjeartikkelissa AD FS 2.0:n lisäasetusten määrittäminen.

Edellisessä taulukossa suositellut vähimmäismäärät käyttäjiä palvelinta kohden on laskettu seuraavanlaisen laitteiston perusteella:

Kun kaksi tai useampi palvelin määritetään NLB-teknologiaa käyttävään klusteriin, ne voivat toimia itsenäisesti ja siten auttaa käsittelemään AD FS 2.0 -liittoutumispalveluun saapuvien käyttäjäpyyntöjen kuormaa ilman, että palvelun kokonaissuorituskyky heikkenee. Uusien liittymispalvelinten lisääminen tuotantoympäristöön sen jälkeen, kun verkossa on otettu käyttöön ensimmäiset liittymispalvelimet, aiheuttaa siis hyvin vähän hukkaa.

Suorita seuraavat vaiheet

AD FS 2.0:n on oltava asennettuna tietokoneessa, jota valmistelet liittämispalvelimen tai sen välityspalvelimen rooliin. Voit asentaa ohjelmiston käyttämällä AD FS 2.0:n ohjattua asennustoimintoa tai suorittamalla hiljaisen asennuksen komentoriviparametrilla adfssetup.exe /quiet.

AD FS 2.0 edellyttää Windows Server 2008- Windows Server 2008 R2 -käyttöjärjestelmän käyttämistä asennuksen alustana. Kullekin käyttöjärjestelmäalustalle on erillinen AD FS 2.0 -asennuspaketti.

Varmenteilla on kaikkein kriittisin rooli liittämispalvelinten, liittämispalvelinten välityspalvelinten, Office 365:n ja verkkoasiakkaiden välisten yhteyksien suojaamisessa. Varmenteisiin liittyvät vaatimukset vaihtelevat sen mukaan, oletko ottamassa käyttöön liittämispalvelinta vai liittämispalvelimen välityspalvelinta. Vaatimukset eritellään seuraavissa taulukoissa.

Liittämispalvelinten varmenteet

---

Liitäntäpalvelimet edellyttävät seuraavassa taulukossa lueteltuja varmenteita.

 

Varmennetyyppi	Kuvaus	Käyttöönottoon tarvittavat tiedot
SSL-varmenne (tunnetaan myös palvelimen todennusvarmenteena)	Tämä on vakiomuotoinen SSL-varmenne, jota käytetään liittämispalvelinten, asiakastietokoneiden ja liittämispalvelinten välityspalvelinten välisten yhteyksien suojaamiseen.	AD FS 2.0 edellyttää SSL-varmennetta liittämispalvelimen asetusten määritykseen. AD FS 2.0 käyttää oletusarvoisesti SSL-varmennetta, joka on määritetty oletusverkkosivustolle IIS:ssä. Jokaisen käyttöön ottamasi AD FS 2.0 -liittoutumispalvelun nimi määritetään SSL-varmenteen aihenimen perusteella . Mahdollisille uusille varmenteen myöntäjän (CA:n) myöntämille varmenteille kannattaa siksi valita aihenimi, joka parhaiten edustaa yrityksesi tai organisaatiosi nimeä Office 365:ssä. Nimen tulee myös soveltua reititettäväksi Internetissä. Esimerkiksi tässä artikkelissa aiemmin esitetyssä kaaviossa (katso vaihe 2) varmenteen aihenimi olisi fs.fabrikam.com. Tärkeää: AD FS 2.0 edellyttää SSL-varmenteen aihenimen olevan pisteetön (eli lyhyt nimi). Vaatimus:koska AD FS 2.0 -palvelun asiakkaiden on luotettava tähän varmenteeseen, käytä SSL-varmennetta, jonka on myöntänyt julkinen (kolmannen osapuolen) tai julkisesti luotetun juuren alaisuudessa toimiva varmenteen myöntäjä, esimerkiksi VeriSign tai Thawte.
Tunnuksen allekirjoitusvarmenne	Tämä on vakiomuotoinen X.509-varmenne, jota käytetään liittämispalvelimen myöntämien tunnusten suojattuun allekirjoittamiseen ja jonka Office 365 pystyy hyväksymään ja tarkistamaan.	Tunnusten allekirjoittamiseen käytettävässä varmenteessa on oltava yksityinen avain ja sen tulee liittyä liittoutumispalvelussa olevaan luotettuun juureen. AD FS 2.0 luo oletusarvoisesti itse allekirjoitetun varmenteen. Varmenteen voi organisaation tarpeiden mukaan myöhemmin muuttaa varmenteen myöntäjän myöntämään varmenteeseen AD FS 2.0 -hallintalaajennuksen avulla. Suositus: Käytä AD FS 2.0:n luomaa itse allekirjoitettua varmennetta. Tällöin AD FS 2.0 hallitsee oletuksena varmennetta puolestasi. Jos varmenne on esimerkiksi vanhentumassa, AD FS 2.0 luo uuden itse allekirjoitetun varmenteen ennen vanhentumisajankohtaa.

Vaara:

Tunnuksen allekirjoitusvarmenne on kriittinen osa liittoutumispalvelun vakautta. Varmenteeseen tehdyistä muutoksista on ilmoitettava Office 365 -palveluun. Muussa tapauksessa Office 365 -palveluille tehdyt pyynnöt epäonnistuvat. Suosittelemme tästä syystä lataamaan Microsoft Office 365 -liittoutumisen automaattisen metatietojen päivityksen asennustyökalun ja määrittämään sen asetukset. Työkalu tarkkailee ja päivittää automaattisesti Office 365 -liittoutumispalvelun metatietoja, ja tunnuksen allekirjoitusvarmenteeseen AD FS 2.0 Federation Service -palvelussa tehdyt muutokset tehdään myös Office 365:een automaattisesti. Saat lisätietoja varmenteiden hallinnasta AD FS 2.0 -liittämisen palvelinklusterissa ja Office 365 -palvelussa ohjeartikkelista Luotettavien ominaisuuksien päivittäminen.

Seuraavien verkkopalveluiden oikea määrittäminen on ensiarvoisen tärkeä osa AD FS 2.0:n onnistunutta käyttöönottoa organisaatiossasi.

AD FS 2.0:n toiminta edellyttää, että jokainen liittymispalvelimena toimiva tietokone on liitetty toimialueeseen. Myös liittymispalvelinten välityspalvelimet voidaan liittää toimialueeseen, mutta se ei ole välttämätöntä.

1. Valitse toimialueeseen liitettävässä tietokoneessa Käynnistä. Valitse Ohjauspaneeli ja kaksoisnapsauta sitten Järjestelmä-kohtaa.

2. Valitse Tietokoneen nimen, toimialueen ja työryhmän asetukset -kohdasta Muuta asetuksia.

3. Valitse Tietokoneen nimi-välilehdessä Muuta.

4. Valitse Jäsenyys-kohdassa Toimialue. Kirjoita sen toimialueen nimi, johon tietokone liitetään, ja valitse sitten OK.

5. Valitse OK ja käynnistä tietokone uudelleen.

Jotta yritysverkon asiakkaat voivat käyttää liittoutumispalvelua, sinun on luotava yrityksen DNS-palveluun host (A) -resurssitietue, joka kohdistaa liittoutumispalvelun klusteri-DNS-nimen (esimerkiksi fs.fabrikam.com) yritysverkossa olevaan klusteri-IP-osoitteeseen (esimerkiksi 172.16.1.3). Voit lisätä host (A) -resurssitietueen NLB-klusterin DNS-palveluun noudattamalla seuraavia ohjeita.

1. Avaa DNS-laajennus yritysverkon DNS-palvelimessa.

2. Napsauta konsolipuussa hiiren kakkospainikkeella soveltuvaa hakualuetta (esimerkiksi fabrikam.com) ja valitse sitten Uusi isäntä (A tai AAAA).

3. Kirjoita Nimi-kenttään vain liittämispalvelimen tai liittämispalvelinklusterin tietokoneen nimi. Jos esimerkiksi FQDN-nimi on fs.fabrikam.com, kirjoita kenttään fs.

4. Kirjoita IP-osoite-kenttään liittämispalvelimen tai liittämispalvelinklusterin IP-osoite, esimerkiksi 172.16.1.3.

5. Valitse Lisää isäntä.

   Tärkeää:
   Ohjeissa oletetaan, että DNS-palvelinpalvelun kanssa käytetään DNS-palvelinta DNS-alueen hallintaan. DNS-palvelimen käyttöjärjestelmäksi oletetaan Windows 2000 Server, Windows Server 2003 tai Windows Server 2008.

Kun olet saanut varmenteen myöntäjältä palvelimen todennusvarmenteen, asenna kyseinen palvelimen todennusvarmenne manuaalisesti kaikkien organisaatiosi liittämispalvelinten oletussivustoihin.

Koska AD FS 2.0:n ja Office 365 -palveluiden asiakkaiden on luotettava tähän varmenteeseen, käytä SSL-varmennetta, jonka on myöntänyt julkinen (kolmannen osapuolen) tai julkisesti luotetun juuren alaisuudessa toimiva varmenteen myöntäjä, esimerkiksi VeriSign tai Thawte. Lisätietoja julkisen varmenteen myöntäjän myöntämän varmenteen asentamisesta on ohjeartikkelissa IIS 7.0: Internet-palvelinvarmenteen pyytäminen.

Huomautus:
Palvelimen todennusvarmenteen aihenimen on oltava yhteneväinen NLB-isännässä aiemmin luomasi klusteri-DNS-nimen FQDN-nimen (esimerkiksi fs.fabrikam.com) kanssa. IIS-palvelu on oltava asennettuna ennen tämän tehtävän suorittamista. Asennettaessa IIS-palvelua ensimmäisen kerran on suositeltavaa hyväksyä palvelinroolin asennusvaiheen tarjoamat oletusominaisuudet.

1. Valitse Käynnistä-valikossa Kaikki ohjelmat, valitse Valvontatyökalut ja valitse sitten Internet Information Services (IIS) Manager.

2. Valitse konsolipuussa TietokoneenNimi.

3. Kaksoisnapsauta keskimmäisessä ruudussa Palvelinvarmenteet.

4. Valitse Toiminnot-ruudussa Tuo.

5. Valitse Tuo varmenne -valintaikkunassa … .

6. Siirry selaamalla pfx-varmennetiedoston sijaintiin. Korosta tiedosto ja valitse sitten Avaa.

7. Kirjoita varmenteen salasana ja valitse sitten OK.

Liittymispalvelinklusteriympäristön määrittäminen AD FS 2.0:aan edellyttää erillisen palvelutilin luomista ja määrittämistä siihen Active Directoryyn, johon klusteri sijoitetaan. Tämän erillisen palvelutilin avulla varmistetaan, että kaikilla AD FS 2.0 -klusterin tarvitsemilla resursseilla on pääsy klusterin kaikkiin liittämispalvelimiin.

Määritä sitten kaikki klusterin liittämispalvelimet käyttämään tätä palvelutiliä. Jos luotu palvelutili on esimerkiksi fabrikam\ADFS2SVC, ohjatussa liittämispalvelimen määritystoiminnossa on määritettävä kaikkiin samassa klusterissa liittämispalvelimen roolissa oleviin tietokoneisiin palvelutili fabrikam\ADFS2SVC.

Huomautus:
Nämä toiminnot tarvitsee tehdä vain kerran koko liittymispalvelinklusterille. Kun myöhemmin luot liittymispalvelimen AD FS 2.0:n ohjatun liittymispalvelimen määritystoiminnon avulla, sinun tulee määrittää tämä sama tili klusterin kullekin liittymispalvelimelle ohjatun toiminnon Palvelutili-sivulla.

1. Luo erillinen käyttäjä-/palvelutili Active Directory -toimialuepuurakenteeseen, jota organisaatiossasi tullaan käyttämään.

2. Muokkaa tilin määrityksiä ja valitse Salasana ei koskaan vanhene -valintaruutu. Näin palvelutilin toiminta ei keskeydy, vaikka toimialueen salasanaa olisi muutettava.

   Huomautus:
   Jos palvelutilin salasana täytyy vaihtaa säännöllisesti, tutustu ohjeartikkeliin AD FS 2.0 -lisäasetuksien määrittäminen. Network Service -tilin käyttäminen tässä erillisessä tilissä aiheuttaa sattumanvaraisia epäonnistumisia, kun pääsyyn yritetään käyttää integroitua Windows-todennusta. Tämä johtuu Kerberos-lippujen jäämisestä varmentumatta palvelimesta toiseen.

AD FS 2.0:n on oltava asennettu tietokoneeseen, jota valmistelet liittämispalvelimen rooliin. Voit asentaa ohjelmiston käyttämällä AD FS 2.0:n ohjattua asennustoimintoa tai komentoriviparametriä. Lisätietoja komentoriviparametrista on ohjeartikkelissa AD FS 2.0:n käyttöönotto-opas.

Viimeistele asennus asentamalla kaikki vaaditut hotfix-korjaukset kuhunkin liittämispalvelimeen. Noudata tämän osion viimeisen vaiheen ohjeita.

1. Lataa käyttämäsi käyttöjärjestelmäversion (joko Windows Server 2008 tai Windows Server 2008 R2) AD FS 2.0 -ohjelmistopaketti tallentamalla AdfsSetup.exe-asennustiedosto tietokoneeseen. Lataa tiedosto siirtymällä sivulle Active Directory Federation Services 2.0 RTW.

2. Paikallista tietokoneeseen lataamasi AdfsSetup.exe-asennustiedosto ja kaksoisnapsauta sitä.

3. Valitse Welcome to the AD FS 2.0 Setup Wizard -sivulla Next.

4. Lue Käyttöoikeussopimus-sivulla olevat käyttöehdot.

5. Jos hyväksyt ehdot, valitse I accept the terms in the License Agreement ja valitse sitten Next.

6. Valitse Server Role -sivulla Federation server ja valitse sitten Next.

7. Valitse Completed the AD FS 2.0 Setup Wizard -sivulla Finish.

   Tärkeää:
   Joissain tilanteissa AD FS 2.0 -asennus voi edellyttää tietokoneen käynnistämistä uudelleen (esimerkiksi, jos on asennettu toisistaan riippuvaisia hotfix-korjauksia).

8. Asenna kaikki Active Directory Federation Services (AD FS) 2.0 Update Rollup 2 -koostepäivityksen kuvauksessa määritetyt hotfix-korjaukset.

Voit määrittää tietokoneen uuden liittämispalvelinklusterin ensimmäiseksi liittämispalvelimen välityspalvelimeksi käyttämällä AD FS 2.0:n ohjattua liittoutumispalvelimen määritystoimintoa.

Tämän toiminnon suorittaminen edellyttää vähintään toimialueen järjestelmänvalvojien ryhmän jäsenyyttä tai erillistä toimialuetiliä, jolle on myönnetty kirjoitusoikeus Active Directoryn ohjelmatietosäilöön.

1. Kun AD FS 2.0 -ohjelmisto on asennettu, avaa AD FS 2.0 -hallintalaajennus napsauttamalla Käynnistä-painiketta ja valitsemalla Valvontatyökalut > AD FS 2.0 Management.

2. Valitse Overview-sivulla AD FS 2.0 Federation Server Configuration Wizard.

3. TarkistaWelcome-sivulla että Create a new Federation Service on valittuna ja valitse sitten Next.

4. Valitse Select Stand-Alone or Farm Deployment -sivulla New federation server farm ja valitse sitten Next.

5. Tarkista, että Specify the Federation Service Name -sivulla SSL certificate -kohdassa näkyvä SSL-varmenne vastaa IIS:n oletusverkkosivustoon aiemmin tuodun varmenteen nimeä. Jos varmenne on väärä, valitse oikea varmenne SSL certificate -luettelosta.

   Huomautus:
   Ohjattu toiminto ei salli SSL-varmenteen ohittamista, jos varmenne on määritetty käyttämään IIS:ää. Tällä varmistetaan SSL-varmenteiden mahdollisten aiempien IIS-määritysten jatkuvuus. Voit kiertää tämän ongelman palaamalla ja tuomalla varmenteen IIS:n oletusverkkosivustoon uudelleen.

6. Jos tietokoneeseen on jo asennettu AD FS, Existing AD FS Configuration Database Detected -sivu aukeaa. Valitse tällöin Delete database ja valitse sitten Next.

7. Valitse Specify a Service Account -sivulla Browse. Paikallista Browse-valintaikkunasta toimialuetili, jota tässä uudessa liittämispalvelinklusterissa tullaan käyttämään palvelutilinä, ja valitse sitten OK. Kirjoita tilin salasana ja vahvista se. Valitse sitten Next.

   Huomautus:
   Lisätietoja aiemmin tässä artikkelissa luodusta palvelutilistä on ohjeartikkelissa Erillisen palvelutilin luominen liittämispalvelinklusteria varten.

8. Tarkista Ready to Apply Settings -sivulla näkyvät tiedot. Jos tiedot vaikuttavat olevan oikein, sloita AD FS 2.0:n määrittäminen näillä asetuksilla valitsemalla Next.

9. Tarkista tulokset Configuration Results -sivulta. Kun kaikki määritysvaiheet on suoritettu loppuun, poistu ohjatusta toiminnosta valitsemalla Close.

Huomautus:

Kun olet suorittanut kaikki vaiheet, AD FS 2.0 -hallintalaajennus aukeaa automaattisesti. Näyttöön tulee viesti, jossa kerrotaan vaaditun määrityksen olevan kesken ja että sinun on lisättävä luotettu luottava osapuoli. Voit jättää viestin huomiotta. Office 365:n luottavan osapuolen luottamus lisätään myöhemmässä vaiheessa. Lisätietoja on ohjeartikkelissa Windows PowerShellin asentaminen kertakirjautumista varten. Kun kyseinen vaihe on suoritettu, viesti poistuu AD FS 2.0 -hallintalaajennuksesta.

Kun AD FS 2.0 -ohjelmisto on asennettu ja tietokoneeseen on määritetty tarvittavat varmenteet, tietokone voidaan määrittää liitämispalvelimeksi. Voit liittää tietokoneen uuteen liitämispalvelinklusteriin tekemällä seuraavat toimet.

Tietokone liitetään klusteriin käyttämällä AD FS 2.0:n ohjattua liittämispalvelimen määritystoimintoa. Jos tietokone liitetään ohjatun toiminnon avulla olemassa olevaan klusteriin, tietokoneen määritykseen käytetään vain luku -muotoista kopiota AD FS 2.0:n määritystietokannasta. Tietokoneen on saatava päivityksiä ensijaiselta liittämispalvelimelta.

1. Kun AD FS 2.0 -ohjelmisto on asennettu, avaa AD FS 2.0 -hallintalaajennus napsauttamalla Käynnistä-painiketta ja valitsemalla Valvontatyökalut > AD FS 2.0 Management.

2. Valitse Overview-sivulla tai Actions-ruudussa AD FS 2.0 Federation Server Configuration Wizard.

3. TarkistaWelcome-sivulla että Add a federation server to an existing Federation Service on valittuna ja valitse sitten Next.

4. Jos valitsemasi AD FS 2.0 -tietokanta on jo olemassa, Existing AD FS Configuration Database Detected -sivu aukeaa. Valitse tällöin Delete database ja valitse sitten Next.

   Vaara:
   Valitse tämä vaihtoehto vain, jos olet varma, että kyseisessä AD FS 2.0 -tietokannassa olevat tiedot eivät ole tärkeitä ja ettei niitä käytetä tuotantokäytössä olevassa liittämispalvelinklusterissa.

5. Kirjoita Specify the Primary Federation Server and Service Account -sivun Primary federation server name -kohtaan klusterin ensijaisena liittämispalvelimena toimivan tietokoneen nimi. Valitse sitten Browse. Paikallista Browse-valintaikkunasta toimialuetili, jota käytetään palvelutilinä nykyisen liittämispalvelinklusterin kaikissa muissa liittämispalvelimissa, ja valitse sitten OK. Kirjoita salasana ja vahvista se. Valitse sitten Next.

   Huomautus:
   Lisätietoja aiemmin tässä artikkelissa luodusta palvelutilistä on ohjeartikkelissa Erillisen palvelutilin luominen liittämispalvelinklusteria varten.

6. Tarkista Ready to Apply Settings -sivulla näkyvät tiedot. Jos tiedot vaikuttavat olevan oikein, sloita AD FS 2.0:n määrittäminen näillä asetuksilla valitsemalla Next.

7. Tarkista tulokset Configuration Results -sivulta. Kun kaikki määritysvaiheet on suoritettu loppuun, poistu ohjatusta toiminnosta valitsemalla Close.

Noudattamalla seuraavia ohjeita voit tarkistaa liittämispalvelimen toimivan oikein, eli että mikä tahansa samassa verkossa oleva asiakastietokone saa muodostettua yhteyden uuteen liittämispalvelimeen.

1. Kirjaudu liittämispalvelimen kanssa samassa toimialuepuuryhmässä sijaitsevaan asiakastietokoneeseen.

2. Avaa selainikkuna. Kirjoita osoiteriville liittämispalvelimen DNS-isäntänimi ja lisää osoitteen loppuun uutta liittämispalvelinta tarkoittava /FederationMetadata/2007-06/FederationMetadata.xml.€ Esimerkki:

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Paina ENTER-näppäintä ja suorita sitten seuraava vaihe liittämispalvelintietokoneessa. Jos näyttöön tulee ilmoitus Tämän verkkosivuston suojausvarmenteessa on ongelma, valitse Jatka tähän verkkosivustoon.

   Vaiheen lopputuloksena XML-muotoisen palvelun kuvaustiedoston tulisi tulla näyttöön. Jos sivu tulee näyttöön, liittämispalvelimen IIS toimii ja lähettää sivuja oikein.

1. Kirjaudu uuteen liittämispalvelimeen järjestelmänvalvojana.

2. Napsauta Käynnistä-painiketta, valitse Valvontatyökalut ja valitse sitten Tapahtumienvalvonta.

3. Kaksoisnapsauta tietoruudussa Sovellukset ja palvelut -lokit, kaksoisnapsauta AD FS 2.0 -tapahtumat ja valitse sitten Hallinta.

4. Etsi Tapahtuman tunnus -sarakkeesta tapahtuman tunnusta 100. Jos liittämispalvelin on määritetty oikein, Tapahtumienvalvonnan Sovellus-lokissa näkyy uusi tapahtuma tunnuksella 100. Tämä tapahtuma vahvistaa liittämispalvelimen muodostaneen onnistuneesti yhteyden liittoutumispalveluun.

Suorita seuraavat vaiheet

Jotta liittämispalvelimen välityspalvelin toimisi edustaverkossa odotetulla tavalla, sinun on lisättävä kaikkien liittämispalvelinten välityspalvelinten hosts-tiedostoon tietue, joka osoittaa yritysverkon NLB-klusterin isännöimään klusteri-DNS-nimeen ja IP-osoitteeseen (esimerkiksi 172.16.1.3). Kun lisäät tämän tietueen hosts-tiedostoon, liittämispalvelimen välityspalvelin pystyy reitittämään asiakkaan käynnistämän kutsun liittämispalvelimeen edustaverkon sisällä tai ulkopuolella.

1. Siirry selaamalla %systemroot%\Winnt\System32\Drivers-kansioon ja paikallista hosts-tiedosto.

2. Käynnistä Muistio ja avaa sitten hosts-tiedosto.

3. Lisää hosts-tiedostoon liittämispalvelimen IP-osoite ja isäntänimi seuraavan esimerkin mukaisesti:

   172.16.1.3             fs.fabrikam.com

4. Tallenna ja sulje tiedosto.

Tärkeää:
Jos yritysverkossa olevan NLB-isännän klusteri-IP-osoite muuttuu, sinun on päivitettävä kunkin liittymispalvelimen välityspalvelimen local hosts (paikalliset isännät) -tiedosto.

Voidakseen käsitellä edustaverkon sisä- tai ulkopuolella sijaitsevilta asiakkailta tulevia todennuspyyntöjä AD FS 2.0 edellyttää, että organisaation aluetta (esimerkiksi fabrikam.com) isännöiviin ulkoisesti suunnattuihin DNS-palvelimiin määritetään nimenselvitys.

Voit tehdä tämän määrittämällä vain edustaverkkoa palvelevaan ulkoisesti suunnattuun DNS-palvelimeen Host (A) -resurssitietueen, joka osoittaa klusteri-DNS-nimen (esimerkiksi fs.fabrikam.com) juuri määritettyyn ulkoisen klusterin IP-osoitteeseen.

1. Avaa DNS-laajennus edustaverkon DNS-palvelimessa. Napsauta Käynnistä-painiketta, valitse Valvontatyökalut ja valitse sitten DNS.

2. Napsauta konsolipuussa hiiren kakkospainikkeella soveltuvaa hakualuetta (esimerkiksi fabrikam.com) ja valitse sitten Uusi isäntä (A tai AAAA).

3. Kirjoita Name-kenttään vain edustaverkon NLB-isännässä määrittämäsi uusi klusteri-DNS-nimi (tämän DNS-nimen tulee vastata liittoutumispalvelun DNS-nimeä). Esimerkiksi FQDN-nimeä fs.fabrikam.com varten kirjoittaisit fs.

4. Kirjoita IP-osoite-kenttään edustaverkon NLB-isännässä määrittämäsi uuden liittämispalvelinklusterin IP-osoite, esimerkiksi 192.0.2.3.

5. Valitse Lisää isäntä.

Kun olet saanut jonkin yritysverkossa sijaitsevan liittämispalvelimen käyttämän palvelimen todennusvarmenteen, asenna kyseinen palvelimen todennusvarmenne manuaalisesti kaikkiin organisaatiosi liittämispalvelinten välityspalvelinten oletussivustoihin.

Koska AD FS 2.0:n ja Office 365 -palveluiden asiakkaiden on luotettava tähän varmenteeseen, käytä SSL-varmennetta, jonka on myöntänyt julkinen (kolmannen osapuolen) tai julkisesti luotetun juuren alaisuudessa toimiva varmenteen myöntäjä, esimerkiksi VeriSign tai Thawte. Lisätietoja julkisen varmenteen myöntäjän myöntämän varmenteen asentamisesta on ohjeartikkelissa IIS 7.0: Internet-palvelinvarmenteen pyytäminen.

Huomautus:
Palvelimen todennusvarmenteen aihenimen on oltava yhteneväinen NLB-isännässä aiemmin luomasi klusteri-DNS-nimen FQDN-nimen (esimerkiksi fs.fabrikam.com) kanssa. IIS-palvelu on oltava asennettuna ennen tämän tehtävän suorittamista. Asennettaessa IIS-palvelua ensimmäisen kerran on suositeltavaa hyväksyä palvelinroolin asennusvaiheen tarjoamat oletusominaisuudet.

1. Valitse Käynnistä-valikossa Kaikki ohjelmat, valitse Valvontatyökalut ja valitse sitten Internet Information Services (IIS) Manager.

2. Valitse konsolipuussa TietokoneenNimi.

3. Kaksoisnapsauta keskimmäisessä ruudussa Palvelinvarmenteet.

4. Valitse Toiminnot-ruudussa Tuo.

5. Valitse Tuo varmenne -valintaikkunassa … .

6. Siirry selaamalla pfx-varmennetiedoston sijaintiin. Korosta tiedosto ja valitse sitten Avaa.

7. Kirjoita varmenteen salasana ja valitse sitten OK.

AD FS 2.0:n on oltava asennettu tietokoneeseen, jota valmistelet liittämispalvelimen rooliin. Voit asentaa ohjelmiston käyttämällä AD FS 2.0:n ohjattua asennustoimintoa tai komentoriviparametriä. Lisätietoja komentoriviparametrista on ohjeartikkelissa AD FS 2.0:n käyttöönotto-opas.

Viimeistele asennus asentamalla kaikki vaaditut hotfix-korjaukset kuhunkin liittämispalvelimen välityspalvelimeen. Noudata tämän osion viimeisen vaiheen ohjeita.

1. Lataa käyttämäsi käyttöjärjestelmäversion (joko Windows Server 2008 tai Windows Server 2008 R2) AD FS 2.0 -ohjelmistopaketti tallentamalla AdfsSetup.exe-asennustiedosto tietokoneeseen. Lataa tiedosto siirtymällä sivulle Active Directory Federation Services 2.0 RTW.

2. Paikallista tietokoneeseen lataamasi AdfsSetup.exe-asennustiedosto ja kaksoisnapsauta sitä.

3. Valitse Welcome to the AD FS 2.0 Setup Wizard -sivulla Next.

4. Lue Käyttöoikeussopimus-sivulla olevat käyttöehdot.

5. Jos hyväksyt ehdot, valitse I accept the terms in the License Agreement ja valitse sitten Next.

6. Valitse Server Role -sivulla Federation server proxy ja valitse sitten Next.

7. Tarkista, että Completed the AD FS 2.0 Setup Wizard -sivun Start the AD FS 2.0 Federation Server Proxy Configuration Wizard when this wizard closes -valintaruutu on valittuna, ja käynnistä sitten tietokone uudelleen valitsemalla Finish.

   Tärkeää:
   Joissain tilanteissa AD FS 2.0 -asennus voi edellyttää tietokoneen käynnistämistä uudelleen (esimerkiksi, jos on asennettu toisistaan riippuvaisia hotfix-korjauksia). Valitse tällöin Ohjattu AD FS 2.0:n asennus on suoritettu loppuun -sivun Käynnistä uudelleen nyt -valintaruutu ja käynnistä sitten tietokone uudelleen valitsemalla Valmis.

8. Asenna kaikki Active Directory Federation Services (AD FS) 2.0 Update Rollup 2 -koostepäivityksen kuvauksessa määritetyt hotfix-korjaukset.

Kun tietokoneeseen on määritetty tarvittavat varmenteet ja AD FS 2.0 -ohjelmisto on asennettu, tietokone voidaan määrittää liitämispalvelimen välityspalvelimeksi. Voit määrittää tietokoneen toimimaan liitämispalvelimen välityspalvelimena tekemällä seuraavat toimet.

Tärkeää:

Ennen kuin määrität liittämispalvelimen välityspalvelimen tämän ohjeen mukaan, varmista, että olet suorittanut kaikki tarkistusluetteloissa luetellut vaiheet siinä järjestyksessä, jossa ne on lueteltu ohjeartikkelissa Liittämispalvelinklusterin käyttöönotto. Varmista, että vähintään yksi liittämispalvelin on otettu käyttöön ja että kaikki liittämispalvelimen välityspalvelimen valtuuttamiseen tarvittavat tunnistetiedot on otettu käyttöön. Myös oletusverkkosivuston SSL (Secure Sockets Layer) -sidonnat on määritettävä, tai tämä ohjattu toiminto ei käynnisty. Kaikki nämä tehtävät on suoritettava loppuun, jotta liittämispalvelimen välityspalvelin toimii oikein.

1. AD FS 2.0:n ohjatun asennustoiminnon Completed the AD FS 2.0 Setup Wizard -sivulla on oletusarvoisesti valittuna Start the AD FS 2.0 Federation Server Proxy Configuration Wizard when this wizard closes -valintaruutu. Käynnistä ohjattu toiminto ja valitse sen Welcome-sivulla Next.

2. Kirjoita Specify Federation Service Name -sivunFederation Service name -kohtaan sen liittoutumispalvelun nimi, jonka välityspalvelimena tämä tietokone tulee toimimaan (esimerkiksi fs.fabrikam.com).

3. Selvitä käytössäsi olevan verkon vaatimusten perusteella, tarvitsetko HTTP-välityspalvelinta pyyntöjen välittämiseksi liittoutumispalveluun. Jos HTTP-palvelin tarvitaan, valitse Use an HTTP proxy server when sending requests to this Federation Service -valintaruutu ja kirjoita välityspalvelimen osoite HTTP proxy server address -kenttään. Tarkista yhteyden toimivuus valitsemalla Test Connection ja valitse sitten Next.

4. Anna pyydettäessä tiedot, jotka tarvitaan luottamuksen luomiseksi tämän liittämispalvelimen välityspalvelimen ja liittoutumispalvelun välille.

   Oletusarvoisesti vain liittoutumispalvelun tai paikallisen BUILTIN\Administrators-järjestelmänvalvojaryhmän jäsenen käyttämä palvelutili voi todentaa liittämispalvelimen välityspalvelimen.

5. Tarkista Ready to Apply Settings -sivulla näkyvät tiedot. Jos tiedot vaikuttavat olevan oikein, aloita tietokoneen määrittäminen näillä välityspalvelinasetuksilla valitsemalla Next.

6. Tarkista tulokset Configuration Results -sivulta. Kun kaikki määritysvaiheet on suoritettu loppuun, poistu ohjatusta toiminnosta valitsemalla Close.

Kun olet suorittanut tietokoneen määritykset loppuun, tarkista liittämispalvelun välityspalvelimen toimivan oikein.

Voit tarkistaa liittämispalvelimen välityspalvelimen pystyvän viestimään AD FS 2.0:n liittoutumispalvelun kanssa noudattamalla seuraavia ohjeita. Tee nämä toimet määritettyäsi ohjatun AD FS 2.0 Federation Server Proxy Configuration Wizard -määritystoiminnon avulla tietokoneen toimimaan liittämispalvelimen välityspalvelimen roolissa. Lisätietoja tämän ohjatun toiminnon suorittamisesta on ohjeartikkelissa Tietokoneen määrittäminen liittämispalvelimen välityspalvelimen rooliin.

Huomautus:
Tämän testin tuloksena liittämispalvelimen välityspalvelintietokoneen Tapahtumienvalvonnassa näkyy tietty tapahtuma.

1. Kirjaudu liittämispalvelimen välityspalvelimeen järjestelmänvalvojana.

2. Napsauta Käynnistä-painiketta, valitse Valvontatyökalut ja valitse sitten Tapahtumienvalvonta.

3. Kaksoisnapsauta tietoruudussa Sovellukset ja palvelut -lokit, kaksoisnapsauta AD FS 2.0 -tapahtumat ja valitse sitten Hallinta.

4. Etsi Tapahtuman tunnus -sarakkeesta tapahtuman tunnusta 198.

   Jos liittämispalvelimen välityspalvelin on määritetty oikein, Tapahtumienvalvonnan Sovellus-lokissa näkyy uusi tapahtuma tunnuksella 198. Tämä tapahtuma vahvistaa, että liittämispalvelimen välityspalvelin käynnistyi onnistuneesti ja on nyt online-tilassa.

Suorita seuraavat vaiheet

Yleistietoja, arvioita ja edistyneitä vianmääritystietoja AD FS 2.0:sta saat seuraamalla seuraavia linkkejä:

• AD FS 2.0 -ohje
  
• AD FS 2.0:n vaiheittaiset ohjeet ja käyttöohjeet
  
• AD FS 2.0:n vianmääritysopas
  

Jos suunnittelet ottavasi käyttöön monimutkaisempaa AD FS 2.0 -infrastruktuuria kuin mitä tässä artikkelissa on esitetty, sinun voi olla hyvä tutustua edistyneempää suunnittelua ja käyttöönottoa koskeviin tietoihin seuraamalla seuraavia linkkejä.

• AD FS 2.0:n suunnitteluopas
  
• AD FS 2.0:n käyttöönotto-opas
  
• Active Directory Federation Services (AD FS) 2.0 Update Rollup 2 -koostepäivityksen kuvaus
  
• AD FS 2.0 -palvelimen kapasiteettisuunnittelu
  
• AD FS 2.0:n lisäasetuksien määrittäminen
  

Suorita seuraavat vaiheet