Planlegg og distribuer AD FS 2.0 for bruk med enkel pålogging

Standardtopologi for Office 365 er en forbundsserverfarm for AD FS 2.0 som består av flere servere som er vert for organisasjonens forbundstjeneste. I denne topologien bruker AD FS 2.0 WID som AD FS 2.0-konfigurasjonsdatabase for alle forbundsservere som er med i farmen. Farmen replikerer og vedlikeholder forbundstjenestedataene i konfigurasjonsdatabasen på tvers av alle serverne i farmen.

Når den første forbundsserveren blir opprettet i farmen, opprettes også en ny forbundstjeneste. Når WID brukes som AD FS 2.0-konfigurasjonsdatabase, blir den første forbundsserveren som ble opprettet i farmen, referert til som primærserver for forbund. Dette betyr at denne datamaskinen konfigureres med lese-/skrivekopi av AD FS 2.0-konfigurasjonsdatabasen.

Alle andre forbundsservere som konfigureres for farmen, blir referert til som sekundærservere for forbund, siden de må replikere alle endringer som gjøres på primærserveren for forbund, til skrivebeskyttede kopier av AD FS 2.0-konfigurasjonsdatabasen som de lagrer lokalt.

Obs!
Vi anbefaler bruk av minst to forbundsservere i en belastningsfordelt konfigurasjon.

Konfigurasjon av denne grunnleggende topologien for forbundsserverfarmen er den første fasen i AD FS 2.0-distribusjonen. Den andre fasen består av å avgjøre hvordan du gir tilgangskontrollfunksjoner for eksterne brukere ved å distribuere proxyer for forbundsserver.

Fase 1: Distribuere forbundsserverfarmen

---

Når du er klar til begynne distribusjonen av farmen, bør du planlegge å plassere alle forbundsserverne i firmanettverket bak en vert for nettverksbelastningsfordeling (NLB) som kan konfigureres for en NLB-klynge med et dedikert DNS-navn og IP-adresse for klyngen.

Viktig!
DNS-navnet for klyngen må samsvare med navnet på forbundstjenesten (for eksempel fs.fabrikam.com), og det må kunne rutes på Internett for forekomsten av AD FS 2.0 som du distribuerer. Hvis navnet ikke samsvarer, blir ikke godkjenningsforespørselen rutet til den riktige DNS-serveren eller forbundsserveren.

NLB-verten kan bruke innstillingene som er angitt i denne NLB-klyngen til å tildele klientforespørsler til hver enkelt forbundsserver. Diagrammet nedenfor viser hvordan Fabrikam, Inc. kan konfigurere den første fasen av distribusjonen ved hjelp av en forbundsserverfarm med to datamaskiner (fs1 og fs2) med WID og plassering av en DNS-server og en enkelt NLB-vert koblet til firmanettverket.

Obs!
Hvis det oppstår en feil i denne ene NLB-verten, får ikke brukerne tilgang til Office 365-tjenestene. Legg til flere NLB-verter hvis forretningskravene ikke tillater at du har ett enkelt feilpunkt.

Fase 2: Distribuere proxyer for forbundsserver

---

Vanligvis brukes proxyer for forbundsserver til å omdirigere klientgodkjenningsforespørsler til forbundsserverfarmen som kommer fra utsiden av firmanettverket. For Office 365-bedriftskunder er det nødvendig å distribuere proxyer for forbundsserver for den eksisterende AD FS 2.0-infrastrukturen, for å gjøre følgende brukerscenarioer mulig:

• Datamaskin på jobb, roaming: Brukere som er logget på domenetilknyttede datamaskiner med firmalegitimasjonen, men som ikke er koblet til firmanettverket (for eksempel en jobbdatamaskin hjemme eller på et hotell), får tilgang til tjenestene i Office 365.
  
• Hjemmedatamaskin eller offentlig datamaskin: Når brukeren bruker en datamaskin som ikke er del av firmadomenet, må brukeren logge på med firmalegitimasjonen for å få tilgang til tjenestene i Office 365.
  
• Smarttelefon: Hvis du vil ha tilgang til tjenestene i Office 365 fra en smarttelefon, for eksempel Microsoft Exchange Online, ved hjelp av Microsoft Exchange ActiveSync, må brukeren logge på med firmalegitimasjonen.
  
• Microsoft Outlook eller andre e-postklienter: Brukeren må logge på med firmalegitimasjonen for å få tilgang til e-posten i Office 365 hvis de bruker Outlook eller en e-postklient som ikke er en del av Office, for eksempel en IMAP- eller POP-klient.
  

For å støtte disse brukerscenarioene, må denne andre fasen bygge på fase 1 av distribusjonen som diskutert tidligere, ved å legge til to proxyer for forbundsserver. Dette vil gi tilgang til en DNS-server og en sekundær NLB-vert i perimeternettverket.

Den sekundære NLB-verten må konfigureres med en NLB-klynge som bruker en klynge-IP-adresse som er tilgjengelig fra Internett, og den må bruke samme DNS-navneinnstilling for klynge som den forrige NLB-klyngen du konfigurerte i firmanettverket i fase 1 (fs.fabrikam.com). Proxyene for forbundsserver konfigureres også med IP-adresser som er tilgjengelige fra Internett.

Diagrammet nedenfor viser eksisterende fase 1-distribusjon og hvordan Fabrikam, Inc. kan gi tilgang til en perimeter-DNS-server, tillegging av en sekundær NLB-vert med samme DNS-navn for klynge (fs.fabrikam.com) og tillegging av to proxyer for forbundsserver (fsp1 og fsp2) i perimeternettverket.

Obs!

Du kan bruke løsninger for omvendte HTTP-proxyer fra tredjeparter til å publisere AD FS 2.0 på ekstranettet. Hvis du vil ha mer informasjon om hvordan du gjør dette, kan du se Konfigurere avanserte alternativer for AD FS 2.0. All AD FS 2.0-kommunikasjon som går gjennom brannmuren, er basert på HTTPS. Du kan opprette egendefinerte kravregler i AD FS 2.0 som vil begrense brukernes tilgang til Office 365-tjenester basert på den fysiske plasseringen til klientdatamaskinen eller klientenheten, som brukeren ber om tilgang fra. Hvis du vil ha mer informasjon om hvordan du oppretter reglene, kan du se Begrense tilgang til Office 365-tjenester basert på klientplassering.

Dette er et avansert topologialternativ for AD FS 2.0-distribusjon som bruker proxyer for forbundsserver og en SQL Server-konfigurasjon for å gjøre det mulig for alle serverne i farmen å lese fra og skrive til en felles SQL Server-database. Bruk av en SQL Server-database som AD FS 2.0-konfigurasjonsdatabase gir følgende fordeler i forhold til WID:

• Funksjoner med høy tilgjengelighet på SQL Server som administratorer kan bruke.
  
• Flere ytelsesforbedringer, inkludert mulighet for å oppskalere ved bruk av mer enn fem forbundsservere (WID er begrenset til fem forbundsservere per farm).
  
• Geografisk belastningsfordeling for å bidra ved økning av høy trafikk basert på plassering.
  

Obs!
Siden denne topologien er et avansert alternativ for AD FS 2.0-distribusjon, inneholder ikke denne artikkelen informasjon om hvordan topologien fungerer og hvordan den distribueres.

Hvis du vil ha mer informasjon om dette topologialternativet, kan du se Konfigurere avanserte alternativer for AD FS 2.0.

Du kan bruke tabellen nedenfor som hjelp til å beregne minimum antall AD FS 2.0-forbundsservere og proxyer for forbundsserver som du må ha i en forbundsserverfarm konfigurert med WID i firmanettverksstrukturen, basert på antall brukere som skal ha tilgang med enkel pålogging, inkludert ekstern tilgang, til Office 365.

Obs!
Alle datamaskiner som skal konfigureres for rollen som forbundsserver eller proxy for forbundsserver, må kjøre operativsystemet Windows Server 2008 eller Windows Server 2008 R2.

Vi anbefaler at du bruker én forbundsserver for å sikre redundans. Tabellen nedenfor følger denne anbefalingen.

Antall brukere med tilgang til Office 365	Minimum antall servere som må distribueres	Anbefaling og fremgangsmåter
Færre enn 1 000 brukere	0 dedikerte forbundsservere 0 dedikerte proxyer for forbundsservere 1 dedikert NLB-server	Bruk to eksisterende Active Directory-domenekontrollere (DCer) som forbundsservere, og konfigurer begge for rollen som forbundsserver. Du gjør dette ved først å velge to eksisterende DCer og deretter: Installere AD FS 2.0 på begge domenekontrollerne. Konfigurere én av dem som den første forbundsserveren i en ny farm. Legge til den andre i forbundsserverfarmen. Konfigurere en eksisterende NLB-vert for nettverksbelastningsfordeling, eller opprette en dedikert server, og deretter installere NLB-serverrollen på den og konfigure NLB-serveren. Bruk to eksisterende web- eller proxy-servere som proxyer for forbundsserver, og konfigurer begge for rollen som proxy for forbundsserver. Du gjør dette ved å velge to eksisterende web- eller proxy-servere som finnes i ekstranettet, og deretter: Installere AD FS 2.0 på begge serverne. Konfigurere dem for rolle som proxy for forbundsserver. Installere NLB-serverrollen på én av proxyene for forbundsserver eller konfigurere en eksisterende NLB-vert. Obs! Hvis du ikke har to eksisterende DCer og to web- eller proxy-servere, eller de ikke kjører Windows Server 2008 eller Windows Server 2008 R2, må du i stedet distribuere dedikerte servere, som beskrevet i den neste raden i tabellen.
1 000 til 15 000 brukere	2 dedikerte forbundsservere 2 dedikerte proxyer for forbundsservere	Bruk to dedikerte servere som forbundsservere, og deretter: Installer AD FS 2.0 på begge serverne. Konfigurer én av dem som den første forbundsserveren i en ny farm. Legg til den andre i farmen. Installer NLB-serverrollen på én av forbundsserverne, eller konfigurer en eksisterende NLB-vert. Bruk to dedikerte servere som forbundsservere som du kan plassere i ekstranettet: Installer AD FS 2.0 på begge serverne. Konfigurer dem for rollen som proxy for forbundsserver. Installer NLB-serverrollen på én av proxyene for forbundsserver, eller konfigurer en eksisterende NLB-vert.
15 000 til 60 000 brukere	Mellom 3 og 5 dedikerte forbundsservere Minst 2 dedikerte proxyer for forbundsservere	Hver av de dedikerte forbundsserverne kan støtte ca. 15 000 brukere. Legg derfor til en ekstra dedikert forbundsserver i tillegg til distribusjonen av de to forbundsserverne som beskrevet tidligere, for hver 15 000 bruker som krever tilgang til Office 365, opptil maksimum fem forbundsservere i farmen, eller 60 000 brukere. Obs! En AD FS 2.0-forbundsserverfarm konfigurert til å bruke WID støtter maksimum fem forbundsservere. Hvis du trenger flere enn fem forbundsservere, må du konfigurere en SQL Server-database for lagring av AD FS 2.0-konfigurasjonsdatabasen. Hvis du vil ha mer informasjon om dette alternativet, kan du se Konfigurere avanserte alternativer for AD FS 2.0.

Anbefalingene for minimum antall brukere per server i den forrige tabellen er beregnet basert på følgende maskinvare:

Når to eller flere Dual Quad Core-servere er konfigurert i en farm ved hjelp av NLB-teknologi, kan de fungere uavhengig for å behandle belastningen fra innkommende brukerforespørsler til AD FS 2.0-forbundstjeneste, uten at den samlede ytelsen reduseres for tjenesten som helhet. Det er derfor litt ekstra ressurser involvert med tillegging av flere forbundsservere i det eksisterende produksjonsmiljøet når du har strategisk distribuert de første forbundsserverne i nettverket.

Fullfør disse trinnene

AD FS 2.0-programvaren må installeres på alle datamaskiner som du klargjør for rollen som forbundsserver eller proxy for forbundsserver. Du kan installere programvaren ved hjelp av installasjonsveiviseren for AD FS 2.0 eller ved å utføre en stille installasjon ved hjelp av adfssetup.exe /quiet-parameteren på en kommandolinje.

AD FS 2.0 krever operativsystemet Windows Server 2008 eller Windows Server 2008 R2 som basisinstallasjonsplattform. AD FS 2.0 har en separat installasjonspakke for hver av operativsystemplattformene.

Sertifikater spiller den mest kritiske rollen i sikker kommunikasjon mellom forbundsservere, proxyer for forbundsservere, Office 365 og webklienter. Kravene til sertifikater varierer avhengig av om du konfigurerer en datamaskin for forbundsserver eller proxy for forbundsserver, som beskrevet i tabellen nedenfor.

Sertifikater for forbundsserver

---

Forbundsservere krever sertifikatene i tabellen nedenfor.

 

Sertifikattype	Beskrivelse	Det du trenger før distribusjon
SSL-sertifikat (kalles også sertifikatet for servergodkjenning)	Dette er et standard SSL-sertifikat (Secure Sockets Layer) som brukes til å sikre kommunikasjonen mellom datamaskiner som er forbundsservere, klienter og proxyer for forbundsservere.	AD FS 2.0 krever et SSL-sertifikat ved konfigurasjon av innstillinger for forbundsserver. AD FS 2.0 bruker som standard SSL-sertifikatet som konfigureres for standard webområde i IIS (Internet Information Services). Emnenavnet i dette SSL-sertifikatet brukes til å fastslå navnet for forbundstjenesten for hver forekomst av AD FS 2.0 som du distribuerer. Du bør derfor vurdere å velge et emnenavn på eventuelle nye CA-sertifikater (certification authority) som utstedes, som best representerer navnet på firmaet eller organisasjonen for Office 365, og dette navnet må kunne rutes via Internett. I diagrammet tidligere i denne artikkelen (se fase 2) ville for eksempel emnenavnet på sertifikatet være fs.fabrikam.com. Viktig! AD FS 2.0 krever at dette SSL-sertifikatet har et emnenavn med punktum. Obligatorisk: Siden dette sertifikatet må være klarert av klienter for AD FS 2.0 og Office 365 må du bruke et SSL-sertifikat som er utstedet av en offentlig CA (tredjepart), eller av en offentlig sertifiseringsinstans (CA) eller en sertifiseringsinstans som er underlagt en offentlig klarert rot, for eksempel VeriSign eller Thawte.
Sertifikat for tokensignering	Dette er et standard X.509-sertifikat som brukes for sikker signering av alle tokener som forbundsserveren utsteder, og som Office 365 vil godta og validere.	Sertifikatet for tokensignering må inneholde en privat nøkkel, og det må inneholde en kjede til en klarert rot i forbundstjenesten. AD FS 2.0 oppretter som standard et egensignert sertifikat. Avhengig av organisasjonens behov kan du imidlertid endre dette senere til et sertifikat som utstedes av en sertifiseringsinstans (CA) ved hjelp av snapin-modulen for AD FS 2.0-administrasjon. Anbefaling: Bruk det egensignerte sertifikatet for tokensignering som er generert av AD FS 2.0. Når du gjør dette, vil AD FS 2.0 administrere dette sertifikatet for deg som standard. Hvis for eksempel dette sertifikatet utløper, vil AD FS 2.0 generere et nytt egensignert sertifikat du kan bruke, før det utløper.

Forsiktig:

Sertifikatet for tokensignering er viktig for stabiliteten til forbundstjenesten. Hvis det endres, må Office 365 varsles om endringen. Hvis ikke vil forespørsler til Office 365-tjenestene mislykkes. Derfor anbefales det at du laster ned og konfigurerer automatisk installasjonsverktøy for Microsoft Office 365 Federation Metadata Update, som automatisk vil overvåke og oppdatere federation-metadata for Office 365 jevnlig. Eventuelle endringer som er gjort i token-signeringssertifikat i AD FS 2.0 Federation Service replikeres til Office 365 automatisk. For generell informasjon om sertifikathåndtering på tvers av AD FS 2.0 federation-serverfarm og Office 365, se Oppdatere klareringsegenskaper.

Riktig konfigurasjon av følgende nettverkstjenester er viktig for vellykket distribusjon av AD FS 2.0 i organisasjonen.

Hvis AD FS 2.0 skal fungere, må hver enkelt datamaskin som skal fungere som forbundsserver, legges til i et domene. Proxyer for forbundsserver kan legges til i et domene, men dette er ikke nødvendig.

1. På datamaskinen som du vil legge til i et domene, klikker du Start, Kontrollpanel, og deretter dobbeltklikker du System.

2. Klikk Endre innstillinger under Innstillinger for datamaskinnavn, domene og arbeidsgruppe.

3. Klikk Endre i kategorien Datamaskinnavn.

4. Klikk Domene under Medlem av, skriv inn domenet som datamaskinen skal bli med i, og klikk deretter OK.

5. Klikk OK, og start deretter datamaskinen på nytt

Hvis klienter på firmanettverket skal få tilgang til forbundstjenesten, må det først opprettes en vertsressurspost (A) i DNSen (Domain Name System) for firmaet som løser klynge-DNS-navnet for forbundstjenesten (for eksempel fs.fabrikam.com) til klynge-IP-adressen i firmanettverket (for eksempel 172.16.1.3). Du kan bruke prosedyren nedenfor for å legge til en vertsressurspost (A) i DNSen for firmaet for NLB-klyngen.

1. Åpne DNS-snapin-modulen på en DNS-server for firmanettverket.

2. I konsolltreet høyreklikker du riktig forward lookup zone (for eksempel fabrikam.com), og deretter klikker du New Host (A or AAAA).

3. I Name skriver du inn datamaskinnavnet for forbundsserveren eller forbundsserverklyngen. Hvis for eksempel det fullstendige domenenavnet (FQDN) er fs.fabrikam.com, skriver du inn fs.

4. I IP address skriver du inn IP-adressen for forbundsserveren eller forbundsserverklyngen, for eksempel 172.16.1.3.

5. Klikk Add Host.

   Viktig!
   Det antas at du bruker en DNS-server, kjører Windows 2000 Server, Windows Server 2003 eller Windows Server 2008 med DNS Server-tjenesten, for å styre DNS-sonen.

Når du har fått et sertifikat for servergodkjenning fra en sertifiseringsinstans (CA), må du installere sertifikatet manuelt på standard webområde på hver enkelt forbundsserver i farmen.

Siden dette sertifikatet må være klarert av klienter for AD FS 2.0 og Office 365, må du bruke et SSL-sertifikat som er utstedet av en offentlig CA (tredjepart), eller av en offentlig sertifiseringsinstans (CA) eller en sertifiseringsinstans som er underlagt en offentlig klarert rot, for eksempel VeriSign eller Thawte. Hvis du vil ha mer informasjon om hvordan du installerer et sertifikat fra en offentlig sertifiseringsinstans, kan du se IIS 7.0: Be om et Internett-serversertifikat.

Obs!

Emnenavnet for sertifikatet for servergodkjenning må samsvare med FQDN for klynge-DNS-navnet (for eksempel fs.fabrikam.com) som du opprettet tidligere på NLB-verten. Hvis Internet Information Services (IIS) ikke er installert, må du installere IIS først for å kunne fullføre denne oppgaven. Når du installerer IIS første gang, anbefaler vi at du bruker standard funksjonsalternativer under installasjonen av serverrollen.

1. Klikk Start, velg Alle programmer, velg Administrative verktøy, og klikk deretter IIS-behandling (Internet Information Services).

2. Klikk datamaskinnavnet i konsolltreet.

3. Dobbeltklikk Serversertifikater i midtre rute.

4. Klikk Importer i Handlinger-ruten.

5. Klikk knappen ... i dialogboksen Importer sertifikat.

6. Gå til plasseringen for PXF-sertifikatet, merk det, og klikk deretter Åpne.

7. Skriv inn et passord for sertifikatet, og klikk deretter OK.

Hvis du vil konfigurere et miljø for en forbundsserverfarm i AD FS 2.0, må du opprette og konfigurere en dedikert tjenestekonto i Active Directory der farmen skal være. Denne dedikerte tjenestekontoen er nødvendig for å sikre at alle ressurser som kreves av AD FS 2.0-farmen, får tilgang til hver enkelt av forbundsserverne i farmen.

Deretter konfigurerer du hver enkelt forbundsserver i farmen til å bruke samme tjenestekonto. Hvis for eksempel tjenestekontoen som ble opprettet, var fabrikam\ADFS2SVC, må du på hver enkelt datamaskin som du konfigurerer for rollen som forbundsserver, og som vil være i samme farm, angi fabrikam\ADFS2SVC på dette trinnet i konfigurasjonsveiviseren for forbundsserver for at farmen skal fungere.

Obs!
Du trenger bare utføre oppgavene i denne prosedyren én gang for hele forbundsserverfarmen. Når du senere oppretter en forbundsserver ved hjelp av konfigurasjonsveiviseren for AD FS 2.0-forbundsserver, må du angi samme konto på veivisersiden Service Account på hver enkelt forbundsserver i farmen.

1. Opprett en dedikert bruker-/tjenestekonto i Active Directory-skogen du skal bruke i organisasjonen.

2. Rediger egenskapene for brukerkontoen og merk av for Password never expires. Denne handlingen sikrer at tjenestekontofunksjonen ikke avbrytes fordi det kreves at domenepassordet må endres.

   Obs!
   Hvis du må endre passord for tjenestekontoen jevnlig, seKonfigurer avanserte alternativer for AD FS 2.0. Bruk av nettverkstjenestekontoen for denne dedikerte kontoen, vil føre til tilfeldige feil under tilgangsforsøk med integrert Windows-godkjenning. Årsaken til dette er at Kerberos-billetter ikke valideres fra én server til en annen.

AD FS 2.0-programvaren må installeres på alle datamaskiner som du klargjør for rollen som forbundsserver. Du kan installere programvaren ved hjelp av installasjonsveiviseren for AD FS 2.0 eller ved å bruke en kommandolinjeparameter. Hvis du vil ha mer informasjon om denne parameteren, kan du se Distribusjonsveiledning for AD FS 2.0.

Pass på at du fullfører installasjonsprosessen ved å installere alle nødvendige hurtigreparasjoner på hver enkelt forbundsserverdatamaskin, som angitt i det siste trinnet i denne prosedyren.

1. Last ned programvarepakken for AD FS 2.0 for din spesifikke operativsystemversjon (Windows Server 2008 eller Windows Server 2008 R2) ved å lagre installasjonsfilen AdfsSetup.exe på datamaskinen. Hvis du vil laste ned denne filen, kan du gå til Active Directory Federation Services 2.0 RTW.

2. Finn og dobbeltklikk installasjonsfilen AdfsSetup.exe, som du lastet ned til datamaskinen.

3. Klikk Next på siden Welcome to the AD FS 2.0 Setup Wizard.

4. Les lisensvilkårene på siden End-User License Agreement.

5. Hvis du godtar vilkårene, merker du av for I accept the terms in the License Agreement, og deretter klikker du Next.

6. Velg Federation server på Server Role-siden, og klikk deretter Next.

7. Klikk Finish på siden Completed the AD FS 2.0 Setup Wizard.

   Viktig!
   I noen situasjoner kan det hende at AD FS 2.0-installasjonen krever en omstart (for eksempel når avhengige hurtigreparasjoner har blitt installert).

8. Installer alle hurtigreparasjoner som beskrevet i Beskrivelse av samleoppdatering 2 for Active Directory Federation Services (AD FS) 2.0.

Du kan bruke følgende prosedyre til å konfigurere datamaskinen til å bli den første forbundsserveren i en ny forbundsserverfarm ved hjelp av konfigurasjonsveiviseren for AD FS 2.0-forbundsserver.

Minimumstilgangen som kreves for å fullføre denne prosedyren, er medlemskap i Domain Admins eller en delegert domenekonto som er gitt skrivetilgang til Program Data-beholderen i Active Directory.

1. Etter at installasjonen av programvaren for AD FS 2.0 er fullført, klikker du Start, Administrative verktøy, og deretter AD FS 2.0 Management for å åpne snapin-modulen for administrasjon av AD FS 2.0.

2. Klikk Veiviser for konfigurasjon av AD FS 2.0-forbundsserver på Oversikt-siden.

3. På Welcome-siden kontrollerer du at det er merket av for Create a new Federation Service, og deretter klikker du Next.

4. På siden Select Stand-Alone or Farm Deployment klikker du New federation server farm, og deretter klikker du Next.

5. På siden Specify the Federation Service Name kontrollerer du at SSL certificate som vises, samsvarer med navnet på sertifikatet som tidligere ble importert til standard webområde i IIS. Hvis dette ikke er riktig sertifikat, velger du riktig sertifikat fra SSL certificate-listen.

   Obs!
   Veiviseren tillater ikke at du overstyrer sertifikatet hvis det er konfigurert et SSL-sertifikat for IIS. Dette sikrer at en eventuell tilsiktet, tidligere IIS-konfigurasjon for SSL-sertifikater, beholdes. Hvis du vil omgå dette problemet, kan du gå tilbake og importere sertifikatet på nytt til standard webområde for IIS.

6. Hvis du tidligere har installert AD FS på nytt på denne datamaskinen, vises siden Existing AD FS Configuration Database Detected. Hvis siden vises, klikker du Delete database, og deretter klikker du Next.

7. På siden Specify a Service Account klikker du Browse. I dialogboksen Browse finner du domenekontoen som skal brukes som tjenestekonto i den nye forbundsserverfarmen, og deretter klikker du OK. Skriv inn passordet for kontoen, bekreft det, og klikk deretter Next.

   Obs!
   Hvis du vil ha mer informasjon om tjenestekontoen som ble opprettet tidligere i denne artikkelen, kan du se Opprette en dedikert tjenestekonto for forbundsserverfarmen.

8. Se gjennom detaljene på siden Ready to Apply Settings. Hvis innstillingene ser riktige ut, klikker du Next for å begynne å konfigurere AD FS 2.0 med disse innstillingene.

9. Se gjennom detaljene på siden Configuration Results. Når alle konfigurasjonstrinnene er utført, klikker du Close for å avslutte veiviseren.

Obs!

Når du fullfører trinnene i denne prosedyren, åpnes snapin-modulen for AD FS 2.0-administrasjon automatisk, og meldingen Nødvendig konfigurasjonen er ikke fullført og Legg til en klarert avhengighetspartner vises. Du kan ignorere denne meldingen. Det blir lagt til en klarering for avhengighetspartner for Office 365 i et senere trinn. Hvis du vil ha mer informasjon, kan du se Installer Windows PowerShell for enkel pålogging. Når dette trinnet er fullført, forsvinner denne meldingen fra snapin-modulen for AD FS 2.0-administrasjon.

Når du har installert AD FS 2.0-programvaren og konfigurert de nødvendige sertifikatene på en datamaskin, er du klar til å konfigurere datamaskinen til å bli en forbundsserver. Du kan bruke prosedyren nedenfor for å legge til en datamaskin i en ny forbundsserverfarm.

Du legger til en datamaskin i en farm med konfigurasjonsveiviseren for AD FS 2.0-forbundsserver. Når du bruker denne veiviseren for å legge til en datamaskin i en eksisterende farm, konfigureres datamaskinen med en skrivebeskyttet kopi av AD FS 2.0-konfigurasjonsdatabasen, og den må motta oppdateringer fra en primærserver for forbund.

1. Etter at installasjonen av programvaren for AD FS 2.0 er fullført, klikker du Start, Administrative verktøy, og deretter AD FS 2.0 Management for å åpne snapin-modulen for administrasjon av AD FS 2.0.

2. Klikk Veiviser for konfigurasjon av AD FS 2.0-forbundsserver på Oversikt-siden eller i Handlinger-ruten.

3. På Welcome-siden kontrollerer du at det er merket av for Add a federation server to an existing Federation Service, og deretter klikker du Next.

4. Hvis AD FS 2.0-databasen du valgte, allerede finnes, vises siden Existing AD FS Configuration Database Detected. Hvis dette skjer, klikker du Delete database, og deretter klikker du Next.

   Forsiktig:
   Bare velg dette alternativet hvis du er sikker på at dataene i denne AD FS 2.0-databasen ikke er viktig eller at den ikke brukes i en forbundsserverfarm for produksjon.

5. På siden Specify the Primary Federation Server and Service Account under Primary federation server name skriver du inn datamaskinnavnet for primærserveren i farmen for forbund, og deretter klikker du Browse. I dialogboksen Browse finner du domenekontoen som skal brukes som tjenestekonto av alle forbundsservere i eksisterende forbundsserverfarm, og deretter klikker du OK. Skriv inn passordet, bekreft det, og klikk deretter Next.

   Obs!
   Hvis du vil ha mer informasjon om tjenestekontoen som ble opprettet tidligere i denne artikkelen, kan du se Opprette en dedikert tjenestekonto for forbundsserverfarmen.

6. Se gjennom detaljene på siden Ready to Apply Settings. Hvis innstillingene ser riktige ut, klikker du Next for å begynne å konfigurere AD FS 2.0 med disse innstillingene.

7. Se gjennom detaljene på siden Configuration Results. Når alle konfigurasjonstrinnene er utført, klikker du Close for å avslutte veiviseren.

Du kan bruke prosedyren nedenfor for å kontrollere om en forbundsserver fungerer. Dette betyr at alle klienter på samme nettverk kan nå en ny forbundsserver.

1. Logg på en klientdatamaskin som er plassert i samme skog som forbundsserveren.

2. Åpne et webleservindu. På adresselinjen skriver du inn DNS-vertsnavnet for forbundsserveren, og deretter legger du til /FederationMetadata/2007-06/FederationMetadata.xml for den nye forbundsserveren. Eksempel:

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Trykk ENTER, og fullfør deretter den neste prosedyren på forbundsserverdatamaskinen. Hvis meldingen Det er et problem med dette webområdets sikkerhetssertifikat vises, klikker du Fortsett til dette webområdet.

   Forventede utdata er visning av XML-kode med tjenestebeskrivelsesdokumentet. Hvis denne siden vises, fungerer IIS på forbundsserveren, og viser sider slik den skal.

1. Logg på den nye forbundsserveren som administrator.

2. Klikk Start, velg Administrative verktøy, og klikk deretter Hendelsesliste.

3. Dobbeltklikk Program- og tjenestelogger i detaljruten, dobbeltklikk AD FS 2.0 Eventing, og klikk deretter Administrator.

4. Se etter hendelses-ID 100 i Event ID-kolonnen. Hvis forbundsserveren er riktig konfigurert, vises en ny hendelse med hendelses-ID 100, i Application-loggen i Hendelsesliste. Denne hendelsen bekrefter at forbundsserveren kunne kommunisere med forbundstjenesten.

Fullfør disse trinnene

Hvis proxyen for forbundsserver skal fungere som den skal i perimeternettverket, må du legge til en oppføring i hosts-filen på hver enkelt datamaskin som er proxy for forbundsserver, som peker til klynge-DNS-navnet som er lagret på NLBen i firmanettverket (for eksempel fs.fabrikam.com) og IP-adressen (for eksempel 172.16.1.3). Når denne oppføringen legges til i hosts-filen, kan proxyen for forbundsserver rute et klientinnledet kall på riktig måte til en forbundsserver i eller utenfor perimeternettverket.

1. Gå til mappen %systemroot%\Winnt\System32\Drivers og finn hosts-filen.

2. Start Notisblokk, og åpne deretter hosts-filen.

3. Legg til IP-adressen og vertsnavnet for en forbundsserver i hosts-filen, som vist i følgende eksempel:

   172.16.1.3             fs.fabrikam.com

4. Lagre og lukk filen.

Viktig!
Hvis klynge-IP-adressen på NLB-verten i firmanettverket eventuelt endres, må du oppdatere den lokale hosts-filen på hver enkelt proxy for forbundsserver.

Hvis godkjenningsforespørsler fra klienter i eller utenfor perimeternettverket skal kunne behandles, krever AD FS 2.0 at navneoppløsning er konfigurert på DNS-servere som er synlige eksternt, som er vert for organisasjonens sone (for eksempel fabrikam.com).

Du gjør dette ved å legge til en Host (A)-ressurspost i DNS-serveren som er synlig eksternt, som bare betjener perimeternettverket, for klynge-DNS-navnet (for eksempel fs.fabrikam.com), slik at det peker til den eksterne klynge-IP-adressen som akkurat er konfigurert.

1. Åpne DNS-snapin-modulen på en DNS-server for perimeternettverket. Klikk Start, pek på Administrative verktøy, og klikk deretter DNS.

2. I konsolltreet høyreklikker du riktig forward lookup zone (for eksempel fabrikam.com), og deretter klikker du New Host (A or AAAA).

3. I Name skriver du bare inn navnet på klynge-DNS-navnet du angav på NLB-verten i perimeternettverket (dette skal være det samme DNS-navnet som navnet på forbundstjenesten). Eksempel: skriv inn fs for det fullstendig domenenavnet fs.fabrikam.com.

4. I IP address skriver du inn IP-adressen for den nye klynge-IP-adressen som du angav på NLB-verten i perimeternettverket. Eksempel: 192.0.2.3.

5. Klikk Add Host.

Når du har fått et sertifikat for servergodkjenning som brukes av en av forbundsserverne i firmanettverket, må du installere sertifikatet manuelt på standard webområde for hver enkelt proxy for forbundsserver i organisasjonen.

Siden dette sertifikatet må være klarert av klienter for AD FS 2.0 og Office 365, må du bruke et SSL-sertifikat som er utstedet av en offentlig CA (tredjepart), eller av en offentlig sertifiseringsinstans (CA) eller en sertifiseringsinstans som er underlagt en offentlig klarert rot, for eksempel VeriSign eller Thawte. Hvis du vil ha mer informasjon om hvordan du installerer et sertifikat fra en offentlig sertifiseringsinstans, kan du se IIS 7.0: Be om et Internett-serversertifikat.

Obs!

Emnenavnet for sertifikatet for servergodkjenning må samsvare med FQDN for klynge-DNS-navnet (for eksempel fs.fabrikam.com) som du opprettet tidligere på NLB-verten. Hvis Internet Information Services (IIS) ikke er installert, må du installere IIS først for å kunne fullføre denne oppgaven. Når du installerer IIS første gang, anbefaler vi at du bruker standard funksjonsalternativer under installasjonen av serverrollen.

1. Klikk Start, velg Alle programmer, velg Administrative verktøy, og klikk deretter IIS-behandling (Internet Information Services).

2. Klikk datamaskinnavnet i konsolltreet.

3. Dobbeltklikk Serversertifikater i midtre rute.

4. Klikk Importer i Handlinger-ruten.

5. Klikk knappen ... i dialogboksen Importer sertifikat.

6. Gå til plasseringen for PXF-sertifikatet, merk det, og klikk deretter Åpne.

7. Skriv inn et passord for sertifikatet, og klikk deretter OK.

AD FS 2.0-programvaren må installeres på alle datamaskiner som du klargjør for proxy-rollen som forbundsserver. Du kan installere programvaren ved hjelp av installasjonsveiviseren for AD FS 2.0 eller ved å bruke en kommandolinjeparameter. Hvis du vil ha mer informasjon om denne parameteren, kan du se Distribusjonsveiledning for AD FS 2.0.

Pass på at du fullfører installasjonsprosessen ved å installere alle nødvendige hurtigreparasjoner på hver enkelt datamaskin som er proxy for forbundsserver, som angitt i det siste trinnet i denne prosedyren.

1. Last ned programvarepakken for AD FS 2.0 for din spesifikke operativsystemversjon (Windows Server 2008 eller Windows Server 2008 R2) ved å lagre installasjonsfilen AdfsSetup.exe på datamaskinen. Hvis du vil laste ned denne filen, kan du gå til Active Directory Federation Services 2.0 RTW.

2. Finn og dobbeltklikk installasjonsfilen AdfsSetup.exe, som du lastet ned til datamaskinen.

3. Klikk Next på siden Welcome to the AD FS 2.0 Setup Wizard.

4. Les lisensvilkårene på siden End-User License Agreement.

5. Hvis du godtar vilkårene, merker du av for I accept the terms in the License Agreement, og deretter klikker du Next.

6. Velg Federation server proxy på Server Role-siden, og klikk deretter Next.

7. På siden Completed the AD FS 2.0 Setup Wizard kontrollerer du at det er merket av for Start the AD FS 2.0 Federation Server Proxy Configuration Wizard when this wizard closes, og deretter klikker du Finish for å starte datamaskinen på nytt.

   Viktig!
   I noen situasjoner kan det hende at AD FS 2.0-installasjonen krever en omstart (for eksempel når avhengige hurtigreparasjoner har blitt installert). Hvis dette er tilfellet, passer du på å merke av for Restart now på siden Completed the AD FS 2.0 Setup Wizard, og deretter klikker du Finish for å starte datamaskinen på nytt.

8. Installer alle hurtigreparasjoner som beskrevet i Beskrivelse av samleoppdatering 2 for Active Directory Federation Services (AD FS) 2.0.

Når du har konfigurert en datamaskin med de nødvendige sertifikatene, og har installert AD FS 2.0-programvaren, er du klar til å konfigurere datamaskinen som skal bli proxy for forbundsserver. Du kan bruke prosedyren nedenfor slik at datamaskinen fungerer i rollen som proxy for forbundsserver.

Viktig!

Før du bruker denne prosedyren til å konfigurer datamaskinen som proxy for forbundsserver, passer du på at du har fulgt alle trinnene i sjekklistene i Distribuere forbundsserverfarmen, i den viste rekkefølgen. Kontroller at minst én forbundsserver er distribuert og at alle nødvendige legitimasjoner for godkjenning av en konfigurasjon for proxy for forbundsserver, er implementert. Du må også konfigurere SSL-bindinger (Secure Sockets Layer) på standard webområde, hvis ikke vil ikke veiviseren starte. Alle disse oppgavene må fullføres før proxyen for forbundsserver kan fungere.

1. På siden Completed the AD FS 2.0 Setup Wizard i installasjonsveiviseren for AD FS 2.0, er det som standard merket av for Start the AD FS 2.0 Federation Server Proxy Configuration Wizard when this wizard closes. Start veiviseren, og klikk deretter Next på Welcome-siden.

2. Under Federation Service name på siden Specify Federation Service Name skriver du inn navnet som representerer forbundstjenesten som denne datamaskinen vil fungere i rolle som proxy (for eksempel fs.fabrikam.com).

3. Basert på dine bestemte nettverkskrav, avgjør du om du må bruke en HTTP-proxy-server for videresending av forespørsler til forbundstjenesten. Hvis dette er tilfellet, merker du av for Use an HTTP proxy server when sending requests to this Federation Service, skriver inn adressen til proxy-serveren under HTTP proxy server address, klikker Test Connection for å kontrollere tilkoblingen, og klikker deretter Next.

4. Når du blir bedt om det, angir du legitimasjonen som er nødvendig for å opprette klarering mellom denne proxyen for forbundsserver og forbundstjenesten.

   Bare tjenestekontoen som brukes av forbundstjenesten, eller et medlem av lokal BUILTIN\Administrators-gruppe kan som standard godkjenne en proxy for forbundsserver.

5. Se gjennom detaljene på siden Ready to Apply Settings. Hvis innstillingene ser riktige ut, klikker du Next for å begynne å konfigurere denne datamaskinen med disse proxy-innstillingene.

6. Se gjennom detaljene på siden Configuration Results. Når alle konfigurasjonstrinnene er utført, klikker du Close for å avslutte veiviseren.

Når du har fullført konfigurasjonen av datamaskinen, kontrollerer du at proxyen for forbundsserver fungerer som forventet.

Du kan bruke prosedyren nedenfor for å kontrollere at proxyen for forbundsserver kan kommunisere med forbundstjenesten i AD FS 2.0. Du kjører denne prosedyren når du har kjørt AD FS 2.0 Federation Server Proxy Configuration Wizard for å konfigurere datamaskinen til å kjøre i rollen som proxy for forbundsserver. Hvis du vil ha mer informasjon om hvordan du kjører veiviseren, kan du se Konfigurere en datamaskin for rolle som proxy for forbundsserver.

Obs!
Resultatet av denne testen er fullført generering av en bestemt hendelse i Hendelsesliste på datamaskinen som er proxy for forbundsserver.

1. Logg på proxyen for forbundsserver som administrator.

2. Klikk Start, velg Administrative verktøy, og klikk deretter Hendelsesliste.

3. Dobbeltklikk Program- og tjenestelogger i detaljruten, dobbeltklikk AD FS 2.0 Eventing, og klikk deretter Administrator.

4. Se etter hendelses-ID 198 i Event ID-kolonnen.

   Hvis proxyen for forbundsserver er riktig konfigurert, vises en ny hendelse med hendelses-ID 198, i Application-loggen i Hendelsesliste. Denne hendelsen bekrefter at tjenesten for proxy for forbundsserver ble startet og er tilgjengelig.

Fullfør disse trinnene

Bruk følgende gjeldende referansekoblinger for informasjon om generell oversikt, evaluering eller avansert feilsøking for AD FS 2.0:

• Hjelp for AD FS 2.0
  
• Trinnvise veiledninger og veiledninger for fremgangsmåte for AD FS 2.0
  
• Feilsøkingsveiledningen for AD FS 2.0
  

Hvis du vurderer å distribuere en mer kompleks AD FS 2.0-infrastruktur enn det som denne artikkelen omfatter, bør du vurdere å gå gjennom mer avansert planleggings- og distribusjonsinformasjon ved hjelp av referansekoblingene nedenfor.

• Utformingsveiledning for AD FS 2.0
  
• Distribusjonsveiledning for AD FS 2.0
  
• Beskrivelse av samleoppdatering 2 for Active Directory Federation Services (AD FS) 2.0
  
• Planlegging av AD FS 2.0-kapasitet
  
• Konfigurere avanserte alternativer for AD FS 2.0
  

Fullfør disse trinnene