Active Directory Federation Services 2.0 voor eenmalige aanmelding plannen en implementeren

De standaardtopologie voor Office 365 is een farm met federatieservers van AD FS 2.0 die verschillende servers bevat waarop de Federation-service van uw organisatie wordt gehost. In deze topologie gebruikt AD FS 2.0 WID als de AD FS 2.0-configuratiedatabase voor alle federatieservers die aan die farm worden toegevoegd. De farm repliceert en onderhoudt de gegevens van de Federation-service in de configuratiedatabase op elke server in de farm.

Als u de eerste federatieserver van een farm definieert, wordt er tegelijkertijd een nieuwe Federation-service aangemaakt. Als WID wordt gebruikt als de configuratiedatabase van AD FS 2.0, wordt de eerste federatieserver in de farm de primaire federatieserver genoemd. Dit houdt in dat deze computer wordt geconfigureerd met een exemplaar van de AD FS 2.0-configuratiedatabase dat ondersteuning biedt voor lezen en schrijven.

Alle andere federatieservers die worden geconfigureerd voor deze farm worden secundaire federatieservers genoemd. Eventuele wijzigingen op de primaire federatieserver worden door deze secundaire servers gerepliceerd naar de eigen AD FS 2.0-configuratiedatabase. Het grote verschil is echter dat deze databases het kenmerk Alleen-lezen hebben in plaats van Lezen/schrijven.

Opmerking:
Het wordt aangeraden ten minste twee federatieservers te gebruiken in een configuratie met load-balancing.

Het inrichten van deze basisvorm van een farm met federatieservers is de eerste fase van de implementatie van AD FS 2.0. De tweede fase bestaat uit het kiezen van een methode om voor externe gebruikers toegangsbeheer toe te passen door middel van proxy's voor federatieservers.

Fase 1: de farm met federatieservers implementeren

---

Als u klaar bent om de farm te gaan implementeren, moet u een plan maken om alle federatieservers in uw bedrijfsnetwerk achter een NLB-host (Network Load Balancing) te plaatsen die kan worden geconfigureerd voor een NLB-cluster met een unieke cluster-DNS-naam en een uniek cluster-IP-adres.

Belangrijk:
Deze cluster-DNS-naam moet overeenkomen met de naam van de Federation-service (bijvoorbeeld FS.fabricaat.com) en via internet routeerbaar zijn voor de instantie van AD FS 2.0 die u implementeert. Als de naam niet overeenkomt, wordt het verificatieverzoek niet naar de juiste DNS-server of de juiste federatieserver verstuurd.

De NLB-host kan de instellingen die zijn gedefinieerd in dit NLB-cluster gebruiken om aanvragen van clients toe te wijzen aan de afzonderlijke federatieservers. In het onderstaande diagram ziet u hoe Fabrikam, Inc. de eerste fase van de implementatie uitvoert door het inrichten van een farm met twee federatieservers (fs1 en fs2) met WID en een DNS-server en één NLB-host die bekabeld is aangesloten op het bedrijfsnetwerk.

Opmerking:
Als deze solitaire NLB-host uitvalt, hebben gebruikers geen toegang meer tot de services van Office 365. Het is daarom raadzaam extra NLB-hosts te installeren als fouttolerantie voor uw organisatie van groot belang is.

Fase 2: de proxy's voor federatieservers implementeren

---

Over het algemeen worden proxy's voor federatieservers gebruikt om verificatieverzoeken van clients buiten het bedrijfsnetwerk om te leiden naar de farm met federatieservers. In het geval van klanten met Office 365 voor ondernemingen is het implementeren van proxy's in de bestaande infrastructuur van AD FS 2.0 noodzakelijk om de volgende gebruiksscenario's te ondersteunen:

• Werkcomputer, roaming: Gebruikers die zich met hun bedrijfsreferenties hebben aangemeld bij een computer die met een domein is verbonden maar niet met het bedrijfsnetwerk (zoals een werkcomputer thuis of in een hotel), hebben toegang tot de services van Office 365.
  
• Thuiscomputer of openbare computer: Als de gebruiker een computer gebruikt die niet is verbonden met het bedrijfsdomein, moet de gebruiker zich met bedrijfsreferenties aanmelden om toegang te krijgen tot de services in Office 365.
  
• Smartphone: Als een gebruiker vanaf een smartphone toegang wil krijgen tot de services in Office 365, zoals Microsoft Exchange Online via Microsoft Exchange ActiveSync, moet de gebruiker zich aanmelden met bedrijfsreferenties.
  
• Microsoft Outlook of andere e-mailclients: de gebruiker moet zich aanmelden met de bedrijfsreferenties om toegang te krijgen tot de e-mail van Office 365 als hij of zij Outlook gebruikt of een e-mailclient die geen deel uitmaakt van Office, zoals een IMAP- of POP-client.
  

Om deze gebruiksscenario's te ondersteunen, wordt in deze tweede fase de eerste fase van de implementatie verder uitgewerkt door het toevoegen van twee proxy's die toegang bieden tot een DNS-server en een tweede NLB-host in het perimeternetwerk.

De tweede NLB-host moet worden geconfigureerd met een NLB-cluster met een via internet toegankelijk cluster-IP-adres. Daarnaast moet deze host dezelfde cluster-DNS-naam hebben als het eerdere NLB-cluster dat u voor fase 1 in het bedrijfsnetwerk hebt geconfigureerd (fs.fabrikam.com). De proxy's voor de federatieservers worden eveneens geconfigureerd met via internet toegankelijke IP-adressen.

In het volgende diagram ziet u fase 1 van de bestaande implementatie. U ziet ook hoe Fabrikam, Inc. toegang kan bieden tot een DNS-server in het perimeternetwerk en een tweede NLB-host met dezelfde cluster-DNS-naam (fs.fabrikam.com) en twee proxy's (fsp1 en fsp2) kan toevoegen aan het perimeternetwerk.

Opmerking:

U kunt oplossingen voor HTTP reverse proxy van andere leveranciers gebruiken om AD FS 2.0 te publiceren naar het extranet. Meer informatie hierover kunt u lezen in Geavanceerde opties configureren voor AD FS 2.0. Alle communicatie van AD FS 2.0 die loopt via de firewall is gebaseerd op HTTPS. U kunt in AD FS 2.0 aangepaste regels maken die de toegang van gebruikers tot Office 365-services beperken op basis van de fysieke locatie van de clientcomputer of het clientapparaat waarmee de gebruiker toegang vraagt. Voor meer informatie over het maken van deze regels raadpleegt u Toegang tot Office 365-services beperken op basis van clientlocatie.

Dit is een geavanceerde implementatietopologie voor AD FS 2.0 waarin proxy's voor federatieservers en een SQL Server-configuratie worden toegepast om alle federatieservers in de farm in staat te stellen gegevens te lezen van en weg te schrijven naar een algemene SQL Server-database. Het gebruiken van een SQL Server-database als de configuratiedatabase voor AD FS 2.0 biedt de volgende voordelen ten opzichte van WID:

• Voorzieningen voor hoge beschikbaarheid van SQL Server die beheerders kunnen gebruiken.
  
• Extra mogelijkheden voor prestatieverbetering, zoals schaalvergroting tot meer dan vijf federatieservers (WID ondersteunt maximaal vijf federatieservers per farm).
  
• Geografische load-balancing om zware belasting per locatie op te vangen.
  

Opmerking:
Aangezien deze topologie een geavanceerde implementatie van AD FS 2.0 betreft, worden de details van de werking van deze topologie en de implementatie ervan niet besproken in dit artikel.

Als u meer wilt weten over deze topologie, raadpleegt u het onderwerp Geavanceerde opties configureren voor AD FS 2.0.

Aan de hand van de onderstaande tabel kunt u een schatting maken van het minimum aantal AD FS 2.0-federatieservers en proxy's dat u moet opnemen in een farm die binnen de bedrijfsnetwerkinfrastructuur is geconfigureerd met WID. De schattingen zijn gebaseerd op het aantal gebruikers dat via eenmalige aanmelding toegang nodig heeft, inclusief externe toegang, tot Office 365.

Opmerking:
Alle computers die worden geconfigureerd voor de rol van federatieserver of federatieserverproxy moeten beschikken over Windows Server 2008 of Windows Server 2008 R2.

Het is raadzaam om één federatieserver te reserveren voor fouttolerantie. Deze aanbeveling is ook verwerkt in de onderstaande tabel.

Aantal gebruikers van Office 365	Minimum aantal vereiste servers	Aanbevelingen en stappen
Minder dan 1.000 gebruikers	0 dedicated federatieservers 0 dedicated federatieserverproxy's 1 dedicated NLB-server	Gebruik als federatieservers twee bestaande Active Directory-domeincontrollers (DC's) en configureer deze beide met de rol van federatieserver. Dit doet u door eerst twee bestaande DC's te selecteren en vervolgens deze stappen uit te voeren: Installeer AD FS 2.0 op beide domeincontrollers. Configureer een van de computers als de eerste federatieserver in een nieuwe farm. Voeg de tweede computer toe aan de farm. Configureer voor NLB een bestaande NLB-host of gebruik een dedicated server en installeer daarop de rol van NLB-server. Configureer ten slotte de NLB-server. Gebruik als proxy's voor de federatieservers twee bestaande web- of proxyservers en configureer deze beide met de rol van federatieserverproxy. Dit doet u door twee bestaande web- of proxyservers te selecteren in het extranet en vervolgens deze stappen uit te voeren: Installeer AD FS 2.0 op beide servers. Configureer de servers met de rol van federatieserverproxy. Installeer de rol van NLB-server op een van de proxy's of configureer een bestaande NLB-host. Opmerking: Als u niet beschikt over twee bestaande DC's en twee web- of proxyservers, of als deze niet werken met Windows Server 2008 of Windows Server 2008 R2, moet u gebruikmaken van dedicated servers. Meer hierover in de volgende rij van deze tabel.
1.000 tot 15.000 gebruikers	2 dedicated federatieservers 2 dedicated federatieserverproxy's	Gebruik twee dedicated servers als de federatieservers en ga dan als volgt te werk: Installeer AD FS 2.0 op beide servers. Configureer een van de computers als de eerste federatieserver in een nieuwe farm. Voeg de tweede computer toe aan de farm. Installeer de rol van NLB-server op een van de federatieservers of configureer een bestaande NLB-host. Gebruik twee dedicated servers als de proxy's. Deze moeten aan het extranet worden toegevoegd. Voer vervolgens deze stappen uit: Installeer AD FS 2.0 op beide servers. Configureer de servers met de rol van federatieserverproxy. Installeer de rol van NLB-server op een van de proxy's of configureer een bestaande NLB-host.
15.000 tot 60.000 gebruikers	3 - 5 dedicated federatieservers Minimaal 2 dedicated federatieserverproxy's	Elke dedicated federatieserver kan ongeveer 15.000 gebruikers ondersteunen. Dit betekent dat u voor elke 15.000 gebruikers die toegang moeten hebben tot Office 365 één extra dedicated federatieserver moet toevoegen aan de eerder beschreven basisimplementatie met twee federatieservers. U kunt maximaal vijf federatieservers opnemen in de farm. Hiermee kunnen 60.000 gebruikers worden bediend. Opmerking: Een farm met federatieservers van AD FS 2.0 die is geconfigureerd voor WID ondersteunt maximaal vijf federatieservers. Als u meer federatieservers nodig hebt, moet u een SQL Server-database configureren voor het opslaan van de configuratiedatabase van AD FS 2.0. Meer informatie over deze optie kunt u lezen in Geavanceerde opties configureren voor AD FS 2.0.

De aanbevelingen voor het minimum aantal gebruikers per server in de vorige tabel zijn berekend op basis van de volgende hardware:

Wanneer twee of meer federatieservers zijn geconfigureerd in een farm die gebruikmaakt van NLB-technologie, kunnen deze servers onafhankelijk van elkaar de aanvragen van gebruikers verwerken die bij de Federation-service van AD FS 2.0 binnenkomen zonder dat dit ten koste gaat van de overall prestaties van de service als geheel. Het is daarom niet moeilijk om extra federatieservers toe te voegen aan de bestaande productieomgeving nadat u de eerste federatieservers strategisch hebt opgesteld in het netwerk.

Deze stappen uitvoeren

De software van AD FS 2.0 moet zijn geïnstalleerd op elke computer waarop u de rol van federatieserver of federatieserverproxy wilt instellen. U kunt deze software installeren via de installatiewizard van AD FS 2.0 of door achtergrondinstallatie uit te voeren via de opdracht adfssetup.exe /quiet.

In het geval van een basisinstallatie vereist AD FS 2.0 het besturingssysteem Windows Server 2008 of Windows Server 2008 R2. AD FS 2.0 wordt geleverd met een afzonderlijk installatiepakket voor deze besturingssystemen.

Certificaten spelen de belangrijkste rol bij de beveiliging van communicatie tussen federatieservers, federatieserverproxy's, Office 365 en webclients. De vereisten voor certificaten variëren, afhankelijk van het feit of u een federatieserver of een federatieserverproxy instelt. De onderstaande tabellen gaan hier verder op in.

Certificaten voor federatieservers

---

In het geval van federatieservers zijn de certificaten uit de volgende tabel relevant.

 

Type certificaat	Beschrijving	Belangrijke informatie voorafgaand aan de implementatie
SSL-certificaat (ook wel een serververificatiecertificaat genoemd)	Dit is een standaard-SSL-certificaat (Secure Sockets Layer) dat wordt gebruikt om de communicatie tussen federatieservers, clients en federatieserverproxy's te beveiligen.	AD FS 2.0 vereist een SSL-certificaat voor het configureren van de instellingen van federatieservers. AD FS 2.0 gebruikt standaard het SSL-certificaat dat is geconfigureerd voor de standaardwebsite in IIS (Internet Information Services). Aan de hand van de subject-naam van dit SSL-certificaat wordt voor elke instantie van AD FS 2.0 die u implementeert de naam van de Federation-service bepaald. Om deze reden kan het handig zijn om voor alle nieuwe certificaten die worden uitgegeven door een certificeringsinstantie (CA) een subject-naam te kiezen die de naam van uw bedrijf of organisatie het best weergeeft in Office 365. Deze naam moet trouwens via internet routeerbaar zijn. Als we het diagram eerder in dit artikel als voorbeeld nemen (zie “Fase 2”), zou de subject-naam van het certificaat fs.fabrikam.com zijn. Belangrijk: AD FS 2.0 vereist dat de subject-naam in dit SSL-certificaat geen punten bevat (korte naam). Vereist: aangezien dit certificaat moet worden vertrouwd door clients van AD FS 2.0 en Office 365-services, moet u een SSL-certificaat gebruiken dat is uitgegeven door een openbare (third-party) CA of door een CA die ondergeschikt is aan een vertrouwde basis-CA, zoals VeriSign of Thawte.
Certificaat voor token-ondertekening	Dit is een standaard-X.509-certificaat dat wordt gebruikt voor het op een veilige manier ondertekenen van alle tokens die door de federatieserver worden uitgegeven, zodat deze worden geaccepteerd en geverifieerd door Office 365.	Het certificaat voor token-ondertekening moet een persoonlijke sleutel bevatten en zijn gekoppeld aan een vertrouwde basis-CA in de Federation-service. De standaardinstelling is dat AD FS 2.0 een zelfondertekend certificaat maakt. Afhankelijk van de behoeften van uw organisatie, kunt u dit certificaat later wijzigen in een CA-certificaat. Dit doet u via de module AD FS 2.0 Management. Aanbeveling: gebruik het zelfondertekende certificaat voor token-ondertekening dat wordt gegenereerd door AD FS 2.0. Het voordeel hiervan is dat dit certificaat standaard voor u wordt beheerd door AD FS 2.0. Dit betekent dat als dit certificaat bijvoorbeeld bijna verlopen is, AD FS 2.0 ruim van tevoren een nieuw zelfondertekend certificaat zal genereren.

Let op:

Het certificaat voor token-ondertekening is essentieel voor de stabiliteit van de Federation-service. Als het certificaat wordt gewijzigd, moet deze wijziging worden gemeld aan Office 365. Als dat niet gebeurt, mislukken de aanvragen die worden verstuurd naar services van Office 365. Het is daarom raadzaam om het installatiehulpprogramma voor de updateautomatisering van federatiemetadata van Microsoft Office 365 te downloaden en te configureren. Deze controleren de federatiemetagegevens van Office 365 automatisch en werken deze regelmatig bij zodat wijzigingen in het certificaat voor token-ondertekening in de federatie-service AD FS 2.0 automatisch naar Office 365 gerepliceerd kunnen worden. Zie Eigenschappen van een vertrouwensrelatie bijwerkenvoor algemene informatie over het beheren van certificaten in de federatieserverfarm AD FS 2.0 en Office 365.

U moet de volgende netwerkservices op de juiste manier configureren om AD FS 2.0 met succes te kunnen implementeren in uw organisatie.

AD FS 2.0 werkt alleen als elke computer met de rol van federatieserver deel uitmaakt van een domein. U kunt ook proxy's voor federatieservers toevoegen aan een domein, maar dat is geen vereiste.

1. Ga naar de computer die u wilt toevoegen aan een domein en klik op Start. Klik op Configuratiescherm en dubbelklik op Systeem.

2. Klik onder Instellingen voor computernaam, domein en werkgroep op Instellingen wijzigen.

3. Klik op het tabblad Computernaam op Wijzigen.

4. Klik onder Lid van op Domein, typ de naam van het domein voor deze computer en klik op OK.

5. Klik op OK en start de computer opnieuw op.

Clients in het bedrijfsnetwerk hebben alleen toegang tot de Federation-service als er een host-resourcerecord (A) is gemaakt in het DNS waarmee de cluster-DNS-naam van de Federation-service (zoals fs.fabrikam.com) wordt omgezet in het cluster-IP-adres in het bedrijfsnetwerk (zoals 172.16.1.3). Gebruik de volgende procedure om voor het NLB-cluster een host-resourcerecord toe te voegen aan het DNS in het bedrijfsnetwerk.

1. Ga naar een DNS-server voor het bedrijfsnetwerk en open de module DNS.

2. Klik in de consolestructuur met de rechtermuisknop op de juiste zone voor forward lookup (bijvoorbeeld fabrikam.com) en klik vervolgens op Nieuwe host (A of AAAA).

3. Typ bij Naam alleen de computernaam van de federatieserver of het cluster met federatieservers. Als de FQDN bijvoorbeeld fs.fabrikam.com is, typt u fs.

4. Typ bij IP-adres het IP-adres voor de federatieserver of het cluster met federatieservers. Typ bijvoorbeeld 172.16.1.3.

5. Klik op Host toevoegen.

   Belangrijk:
   In dit voorbeeld wordt ervan uitgegaan dat u de DNS-zone beheert met behulp van een DNS-server met Windows 2000 Server, Windows Server 2003 of Windows Server 2008 en de service DNS Server.

Als u een certificaat voor serververificatie hebt ontvangen van een certificeringsinstantie (CA), moet u dat certificaat voor elke federatieserver in de farm handmatig installeren op de standaardwebsite.

Aangezien dit certificaat moet worden vertrouwd door clients van AD FS 2.0 en Office 365-services, moet u een SSL-certificaat gebruiken dat is uitgegeven door een openbare (third-party) CA of door een CA die ondergeschikt is aan een vertrouwde basis-CA, zoals VeriSign of Thawte. Informatie over het installeren van een certificaat van een openbare CA kunt u lezen in IIS 7.0: een internetservercertificaat aanvragen.

Opmerking:

De subject-naam van dit certificaat moet overeenkomen met de FQDN van de cluster-DNS-naam (bijvoorbeeld fs.fabrikam.com) die u eerder hebt gemaakt op de NLB-host. Als IIS (Internet Information Services) niet is geïnstalleerd, moet u dit alsnog doen om deze taak te kunnen afronden. Als u IIS voor het eerst installeert, is het raadzaam de standaardinstellingen te gebruiken tijdens de installatie van de serverrol.

1. Klik op Start, wijs Alle programma's aan, wijs Systeembeheer aan en klik op Beheer van Internet Information Services (IIS).

2. Klik in de consolestructuur op ComputerName.

3. Dubbelklik in het middelste venster op Servercertificaten.

4. Klik in het deelvenster Acties op Importeren.

5. Klik in het dialoogvenster Certificaat importeren op de knop … .

6. Blader naar de locatie van het pfx-certificaatbestand, selecteer het bestand en klik op Openen.

7. Typ een wachtwoord voor het certificaat en klik op OK.

Als u een farm met federatieservers wilt configureren in AD FS 2.0, moet u in Active Directory een dedicated serviceaccount maken en configureren waar de farm met federatieservers wordt ingericht. Dit dedicated serviceaccount is nodig om ervoor te zorgen dat alle resources die vereist zijn voor de farm van AD FS 2.0 toegang krijgen tot alle federatieservers in de farm.

Vervolgens koppelt u de federatieservers in de farm aan dit serviceaccount. Als u bijvoorbeeld een serviceaccount hebt gemaakt met de naam fabrikam\ADFS2SVC, moet u voor elke computer die u configureert als federatieserver en die deel moet uitmaken van dezelfde farm fabrikam\ADFS2SVC opgeven bij deze stap in de wizard voor het configureren van federatieservers. Alleen dan functioneert de farm zonder problemen.

Opmerking:
U hoeft de taken in deze procedure maar één keer uit te voeren voor de farm als geheel. Als u later een federatieserver gaat maken via de wizard voor het configureren van federatieservers van AD FS 2.0, moet u dit account voor elke server in de farm opgeven op de pagina Serviceaccount van de wizard.

1. Maak een dedicated gebruikers-/serviceaccount in het forest van Active Directory dat u in de organisatie gaat gebruiken.

2. Wijzig de eigenschappen van het gebruikersaccount en schakel het selectievakje Wachtwoord verloopt nooit in. Hierdoor weet u zeker dat de functie van dit serviceaccount nooit wordt onderbroken als gevolg van beleidsinstellingen voor het wijzigen van domeinwachtwoorden.

   Opmerking:

   Zie Geavanceerde opties configureren voor AD FS 2.0als u uw wachtwoord voor het serviceaccount regelmatig wilt wijzigen. Als u het Network Service-account gebruikt voor dit dedicated account, zullen er periodiek problemen optreden wanneer gebruikers toegang proberen te krijgen via geïntegreerde Windows-verificatie. De reden hiervoor is dat Kerberos-tickets niet door opeenvolgende servers kunnen worden gevalideerd.

De software van AD FS 2.0 moet zijn geïnstalleerd op elke computer waarop u de rol van federatieserver wilt instellen. U kunt deze software installeren via de installatiewizard van AD FS 2.0 of via een opdrachtregelparameter. Meer informatie over deze parameter kunt u vinden in de AD FS 2.0 Deployment Guide.

Vergeet niet het installatieproces af te ronden door op elke federatieserver de vereiste hotfixes te installeren, zoals aangegeven in de laatste stap van deze procedure.

1. Download het softwarepakket van AD FS 2.0 voor uw besturingssysteem (Windows Server 2008 of Windows Server 2008 R2) door het installatiebestand AdfsSetup.exe op te slaan op de computer. Om dit bestand te downloaden, gaat u naar Active Directory Federation Services 2.0 RTW.

2. Zoek het bestand AdfsSetup.exe dat u hebt gedownload en dubbelklik erop om de installatie te starten.

3. Klik op de pagina Welkom bij de installatiewizard AD FS 2.0 op Volgende.

4. Lees de licentievoorwaarden op de pagina Gebruiksrechtovereenkomst.

5. Als u akkoord gaat met de voorwaarden, schakelt u het selectievakje Ik ga akkoord met de voorwaarden in deze gebruiksrechtovereenkomst in en klikt u op Volgende.

6. Selecteer op de pagina Serverfunctie de rol Federatieserver en klik op Volgende.

7. Klik op de pagina Installatiewizard AD FS 2.0 voltooid op Voltooien.

   Belangrijk:
   In bepaalde situaties moet u de computer opnieuw opstarten om de installatie van AD FS 2.0 af te ronden (bijvoorbeeld als er essentiële hotfixes zijn geïnstalleerd).

8. Installeer alle hotfixes die vermeld worden in de Beschrijving van updatepakket 2 voor Active Directory Federation Services (AD FS) 2.0.

Gebruik de volgende procedure om via de wizard voor het configureren van federatieservers van AD FS 2.0 de computer in te stellen die de eerste federatieserver moet worden in een nieuwe farm met federatieservers.

Deze procedure kan alleen worden uitgevoerd als u lid bent van de groep Domeinadministrators of als u een gedelegeerd domeinaccount hebt waaraan schrijftoegang is verleend voor de container met programmagegevens in Active Directory.

1. Als de installatie van de software voor AD FS 2.0 is voltooid, klikt u achtereenvolgens op Start, Systeembeheer en AD FS 2.0 Management om de module AD FS 2.0 Management te openen.

2. Klik op de pagina Overzicht op Configuratiewizard AD FS 2.0 Federatieserverproxy.

3. Zorg dat op de pagina Welkom de optie Een nieuwe Federation-service maken is geselecteerd en klik vervolgens op Volgende.

4. Selecteer op de pagina Zelfstandige of farmimplementaie selecteren de optie Nieuwe federatieserverfarm en klik op Volgende.

5. Controleer op de pagina De Federation-servicenaam specificeren of het weergegeven SSL-certificaat overeenkomt met de naam van het certificaat dat u eerder hebt geïmporteerd naar de standaardwebsite in IIS. Als dat niet het geval is, selecteert u het juiste certificaat in de lijst SSL-certificaat.

   Opmerking:
   U kunt geen ander certificaat kiezen als er een SSL-certificaat is geconfigureerd voor IIS. Op deze manier worden vooraf ingestelde IIS-configuraties voor SSL-certificaten afgedwongen. U kunt deze beperking omzeilen door terug te gaan en het certificaat nogmaals te importeren naar de standaardwebsite van IIS again.

6. Als u AD FS eerder opnieuw hebt geïnstalleerd op deze computer, wordt de pagina Bestaande AD FS Configuratiedatabase gedetecteerd weergegeven. Selecteer in dat geval Database verwijderen en klik op Volgende.

7. Klik op de pagina Een serviceaccount specificeren op Bladeren. Zoek in het dialoogvenster Bladeren het domeinaccount dat u als het serviceaccount wilt gebruiken in deze nieuwe farm met federatieservers. Klik vervolgens op OK. Typ het wachtwoord voor dit account, typ het wachtwoord nogmaals ter bevestiging en klik op Volgende.

   Opmerking:
   Meer informatie over het serviceaccount dat eerder in dit artikel is gemaakt, kunt u lezen in Een dedicated serviceaccount maken voor de farm met federatieservers.

8. Bekijk de instellingen op de pagina Gereed om instellingen toe te passen. Als alles in orde is, klikt u op Volgende om AD FS 2.0 te configureren met deze instellingen.

9. Bekijk de resultaten op de pagina Configuratieresultaten. Als alle configuratiestappen zijn voltooid, klikt u op Sluiten om de wizard af te sluiten.

Opmerking:

Als u de stappen in deze procedure hebt uitgevoerd, wordt de module AD FS 2.0 Management automatisch geopend en ziet u een bericht met de mededeling dat de vereiste configuratie niet compleet is en dat u een Trusted relying party kunt toevoegen. Dit bericht kunt u negeren. U gaat namelijk in een volgende stap een Relying Party Trust voor Office 365 toevoegen. Raadpleeg voor meer informatie het onderwerp Windows PowerShell voor eenmalige aanmelding installeren. Als deze stap is voltooid, verdwijnt het bericht uit de module AD FS 2.0 Management.

Nadat u de software van AD FS 2.0 hebt geïnstalleerd en de vereiste certificaten hebt geconfigureerd op een computer, kunt u de computer gaan instellen als een federatieserver. Gebruik de volgende procedure om een computer toe te voegen aan een nieuwe farm met federatieservers.

U voegt een computer toe aan een farm met de wizard voor het configureren van federatieservers van AD FS 2.0. Wanneer u via deze wizard een computer toevoegt aan een bestaande farm, wordt de computer geconfigureerd met het kenmerk Alleen-lezen voor de configuratiedatabase van AD FS 2.0. Wijzigingen worden ontvangen van een primaire federatieserver.

1. Als de installatie van de software voor AD FS 2.0 is voltooid, klikt u achtereenvolgens op Start, Systeembeheer en AD FS 2.0 Management om de module AD FS 2.0 Management te openen.

2. Klik op de pagina Overzicht, of in het deelvenster Acties, op Configuratiewizard AD FS 2.0 Federatieserverproxy.

3. Zorg dat op de pagina Welkom de optie Een federatieserver aan een bestaande federation-service toevoegen is geselecteerd en klik vervolgens op Volgende.

4. Als de database van AD FS 2.0 die u hebt geselecteerd al bestaat, verschijnt de pagina Bestaande AD FS configuratiedatabase gedetecteerd. Selecteer in dat geval Database verwijderen en klik op Volgende.

   Let op:
   Selecteer deze optie alleen als u zeker weet dat de gegevens in deze database van AD FS 2.0 niet belangrijk zijn of niet worden gebruikt in een actieve farm met federatieservers.

5. Ga op de pagina De primaire federatieserver en serviceaccount specificeren naar Primaire federatieservernaam en typ daar de computernaam van de primaire federatieserver in de farm. Klik vervolgens op Bladeren. Zoek in het dialoogvenster Bladeren het domeinaccount dat als serviceaccount wordt gebruikt door alle andere federatieservers in de bestaande farm met federatieservers. Klik vervolgens op OK. Typ het wachtwoord, bevestig dit en klik op Volgende.

   Opmerking:
   Meer informatie over het serviceaccount dat eerder in dit artikel is gemaakt, kunt u lezen in Een dedicated serviceaccount maken voor de farm met federatieservers.

6. Bekijk de instellingen op de pagina Gereed om instellingen toe te passen. Als alles in orde is, klikt u op Volgende om AD FS 2.0 te configureren met deze instellingen.

7. Bekijk de resultaten op de pagina Configuratieresultaten. Als alle configuratiestappen zijn voltooid, klikt u op Sluiten om de wizard af te sluiten.

Gebruik de volgende procedures om te controleren of een federatieserver operationeel is. U doet dit door te controleren of een client in hetzelfde netwerk een nieuwe federatieserver kan bereiken.

1. Meld u aan bij een clientcomputer die zich bevindt in het forest van de federatieserver die u wilt testen.

2. Open een browservenster en typ in de adresbalk de DNS-hostnaam van de federatieserver. Voeg vervolgens /FederationMetadata/2007-06/FederationMetadata.xml/ toe voor de nieuwe federatieserver, bijvoorbeeld:

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Druk op Enter en voer de volgende procedure uit op de federatieserver. Als het bericht Er is een probleem met het beveiligingscertificaat van deze website. verschijnt, klikt u op Doorgaan naar deze website.

   De verwachte en gewenste uitvoer bestaat uit XML met een servicebeschrijving. Als deze informatie verschijnt, werkt IIS op de federatieserver en kunnen pagina's goed worden weergegeven.

1. Meld u als beheerder aan bij de nieuwe federatieserver.

2. Klik op Start, wijs Systeembeheer aan en klik op Logboeken.

3. Dubbelklik in het detailvenster op Logboeken Toepassingen en Services, dubbelklik op AD FS 2.0 Eventing en klik op Beheer.

4. Zoek in de kolom Gebeurtenis-id naar de gebeurtenis met de id 100. Als de federatieserver goed is geconfigureerd, ziet u in het logboek Toepassingen van Logboeken een nieuwe gebeurtenis met de id  ID 100. Deze gebeurtenis geeft aan dat de federatieserver heeft kunnen communiceren met de Federation-service.

Deze stappen uitvoeren

De federatieserverproxy werkt alleen zoals verwacht in het perimeternetwerk als u op elke proxy een vermelding toevoegt aan het hosts-bestand die verwijst naar de cluster-DNS-naam die door de NLB wordt gehost in het bedrijfsnetwerk (bijvoorbeeld fs.fabrikam.com) en naar het bijbehorende IP-adres (bijvoorbeeld 172.16.1.3). Het toevoegen van deze vermelding zorgt ervoor dat de proxy aanvragen van clients kan omleiden naar een federatieserver binnen of buiten het perimeternetwerk.

1. Ga naar de map %systemroot%\Winnt\System32\Drivers en zoek het bestand hosts.

2. Start Kladblok en open het bestand hosts.

3. Voeg het IP-adres en de hostnaam van een federatieserver toe aan het bestand hosts. Ga hierbij te werk zoals in dit voorbeeld:

   172.16.1.3             fs.fabrikam.com

4. Sla het bestand op en sluit het vervolgens.

Belangrijk:
Als het cluster-IP-adres op de NLB-host in het bedrijfsnetwerk wordt gewijzigd, moet u het lokale hosts-bestand op de proxy's bijwerken.

AD FS 2.0 kan alleen verificatieaanvragen van clients binnen of buiten het perimeternetwerk verwerken als naamomzetting is geconfigureerd op naar buiten gerichte DNS-servers die de zone van de organisatie hosten (bijvoorbeeld, fabrikam.com).

Dit doet u door aan de naar buiten gerichte DNS-server die alleen het perimeternetwerk bedient een host-resourcerecord (A) toe te voegen waarmee de cluster-DNS-naam (bijvoorbeeld “fs.fabrikam.com”) wordt omgezet in het externe cluster-IP-adres dat net is geconfigureerd.

1. Ga naar een DNS-server voor het perimeternetwerk en open de module DNS. Klik op Start, wijs Systeembeheer aan en klik op DNS.

2. Klik in de consolestructuur met de rechtermuisknop op de juiste zone voor forward lookup (bijvoorbeeld fabrikam.com) en klik vervolgens op Nieuwe host (A of AAAA).

3. Typ bij Name alleen het naamgedeelte van de cluster-DNS-naam die u hebt opgegeven op de NLB-host in het perimeternetwerk (deze DNS-naam moet hetzelfde zijn als de naam van de Federation-service). Als de FQDN bijvoorbeeld fs.fabrikam.com is, typt u fs.

4. Typ bij IP-adres het IP-adres voor het nieuwe cluster-IP-adres dat u hebt opgegeven op de NLB-host in het perimeternetwerk. Typ bijvoorbeeld 192.0.2.3.

5. Klik op Host toevoegen.

Als u een certificaat voor serververificatie hebt ontvangen dat wordt gebruikt door een van de federatieservers in het bedrijfsnetwerk, moet u dat certificaat voor elke proxy in de organisatie handmatig installeren op de standaardwebsite.

Aangezien dit certificaat moet worden vertrouwd door clients van AD FS 2.0 en Office 365-services, moet u een SSL-certificaat gebruiken dat is uitgegeven door een openbare (third-party) CA of door een CA die ondergeschikt is aan een vertrouwde basis-CA, zoals VeriSign of Thawte. Informatie over het installeren van een certificaat van een openbare CA kunt u lezen in IIS 7.0: een internetservercertificaat aanvragen.

Opmerking:

De subject-naam van dit certificaat moet overeenkomen met de FQDN van de cluster-DNS-naam (bijvoorbeeld fs.fabrikam.com) die u eerder hebt gemaakt op de NLB-host. Als IIS (Internet Information Services) niet is geïnstalleerd, moet u dit alsnog doen om deze taak te kunnen afronden. Als u IIS voor het eerst installeert, is het raadzaam de standaardinstellingen te gebruiken tijdens de installatie van de serverrol.

1. Klik op Start, wijs Alle programma's aan, wijs Systeembeheer aan en klik op Beheer van Internet Information Services (IIS).

2. Klik in de consolestructuur op ComputerName.

3. Dubbelklik in het middelste venster op Servercertificaten.

4. Klik in het deelvenster Acties op Importeren.

5. Klik in het dialoogvenster Certificaat importeren op de knop … .

6. Blader naar de locatie van het pfx-certificaatbestand, selecteer het bestand en klik op Openen.

7. Typ een wachtwoord voor het certificaat en klik op OK.

De software van AD FS 2.0 moet zijn geïnstalleerd op elke computer waarop u de proxyrol van federatieserver wilt instellen. U kunt deze software installeren via de installatiewizard van AD FS 2.0 of via een opdrachtregelparameter. Meer informatie over deze parameter kunt u vinden in de AD FS 2.0 Deployment Guide.

Vergeet niet het installatieproces af te ronden door op elke federatieserverproxy de vereiste hotfixes te installeren, zoals aangegeven in de laatste stap van deze procedure.

1. Download het softwarepakket van AD FS 2.0 voor uw besturingssysteem (Windows Server 2008 of Windows Server 2008 R2) door het installatiebestand AdfsSetup.exe op te slaan op de computer. Om dit bestand te downloaden, gaat u naar Active Directory Federation Services 2.0 RTW.

2. Zoek het bestand AdfsSetup.exe dat u hebt gedownload en dubbelklik erop om de installatie te starten.

3. Klik op de pagina Welkom bij de installatiewizard AD FS 2.0 op Volgende.

4. Lees de licentievoorwaarden op de pagina Gebruiksrechtovereenkomst.

5. Als u akkoord gaat met de voorwaarden, schakelt u het selectievakje Ik ga akkoord met de voorwaarden in deze gebruiksrechtovereenkomst in en klikt u op Volgende.

6. Selecteer op de pagina Serverfunctie de rol Federatieserverproxy en klik op Volgende.

7. Controleer op de pagina Installatiewizard AD FS 2.0 voltooid of het selectievakje De configuratiewizard AD FS 2.0 Federatieserverproxy starten als deze wizard wordt gesloten is ingeschakeld en klik op Voltooien om de computer opnieuw op te starten.

   Belangrijk:
   In bepaalde situaties moet u de computer opnieuw opstarten om de installatie van AD FS 2.0 af te ronden (bijvoorbeeld als er essentiële hotfixes zijn geïnstalleerd). In dat geval moet u het selectievakje Nu opnieuw opstarten inschakelen op de pagina Installatiewizard AD FS 2.0 voltooid voordat u op Voltooien klikt om de computer opnieuw op te starten.

8. Installeer alle hotfixes die vermeld worden in de Beschrijving van updatepakket 2 voor Active Directory Federation Services (AD FS) 2.0.

Nadat u een computer hebt geconfigureerd met de vereiste certificaten en de software van AD FS 2.0 hebt geïnstalleerd, kunt u de computer gaan instellen als een proxy voor een federatieserver. Gebruik de volgende procedure om een computer te configureren voor de rol van federatieserverproxy.

Belangrijk:

U mag deze procedure voor het configureren van de federatieserverproxy pas uitvoeren als u zeker weet dat u alle stappen uit de controlelijsten in De farm met federatieservers implementeren in de aangegeven volgorde hebt voltooid. Er moet ten minste één federatieserver zijn geïmplementeerd, evenals alle benodigde referenties voor het autoriseren van een configuratie met federatieserverproxy's. Daarnaast moet u SSL-bindingen configureren op de standaardwebsite, anders kan deze wizard niet worden gestart. Al deze taken moeten zijn voltooid om deze federatieserverproxy te laten functioneren.

1. Op de pagina AD FS 2.0 installatiewizard voltooid van de installatiewizard van AD FS 2.0 staat een selectievakje met de naam De configuratiewizard AD FS 2.0 federatieserverproxy starten als deze wizard wordt gesloten dat standaard is ingeschakeld. Start de wizard en klik op de welkomstpagina op Volgende.

2. Typ op de pagina Federation-servicenaam specificeren bij Federation-servicenaam de naam van de Federation-service waarvoor deze computer gaat fungeren als proxy (bijvoorbeeld fs.fabrikam.com).

3. Bepaal op basis van de specifieke behoeften van uw netwerk of u een HTTP-proxyserver nodig hebt om verzoeken door te sturen naar de Federation-service. Als dat het geval is, schakelt u het selectievakje Een HTTP-proxyserver gebruiken bij het verzenden van aanvragen naar deze federation-service in, typt u bij HTTP-proxyserveradres het adres van de proxyserver, klikt u op Verbinding testen om de connectiviteit te controleren en klikt u ten slotte op Volgende.

4. Als dit wordt gevraagd, geeft u de referenties op die nodig zijn om een vertrouwensrelatie tot stand te brengen tussen deze federatieserverproxy en de Federation-service.

   De standaardinstelling is dat alleen het serviceaccount dat wordt gebruikt door de Federation-service of een lid van de lokale groep BUILTIN\Administrators een federatieserverproxy kan autoriseren.

5. Bekijk de instellingen op de pagina Gereed om instellingen toe te passen. Als alles in orde is, klikt u op Volgende om deze computer te configureren met deze proxyinstellingen.

6. Bekijk de resultaten op de pagina Configuratieresultaten. Als alle configuratiestappen zijn voltooid, klikt u op Sluiten om de wizard af te sluiten.

Als u klaar bent met het instellen van de computer, controleert u of de proxy werkt zoals verwacht.

Gebruik de volgende procedure om te controleren of de proxy kan communiceren met de Federation-service in AD FS 2.0. Voer deze procedure uit nadat u de Configuratiewizard AD FS 2.0 Federatieserverproxy hebt voltooid om de computer te configureren voor de rol van federatieserverproxy. Meer informatie over het uitvoeren van deze wizard kunt u vinden in Een computer configureren voor de rol van federatieserverproxy.

Opmerking:
Er is communicatie mogelijk als in het onderdeel Logboeken op de proxy een bepaalde gebeurtenis is toegevoegd.

1. Meld u als beheerder aan bij de federatieserverproxy.

2. Klik op Start, wijs Systeembeheer aan en klik op Logboeken.

3. Dubbelklik in het detailvenster op Logboeken Toepassingen en Services, dubbelklik op AD FS 2.0 Eventing en klik op Beheer.

4. Zoek in de kolom Gebeurtenis-id naar de gebeurtenis met de id 198.

   Als de proxy goed is geconfigureerd, ziet u in het logboek Toepassingen van Logboeken een nieuwe gebeurtenis met de id  ID 198. Deze gebeurtenis geeft aan dat de service voor federatieserverproxy's is gestart en nu online is.

Deze stappen uitvoeren

Als u behoefte hebt aan een algemeen overzicht of oplossingen voor problemen met AD FS 2.0, kiest u een van de volgende referentiekoppelingen:

• AD FS 2.0 Help
  
• AD FS 2.0 Stapsgewijze handleidingen en gebruikshandleidingen
  
• AD FS 2.0 Gids voor het oplossen van problemen
  

Als u overweegt een meer complexe infrastructuur met AD FS 2.0 te implementeren dan beschreven in dit artikel, kunt u de volgende referentiekoppelingen gebruiken om meer geavanceerde planning- en implementatie-informatie door te nemen.

• AD FS 2.0 Ontwerpgids
  
• AD FS 2.0 Implementatiegids
  
• Beschrijving van updatepakket 2 voor Active Directory Federation Services (AD FS) 2.0
  
• AD FS 2.0-servercapaciteit plannen
  
• Geavanceerde opties configureren voor AD FS 2.0
  

Deze stappen uitvoeren