Planera för och driftsätta AD FS 2.0 för användning med enkel inloggning

Standardtoplogin för Office 365 är ett AD FS 2.0-federationsserverkluster som består av flera servrar som rymmer din organisations federationstjänst. I denna topologi använder AD FS 2.0 WID som AD FS 2.0-konfigurationsdatabas för alla federationsservrar som har kopplats till det klustret. Klustret replikerar och underhåller federationsserverdata i konfigurationsdatabasen över varje server i klustret.

När den första federationsservern i klustret skapas skapas även en ny federationstjänst. När WID används som AD FS 2.0-konfigurationsdatabas kallas den första federationsservern som skapas klustret för primär federationsserver. Detta innebär att denna dator kommer att konfigureras med en läs-/skrivkopia av AD FS 2.0-konfigurationsdatabasen.

Alla andra federationsservrar som konfigureras för detta kluster kallas för sekundära federationsservrar, eftersom de måste replikera alla eventuella ändringar som görs på den primära federationsservern måste överföras till de skrivskyddade kopiorna på den AD FS 2.0-konfigurationsdatabas som de lagrar lokalt.

Obs!
Vi rekommenderar att minst två federationsservrar används i en belastningsbalanserad konfiguration.

Att konfigurera denna basfederationsserverklustertopologi är den första fasen i din AD FS 2.0-distribution. Den andra fasen består av att fastställa hur åtkomst ska ges till kontrollfunktioner för externa användare genom att distribuera federationsproxyservrar.

Fas 1: Distribuera ditt federationsserverkluster

---

När du är klar att börja distribuera ditt kluster ska du planera för att placera alla federationsservrar i ditt företagsnätverk bakom en NLB-värd (Network Load Balancing) som kan konfigureras för ett NLB-kluster med ett dedikerat DNS-klusternamn och kluster-IP-adress.

Viktigt!
Detta DNS-klusternamn måste matcha federationstjänstnamnet (t.ex. fs.fabrikam.com) och vara Internet-omdirigerbart för den instans av AD FS 2.0 som du distribuerar.

NLB-värden kan använda de inställningar som definierades i det här NLB-klustret för att allokera klientförfrågningar till de individuella federationsservrarna. Följande diagram visar hur Fabrikam, Inc. kan konfigurera den första fasen av distributionen genom att använda ett federationsserverkluster med två datorer (fs1 och fs2) med WID och placeringen av en DNS-server och en enskild NLB-värd kopplad till företagsnätverket.

Obs!
Om det uppstår ett fel med denna enskilda NLB-värd har användarna inte möjlighet att få åtkomst till Office 365-tjänsterna. Lägg till extra NLB-värdar om företaget inte tillåter en sådan flaskhals som kan orsaka driftstörningar.

Fas 2: Distribuera dina federationsproxyservrar

---

I allmänhet används federationsproxyservrar för att dirigera om klientautentiseringsförfrågningar som kommer utifrån företagsnätverket till federationsserverklustret. Att för Office 365-företagskunder distribuera federationsproxyservrar till din befintliga AD FS 2.0-infrastruktur är nödvändigt för att kunna aktivera följande användarscenarion:

• Jobbdator, nätverksväxling: Användare som är inloggade på en domänansluten dator med sina autentiseringsuppgifter för företaget, men som inte är anslutna till företagsnätverket (t.ex. en jobbdator hemma eller på ett hotell), behöver inte logga in igen för att få åtkomst till tjänsterna i Office 365.
  
• Hemdator eller offentlig dator: När en användare använder en dator som inte är ansluten till företagsdomänen måste användaren logga in med autentiseringsuppgifter för företaget för att få åtkomst till tjänsterna i Office 365.
  
• Smart phone: För att få åtkomst till tjänsterna från en smart phone Office 365 som t.ex. Microsoft Exchange Online med Microsoft Exchange ActiveSync, måste användaren logga in med företagets autentiseringsuppgifter.
  
• Microsoft Outlook eller andra e-postklienter: Användaren måste logga in med företagets autentiseringsuppgifter för att få åtkomst till sin Office 365-e-post om han eller hon använder Outlook eller en e-postklient som inte ingår i Office, t.ex. en IMAP- eller POP-klient.
  

För att stödja dessa användarscenarion kommer denna andra fas att bygga på fas 1 i den distribution som diskuterats ovan, genom att två federationsproxyservrar läggs till, vilket ger åtkomst till en DNS-server i det yttre nätverket, och med åtkomst till en andra NLB-värd i det yttre nätverket.

Den andra NLB-värden måste ha konfigurerats med detta NLB-kluster som använder en Internet-nåbar kluster-IP-adress, och den måste använda samma kluster-DNS-namninställningar som föregående NLB-kluster som du konfigurerade i företagsnätverket för fas 1 (fs.fabrikam.com). Federationsproxyservrarna kommer också att konfigureras med Internet-tillgängliga IP-adresser.

Följande diagram visar den befintliga fas 1-distributionen och hur Fabrikam, Inc. kan ge åtkomst till en yttre DNS-server, lägga till en andra NLB-värd med samma kluster-DNS-namn (fs.fabrikam.com), och lägga till två federationsproxyservrar (fsp1 och fsp2) till det yttre nätverket.

Obs!

Du kan använda HTTP reverse proxy-lösningar från tredje part för att publicera AD FS 2.0 till extranätet. Mer information finns i Konfigurera avancerade alternativ för AD FS 2.0. All AD FS 2.0-kommunikation som färdas genom brandväggen baseras på HTTPS. Du kan skapa anpassade påståenderegler i AD FS 2.0 som begränsar användarnas åtkomst till Office 365-tjänster som är baserade på den fysiska plats där den klientdator eller klientenhet finns genom vilken användaren begär åtkomst. Mer information om hur du skapar dessa regler finns i Begränsa åtkomst till Office 365-tjänster baserade på klientens plats.

Detta är en avancerad AD FS 2.0-distributionstopologi som använder federationsproxyservrar och en SQL-serverkonfiguration för att aktivera alla federationsservrar i klustret att läsa och skriva till en gemensam SQL-serverdatabas . Att använda en SQL-serverdatabas som AD FS 2.0-konfigurationsdatabas innebär följande fördelar jämfört med WID:

• Högtillgänglighetsfunktioner hos SQL Server som administratörer kan använda.
  
• Ytterligare prestandaförbättringar, inklusive förmågan att skala ut och använda mer än fem federationsservrar (WID är begränsat till fem federationsservrar per kluster).
  
• Geografisk belastningsfördelning ökar trafiken.
  

Obs!
Eftersom den här topologin är ett avancerat AD FS 2.0-distributionsalternativ, så tas inte den här topologins detaljer och funktioner upp närmare i den här artikeln.

Mer information om den här topologin finns i Konfigurera avancerade alternativ för AD FS 2.0.

Du kan använda följande tabell för att beräkna det minsta antalet AD FS 2.0-federationsproxyservrar som du behöver placera i ett federationsserverkluster med WID genom hela företagsnätverkets infrastruktur, baserat på det antal användare som kräver enkel inloggning, inklusive fjärråtkomst, till Office 365.

Obs!
Alla datorer som konfigureras för federationsserver- eller federationsproxyserverrollen måste köra Windows Server 2008 eller Windows Server 2008 R2.

Vi rekommenderar at du använder en federationsserver som ska ge redundans. Tabellen nedan följer denna rekommendation.

Antal användare med åtkomst till Office 365	Minsta antal serverar att distribuera	Rekommendationer och åtgärder
Mindre än 1 000 användare	0 dedikerade federationsservrar 0 dedikerade federationsproxyservrar 1 dedikerad NLB-server	Som federationsservrar används två befintliga Active Directory-domänkontrollanter som båda konfigureras för federationsserverrollen. Välj först två befintliga domänkontrollanter och gör sedan så här: Installera AD FS 2.0 på båda domänkontrollanterna. Konfigurera en som första federationsserver i ett nytt kluster. Anslut den andra till federationsserverklustret. När det gäller NLB konfigurerar du en befintlig NLB-värd eller införskaffar en dedikerad server och installerar sedan NLB-serverrollen på den, och konfigurerar sedan NLB-servern. För federationsproxyservrarna använder du två befintliga webb- eller proxyservrar och konfigurerar dem båda för federationsproxyserverrollen. Välj två befintliga webb- eller proxyservrar som finns i extranätet och gör sedan så här: Installera AD FS 2.0 på båda servrarna. Konfigurera dem för federationsproxyserverroll. Installera NLB-serverrollen på en av federationsproxyervrarna eller konfigurera en befintlig NLB-värd. Obs! Om du inte har två befintliga domänkontrollanter och två webb- eller proxyservrar, eller om de varken kör Windows Server 2008 eller Windows Server 2008 R2 bör du distribuera dedikerade servrar istället, så som diskuteras på nästa rad i tabellen.
1 000 till 15 000 användare	2 dedikerade federationsservrar 2 dedikerade federationsproxyservrar	Använd två dedikerade servrar som federationsservrar, och gör sedan så här: Installera AD FS 2.0 på båda servrarna. Konfigurera en som första federationsserver i ett nytt kluster. Anslut den andra till klustret. Installera NLB-serverrollen på en av federationsservrarna eller konfigurera en befintlig NLB-värd. Använd två dedikerade servrar som federationsservrar, som du kan placera i extranätet: Installera AD FS 2.0 på båda servrarna. Konfigurera dem för federationsproxyserverroll. Installera NLB-serverrollen på en av federationsproxyervrarna eller konfigurera en befintlig NLB-värd.
15 000 till 60 000 användare	Mellan 3 och 5 dedikerade federationsservrar Minst 2 dedikerade federationsproxyservrar	Varje dedikerad federationsserver kan stödja cirka 15 000 användare. Lägg därför till en extra dedikerad federationsserver till basen av två federationsservrar som beskrivits tidigare för var 15 000:e användare som behöver åtkomst till Office 365, upp till max fem federationsservrar i klustret eller 60 000 användare. Obs! Ett AD FS 2.0-federationsserverkluster konfigurerat för att använda WID stöder maximalt fem federationsservrar. Om du behöver mer än fem federationsservrar måste du konfigurera en SQL Server-databas för att lagra AD FS 2.0-konfigurationsdatabasen. Mer information om det här alternativet finns i Konfigurera avancerade alternativ för AD FS 2.0.

Det minsta antalet användare för de serverrekommendationer som getts i den föregående tabellen har beräknats utifrån följande maskinvara:

När två eller flera federationsservrar har konfigurerats i ett kluster med NLB-teknik kan de fungera fristående och hjälpa till att bearbeta belastningen av inkommande användarförfrågningar till AD FS 2.0 Federation Service utan att försämra den övergripande prestandan för tjänsten som helhet. Därför innebär det inga större merkostnader att lägga till ytterligare federationsservrar till din befintliga produktionsmiljö efter det att du har distribuerat de initiala federationsservrarna i nätverket.

Tillbaka till början

AD FS 2.0 måste vara installerat på alla datorer som du förbereder för federationsserver- eller federationsproxyserverrollen. Du kan installera den här programvaran genom att antingen använda installationsguiden för AD FS 2.0 eller genom att göra en tyst installation med parametern adfssetup.exe /quiet på kommandoraden.

För en basinstallationsplattform kräver AD FS 2.0 operativsystemet Windows Server 2008 eller Windows Server 2008 R2. AD FS 2.0 har ett separat installationspaket för vart och ett av operativsystemsplattformarna.

Certifikat spelar en mycket viktig roll i att säkra kommunikationen mellan federationsservrar, federationsproxyservrar, Office 365 och webbklienter. Kraven på certifikat varierar, beroende på om du konfigurerar en federationsserver eller en federationsproxydator, enligt beskrivningarna i tabellerna nedan.

Federationsservercertifikat

---

Federationsservrar kräver de certifikat som ange i följande tabell.

 

Certifikatstyp	Beskrivning	Vad du behöver veta innan du distribuerar
SSL-certifikat (kallas även Server Authentication Certificate)	Detta är ett SSL-standardcertifikat som används för att säkra kommunikationerna mellan federationsservrar, klienter och federationsproxyserverdatorer.	AD FS 2.0 kräver ett SSL-certifikat vid konfiguration av federationsserverinställningar. AD FS 2.0 använder som standard det SSL-certifikat som har konfigurerats för en standardwebbplats i Internet Information Services (IIS). Ämnesrubriken för detta SSL-certifikat används för att fastställa federationstjänstnamnet för varje instans av AD FS 2.0 som du distribuerar. Av den anledningen vill du kanske överväga att välja ett ämnesnamn från någon ny certifikatsutfärdare som bäst representerar namnet på ditt företag eller din organisation för Office 365, och detta namn måste vara Internet-dirigerbart. I diagrammet tidigare i den här artikeln (se Fas 2) är ämnesnamnet på certifikatet fs.fabrikam.com. Viktigt! AD FS 2.0 kräver att detta SSL-certifikat ska vara utan ett punktlöst ämnesnamn (kortnamn). Krävs: Eftersom detta certifikat måste vara betrott av klienterna till AD FS 2.0 och Office 365-tjänster, bör du använda ett SSL-certifikat som har utfärdats av en offentlig (tredjeparts) certifikatutfärdare eller av en certifikatutfärdare som är underordnad en offentligt betrodd rot, t.ex. VeriSign eller Thawte.
Certifikat för tokensignering	Detta är ett X.509-standardcertifikat som används för säker signering av alla token som federationsservern utfärdar och som Office 365 accepterar och validerar.	Tokensigneringscertifikatet måste innehålla en privat nyckel, och det bör vara kopplat till en betrodd rot i federationstjänsten. AD FS 2.0 skapar som standard ett självsignerande certifikat. Beroende på din organisations behov kan du dock ändra detta senare till ett CA-utfärdat certifikat genom att använda AD FS 2.0 Management-snapin-modulen. Rekommendation: Använd det självsignerade tokensigneringscertifikatet som genererades av AD FS 2.0. Genom att göra så klarar AD FS 2.0 av att hantera detta certifikatet för dig automatiskt. Om det här certifikatet t.ex. håller på att upphöra att gälla kommer AD FS 2.0 att generera ett nytt självsignerat certifikat som kan användas i god tid.

Varning:

Tokensigneringscertifikatet är av avgörande betydelse för federationstjänstens stabilitet. Ifall det ändras behöver inte Office 365 meddelas om ändringen. I annat fall kommer förfrågningarna tillOffice 365 att misslyckas. Därför rekommenderar vi att du laddar ner och konfigurerar Microsoft Office 365 Federation Metadata Update Automation Installation Tool, som automatiskt övervakar och uppdaterar Office 365-federationens metadata regelbundet. Därigenom replikeras eventuella ändringar som görs i det tokensignerade certifikatet i AD FS 2.0-federationstjänsten till Office 365 automatiskt. Allmän information om att hantera certifikat i AD FS 2.0 federationsservergruppen och Office 365 finns i Uppdatera förtroendeegenskaper.

Att konfigurera följande nätverkstjänster korrekt är av avgörande betydelse för att AD FS 2.0 ska distribueras på ett bra sätt i din organisation.

För att AD FS 2.0 ska fungera måste varje dator som fungerar som en federationsserver ha anslutits till en domän. Federationsproxyservrar kan anslutas till en domän, men det är inte ett krav.

1. På den datorn som du vill ansluta till en domän klickar du på Start, klickar på Kontrollpanelen och dubbelklickar sedan på System.

2. Under Datornamn, domän och arbetsgruppsinställningar klickar du på Ändra inställningar.

3. På fliken Datornamn klickar du på Ändra.

4. Under Medlem i klickar du på Domän, skriver namnet på den domän som datorn ska anslutas till, och klickar sedan på OK.

5. Klicka på OK, och starta sedan om datorn.

För att klienter i företagets nätverk ska lyckas ansluta till federationstjänsten måste först en värderesurspost (A) skapas i företagets Domain Name System (DNS) som löser kluster-DNS-namnet för federationstjänsten (t.ex. fs.fabrikam.com) till kluster-IP-adressen i företagets nätverk (t.ex. 172.16.1.3). Du kan använda följande procedur när du ska lägga till en värderesurspost (A) till företagets DNS för NLB-klustret.

1. På en DNS-server för företagets nätverk öppnar du DNS-snapin-modulen.

2. I konstolträdet högerklickar du i zonen för vanlig sökning (t.ex. fabrikam.com) och klickar sedan på Ny värd (A eller AAAA).

3. I rutan Namn skriver du datorns namn i federationsserverklustret, t.ex. FQDN-namnet fs.fabrikam.com, och skriver fs.

4. I IP-adress skriver du federationsserverns eller federationsserverklustrets IP-adress, t.ex. 172.16.1.3.

5. Klicka på Lägg till värd.

   Viktigt!
   Vi förutsätter att du använder en DNS-server och kör Windows 2000 Server, Windows Server 2003 eller Windows Server 2008 med DNS Server-tjänsten för att kontrollera DNS-zonen.

När du har hämtat ett serverautentiseringscertifikat från en certifikatsutfärdare måste du installera certifikatet manuellt på standardwebbplatsen för varje federationsserver i klustret.

Eftersom det här certifikatet måste vara betrott av klienterna till AD FS 2.0, bör du använda ett SSL-certifikat som har utfärdats av en offentlig (tredjeparts) certifikatsutfärdare eller av en certifikatsutfärdare som är underställd en offentligt betrodd rot, t.ex. VeriSign eller Thawte. Mer information om hur du installerar ett certifikat från en offentlig certifikatsutfärdare finns i IIS 7.0: Begära ett Internet-servercertifikat.

Obs!

Ämnesnamnet för det här certifikatet för serverautentisering måste överensstämma med FQDN-namnet för klustrets DNS-namn (t.ex. fs.fabrikam.com) som du skapade tidigare på NLB-värden. Om Internet Information Services (IIS) inte har installerats måste du installera IIS först för att slutföra den här uppgiften. När du installerar IIS första gången rekommenderar vi att du använder standardfunktionsalternativen under installationen av serverrollen.

1. Klicka på Start, peka på Alla program, peka på Administrationsverktyg och klicka sedan på Internet Information Services (IIS) Manager.

2. Klicka på Datornamn i konsolträdet.

3. Dubbelklicka på Servercertifikat i mittrutan.

4. Klicka på Importera i fönstret Åtgärder.

5. Klicka på knappen … i dialogrutan Importera certifikat.

6. Bläddra till platsen för pfx-certifikatsfilen, markera den och klicka sedan på Öppna.

7. Skriv ett lösenord för certifikatet och klicka sedan på OK.

För att konfigurera en federationsserverklustermiljö i AD FS 2.0 måste du skapa och konfigurera ett dedikerat tjänstkonto i Active Directory där klustret kommer att ligga. Detta dedikerade tjänstkonto är nödvändigt för att garantera att alla resurser som krävs av AD FS 2.0-klustret beviljas åtkomst till var och en av federationsservrarna i klustret.

Du konfigurerar sedan varje federationsserver i klustret så att de använder samma tjänstekonto. Exempel: Om tjänstekontot som skapades var fabrikam\ADFS2SVC, måste varje dator som du konfigurerar för federationsserverrollen, och som kommer att delta i samma kluster, ange fabrikam\ADFS2SVC vid det här steget i federationsserverkonfigurationsguiden för att klustret ska fungera.

Obs!
Du måste genomföra åtgärderna i den här proceduren endast en gång för hela federationsserverklustret. Senare, när du skapar en federationsserver genom att använda federationsserverkonfigurationsguiden för AD FS 2.0 måste du ange detta samma konto på guidesidan Tjänstkonto för varje federationsserver i klustret.

1. Skapa ett dedikerat användar-/tjänstkonto i den Active Directory-skog du kommer att använda i din organisation.

2. Redigera användarkontoegenskaperna, och markera kryssrutan Lösenordet upphör aldrig att gälla. Den här åtgärden garanterar att detta tjänstekontot aldrig avbryts som ett resultat av att domänlösenordet måste ändras.

   Obs!
   Om du behöver ändra lösenordet för kontot med jämna mellanrum kan du läsa mer i Konfigurera avancerade alternativ för AD FS 2.0. Om du använder nätverkstjänstkontot för detta dedikerade konto kan det leda till slumpmässiga fel när åtkomstförsök görs via integrerad Windows-autentisering, som ett resultat av att Kerberos biljett inte valideras från en server till en annan.

AD FS 2.0 måste installeras på en dator som du förbereder för federationsserverrollen. Du kan installera det här programmet antingen genom att använda installationsguiden för AD FS 2.0 eller genom att använda en kommandoradsparameter. Mer information om denna parameter finns i AD FS 2.0 Distributionsguide.

Se till att slutföra installationsprocessen genom att installera alla nödvändiga snabbkorrigeringar på varje federationsserverdator, så som anges i det sista steget i den är proceduren.

1. Hämta programpaketet för AD FS 2.0 för din specifika operativsystemsinformation (antingen Windows Server 2008 eller Windows Server 2008 R2) genom att spara konfigurationsfilen AdfsSetup.exe på datorn. Du hämtar denna fil genom att gå till Active Directory Federation Services 2.0 RTW.

2. Sök efter konfigurationsfilen AdfsSetup.exe som du hämtade till datorn och dubbelklicka på den sedan.

3. Klicka på Nästa på sidan Välkommen till AD FS 2.0-konfigurationsguiden.

4. Läs licensvillkoren på sidan Licensavtal för slutanvändare.

5. Om du samtycker till villkoren markerar du kryssrutan Jag accepterar villkoren i licensavtalet och klickar sedan på Nästa.

6. Klicka på Federationsserver på sidan Serverroll och klicka sedan på Nästa.

7. På sidan Slutförde installationsguiden för AD FS 2.0 klickar du på Slutför.

   Viktigt!
   I vissa situationer kan installationen av AD FS 2.0 kräva en omstart (t.ex. när beroende snabbkorrigeringar har installerats).

8. Installera alla snabbkorrigeringar som visas i Beskrvning av samlad uppdatering 1 för Active Directory Federation Services (AD FS) 2.0.

Du kan använda följande procedur när du ska konfigurera datorn att bli den första federationsservern i ett nytt federationsserverkluster med federationsserverkonfigurationsguiden för AD FS 2.0.

Medlemskap i Domänadministratörer, eller ett delegerat domänkonto som har beviljats skrivbehörighet till programdatabehållaren i Active Directory, är den minsta åtkomstbehörighet som krävs för att den här proceduren ska kunna slutföras.

1. När programinstallationen för AD FS 2.0 är klar klickar du på Start, sedan på Administrationsverktyg och därefter på AD FS 2.0 Management för att öppna Management snapin-modulen AD FS 2.0.

2. Klicka på AD FS 2.0 Federation Server Configuration Wizard på sidan Översikt.

3. På sidan Välkommen verifierar du att Create a new Federation Service har markerats och klickar sedan på Nästa.

4. På sidan Select Stand-Alone or Farm Deployment klickar du på New federation server farm och sedan på Nästa.

5. På sidan Specify the Federation Service Name verifierar du att det SSL-certifikat som visas matchar namnet på det certifikat som importerades till standardwebbplatsen i IIS nyligen. Om detta inte är korrekt certifikat väljer du rätt certifikat i listan SSL-certifikat.

   Obs!
   Guiden tillåter inte att du åsidosätter certifikatet om ett SSL-certifikat har konfigurerats för IIS. Detta garanterar att eventuellt tidigare IIS-konfiguration för SSL-certifikat bevaras. Om du vill ta dig förbi det här hindret kan du gå tillbaka och importera certifikatet till IIS-standardwebbplatsen igen.

6. Om du tidigare har återinstallerat AD FS på den här datorn så kan sidan Existing AD FS Configuration Database Detected visas. Om den sidan visas klickar du på Ta bort databas och sedan på Nästa.

7. På sidan Specify a Service Account klickar du på Bläddra. I dialogrutan Bläddra söker du efter det domänkonto som ska användas som tjänstkonto i detta nya federationsserverkluster och klickar på OK. Skriv lösenordet för detta konto, bekräfta det och klicka sedan på Nästa.

   Obs!
   Mer information om det tjänstkonto som skapades tidigare i den här artikeln finns i Skapa ett dedicerat tjänstkonto för federationsserverklustret.

8. Granska detaljerna på sidan Inställningarna är klara att tillämpas. Om inställninarna verkar vara korrekta klickar du på Nästa och börja konfigurera AD FS 2.0 med dessa inställningar.

9. Granska resultaten på sidan Konfigurationsresultat. När alla stegen i konfigurationsprocessen är klara avslutar du guiden genom att klicka på Stäng.

Obs!

När du slutför stegen i den här proceduren öppnas AD FS 2.0 Management snapin-modulen automatiskt och följande meddelanden visas: Nödvändig konfiguration är ofullständig och Lägg till en betrodd part. Du kan ignorera dessa meddelanden. En betrodd part för Office 365 kommer att läggas till i ett senare steg. Mer information finns i Installera Windows PowerShell för enkel inloggning. När väl det här steget har slutförts försvinner meddelandet från AD FS 2.0 Management snapin-modulen.

Efter det att du har installerat programmet AD FS 2.0 och konfigurerat det nödvändiga certifikatet på en dator, är du klar att konfigurera datorn till en federationsserver. Du kan använda följande procedur för att ansluta en dator till ett nytt federationsserverkluster.

Du ansluter en dator till klustret med federationsserverkonfigurationsguiden för AD FS 2.0. När du använder den här guiden för att ansluta en dator till ett befintligt kluster konfigureras datorn som en skrivskyddad kopia av AD FS 2.0-konfigurationsdatabasen och den måste ta emot uppdateringar från en primär federationsserver.

1. När programinstallationen för AD FS 2.0 är klar klickar du på Start, sedan på Administrationsverktyg och därefter på AD FS 2.0 Management för att öppna Management snapin-modulen AD FS 2.0.

2. Klicka på AD FS 2.0 Federation Server Configuration Wizard på sidan Översikt eller i fönstret Åtgärder pane.

3. På sidan Välkommen verifierar du att Add a federation server to an existing Federation Service har markerats och klickar sedan på Nästa.

4. Om den AD FS 2.0-databas som du valde redan finns visas sidan Existing AD FS Configuration Database Detected. Om det inträffar klickar du på Ta bort databas och klickar på Nästa.

   Varning:
   Välj det här alternativet endast om du är säker på att informationen i den här AD FS 2.0-databasen inte är viktigt eller att den inte används i något produktionsfederationsserverkluster.

5. På sidan Specify the Primary Federation Server and Service Account, under Primary federation server name, skriver du den primära federationsserverns datornamn och klickar sedan på Bläddra. I dialogrutan Bläddra söker du efter det domänkonto som används som tjänstkonto av alla andra federationsservrar i det befintliga federationsserverklustret, och klickar sedan på OK. Skriv lösenordet och bekräfta det, och klicka sedan på Nästa.

   Obs!
   Mer information om det tjänstkonto som skapades tidigare i den här artikeln finns i Skapa ett dedicerat tjänstkonto för federationsserverklustret.

6. Granska detaljerna på sidan Inställningarna är klara att tillämpas. Om inställninarna verkar vara korrekta klickar du på Nästa och börja konfigurera AD FS 2.0 med dessa inställningar.

7. Granska resultaten på sidan Konfigurationsresultat. När alla stegen i konfigurationsprocessen är klara avslutar du guiden genom att klicka på Stäng.

Du kan använda följande procedurer för att verifiera att en federationsserver fungerar, dvs att en klient i samma nätverk kan nå den nya federationsservern.

1. Logga in på en klientdator som finns i samma skog som federationsservern.

2. Öppna ett webbläsarfönster. I adressfältet skriver du federationsserverns DNS-värdnamn, och lägger sedan till /FederationMetadata/2007-06/FederationMetadata.xml för den nya federationsservern, t.ex.:

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Tryck på RETUR och slutför sedan nästa procedur på federationsserverdatorn. Om du ser meddelandet Ett problem har uppstått med den här webbplatsens säkerhet klickar du på Fortsätt till denna webbplats.

   Förväntade utdata är en XML-sida med tjänstbeskrivningsdokumentet. Om den här sidan visas fungerar IIS på federationsservern som den ska.

1. Logga in till den nya federationsservern som administratör.

2. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Loggboken.

3. Dubbelklicka på Program- och tjänstloggar i informationsfönstret, dubbelklicka på AD FS 2.0 Eventing och klicka sedan på Admin.

4. I kolumnen Händelse-ID söker du efter ID 100. Om federationsservern har konfigurerats korrekt ser du en ny händelse i loggen Program i loggboken, med händelse-ID 100. Denna händelse verifierar att federationsservern lyckades kommunicera med federationstjänsten.

Tillbaka till början

För att federationsproxyservern ska fungera som förväntat i perimeternätverket måste du lägga till en post till värdfilen på varje federationsproxyserverdator som pekar till kluster-DNS-namnet i företagsnätverket (t.ex. fs.fabrikam.com) och dess IP-adress (t.ex. 172.16.1.3). När du lägger till den här posten till värdfilen aktiveras federationsproxyservern så att den kan dirigera klient-initierade anrop till en federationsserver innanför eller utanför perimeternätverket.

1. Navigera till katalogen %systemroot%\Winnt\System32\Drivers och sök efter filen hosts.

2. Starta Anteckningar och öppna sedan filen hosts file.

3. Lägg till IP-adressen och federationsserverns värdnamn i filen hosts så som visas i följande exempel

   172.16.1.3             fs.fabrikam.com

4. Spara och stäng filen.

Viktigt!
Om kluster-IP-adressen på NLB-värden i företagsnätverket ändras måste du uppdatera den lokala hosts-filen på varje enskild federationsproxyserver.

För att kunna betjäna autentiseringsförfrågningar från klienter innanför eller utanför perimeternätverket kräver AD FS 2.0 att namnmatchning konfigureras på externt inriktade DNS-servrar som hyser organisationens zon (t.ex. fabrikam.com).

För att kunna göra detta lägger du till en Host (A) Resource Record till den externt inriktade DNS-server som enbart betjänar perimeternätverket för det kluster-DNS-namn (t.ex. “fs.fabrikam.com”) som pekar på den externa kluster-IP-adress som just har konfigurerats.

1. Gå till en DNS-server i perimeternätverket, öppna DNS-snapin-modulen. Klicka på Start, peka på Administrationsverktyg, och klicka sedan på DNS.

2. I konsolträdet högerklickar du på zonen för vanlig sökning (t.ex. fabrikam.com), och klickar sedan på New Host (A or AAAA).

3. I rutan Namn skriver du bara namnet på det kluster-DNS-namn som du specificerade på NLB-värden i perimeternätverket (detta borde vara DNS-namn som namnet på federationstjänsten. Exempel: för fs.fabrikam.com, skriver du fs.

4. I fältet IP-adress skriver du IP-adressen för den nya kluster-IP-adress som du specificerade på NLB-värden i perimeternätverket. Exempel: 192.0.2.3.

5. Klicka på Lägg till värd.

När du har hämtat ett serverautentiseringscertifikat som används av någon federationsserver i företagsnätverket måste du installera certifikatet manuellt på standardwebbplatsen för varje federationsserver i klustret.

Eftersom det här certifikatet måste vara betrott av klienterna till AD FS 2.0, bör du använda ett SSL-certifikat som har utfärdats av en offentlig (tredjeparts) certifikatsutfärdare eller av en certifikatsutfärdare som är underställd en offentligt betrodd rot, t.ex. VeriSign eller Thawte. Mer information om hur du installerar ett certifikat från en offentlig certifikatsutfärdare finns i IIS 7.0: Begära ett Internet-servercertifikat.

Obs!

Ämnesnamnet för det här certifikatet för serverautentisering måste överensstämma med FQDN-namnet för klustrets DNS-namn (t.ex. fs.fabrikam.com) som du skapade tidigare på NLB-värden. Om Internet Information Services (IIS) inte har installerats måste du installera IIS först för att slutföra den här uppgiften. När du installerar IIS första gången rekommenderar vi att du använder standardfunktionsalternativen under installationen av serverrollen.

1. Klicka på Start, peka på Alla program, peka på Administrationsverktyg och klicka sedan på Internet Information Services (IIS) Manager.

2. Klicka på Datornamn i konsolträdet.

3. Dubbelklicka på Servercertifikat i mittrutan.

4. Klicka på Importera i fönstret Åtgärder.

5. Klicka på knappen … i dialogrutan Importera certifikat.

6. Bläddra till platsen för pfx-certifikatsfilen, markera den och klicka sedan på Öppna.

7. Skriv ett lösenord för certifikatet och klicka sedan på OK.

AD FS 2.0 måste installeras på en dator som du förbereder för federationsserverrollen. Du kan installera det här programmet antingen genom att använda installationsguiden för AD FS 2.0 eller genom att använda en kommandoradsparameter. Mer information om denna parameter finns i AD FS 2.0 Distributionsguide.

Se till att slutföra installationsprocessen genom att installera alla nödvändiga snabbkorrigeringar på varje federationsproxyserver, så som anges i det sista steget i den är proceduren.

1. Hämta programpaketet för AD FS 2.0 för din specifika operativsystemsinformation (antingen Windows Server 2008 eller Windows Server 2008 R2) genom att spara konfigurationsfilen AdfsSetup.exe på datorn. Du hämtar denna fil genom att gå till Active Directory Federation Services 2.0 RTW.

2. Sök efter konfigurationsfilen AdfsSetup.exe som du hämtade till datorn och dubbelklicka på den sedan.

3. Klicka på Nästa på sidan Välkommen till AD FS 2.0-konfigurationsguiden.

4. Läs licensvillkoren på sidan Licensavtal för slutanvändare.

5. Om du samtycker till villkoren markerar du kryssrutan Jag accepterar villkoren i licensavtalet och klickar sedan på Nästa.

6. Klicka på Federationsproxyserver på sidan Serverroll och klicka sedan på Nästa.

7. På sidan Slutförde installationsguiden för AD FS 2.0 verifierar du att kryssrutan Start the AD FS 2.0 Federation Server Proxy Configuration Wizard when this wizard closes har markerats och klickar på Slutför för att starta om datorn.

   Viktigt!
   I vissa situationer kan AD FS 2.0 kräva att datorn startas om (t.ex. när snabbkorrigeringar har installerats). Markera i så fall kryssrutanStarta om nu på sidan Slutförde installationsguiden för AD FS 2.0 och klicka sedan på Slutför för att starta om datorn.

8. Installera alla snabbkorrigeringar som visas i Beskrvning av samlad uppdatering 1 för Active Directory Federation Services (AD FS) 2.0.

Efter det att du har konfigurerat en dator med de nödvändiga certifikaten och har installerat programmet AD FS 2.0 är du klar att konfigurera datorn till en federationsproxyserver. Du kan använda följande procedur så att datorn fungerar i rollen som federationsproxyserver.

Viktigt!

Innan du använder den här proceduren för att konfigurera federationsproxyserverdatorn bör du kontrollera att du har följt alla stegen i checklistan som tillhandahållits i Distribuera ditt federationsserverkluster i den ordning de är listade. Se till att minst en federationsserver har distribuerats och att alla nödvändiga autentiseringsuppgifter för konfiguration av federationsproxyserver har implementerats. Du måste också konfigurera SSL-bindningar på standardwebbplatsen. I annat fall startar inte den här guiden. Alla dessa uppgifter måste avslutas innan denna federationsproxyserver kan fungera.

1. På sidan Slutförde installationsguiden för AD FS 2.0 i installationsguiden för AD FS 2.0 har kryssrutan Start the AD FS 2.0 Federation Server Proxy Configuration Wizard when this wizard closes markerats som standard. Starta guiden och klicka på Nästa på sidan Välkommen.

2. På sidan Ange federationstjänstnamn, under Federationstjänstnamn, skriver du det namn som representerar den federationstjänst för vilken den här datorn ska fungera som proxy (t.ex. fs.fabrikam.com).

3. Utifrån dina specifika nätverkskrav bestämmer du om du behöver använda en HTTP-proxyserver för att vidarebefordra förfrågningar till federationstjänsten. Om så är fallet markerar du kryssrutan Use an HTTP proxy server when sending requests to this Federation Service och skriver proxyserverns adress under HTTP proxy server address och klickar sedan på Test Connection för att testa anslutningen och klickar sedan på Nästa.

4. Ange dina autentiseringsuppgifter när du uppmanas till detta, så att ett förtroende kan upprättas mellan federationsproxyservern och federationstjänsten.

   Som standard kan bara det tjänstkonto som används av federationstjänsten eller en medlem av den lokala BUILTIN\Administrators-gruppen auktorisera en federationsproxyserver.

5. Granska detaljerna på sidan Inställningarna är klara att tillämpas. Om inställningarna verkar vara korrekta klickar du på Nästa och börja konfigurera Active_Directory_Federation_Services_2.0_2nd med dessa inställningar.

6. Granska resultaten på sidan Konfigurationsresultat. När alla stegen i konfigurationsprocessen är klara avslutar du guiden genom att klicka på Stäng.

När du är klar med konfigurationen av datorn måste du verifiera att federationsproxyservern fungerar som förväntat.

Du kan använda följande procedur för att verifiera att federationsproxyservern kan kommunicera med federationstjänsten i AD FS 2.0. Du kör den här proceduren efter det att du har kört AD FS 2.0 Federation Server Proxy Configuration Wizard för att konfigurera datorn i rollen som federationsproxyserver. Mer information om hur du kör den här guiden finns i Konfigurera en dator för federationsproxyserverroll.

Obs!
Resultatet av det här testet är att en särskild händelse genereras i Loggboken på federationsproxyserverdatorn.

1. Logga in till den nya federationsproxyservern som administratör.

2. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Loggboken.

3. Dubbelklicka på Program- och tjänstloggar i informationsfönstret, dubbelklicka på AD FS 2.0 Eventing och klicka sedan på Admin.

4. I kolumnen Händelse-ID söker du efter ID 198.

   Om federationsproxyservern har konfigurerats korrekt visas en ny händelse i loggen Program i Loggboken med händelse-ID 198. Denna händelse verifierar att federationsproxyservertjänsten har startats och nu är online.

Tillbaka till början

Om du vill ha en allmän översikt, utvärderingar eller avancerad felsökningsinformation om AD FS 2.0 kan du använda dig av följande referenslänkar:

• Hjälp om AD FS 2.0
  
• Steg-för-steg-vägledningar och Hur gör jag-guider till AD FS 2.0
  
• Felsökningsguide för AD FS 2.0
  

Om du funderar på att distribuera en mer komplex AD FS 2.0-infrastruktur än vad som har diskuterats i den här artikeln kan du ha nytta av den mer avancerade planerings- och distributionsinformationen i följande referenslänkar.

• AD FS 2.0 Design Guide
  
• AD FS 2.0 Distributionsguide
  
• Beskrivning av samlad uppdatering 2 för Active Directory Federation Services (AD FS) 2.0
  
• Planera för AD FS 2.0-serverkapacitet
  
• Konfigurera avancerade alternativ för AD FS 2.0
  

Tillbaka till början