Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jeśli zamierzasz skonfigurować środowisko farmy serwerów federacyjnych w usługach Active Directory Federation Services (AD FS), należy utworzyć i skonfigurować dedykowane konto usługi w usługach Active Directory Domain Services (AD DS), w których będzie znajdować się farma. Następnie skonfigurujesz każdy serwer federacyjny w farmie, aby używał tego konta. Należy wykonać następujące zadania w organizacji, jeśli chcesz zezwolić komputerom klienckim w sieci firmowej na uwierzytelnianie do dowolnego z serwerów federacyjnych w farmie usług AD FS przy użyciu zintegrowanego uwierzytelniania systemu Windows.
Important
Od usług AD FS 3.0 (Windows Server 2012 R2), usługi AD FS obsługują korzystanie z konta usługi zarządzanej przez grupę (gMSA) jako konta usługi. Jest to zalecana opcja, ponieważ eliminuje potrzebę zarządzania hasłem konta usługi w czasie. W tym dokumencie opisano alternatywny przypadek użycia tradycyjnego konta usługi, na przykład w domenach, w których nadal działa system Windows Server 2008 R2 lub starszy poziom funkcjonalności domeny (DFL).
Note
W tej procedurze należy wykonać zadania tylko raz dla całej farmy serwerów federacyjnych. Później, podczas tworzenia serwera federacyjnego przy użyciu kreatora konfiguracji serwera federacyjnego usług AD FS, należy określić to samo konto na stronie kreatora konta usługi na każdym serwerze federacyjnym w farmie.
Tworzenie dedykowanego konta usługi
Utwórz dedykowane konto użytkownika/usługi w lesie Active Directory znajdującym się w organizacji dostawcy tożsamości. To konto jest niezbędne do działania protokołu uwierzytelniania Kerberos w scenariuszu farmy oraz do umożliwienia uwierzytelniania przekazywanego na każdym z serwerów federacyjnych. Użyj tego konta tylko do celów farmy serwerów federacyjnych.
Edytuj właściwości konta użytkownika i zaznacz pole wyboru Hasło nigdy nie wygasa . Ta akcja gwarantuje, że funkcja tego konta usługi nie zostanie przerwana w wyniku wymagań dotyczących zmiany hasła domeny.
Note
Użycie konta Network Service dla tego dedykowanego konta spowoduje losowe błędy podczas prób uzyskania dostępu za pośrednictwem zintegrowanego uwierzytelniania w systemie Windows, ponieważ bilety Kerberos nie są weryfikowane pomiędzy serwerami.
Aby ustawić SPN konta usługi
Ponieważ tożsamość puli aplikacji dla AD FS AppPool jest uruchomiona jako konto użytkownika domeny, należy skonfigurować nazwę główną usługi (SPN) dla tego konta w domenie za pomocą narzędzia wiersza poleceń Setspn.exe. Setspn.exe jest instalowany domyślnie na komputerach z systemem Windows Server 2008 . Uruchom następujące polecenie na komputerze przyłączonym do tej samej domeny, w której znajduje się użytkownik/konto usługi:
setspn -a host/<server name> <service account>Na przykład w scenariuszu, w którym wszystkie serwery federacyjne są klastrowane pod nazwą hosta systemu nazw domen (DNS) fs.fabrikam.com, a nazwa konta usługi przypisanego do puli aplikacji AD FS to adfs2farm, wpisz następujące polecenie, a następnie naciśnij ENTER:
setspn -a host/fs.fabrikam.com adfs2farmTo zadanie należy wykonać tylko raz dla tego konta.
Po zmianie tożsamości puli aplikacji usług AD FS na konto usługi skonfiguruj listy kontroli dostępu (ACL) w bazie danych programu SQL Server, aby przyznać nowe konto dostęp do odczytu, co umożliwi puli aplikacji usług AD FS odczyt danych zasad.