共用方式為

設定同盟伺服器

在計算機上安裝 Active Directory 同盟服務 (AD FS) 角色服務之後,您就可以準備將此電腦設定為成為同盟伺服器。 您可以執行下列其中一個步驟:

在新的同盟伺服器陣列中設定第一部同盟伺服器

使用 Active Directory 同盟服務組態精靈,在新的同盟伺服器陣列中設定第一部同盟伺服器

Note

在執行此程式之前,請確定您具有網域系統管理員許可權或具有網域系統管理員認證。

  1. 在 [伺服器管理員 儀表板] 頁面上,按一下 [通知] 旗標,然後按一下 [在伺服器上設定同盟服務]。

    Active Directory 同盟服務組態精靈 隨即開啟。

  2. 在 [ 歡迎使用 ] 頁面上,選取 [ 在同盟伺服器陣列中建立第一個同盟伺服器陣列],然後按一下 [ 下一步]。

  3. 在 [連線到 AD DS] 頁面上,使用已加入這部計算機的 Active Directory (AD) 網域的網域系統管理員許可權來指定帳戶,然後按 [下一步]

  4. [指定服務屬性] 頁面上,執行下列動作,然後按 下一步

    • 匯入 .pfx 檔案,其中包含您稍早取得的安全套接字層 (SSL) 憑證和密鑰。 在 步驟 2:註冊 AD FS 的 SSL 憑證中,您已取得此憑證,並將它複製到您想要設定為同盟伺服器的計算機。 若要透過精靈匯入 .pfx 檔案,請按一下 [匯入],然後瀏覽至檔案的位置。 出現提示時,請輸入 .pfx 檔案的密碼。

    • 為您的同盟服務提供一個名稱。 例如, fs.contoso.com。 此名稱必須符合憑證中的其中一個主體或主體別名。

    • 提供同盟服務的顯示名稱。 例如, Contoso Corporation。 使用者會在 Active Directory 同盟服務 (AD FS) 登入頁面上看到此名稱。

  5. 在 [指定服務帳戶] 頁面上,設定服務帳戶。 您可以建立或使用現有的群組受控服務帳戶(gMSA),或使用現有的網域用戶帳戶。 如果您選取建立新 gMSA 帳戶的選項,請指定新帳戶的名稱。 如果您選取使用現有 gMSA 或網域帳戶的選項,請按兩下 [選取] 以選取帳戶。

    Note

    使用 gMSA 帳戶的優點是其自動交涉的密碼更新功能。

    Warning

    如果您想要使用 gMSA 帳戶,您的環境中必須至少有一個執行 Windows Server 2012作系統的域控制器。

    如果 gMSA 選項已停用,而且您看到錯誤訊息,例如 群組受管理的服務帳戶無法使用,因為 KDS 根密鑰尚未設定,您可以在網域中啟用 gMSA,方法是在執行 Windows Server 2012 或更新版本的域控制器上執行下列 Windows PowerShell 命令來啟用 gMSA。 在您的 Active Directory 網域中:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。 然後返回精靈,按一下 [ 上一個],然後按一下 [ 下一步 ] 以重新進入 [指定服務帳戶] 頁面。 現在應該啟用 gMSA 選項。 您可以選取它,然後輸入您想要使用的 gMSA 帳戶名稱。

  6. 指定組態資料庫 頁面上,指定 AD FS 組態資料庫,然後按一下 下一步。 您可以使用 Windows 內部資料庫 (WID) 在此電腦上建立資料庫,也可以指定 Microsoft SQL Server 的位置和實例名稱。

    如需詳細資訊,請參閱 The Role of the AD FS Configuration Database

    Important

    如果您想要建立 AD FS 伺服器陣列並使用 SQL Server 來儲存組態數據,您可以使用 SQL Server 2008 和更新版本,包括 SQL Server 2012 和 SQL Server 2014。

  7. 在 [ 檢閱選項] 頁面上,驗證您的組態選取項目,然後按一下 [下一步]。

  8. [ 先決條件檢查 ] 頁面上,確認所有先決條件檢查都已順利完成,然後按一下 [ 設定]。

  9. [結果] 頁面上,檢閱結果並檢查設定是否已成功完成,然後按一下 [ 完成同盟服務部署所需的後續步驟]。 如需詳細資訊,請參閱 完成 AD FS 安裝的後續步驟。 按一下 [關閉] 以結束精靈。

若要透過 Windows PowerShell 在新的同盟伺服器陣列中設定第一部同盟伺服器

您可以使用新的或現有的 gMSA 帳號或現有的網域使用者帳號來建立新的同盟伺服器陣列。

  • 如果您想要使用新的 gMSA 帳戶建立新的同盟伺服器,請執行下列動作:

    Important

    您必須具有網域系統管理員許可權,才能在新同盟伺服器陣列中建立第一個同盟伺服器。

    1. 在您要設定為同盟伺服器的計算機上,確定必要的 SSL 憑證已匯入本機電腦\My Store 目錄。 您可以在 Windows PowerShell 命令視窗中執行下列命令,以確認是否已匯入 SSL 憑證:dir Cert:\LocalMachine\My。 憑證會依其指紋列在 本機電腦\我的存放區 目錄中。

    2. 在您的域控制器上,開啟 [Windows PowerShell] 命令視窗,然後執行下列命令來確認是否已在您的網域中建立 KDS 根密鑰:Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。 如果尚未建立機碼,導致輸出沒有顯示任何資訊,請執行以下命令來建立機碼:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

    3. 在您要設定為同盟伺服器的計算機上,開啟 Windows PowerShell 命令視窗,然後執行下列命令:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      Warning

      需要上一個命令結尾處的 $ 符號。

      若要取得 <certificate_thumbprint>的值,請執行 dir Cert:\LocalMachine\My,然後選取 SSL 憑證的指紋。 的 <federation_service_name> 值是同盟服務的名稱,例如 fs.contoso.com

      Note

      如果這不是您第一次執行此命令,請新增 OverwriteConfiguration 參數。

      Note

      上一個命令會建立 WID 伺服器陣列。 如果您想要建立 SQL Server 伺服器陣列,您必須已安裝並運作 SQL Server 的實例。

      您可以使用下列命令,在使用 SQL Server 實例的新伺服器陣列中建立第一個同盟伺服器:Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" 其中 <SQL_Host_Name> 是 SQL Server 執行所在伺服器的名稱,而 <SQL_instance_name> 是 SQL Server 實例的名稱。 如果您使用 SQL Server 的預設實例,請使用 SQLConnectionString 值 “Data Source=<SQL_Host_Name>;整合安全性=True」。

      Important

      如果您想要建立 AD FS 伺服器陣列並使用 SQL Server 來儲存組態數據,您可以使用 SQL Server 2008 和更新版本,包括 SQL Server 2012。

  • 如果您想要使用現有的網域用戶帳戶建立新的同盟伺服器,請執行下列動作:

    1. 在您要設定為同盟伺服器的計算機上,確定必要的 SSL 憑證已匯入本機電腦\My Store 目錄。 您可以在 Windows PowerShell 命令視窗中執行下列命令,以確認是否已匯入 SSL 憑證:dir Cert:\LocalMachine\My。 憑證會依其指紋列在 本機電腦\我的存放區 目錄中。

    2. 在您想要設定為同盟伺服器的電腦上,開啟 Windows PowerShell 命令視窗,然後執行下列命令:$fscred = Get-Credential。 以 domain\user name 格式輸入您想要用於同盟服務帳戶的網域使用者帳戶認證。

    3. 在相同的 Windows PowerShell 命令視窗中,執行下列命令:

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      若要取得 <certificate_thumbprint>的值,請執行 dir Cert:\LocalMachine\My,然後選取 SSL 憑證的指紋。 <federation_service_name> 的值是您的同盟服務名稱,例如,fs.contoso.com。

      Note

      如果這不是您第一次執行此命令,請新增 OverwriteConfiguration 參數。

      Note

      上一個命令會建立 WID 伺服器陣列。 如果您想要建立 SQL Server 伺服器陣列,您必須已安裝並運作 SQL Server 的實例。

      您可以使用下列命令,在使用 SQL Server 執行個體的新伺服器陣列中建立第一個同盟伺服器: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" 其中 SQL_Host_Name 是執行 SQL Server 的伺服器名稱, 而 SQL_instance_name 是 SQL Server 執行個體的名稱。 如果您使用 SQL Server 的預設實例,請使用 SQLConnectionString 值 “Data Source=<SQL_Host_Name>;整合安全性=True」。

      Important

      如果您想要建立 AD FS 伺服器陣列並使用 SQL Server 來儲存組態數據,您可以使用 SQL Server 2008 和更新版本,包括 SQL Server 2012 和 SQL Server 2014。

將同盟伺服器新增至現有的同盟伺服器陣列

Important

請確定您已完成 步驟 3:安裝 AD FS 角色服務,再開始本節中的任何程序。

Important

完成此程式之前,請確定您已取得有效的 SSL 伺服器驗證憑證。

透過 Active Directory 同盟服務組態精靈將同盟伺服器新增至現有的同盟伺服器陣列

  1. 在 [伺服器管理員 儀表板] 頁面上,按一下 [通知] 旗標,然後按一下 [在伺服器上設定同盟服務]。

    Active Directory 同盟服務組態精靈 隨即開啟。

  2. 在 [ 歡迎使用 ] 頁面上,選取 [ 將同盟伺服器新增至同盟伺服器陣列],然後按一下 [ 下一步]。

  3. 在 [連線到 AD DS] 頁面上,使用已加入此電腦的 AD 網域網域的網域系統管理員許可權來指定帳戶,然後按兩下 [下一步]

  4. [指定伺服器陣列 ] 頁面上,提供使用 WID 之伺服器陣列中主要同盟伺服器的名稱,或指定資料庫主機名稱和使用 SQL Server 之現有同盟伺服器陣列的資料庫執行個體名稱。

    Warning

    在 Windows Server® 2012 R2 中,有一個因應措施可指定 SQL Server 的預設實例。 因應措施是不使用使用者介面。 請改用 中的步驟,透過 Windows PowerShell在新的同盟伺服器陣列中設定第一個同盟伺服器。

    Important

    如果您想要建立 AD FS 伺服器陣列並使用 SQL Server 來儲存組態數據,您可以使用 SQL Server 2008 和更新版本,包括 SQL Server 2012。

  5. 在 [指定 SSL 憑證 頁面上,匯入 .pfx 檔案,其中包含您先前取得的 SSL 憑證和密鑰。 此憑證是必要的服務驗證憑證。 在 步驟 2:註冊 AD FS 的 SSL 憑證中,您已取得此憑證,並將它複製到您想要設定為同盟伺服器的計算機。 若要透過精靈匯入 .pfx 檔案,請按一下 [匯入] ,然後瀏覽至檔案的位置。 出現提示時,請輸入 .pfx 檔案的密碼。

  6. 在 [指定服務帳戶] 頁面上,指定您在伺服器陣列中建立第一個同盟伺服器時所設定的相同服務帳戶。 您可以使用現有的群組受控服務帳戶或現有的網域用戶帳戶。

    Important

    您指定的帳戶必須與這個伺服器陣列中主要同盟伺服器上所使用的帳戶相同。

  7. 在 [ 檢閱選項] 頁面上,驗證您的組態選取項目,然後按一下 [下一步]。

  8. [ 先決條件檢查 ] 頁面上,確認所有先決條件檢查都已順利完成,然後按一下 [ 設定]。

  9. [結果] 頁面上,檢閱結果並檢查設定是否已成功完成,然後按一下 [ 完成同盟服務部署所需的後續步驟]。 如需詳細資訊,請參閱 完成 AD FS 安裝的後續步驟。 按一下 [關閉] 以結束精靈。

透過 Windows PowerShell 將聯盟伺服器新增至現有的聯盟伺服器陣列

您可以使用現有的 gMSA 帳戶或現有的網域用戶帳戶,將同盟伺服器新增至現有的伺服器陣列。

  • 如果您想要使用現有的 gMSA 帳戶將同盟伺服器加入伺服器陣列,請執行下列動作:

    1. 在您要設定為同盟伺服器的計算機上,確定必要的 SSL 憑證已匯入本機電腦\My Store 目錄。 您可以在 Windows PowerShell 命令視窗中執行下列命令,以確認是否已匯入 SSL 憑證:dir Cert:\LocalMachine\My。 憑證會依其指紋列在 本機電腦\我的存放區 目錄中。

    2. 在您想要設定為同盟伺服器的計算機上,開啟 Windows PowerShell 命令視窗,然後執行下列命令。

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> 是您 AD 網域,以及該網域中 gMSA 帳戶的名稱。 <first_federation_server_hostname> 是這個現有伺服器陣列中主要同盟伺服器的主機名稱。

      您可以在上一個步驟中執行 <certificate_thumbprint>,以取得 dir Cert:\LocalMachine\My 的值。

      Note

      如果這不是您第一次執行此命令,請新增 OverwriteConfiguration 參數。

      Note

      上一個命令會建立 WID 伺服器陣列節點。 如果您想要建立執行 SQL Server 之電腦的伺服器陣列節點,您必須已安裝並運作 SQL Server 的實例。

      您可以使用下列命令,將同盟伺服器新增至使用 SQL Server 執行個體的現有伺服器陣列: Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" 其中 SQL_Host_Name 是執行 SQL Server 的伺服器名稱, 而 SQL_instance_name 是 SQL Server 執行個體的名稱。 如果您使用 SQL Server 的預設實例,請使用 SQLConnectionString 值 “Data Source=<SQL_Host_Name>;整合安全性=True」。

      Important

      如果您想要建立 AD FS 伺服器陣列並使用 SQL Server 來儲存組態數據,您可以使用 SQL Server 2008 和更新版本,包括 SQL Server 2012 和 SQL Server 2014。

  • 如果您想要使用現有的網域用戶帳戶將同盟伺服器加入伺服器陣列,請執行下列動作:

    1. 在您想要設定為同盟伺服器的電腦上,開啟 Windows PowerShell 命令視窗,然後執行下列命令:$fscred = get-credential。 以 domain\user name 格式輸入您想要用於同盟服務帳戶的網域使用者帳戶認證。

    2. 在您要設定為同盟伺服器的計算機上,確定必要的 SSL 憑證已匯入本機電腦\My Store 目錄。 您可以在 Windows PowerShell 命令視窗中執行下列命令,以確認 SSL 憑證是否已匯入:dir Cert:\LocalMachine\My。 憑證會依其指紋列在 本機電腦\我的存放區 目錄中。

    3. 在相同的 Windows PowerShell 命令視窗中,執行下列命令。

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      Note

      如果這不是您第一次執行此命令,請新增 OverwriteConfiguration 參數。

      Note

      上一個命令會建立 WID 伺服器陣列節點。 如果您想要建立執行 SQL Server 之電腦的伺服器陣列節點,您必須已安裝並運作 SQL Server 的實例。 您可以使用下列命令,使用 SQL Server 執行個體將同盟伺服器新增至現有伺服器陣列: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" 其中 SQL_Host_Name 是執行 SQL Server 執行個體的伺服器名稱, SQL_instance_name 是 SQL Server 執行個體的名稱。 如果您使用 SQL Server 的預設實例,請使用 SQLConnectionString 值 “Data Source=<SQL_Host_Name>;整合安全性=True」。

      Important

      如果您想要建立 AD FS 伺服器陣列並使用 SQL Server 來儲存組態數據,您可以使用 SQL Server 2008 和更新版本,包括 SQL Server 2012 和 SQL Server 2014。

另請參閱

AD FS 部署

Windows Server 2012 R2 AD FS 部署指南

部署同盟伺服器陣列

  • Last updated on