安裝同盟服務角色服務並在計算機上安裝必要的憑證之後,您就可以設定計算機成為同盟伺服器。 您可以使用下列程式,使用AD FS 同盟伺服器組態精靈,將電腦設定為新同盟伺服器陣列中的第一部同盟伺服器。
在伺服器陣列中建立第一個同盟伺服器時,也會建立新的同盟服務,並使這部電腦成為主要同盟伺服器。 這表示此電腦將配置為可讀取和寫入的 AD FS 設定資料庫副本。 此伺服器陣列中的所有其他同盟伺服器都必須將主要同盟伺服器上所做的任何變更複寫到它們儲存在本機之 AD FS 組態資料庫的唯讀複本。 如需此複寫程式的詳細資訊,請參閱 AD FS 組態資料庫的角色。
Note
針對同盟 Web 單一登入 (SSO) 設計,您必須在帳戶夥伴組織中和資源夥伴組織中各擁有至少一部同盟伺服器。 如需詳細資訊,請參閱 放置同盟伺服器的位置。
Domain Admins 中的成員資格,或已授與 Active Directory 中 Program Data 容器寫入許可權的委派網域帳戶,是完成此程式所需的最低需求。
在同盟伺服器陣列中建立第一個同盟伺服器
有兩種方式可以啟動AD FS同盟伺服器設定精靈。 若要啟動精靈,請執行下列其中一項:
完成 [同盟服務角色服務安裝] 之後,開啟 [AD FS 管理] 嵌入式管理單元,然後在 [概觀] 頁面或 [動作] 窗格中按一下 [AD FS 同盟伺服器組態精靈] 連結。
安裝精靈完成後的任何時候,請開啟 Windows 檔案總管,流覽至 C:\Windows\ADFS 資料夾,然後按兩下 FsConfigWizard.exe。
在 [ 歡迎使用 ] 頁面上,確認已選取 [ 建立新的同盟服務 ],然後按一下 [下一步]。
在 [選取 Stand-Alone] 或 [伺服器陣列部署] 頁面上,按一下 [新增同盟伺服器陣列],然後按一下 [下一步 ]。
在 [[指定同盟服務名稱] 頁面上,確認顯示的 SSL 憑證 正確。 如果這不是正確的憑證,請從 SSL 憑證 清單中選取適當的憑證。
此憑證是從預設網站的安全套接字層 (SSL) 設定產生。 如果默認網站只設定了一個 SSL 憑證,則會顯示該憑證並自動選取以供使用。 如果已針對預設網站設定多個 SSL 憑證,則此處會列出所有這些憑證,您必須從其中選取。 如果沒有針對默認網站設定 SSL 設定,則會從本機電腦上個人證書存儲中可用的憑證產生清單。
Note
如果已為 IIS 設定 SSL 憑證,精靈將不允許您覆寫憑證。 這可確保保留任何先前針對 SSL 憑證的 IIS 組態。 若要解決此問題,您可以移除憑證,或使用 IIS 管理控制台手動重新設定憑證。
如果您選取的 AD FS 資料庫已經存在,[偵測到的現有 AD FS 組態資料庫] 頁面隨即出現。 如果出現該頁面,請按一下 [刪除資料庫],然後按一下 [下一步]。
Caution
只有在您確定此 AD FS 資料庫中的數據並不重要,或未用於生產同盟伺服器陣列時,才選取此選項。
在 [指定服務帳戶] 頁面上,按下 [瀏覽]。 在 [ 瀏覽] 對話方塊中,找出將在此新同盟伺服器陣列中做為服務帳戶的網域帳戶,然後按一下 [ 確定]。 輸入此帳戶的密碼,確認密碼,然後按一下 下一步。
Note
如需指定同盟伺服器陣列服務帳戶的詳細資訊,請參閱 手動設定同盟伺服器陣列的服務帳戶。 同盟伺服器陣列中的每個同盟伺服器都必須為伺服器陣列指定相同的服務帳戶才能運作。 例如,如果建立的服務帳戶是 contoso\ADFS2SVC,則您為同盟伺服器角色設定且將參與相同伺服器陣列的每部電腦都必須在 [同盟伺服器組態精靈] 中指定 contoso\ADFS2SVC,才能讓伺服器陣列運作。
在 [[準備套用設定] 頁面上,檢視詳細資訊。 如果設定看起來正確,請按一下 [下一步 ] 以開始使用這些設定來設定 AD FS。
在 [組態結果] 頁面上,檢閱結果。 完成所有組態步驟時,按一下 關閉 以 結束精靈。
Important
為了安全部署,當您使用 AD FS 聯盟伺服器配置精靈來設定聯盟伺服器陣列時,會停用資源解析和回應偵測。 此精靈會自動設定 Windows 內部資料庫來儲存服務組態數據。 不過,您可能會錯誤地復原此變更,方法是使用 AD FS 管理嵌入式管理單元中的 端點 節點或 Windows PowerShell 中的 Enable-ADFSEndpoint Cmdlet 來啟用成品解析端點。 請小心不要重新設定預設設定,如此一來,當您同時使用同盟伺服器陣列和 Windows 內部資料庫時,此端點仍會保持停用。