Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Prüfliste enthält die Bereitstellungsaufgaben, die zum Vorbereiten eines Servers mit Windows Server® 2012 für die Verbundserverrolle in Active Directory-Verbunddiensten (AD FS) erforderlich sind.
Note
Führen Sie die Aufgaben in dieser Checkliste in der reihenfolge aus. Wenn Ein Verweislink Sie zu einer Prozedur führt, kehren Sie zu diesem Thema zurück, nachdem Sie die Schritte in dieser Prozedur ausgeführt haben, damit Sie mit den verbleibenden Aufgaben in dieser Checkliste fortfahren können.
Prüfliste: Einrichten eines Verbundservers
| Task | Reference |
|---|---|
| Bevor Sie mit der Bereitstellung Ihrer AD FS-Verbundserver beginnen, überprüfen Sie folgendes: 1.) Vor- und Nachteile der Auswahl von Windows Internal Database (WID) oder SQL Server zum Speichern der AD FS-Konfigurationsdatenbank 2.) AD FS-Bereitstellungstopologietypen und die zugehörigen Empfehlungen für die Serverplatzierung und das Netzwerklayout. |
Ermitteln der AD FS-Bereitstellungstopologie |
| Überprüfen Sie die Ad FS-Kapazitätsplanungsanleitung, um die richtige Anzahl von Verbundservern zu ermitteln, die Sie in Ihrer Produktionsumgebung verwenden sollten. |
Planen der Verbundserverkapazität |
| Informationen zum Platzieren von Verbundservern in Ihrer Organisation finden Sie im AD FS-Entwurfshandbuch |
Planen der Verbundserverplatzierung |
| Ermitteln Sie, ob ein eigenständiger Verbundserver oder eine Verbundserverfarm für Ihre Bereitstellung besser geeignet ist. |
Wann einen Verbundserver erstellen |
| Bestimmen Sie, ob dieser neue Verbundserver in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation erstellt wird. |
Überprüfung der Rolle des Verbundservers im Kontopartner
|
| Überprüfen Sie, wie Verbundserver Dienstkommunikationszertifikate und Tokensignaturzertifikate verwenden, um Client- und Verbundserverproxyanforderungen sicher zu authentifizieren. Vorsicht: Obwohl es seit langem üblich ist, Zertifikate mit nicht qualifizierten Hostnamen zu verwenden, z https://myserver. B. haben diese Zertifikate keinen Sicherheitswert und können es einem Angreifer ermöglichen, die Identität des AD FS-Verbunddiensts für Unternehmensclients zu imitieren. Daher wird empfohlen, einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) wie https://myserver.contoso.com zu verwenden und ausschließlich SSL-Zertifikate zu nutzen, die für den FQDN Ihres Verbunddiensts ausgestellt wurden. |
Zertifikatanforderungen für Verbundserver |
| Lesen Sie Informationen darüber, wie das Domain Name System (DNS) des Unternehmensnetzwerks aktualisiert werden kann, sodass eine erfolgreiche Namensauflösung für Verbundserver erfolgen kann. |
Namensauflösungsanforderungen für Verbundserver |
| Verbinden Sie den Computer, der zum Verbundserver werden soll, mit einer Domäne in der Kontopartner-Gesamtstruktur oder Ressourcenpartner-Gesamtstruktur, in der er verwendet wird, um die Benutzer dieser Gesamtstruktur oder aus vertrauenswürdigen Gesamtstrukturen zu authentifizieren. Anmerkung: Wenn Sie einen Partnerverbundserver in der Kontopartnerorganisation einrichten möchten, muss der Computer zuerst einer domäne in der Gesamtstruktur beigetreten sein, in der Ihr Verbundserver verwendet wird, um Benutzer aus dieser Gesamtstruktur oder aus vertrauenswürdigen Gesamtstrukturen zu authentifizieren. |
Hinzufügen eines Computers zu einer Domäne |
| Erstellen Sie einen neuen Ressourceneintrag im Unternehmensnetzwerk-DNS, der den DNS-Hostnamen des Verbundservers auf die IP-Adresse des Verbundservers verweist. |
Hinzufügen eines Hostressourceneintrags (A) zum Unternehmens-DNS für einen Verbundserver |
| (Optional) Wenn Sie einer Verbundserverfarm einen Verbundserver hinzufügen, müssen Sie möglicherweise zuerst den privaten Schlüssel des vorhandenen Tokensignaturzertifikats (auf dem ersten Verbundserver in der Farm) exportieren, damit Sie über ein Dateiformat des Zertifikats verfügen, wenn andere Verbundserver dasselbe Zertifikat importieren müssen. Das Exportieren des privaten Schlüssels ist nicht erforderlich, wenn Ihr ausgestelltes Serverauthentifizierungszertifikat von mehreren Computern (ohne Export) wiederverwendet werden kann oder wenn Sie eindeutige Serverauthentifizierungszertifikate für jeden Verbundserver in der Farm abrufen. Anmerkung: Das AD FS-Verwaltungs-Snap-In bezieht sich auf Serverauthentifizierungszertifikate für Verbundserver als Dienstkommunikationszertifikate. |
Exportieren des Privaten Schlüsselteils eines Serverauthentifizierungszertifikats |
| Nachdem Sie ein Serverauthentifizierungszertifikat (oder einen privaten Schlüssel) von einer Zertifizierungsstelle (CA) erhalten haben, müssen Sie die Zertifikatdatei dann für jeden Verbundserver in die Standardwebsite importieren. Anmerkung: Die Installation dieses Zertifikats auf der Standardwebsite ist eine Anforderung, bevor Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden können. |
Importieren eines Serverauthentifizierungszertifikats in die Standardwebsite |
| (Optional) Alternativ zum Abrufen eines Serverauthentifizierungszertifikats von einer Zertifizierungsstelle können Sie Internetinformationsdienste (Internet Information Services, IIS) verwenden, um ein Beispielzertifikat für Ihren Verbundserver zu erstellen. Vorsicht: Es ist keine bewährte Methode für die Sicherheit, einen Verbundserver in einer Produktionsumgebung mithilfe eines selbstsignierten Serverauthentifizierungszertifikats bereitzustellen. |
IIS: Erstellen Sie ein Self-Signed Serverzertifikat , und führen Sie dann das Verfahren zum Importieren eines Serverauthentifizierungszertifikats in die Standardwebsite aus. |
| Wenn Sie eine Verbundserverfarmumgebung in einer Kontopartnerorganisation konfigurieren, müssen Sie ein dediziertes Dienstkonto in Active Directory Domain Services (AD DS) erstellen und konfigurieren, in dem sich die Farm befindet und jeden Verbundserver in der Farm für die Verwendung dieses Kontos konfiguriert. Durch das Ausführen dieses Verfahrens ermöglichen Sie Clients im Unternehmensnetzwerk, sich mithilfe der Windows-Integrierten Authentifizierung bei einem der Verbundserver in der Farm zu authentifizieren. |
Manuelles Konfigurieren eines Dienstkontos für eine Verbundserverfarm |
| Installieren Sie den Verbunddienstrollendienst auf dem Computer, der zum Verbundserver wird. |
Installieren des Verbunddienstrollendiensts |
| Konfigurieren Sie die AD FS-Software auf dem Computer so, dass sie mithilfe des AD FS-Verbundserverkonfigurations-Assistenten in der Verbundserverrolle ausgeführt wird. Führen Sie dieses Verfahren aus, wenn Sie einen eigenständigen Verbundserver einrichten möchten, den ersten Verbundserver in einer neuen Farm erstellen oder einem Computer eine vorhandene Verbundserverfarm hinzufügen möchten. Anmerkung: Für den SSO-Entwurf (Federated Web Single Sign-On) müssen Sie mindestens einen Verbundserver in der Kontopartnerorganisation und mindestens einen Partnerverbundserver in der Ressourcenpartnerorganisation haben. |
Erstellen eines Stand-Alone Verbundservers
|
| (Optional) Verwenden Sie das AD FS-Verwaltungs-Snap-In, um die erforderlichen AD FS-Zertifikate hinzuzufügen und zu konfigurieren, die zum Bereitstellen Ihres Designs erforderlich sind. Weitere Informationen zum Hinzufügen oder Ändern von Zertifikaten mithilfe des Snap-Ins finden Sie unter Zertifikatanforderungen für Verbundserver. |
Hinzufügen eines Token-Signing Zertifikats |
| Wenn dies der erste Verbundserver in Ihrer Organisation ist, konfigurieren Sie den Verbunddienst so, dass er Ihrem AD FS-Entwurf entspricht. |
Prüfliste: Konfigurieren der Kontopartnerorganisation |
| Überprüfen Sie auf einem Clientcomputer, ob der Verbundserver betriebsbereit ist. |
überprüfen, ob ein Verbundserver betriebsbereit ist |