Condividi tramite

Configurare manualmente un account del servizio per una server farm federativa

Se si intende configurare un ambiente server farm federativa in Active Directory Federation Services (AD FS), è necessario creare e configurare un account del servizio dedicato in Active Directory Domain Services (AD DS) in cui risiederà la farm. In seguito si configurerà ogni server federativo della farm per l'uso di questo account. È necessario completare le attività seguenti nell'organizzazione se si vuole consentire l'autenticazione dei computer client della rete aziendale nei server federativi in una farm AD FS usando l'autenticazione integrata di Windows.

Importante

A partire da AD FS 3.0 (Windows Server 2012 R2), AD FS supporta l'uso di un account del servizio gestito del gruppo come account del servizio. Questa è l'opzione consigliata, perché elimina la necessità di gestire la password dell'account del servizio nel tempo. Questo documento illustra il caso alternativo dell'uso di un account del servizio tradizionale, ad esempio nei domini che eseguono ancora un livello di funzionalità del dominio Windows Server 2008 R2 o versioni precedenti.

Nota

Le operazioni di questa procedura devono essere effettuate solo una per volta per l'intera server farm federativa. In seguito, durante la creazione di un server federativo mediante l'apposita configurazione guidata di AD FS, sarà necessario specificare questo stesso account nella pagina Account servizio della procedura guidata per ciascun server federativo della farm.

Creare un account del servizio dedicato

  1. Creare un account utente o del servizio dedicato nella foresta Active Directory situata nell'organizzazione del provider di identità. Questo account è necessario per il funzionamento del protocollo di autenticazione Kerberos in uno scenario di farm e per consentire l'autenticazione pass-through in ogni server federativo. Usare questo account solo per gli scopi della server farm federativa.

  2. Modificare le proprietà dell'account utente, quindi selezionare la casella di controllo Nessuna scadenza password. Questa azione assicura che la funzione dell'account del servizio non venga interrotta a causa dei requisiti di modifica della password del dominio.

    Nota

    L'uso dell'account del servizio di rete per questo account dedicato genererà errori casuali quando verrà tentato l'accesso tramite l'autenticazione integrata di Windows, perché i ticket Kerberos non verranno convalidati da un server a un altro.

Per impostare il nome SPN dell'account del servizio

  1. Poiché l'identità del pool di applicazioni per l'AppPool di AD FS è in esecuzione come account del servizio o account utente del dominio, è necessario configurare il nome dell'entità servizio (SPN) per l'account nel dominio con lo strumento da riga di comando Setspn.exe. Setspn.exe viene installato per impostazione predefinita nei computer che eseguono Windows Server 2008. Eseguire il comando seguente in un computer aggiunto allo stesso dominio in cui risiede l'account del servizio o l'account utente:

    setspn -a host/<server name> <service account>

    Ad esempio, in uno scenario in cui tutti i server federativi sono raggruppati in un cluster con il nome host DNS (Domain Name System) fs.fabrikam.com e il nome dell'account del servizio assegnato all'AppPool di AD FS è adfs2farm, immettere il comando seguente e premere INVIO:

    setspn -a host/fs.fabrikam.com adfs2farm

    È necessario completare questa attività solo una volta per l'account.

  2. Dopo che l'identità dell'AppPool di AD FS è stata sostituita con l'account del servizio, impostare gli elenchi di controllo di accesso nel database di SQL Server in modo da consentire l'accesso in lettura a questo nuovo account e quindi la lettura dei dati dei criteri da parte dell'AppPool di AD FS.