Partilhar via

Prepare a sua infraestrutura de rede para servidores da federação

  • Artigo

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

A seguinte lista de verificação inclui as tarefas de preparação que deve executar para implantar uma exploração de servidor da federação.

Nota

  • Preencha as tarefas nestas listas de verificação em ordem. Quando uma ligação de referência leva-o para um procedimento, regresse a este tópico depois de concluir os passos nesse procedimento, de modo a que pode continuar com as tarefas restantes nesta lista de verificação.

  • Salvo indicação em contrário, para completar todas as tarefas utilizando os procedimentos desta secção, deve primeiro ser registado nos computadores como membro do grupo de Administradores, ou ter sido delegada permissões equivalentes.

ChecklistLista de verificação: Prepare a sua infraestrutura de rede para servidores da federação

Tarefa de implantação Links para tópicos nesta secção Concluído

1. Junte-se aos computadores que se tornarão servidores da federação para um domínio onde os utilizadores do Ative Directory serão autenticados.

Nota

Pode ignorar este passo se utilizar os controladores de domínio existentes como servidores da federação.

Checkbox

2. Criar e configurar um novo nome DNS do cluster NLB ou utilizar um cluster NLB existente na rede corporativa que será utilizado pela nova fazenda de servidores da federação. Em seguida, adicione os computadores do servidor da federação ao cluster NLB. Se estiver a utilizar a tecnologia Windows Server para os anfitriões Atuais do NLB, escolha o link adequado para o direito com base na versão do seu sistema operativo.

Nota

Este passo é opcional numa implementação de teste desta solução SSO com um único servidor da federação AD FS.

Para criar e configurar clusters NLB no Windows Server 2003 e Windows Server 2003 R2, consulte a Lista de Verificação: Ativar e configurar o equilíbrio da carga de rede. Para criar e configurar clusters NLB no Windows Server 2008, consulte criar clusters de equilíbrio de carga de rede.

Para criar e configurar clusters NLB no Windows Server 2008 R2, consulte criar clusters de equilíbrio de carga de rede.

 Checkbox

3. Crie um novo registo de recursos para o nome DNS do cluster na rede corporativa DNS que aponta o nome FQDN do cluster NLB para o seu endereço IP cluster.

Adicione um registo de recursos ao DNS corporativo para o nome DNS do cluster configurado no anfitrião NLB corporativo

 Checkbox

4. Importe o certificado de autenticação do servidor para o Web Site predefinido para cada servidor da federação na quinta.

Nota

A instalação deste certificado no Web Site predefinido é um requisito antes de poder utilizar o Assistente de Configuração do Servidor da Federação de FS AD.

Importar um Certificado de Autenticação de Servidor para o Web Site Predefinido

 Checkbox

5. Crie e configuure uma conta de serviço dedicada no Ative Directory onde a fazenda de servidores da federação resida e configuure cada servidor da federação na quinta para utilizar esta conta.

Configurar Manualmente uma Conta de Serviço para um Farm de Servidores de Federação

 Checkbox

Junte o computador a um domínio

Para que o AD FS funcione, cada computador que funcione como servidor da federação deve ser associado a um domínio. Os proxies do servidor da Federação podem ser unidos a um domínio, mas não é um requisito.

Se pretender utilizar O FS AD em Windows Server 2012 R2, o seu domínio Ative Directory deve executar qualquer um dos seguintes:

  • Windows Server

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

Para juntar o computador a um domínio

  1. No computador que pretende aderir a um domínio, clique em Iniciar, clique Painel de Controlo e, em seguida, clique duas vezes no Sistema.

  2. Nas definições de nome, domínio e grupo de trabalho do computador, clique em Alterar as definições.

  3. No separador Nome do Computador, clique em Alterar.

  4. Em 'Membro de, clique em Domínio,' digite o nome do domínio a que este computador irá aderir e, em seguida, clique em OK.

  5. Clique em OK e, em seguida, reinicie o computador.

Adicione um registo de recursos ao DNS corporativo para o nome DNS do cluster configurado no anfitrião NLB corporativo

Para que os clientes da rede corporativa acedam com sucesso ao Serviço da Federação, deve ser criado um registo de recursos de anfitrião (A) no Sistema de Nome de Domínio corporativo (DNS) que resolva o nome DNS do cluster do Serviço da Federação (por exemplo, fs.fabrikam.com) ao endereço IP do cluster na rede corporativa (por exemplo, 172.16.1.3). Pode utilizar o seguinte procedimento para adicionar um registo de recursos de anfitrião (A) ao DNS corporativo para o cluster NLB.

Para adicionar um registo de recursos ao DNS corporativo para o cluster dns nome configurado no anfitrião NLB corporativo

  1. Num servidor DNS para a rede corporativa, abra o snap-in DNS.

  2. Na árvore da consola, clique com o botão direito na zona de procuração para a frente aplicável (por exemplo, fabrikam.com) e, em seguida, clique em Novo Anfitrião (A ou AAAA).

  3. Em Nome, digite apenas o nome do computador do servidor da federação ou do cluster do servidor da federação; por exemplo, para o nome de domínio totalmente qualificado (FQDN) fs.fabrikam.com, tipo fs.

  4. No endereço IP, digite o endereço IP para o servidor da federação ou o cluster do servidor da federação; por exemplo, 172.16.1.3.

  5. Clique em Adicionar anfitrião.

    Importante

    Presume-se que está a utilizar um servidor DNS, executando Windows Servidor de 2000, Windows Server 2003 ou Windows Server 2008 com o serviço DNS Server, para controlar a zona DNS.

Importar um certificado de autenticação do servidor para o Web Site Padrão

Depois de obter um certificado de autenticação do servidor junto de uma autoridade de certificação (CA), deve instalar manualmente esse certificado no Web Site padrão para cada servidor da federação na sua quinta.

Uma vez que este certificado deve ser fidedigno pelos clientes dos serviços de nuvem AD FS e Microsoft, utilize um certificado SSL emitido por um CA público (terceiro) ou por um CA subordinado a uma raiz de confiança pública; por exemplo, VeriSign ou Thawte. Para obter informações sobre a instalação de um certificado a partir de um CA público, consulte iIS 7.0: Solicite um Certificado de Servidor de Internet.

Nota

O nome do sujeito deste certificado de autenticação do servidor deve coincidir com o FQDN do nome DNS do cluster (por exemplo, fs.fabrikam.com) que criou anteriormente no anfitrião NLB. Se Serviços de Informação Internet (IIS) não tiver sido instalado, deve instalar o IIS primeiro para completar esta tarefa. Ao instalar o IIS pela primeira vez, recomendamos que utilize as opções de funcionalidades predefinidas quando solicitadas durante a instalação da função do servidor.

Para importar um certificado de autenticação de servidor para o Web Site Predefinido

  1. Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e, em seguida, clique em Serviços de Informação Internet (IIS) Manager.

  2. Na árvore da consola, clique no Nome de Computador.

  3. No painel central, clique duas vezes nos certificados de servidor.

  4. No painel de ações , clique em Importar.

  5. Na caixa de diálogo do Certificado de Importação , clique no botão ... .

  6. Navegue pela localização do ficheiro de certificado pfx, realce-o e, em seguida, clique em Abrir.

  7. Digite uma palavra-passe para o certificado e, em seguida, clique em OK.

Criar uma conta de serviço dedicada para a fazenda de servidores da federação

Para configurar um ambiente agrícola de servidor de federação em AD FS, você deve criar e configurar uma conta de serviço dedicada em Ative Directory onde a fazenda irá residir. Esta conta de serviço dedicada é necessária para garantir que todos os recursos exigidos pela fazenda AD FS tenham acesso a cada um dos servidores da federação na fazenda.

Em seguida, configura cada servidor da federação na fazenda para usar esta mesma conta de serviço. Por exemplo, se a conta de serviço que foi criada foi fabrikam\ADFS2SVC, cada computador que configurar para o papel do servidor da federação e que participará na mesma fazenda deve especificar fabrikam\ADFS2SVC neste passo no Assistente de Configuração do Servidor da Federação para que a quinta esteja operacional.

Nota

Só tens de executar as tarefas neste procedimento uma vez para toda a fazenda de servidores da federação. Mais tarde, quando criar um servidor da federação utilizando o Assistente de Configuração do Servidor da Federação de FS AD, deve especificar esta mesma conta na página de assistente de conta de serviço em cada servidor da federação na quinta.

Para criar uma conta de serviço dedicada para a fazenda de servidores da federação

  1. Crie uma conta de utilizador/serviço dedicada na floresta Ative Directory que utilizará na sua organização.

  2. Edite as propriedades da conta de utilizador e selecione a caixa de verificação A palavra-passe nunca expira. Esta ação garante que o funcionamento desta conta de serviço não é interrompido devido a requisitos de alteração de palavra-passe do domínio.

    Nota

    • Se precisar de alterar a sua palavra-passe para a conta de serviço regularmente, consulte Configurar Opções Avançadas para AD FS 2.0.

    • A utilização da conta de Serviço de Rede para esta conta dedicada resultará em falhas aleatórias quando o acesso é tentado através da autenticação integrada Windows, como resultado dos bilhetes Kerberos não validarem de um servidor para outro.

Passo seguinte

Agora que reviu os requisitos para a implementação do AD FS, o próximo passo é completar as tarefas em qualquer uma das seguintes listas de verificação, dependendo da versão do AD FS que pretende utilizar:

Consulte também

Conceitos

Lista de verificação: Utilize FS AD para implementar e gerir um único sinal