Windows Server 2008 R2 中的 AD FS 循序漸進指南 更新時間: 2009年1月應用到: Windows Server 2008 R2Active Directory? 聯(lián)合身

Windows Server 2008 R2 中的 AD FS 循序漸進指南 更新時間: 2009年1月

應用到: Windows Server 2008 R2

Active Directory? 聯(lián)合身份驗證服務 (AD FS) 是可以在 Windows Server? 2008 R2 操作系統(tǒng)中安裝的服務器角色?？墒褂?AD FS 服務器角色創(chuàng)建可高度擴展、可通過 Internet 升級和安全的身份訪問解決方案，此解決方案可在多個平臺上工作，包括 Microsoft? Windows? 環(huán)境和非 Windows 環(huán)境。

有關 AD FS 的其他信息，請參閱 Active Directory 聯(lián)合身份驗證服務概述（可能為英文網頁）。 關于本指南

本指南提供了在 Hyper-V? 測試實驗室中針對運行 Windows Server 2008 R2 的計算機的設置 AD FS 的說明。它介紹如何安裝和測試單個聲明感知應用程序。有關設置 Hyper-V 服務器的詳細信息，請參閱“用 Hyper-V 虛擬化”(http://go.microsoft.com/fwlink/?LinkId=126326) （可能為英文網頁）。

可以使用本指南中的代碼創(chuàng)建一個示例聲明感知應用程序。不需要使用任何其他下載內容。本指南中的說明大概需要花費兩個小時才能完成。

可以使用該測試實驗室環(huán)境評估 AD FS 技術以及評估如何在組織中部署該技術。當完成本指南的步驟后，您將能夠： ? 設置四臺計算機（一個客戶端計算機、一個啟用了 AD FS 的 Web 服務器和兩臺聯(lián)合身份驗證服務器），以參與兩個虛構公司（A. Datum Corporation 和 Trey Research）之間的 AD FS 聯(lián)合身份驗證。

?

?

?

? 創(chuàng)建兩個林，以用作聯(lián)合用戶的指定帳戶存儲。每個林將代表一個虛構公司。 使用 AD FS 在兩個公司之間建立聯(lián)合信任關系。 使用 AD FS 創(chuàng)建、填充和映射聲明。 為一個公司的用戶提供訪問位于另一個公司的聲明感知應用程序的聯(lián)合訪問權限。

為盡可能成功地完成本指南中的目標，請務必執(zhí)行以下所有操作：

?

?

?

? 按順序執(zhí)行本指南中的步驟。 使用指定的精確 IP 地址。 使用指定的準確計算機名、用戶名、組名、公司名、聲明名和域名。 如果使用虛擬化軟件時失敗，請嘗試使用四臺連接到專用網絡上的單個計算機。

Microsoft 已使用 Hyper-V 軟件成功測試本指南。對這些配置詳細信息所做的任何修改都可能會影響或限制首次嘗試時成功設置此實驗室的可能性。

本指南未提供的內容

本指南未提供以下內容：

? 安裝和配置基于 Microsoft Windows NT? 令牌的應用程序（如 Windows? SharePoint? Services 或

Microsoft Office SharePoint Portal Server 2003）以用于 AD FS 的說明

? 將 Microsoft Office SharePoint Server 2007 配置為聲明感知應用程序的說明

有關將 Office SharePoint Server 2007 配置為聲明感知應用程序以用于 AD FS 的信息，請參閱“使用 ADFS 配置 Web SSO 身份驗證 (Office SharePoint Server)”(http://go.microsoft.com/fwlink/?LinkId=84805) （可能為英文網頁）。

? 在生產環(huán)境中設置和配置 AD FS 的指南

有關如何部署或管理 AD FS 的信息，請在 Active Directory 聯(lián)合身份驗證服務

(http://go.microsoft.com/fwlink/?LinkId=133130) （可能為英文網頁）上查找 AD FS 規(guī)劃、部署和操作內容。

? 設置和配置 Microsoft 證書服務以用于 AD FS 的說明

有關設置和配置 Microsoft 證書服務的信息，請參閱“Windows Server 2003 公鑰基礎結

構”(http://go.microsoft.com/fwlink/?LinkId=19936) （可能為英文網頁）。

? 設置和配置聯(lián)合身份驗證服務器代理的說明

Windows Server 2008 R2 中的 AD FS 的要求

若要完成本指南中的這些步驟，必須配置四臺使用以下操作系統(tǒng)的測試計算機：

?

? Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter，用于聯(lián)合身份驗證服務器 Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2

Datacenter ，用于啟用了 AD FS 的 Web 服務器

? Windows 7，用于 AD FS 客戶端計算機。

步驟 1：預安裝任務

更新時間: 2009年1月

應用到: Windows Server 2008 R2

在安裝 Active Directory 聯(lián)合身份驗證服務 (AD FS) 之前，請先對將用于評估 AD FS 技術的四個主要虛擬機 (VM) 進行設置。

預安裝任務包括以下內容：

?

? 配置計算機操作系統(tǒng)和網絡設置 安裝并配置 AD DS

查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組

(http://go.microsoft.com/fwlink/?LinkId=83477)（可能為英文鏈接）。

管理憑據

若要執(zhí)行本步驟中的所有任務，請使用本地 Administrator 帳戶逐個登錄這四臺計算機。若要在 Active Directory 域服務 (AD DS) 中創(chuàng)建帳戶，請使用域的 Administrator 帳戶進行登錄。

配置計算機操作系統(tǒng)和網絡設置

參照下表設置完成本指南中步驟所需的適當計算機名稱、操作系統(tǒng)和網絡設置。

務必在客戶端上分別設置首選和備用域名系統(tǒng) (DNS) 服務器這兩項設置。如果未按指定要求配置這兩種類型的值，則 AD FS 方案將無法正常運行。

安裝并配置 AD DS

本節(jié)包括以下過程：

? ? ?

安裝 AD DS

創(chuàng)建帳戶

將測試計算機加入相應的域

安裝 AD DS

可以使用添加角色向導分別在兩個聯(lián)合身份驗證服務器上新建一個 AD DS 林。在向導頁中鍵入值時，請使用下表中的公司名稱和 AD DS 域名。若要啟動添加角色向導，請依次單擊「開始」、“管理工具”、“服務器管理器”，然后單擊右側窗格中的“添加角色”。

作為最佳安全操作，在生產環(huán)境下不要將域控制器同時作為聯(lián)合身份驗證服務器和域控制器運行。

在本指南中，A. Datum 代表帳戶伙伴組織，Trey Research 代表資源伙伴組織。

創(chuàng)建帳戶

設置了兩個林后，啟動“Active Directory 用戶和計算機”管理單元，以創(chuàng)建某些可用于測試和驗證跨這兩個林進行聯(lián)合訪問的帳戶。在 adfsaccount 計算機上配置下表中的值。

將測試計算機加入相應的域

使用下表中的值來指定哪些計算機將加入哪個域。在 adfsclient 和 adfsweb 計算機上執(zhí)行此操作。

步驟 2：安裝 AD FS 角色服務并配置證書

更新時間: 2009年1月

應用到: Windows Server 2008 R2

此時您已完成計算機配置并將其加入到域中，現在即可在每臺服務器上安裝 Active Directory 聯(lián)合身份驗證服務 (AD FS) 角色服務。此步驟包括以下過程：

?

?

?

? 安裝聯(lián)合身份驗證服務 配置兩個聯(lián)合身份驗證服務器上的 IIS 以要求 SSL 安裝 AD FS Web 代理 創(chuàng)建、導出和導入證書

管理憑據

若要執(zhí)行本步驟中的所有過程，請使用域的 Administrator 帳戶登錄到 adfsaccount 計算機和 adfsresource 計算機。使用本地 Administrator 帳戶登錄到 adfsweb 計算機。

安裝聯(lián)合身份驗證服務

按照下面的過程在 adfsaccount 計算機和 adfsresource 計算機上安裝 AD FS 的聯(lián)合身份驗證服務組件。在計算機上安裝聯(lián)合身份驗證服務后，該計算機就成了聯(lián)合身份驗證服務器。

此聯(lián)合身份驗證服務安裝過程將引導您完成為每臺聯(lián)合身份驗證服務器新建信任策略文件、自簽名安全套接字層 (SSL) 證書和令牌簽名證書的過程。

安裝聯(lián)合身份驗證服務的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“服務器管理器”。

2. 右鍵單擊“角色”，然后單擊“添加角色”以啟動添加角色向導。

3. 在“開始之前”頁上，單擊“下一步”。

4. 在“選擇服務器角色”頁上，單擊“Active Directory 聯(lián)合身份驗證服務”。單擊兩次“下一步”。 5. 在“選擇角色服務”頁上，選中“聯(lián)合身份驗證服務”復選框。如果提示您安裝其他 Web 服務器 (IIS) 或 Windows 進程激活服務角色服務，則單擊“添加必需的角色服務”安裝它們，然后單擊“下一步”。 6. 在“選擇 SSL 加密的服務器身份驗證證書”頁上，單擊“為 SSL 加密創(chuàng)建自簽名證書”，然后單擊“下一步”。

7. 在“選擇令牌簽名證書”頁上，單擊“創(chuàng)建自簽名令牌簽名證書”，然后單擊“下一步”。

8. 在“選擇信任策略”頁上，單擊“新建信任策略”，然后單擊“下一步”兩次。

9. 在“選擇角色服務”頁上，單擊“下一步”以接受默認值。

10. 驗證“確認安裝選擇”頁上的信息，然后單擊“安裝”。

11. 在“安裝結果”頁上，確認所有內容均已正確安裝，然后單擊“關閉”。

配置兩個聯(lián)合身份驗證服務器上的 IIS 以要求 SSL

按照下面的過程將 adfsresource 和 adfsaccount 這兩個聯(lián)合身份驗證服務器默認網站的 Internet 信息服務 (IIS) 配置為要求 SSL。

配置 adfsaccount 服務器上的 IIS 的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(IIS)管理器”。

2. 在控制臺樹中，依次雙擊 ADFSACCOUNT 和“站點”，然后單擊“默認網站”。

3. 在“操作”窗格中，單擊“綁定”。

4. 在“站點綁定”對話框中，單擊“添加”。

5. 在“類型”中，單擊 https 。

6. 在“SSL 證書”下，依次單擊 adfsaccount.adatum.com 、“確定”和“關閉”。

7. 在中心窗格中，雙擊“SSL 設置”，然后選中“要求 SSL”復選框。

8. 在“客戶端證書”下，單擊“接受”，然后單擊“應用”。

配置 adfsresource 服務器上的 IIS 的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(IIS)管理器”。

2. 在控制臺樹中，依次雙擊 ADFSRESOURCE 和“站點”，然后單擊“默認網站”。

3. 在中心窗格中，雙擊“SSL 設置”，然后選中“要求 SSL”復選框。

4. 在“客戶端證書”下，單擊“接受”，然后單擊“應用”。

安裝 AD FS Web 代理

按照下面的過程在 Web 服務器 (adfsweb) 上安裝聲明感知 Web 代理。

安裝 AD FS Web 代理的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“服務器管理器”。

2. 右鍵單擊“角色”，然后單擊“添加角色”以啟動添加角色向導。

3. 在“開始之前”頁上，單擊“下一步”。

4. 在“選擇服務器角色”頁上，單擊“Active Directory 聯(lián)合身份驗證服務”。單擊兩次“下一步”。 5. 在“選擇角色服務”頁上，選中“聲明感知代理”復選框。如果提示您安裝其他 Web 服務器 (IIS) 或

Windows 進程激活服務角色服務，則單擊“添加必需的角色服務”安裝它們，然后單擊“下一步”。

6. 在“Web 服務器(IIS)”頁上，單擊“下一步”。

7. 在“選擇角色服務”頁上，除預先選中的復選框以外，還要選中“客戶端證書映射身份驗證”和“IIS 管理

控制臺”復選框，然后單擊“下一步”。

如果選中“客戶端證書映射身份驗證”復選框，系統(tǒng)將安裝在創(chuàng)建自簽名服務器所要求的身份驗證證書時 IIS 必須具有的組件。

8. 在驗證了“確認安裝選擇”頁上的信息后，單擊“安裝”。

9. 在“安裝結果”頁上，確認所有內容均已正確安裝，然后單擊“關閉”。

創(chuàng)建、導出和導入證書

Web 服務器和聯(lián)合身份驗證服務器設置成功最重要的因素是正確創(chuàng)建并導出所需證書。因為之前使用添加角色向導已為兩個聯(lián)合身份驗證服務器創(chuàng)建了服務器身份驗證證書，所以此時只需為 adfsweb 計算機創(chuàng)建服務器身份驗證證書。本節(jié)包括以下過程：

?

?

?

? 為 adfsweb 創(chuàng)建服務器身份驗證證書 將 adfsaccount 中的令牌簽名證書導出到文件 將 adfsresource 服務器身份驗證證書導出到文件 將 adfsresource 的服務器身份驗證證書導入 adfsweb

為 adfsweb 創(chuàng)建服務器身份驗證證書

按照下面的過程在 Web 服務器 (adfsweb) 上創(chuàng)建自簽名服務器身份驗證證書。

為 adfsweb 創(chuàng)建服務器身份驗證證書的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(IIS)管理器”。

2. 在控制臺樹中，單擊 ADFSWEB 。

3. 在中心窗格中，雙擊“服務器證書”。

4. 在“操作”窗格中，單擊“創(chuàng)建自簽名證書”。

5. 在“創(chuàng)建自簽名證書”對話框中，鍵入 adfsweb ，然后單擊“確定”。

將 adfsaccount 中的令牌簽名證書導出到文件

按照下面的過程在帳戶聯(lián)合服務器 (adfsaccount) 上將 adfsaccount 中的令牌簽名證書導出到文件。 將 adfsaccount 中的令牌簽名證書導出到文件的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Active Directory 聯(lián)合身份驗證服務”。

2. 右鍵單擊“聯(lián)合身份驗證服務”，然后單擊“屬性”。

3. 在“常規(guī)”選項卡上，單擊“查看”。

4. 在“詳細信息”選項卡上，單擊“復制到文件”。

5. 在“歡迎使用證書導出向導”頁上，單擊“下一步”。

6. 在“導出私鑰”頁上，單擊“否，不導出私鑰”，然后單擊“下一步”。

7. 在“導出文件格式”頁上，單擊“DER 編碼二進制 X.509 (.CER)”，然后單擊“下一步”。 8. 在“要導出的文件”頁上，鍵入 d:?fsaccount_ts.cer，然后單擊“下一步”。

9. 在“完成證書導出向導”上，單擊“完成”。

將 adfsresource 服務器身份驗證證書導出到文件

僅當 Web 服務器 (adfsweb) 信任資源聯(lián)合身份驗證服務器 (adfsresource) 的根證書時，資源聯(lián)合身份驗證服務器和 Web 服務器之間才能正常通信。

由于在本指南介紹的方案中使用的是自簽名證書，因此服務器身份驗證證書是根證書。因此，必須通過將資源聯(lián)合服務器 (adfsresource) 身份驗證證書導出到文件，然后將該文件導入 Web 服務器 (adfsweb) 來建立此信任關系。若要將 adfsresource 服務器身份驗證證書導出到文件，請在 adfsresource 上執(zhí)行下面的過程。

將 adfsresource 服務器身份驗證證書導出到文件的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(IIS)管理器”。

2. 在控制臺樹中，單擊 ADFSRESOURCE 。

3. 在中心窗格中，雙擊“服務器證書”。

4. 在中心窗格中，右鍵單擊 adfsresource.treyresearch.net ，然后單擊“導出”。

5. 在“導出證書”對話框中，單擊 ? 按鈕。

6. 在“文件名”中，鍵入 d:?fsresource，然后單擊“打開”。

7. 為證書鍵入一個密碼，確認該密碼，然后單擊“確定”。

將 adfsresource 的服務器身份驗證證書導入 adfsweb

若要導入 adfsresource 的服務器身份驗證證書，請在 Web 服務器 (adfsweb) 上執(zhí)行下面的過程。

將 adfsresource 的服務器身份驗證證書導入 adfsweb 的步驟

1. 依次單擊「開始」、“運行”，鍵入 mmc ，然后單擊“確定”。