Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo elenco di controllo include le attività di distribuzione necessarie per preparare un server che esegue Windows Server® 2012 per il ruolo server federativo in Active Directory Federation Services (AD FS).
Note
Completare le attività in questa lista di controllo seguendo l'ordine. Quando un collegamento di riferimento consente di passare a una procedura, ritorna a questo argomento dopo aver completato i passaggi di tale procedura in modo da poter procedere con le attività rimanenti in questa lista di controllo.
Elenco di controllo: Configurazione di un server federativo
| Task | Reference |
|---|---|
| Prima di iniziare a distribuire i server di federazione AD FS, esaminare; 1.) vantaggi e svantaggi della scelta di Database interno di Windows (WID) o SQL Server per archiviare il database di configurazione di AD FS 2. Tipi di topologia di distribuzione di AD FS e i relativi consigli sul posizionamento del server e sul layout di rete associati. |
Determinare la topologia di distribuzione di AD FS |
| Esaminare le linee guida per la pianificazione della capacità di AD FS per determinare il numero appropriato di server federativi da usare nell'ambiente di produzione. |
Pianificazione della capacità del server federativo |
| Esaminare le informazioni nella Guida alla progettazione di AD FS su dove inserire i server federativi nell'organizzazione |
Pianificazione del posizionamento del server federativo |
| Determinare se un server federativo autonomo o una server farm federativa è preferibile per la distribuzione. |
Quando creare un server federativo |
| Determinare se questo nuovo server federativo verrà creato nell'organizzazione partner dell'account o nell'organizzazione partner delle risorse. |
Rivedere il ruolo del server federativo nel partner dell'account
|
| Esaminare le informazioni su come i server federativi usano certificati di comunicazione del servizio e certificati di firma dei token per autenticare in modo sicuro le richieste proxy client e server federativo. Cautela: Sebbene sia da molto tempo pratica comune usare certificati con nomi host non qualificati, ad https://myserveresempio , questi certificati non hanno alcun valore di sicurezza e possono consentire a un utente malintenzionato di rappresentare il servizio federativo AD FS ai client aziendali. È pertanto consigliabile usare un nome di dominio completo (FQDN), ad esempio https://myserver.contoso.com e usare solo i certificati SSL rilasciati al nome di dominio completo del servizio federativo. |
Requisiti dei certificati per i server federativi |
| Esaminare le informazioni su come aggiornare il DNS (Domain Name System) della rete aziendale in modo che possa verificarsi una corretta risoluzione dei nomi ai server federativi. |
Requisiti di risoluzione dei nomi per i server federativi |
| Aggiungere il computer che diventerà il server federativo a un dominio nella foresta partner di account o nella foresta partner di risorse in cui verrà usato per autenticare gli utenti di tale foresta o foreste attendibili. Nota: Se si desidera configurare un server federativo nell'organizzazione partner account, il computer deve prima essere aggiunto a qualsiasi dominio nella foresta in cui verrà usato il server federativo per autenticare gli utenti da tale foresta o da foreste attendibili. |
Aggiungere un computer a un dominio |
| Creare un nuovo record di risorse nel DNS della rete aziendale che punta il nome host DNS del server federativo all'indirizzo IP del server federativo. |
Aggiungere un record di risorse host (A) al DNS aziendale per un server federativo |
| (Facoltativo) Se si aggiungerà un server federativo a una server farm federativa, potrebbe essere necessario esportare prima di tutto la chiave privata del certificato di firma del token esistente (nel primo server federativo nella farm) in modo che sia disponibile un formato di file del certificato pronto quando altri server federativi devono importare lo stesso certificato. L'esportazione della chiave privata non è necessaria quando il certificato di autenticazione server rilasciato può essere riutilizzato da più computer (senza la necessità di esportare) o quando si otterranno certificati di autenticazione server univoci per ogni server federativo nella farm. Nota: Lo snap-in Gestione AD FS fa riferimento ai certificati di autenticazione server per i server federativi come certificati di comunicazione del servizio. |
Esportare la parte chiave privata di un certificato di autenticazione server |
| Dopo aver ottenuto un certificato di autenticazione server (o una chiave privata) da un'autorità di certificazione (CA), è necessario importare il file del certificato nel sito Web predefinito per ogni server federativo. Nota: L'installazione di questo certificato nel sito Web predefinito è un requisito prima di poter usare la Configurazione guidata server federativo AD FS. |
Importare un certificato di autenticazione server nel sito Web predefinito |
| (Facoltativo) In alternativa a ottenere un certificato di autenticazione server da una CA, è possibile usare Internet Information Services (IIS) per creare un certificato di esempio per il server federativo. Cautela: Non è consigliabile distribuire un server federativo in un ambiente di produzione usando un certificato di autenticazione server autofirmato. |
IIS: creare un certificato server Self-Signed e quindi completare la procedura Importare un certificato di autenticazione server nel sito Web predefinito |
| Se si configura un ambiente server farm federativo in un'organizzazione partner account, è necessario creare e configurare un account del servizio dedicato in Active Directory Domain Services (AD DS) in cui risiederà la farm e configurare ogni server federativo nella farm per usare questo account. Eseguendo questa procedura, si consentirà ai client della rete aziendale di eseguire l'autenticazione a uno qualsiasi dei server federativi nella farm usando l'autenticazione integrata di Windows. |
Configurare manualmente un account del servizio per una server farm federativa |
| Installare il Servizio di ruolo Servizio federativo nel computer destinato a diventare il server federativo. |
Installa il servizio ruolo del servizio federativo |
| Configurare il software AD FS nel computer in modo che agisca nel ruolo di server federativo utilizzando la Configurazione guidata del server federativo AD FS. Seguire questa procedura quando si desidera configurare un server federativo autonomo, creare il primo server federativo in una nuova farm o aggiungere un computer a una server farm federativa esistente. Nota: Per la progettazione di Federated Web Single Sign-On (SSO), è necessario avere almeno un server federativo nell'organizzazione partner account e almeno un server federativo nell'organizzazione partner risorse. |
Creare un server federativo Stand-Alone
|
| (Facoltativo) Usare lo snap-in Gestione AD FS per aggiungere e configurare i certificati AD FS necessari per distribuire la progettazione. Per altre informazioni su quando aggiungere o modificare i certificati tramite lo snap-in, vedere Requisiti dei certificati per i server federativi. |
Aggiungi un certificato Token-Signing |
| Se si tratta del primo server federativo dell'organizzazione, configurare il servizio federativo in modo che sia conforme alla progettazione di AD FS. |
Elenco di controllo: Configurazione dell'organizzazione partner account
|
| Da un computer client verificare che il server federativo sia operativo. |
Verificare che un server federativo sia operativo |