Windows Server 2008 R2 中的 AD FS 循序渐进指南

Windows Server 2008 R2 中的 AD FS 循序渐进指南 更新时间: 2009年1月应用到: Windows Server 2008 R2Active Directory® 联合身

Windows Server 2008 R2 中的 AD FS 循序渐进指南 更新时间: 2009年1月

应用到: Windows Server 2008 R2

Active Directory® 联合身份验证服务 (AD FS) 是可以在 Windows Server® 2008 R2 操作系统中安装的服务器角色。可使用 AD FS 服务器角色创建可高度扩展、可通过 Internet 升级和安全的身份访问解决方案，此解决方案可在多个平台上工作，包括 Microsoft® Windows® 环境和非 Windows 环境。

有关 AD FS 的其他信息，请参阅 Active Directory 联合身份验证服务概述（可能为英文网页）。 关于本指南

本指南提供了在 Hyper-V™ 测试实验室中针对运行 Windows Server 2008 R2 的计算机的设置 AD FS 的说明。它介绍如何安装和测试单个声明感知应用程序。有关设置 Hyper-V 服务器的详细信息，请参阅“用 Hyper-V 虚拟化”(http://go.microsoft.com/fwlink/?LinkId=126326) （可能为英文网页）。

可以使用本指南中的代码创建一个示例声明感知应用程序。不需要使用任何其他下载内容。本指南中的说明大概需要花费两个小时才能完成。

可以使用该测试实验室环境评估 AD FS 技术以及评估如何在组织中部署该技术。当完成本指南的步骤后，您将能够： ∙ 设置四台计算机（一个客户端计算机、一个启用了 AD FS 的 Web 服务器和两台联合身份验证服务器），以参与两个虚构公司（A. Datum Corporation 和 Trey Research）之间的 AD FS 联合身份验证。

∙

∙

∙

∙ 创建两个林，以用作联合用户的指定帐户存储。每个林将代表一个虚构公司。 使用 AD FS 在两个公司之间建立联合信任关系。 使用 AD FS 创建、填充和映射声明。 为一个公司的用户提供访问位于另一个公司的声明感知应用程序的联合访问权限。

为尽可能成功地完成本指南中的目标，请务必执行以下所有操作：

∙

∙

∙

∙ 按顺序执行本指南中的步骤。 使用指定的精确 IP 地址。 使用指定的准确计算机名、用户名、组名、公司名、声明名和域名。 如果使用虚拟化软件时失败，请尝试使用四台连接到专用网络上的单个计算机。

Microsoft 已使用 Hyper-V 软件成功测试本指南。对这些配置详细信息所做的任何修改都可能会影响或限制首次尝试时成功设置此实验室的可能性。

本指南未提供的内容

本指南未提供以下内容：

∙ 安装和配置基于 Microsoft Windows NT® 令牌的应用程序（如 Windows® SharePoint® Services 或

Microsoft Office SharePoint Portal Server 2003）以用于 AD FS 的说明

∙ 将 Microsoft Office SharePoint Server 2007 配置为声明感知应用程序的说明

有关将 Office SharePoint Server 2007 配置为声明感知应用程序以用于 AD FS 的信息，请参阅“使用 ADFS 配置 Web SSO 身份验证 (Office SharePoint Server)”(http://go.microsoft.com/fwlink/?LinkId=84805) （可能为英文网页）。

∙ 在生产环境中设置和配置 AD FS 的指南

有关如何部署或管理 AD FS 的信息，请在 Active Directory 联合身份验证服务

(http://go.microsoft.com/fwlink/?LinkId=133130) （可能为英文网页）上查找 AD FS 规划、部署和操作内容。

∙ 设置和配置 Microsoft 证书服务以用于 AD FS 的说明

有关设置和配置 Microsoft 证书服务的信息，请参阅“Windows Server 2003 公钥基础结

构”(http://go.microsoft.com/fwlink/?LinkId=19936) （可能为英文网页）。

∙ 设置和配置联合身份验证服务器代理的说明

Windows Server 2008 R2 中的 AD FS 的要求

若要完成本指南中的这些步骤，必须配置四台使用以下操作系统的测试计算机：

∙

∙ Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter，用于联合身份验证服务器 Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2

Datacenter ，用于启用了 AD FS 的 Web 服务器

∙ Windows 7，用于 AD FS 客户端计算机。

步骤 1：预安装任务

更新时间: 2009年1月

应用到: Windows Server 2008 R2

在安装 Active Directory 联合身份验证服务 (AD FS) 之前，请先对将用于评估 AD FS 技术的四个主要虚拟机 (VM) 进行设置。

预安装任务包括以下内容：

∙

∙ 配置计算机操作系统和网络设置 安装并配置 AD DS

查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组

(http://go.microsoft.com/fwlink/?LinkId=83477)（可能为英文链接）。

管理凭据

若要执行本步骤中的所有任务，请使用本地 Administrator 帐户逐个登录这四台计算机。若要在 Active Directory 域服务 (AD DS) 中创建帐户，请使用域的 Administrator 帐户进行登录。

配置计算机操作系统和网络设置

参照下表设置完成本指南中步骤所需的适当计算机名称、操作系统和网络设置。

务必在客户端上分别设置首选和备用域名系统 (DNS) 服务器这两项设置。如果未按指定要求配置这两种类型的值，则 AD FS 方案将无法正常运行。

安装并配置 AD DS

本节包括以下过程：

∙ ∙ ∙

安装 AD DS

创建帐户

将测试计算机加入相应的域

安装 AD DS

可以使用添加角色向导分别在两个联合身份验证服务器上新建一个 AD DS 林。在向导页中键入值时，请使用下表中的公司名称和 AD DS 域名。若要启动添加角色向导，请依次单击「开始」、“管理工具”、“服务器管理器”，然后单击右侧窗格中的“添加角色”。

作为最佳安全操作，在生产环境下不要将域控制器同时作为联合身份验证服务器和域控制器运行。

在本指南中，A. Datum 代表帐户伙伴组织，Trey Research 代表资源伙伴组织。

创建帐户

设置了两个林后，启动“Active Directory 用户和计算机”管理单元，以创建某些可用于测试和验证跨这两个林进行联合访问的帐户。在 adfsaccount 计算机上配置下表中的值。

将测试计算机加入相应的域

使用下表中的值来指定哪些计算机将加入哪个域。在 adfsclient 和 adfsweb 计算机上执行此操作。

步骤 2：安装 AD FS 角色服务并配置证书

更新时间: 2009年1月

应用到: Windows Server 2008 R2

此时您已完成计算机配置并将其加入到域中，现在即可在每台服务器上安装 Active Directory 联合身份验证服务 (AD FS) 角色服务。此步骤包括以下过程：

∙

∙

∙

∙ 安装联合身份验证服务 配置两个联合身份验证服务器上的 IIS 以要求 SSL 安装 AD FS Web 代理 创建、导出和导入证书

管理凭据

若要执行本步骤中的所有过程，请使用域的 Administrator 帐户登录到 adfsaccount 计算机和 adfsresource 计算机。使用本地 Administrator 帐户登录到 adfsweb 计算机。

安装联合身份验证服务

按照下面的过程在 adfsaccount 计算机和 adfsresource 计算机上安装 AD FS 的联合身份验证服务组件。在计算机上安装联合身份验证服务后，该计算机就成了联合身份验证服务器。

此联合身份验证服务安装过程将引导您完成为每台联合身份验证服务器新建信任策略文件、自签名安全套接字层 (SSL) 证书和令牌签名证书的过程。

安装联合身份验证服务的步骤

1. 单击「开始」，指向“管理工具”，然后单击“服务器管理器”。

2. 右键单击“角色”，然后单击“添加角色”以启动添加角色向导。

3. 在“开始之前”页上，单击“下一步”。

4. 在“选择服务器角色”页上，单击“Active Directory 联合身份验证服务”。单击两次“下一步”。 5. 在“选择角色服务”页上，选中“联合身份验证服务”复选框。如果提示您安装其他 Web 服务器 (IIS) 或 Windows 进程激活服务角色服务，则单击“添加必需的角色服务”安装它们，然后单击“下一步”。 6. 在“选择 SSL 加密的服务器身份验证证书”页上，单击“为 SSL 加密创建自签名证书”，然后单击“下一步”。

7. 在“选择令牌签名证书”页上，单击“创建自签名令牌签名证书”，然后单击“下一步”。

8. 在“选择信任策略”页上，单击“新建信任策略”，然后单击“下一步”两次。

9. 在“选择角色服务”页上，单击“下一步”以接受默认值。

10. 验证“确认安装选择”页上的信息，然后单击“安装”。

11. 在“安装结果”页上，确认所有内容均已正确安装，然后单击“关闭”。

配置两个联合身份验证服务器上的 IIS 以要求 SSL

按照下面的过程将 adfsresource 和 adfsaccount 这两个联合身份验证服务器默认网站的 Internet 信息服务 (IIS) 配置为要求 SSL。

配置 adfsaccount 服务器上的 IIS 的步骤

1. 单击「开始」，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

2. 在控制台树中，依次双击 ADFSACCOUNT 和“站点”，然后单击“默认网站”。

3. 在“操作”窗格中，单击“绑定”。

4. 在“站点绑定”对话框中，单击“添加”。

5. 在“类型”中，单击 https 。

6. 在“SSL 证书”下，依次单击 adfsaccount.adatum.com 、“确定”和“关闭”。

7. 在中心窗格中，双击“SSL 设置”，然后选中“要求 SSL”复选框。

8. 在“客户端证书”下，单击“接受”，然后单击“应用”。

配置 adfsresource 服务器上的 IIS 的步骤

1. 单击「开始」，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

2. 在控制台树中，依次双击 ADFSRESOURCE 和“站点”，然后单击“默认网站”。

3. 在中心窗格中，双击“SSL 设置”，然后选中“要求 SSL”复选框。

4. 在“客户端证书”下，单击“接受”，然后单击“应用”。

安装 AD FS Web 代理

按照下面的过程在 Web 服务器 (adfsweb) 上安装声明感知 Web 代理。

安装 AD FS Web 代理的步骤

1. 单击「开始」，指向“管理工具”，然后单击“服务器管理器”。

2. 右键单击“角色”，然后单击“添加角色”以启动添加角色向导。

3. 在“开始之前”页上，单击“下一步”。

4. 在“选择服务器角色”页上，单击“Active Directory 联合身份验证服务”。单击两次“下一步”。 5. 在“选择角色服务”页上，选中“声明感知代理”复选框。如果提示您安装其他 Web 服务器 (IIS) 或

Windows 进程激活服务角色服务，则单击“添加必需的角色服务”安装它们，然后单击“下一步”。

6. 在“Web 服务器(IIS)”页上，单击“下一步”。

7. 在“选择角色服务”页上，除预先选中的复选框以外，还要选中“客户端证书映射身份验证”和“IIS 管理

控制台”复选框，然后单击“下一步”。

如果选中“客户端证书映射身份验证”复选框，系统将安装在创建自签名服务器所要求的身份验证证书时 IIS 必须具有的组件。

8. 在验证了“确认安装选择”页上的信息后，单击“安装”。

9. 在“安装结果”页上，确认所有内容均已正确安装，然后单击“关闭”。

创建、导出和导入证书

Web 服务器和联合身份验证服务器设置成功最重要的因素是正确创建并导出所需证书。因为之前使用添加角色向导已为两个联合身份验证服务器创建了服务器身份验证证书，所以此时只需为 adfsweb 计算机创建服务器身份验证证书。本节包括以下过程：

∙

∙

∙

∙ 为 adfsweb 创建服务器身份验证证书 将 adfsaccount 中的令牌签名证书导出到文件 将 adfsresource 服务器身份验证证书导出到文件 将 adfsresource 的服务器身份验证证书导入 adfsweb

为 adfsweb 创建服务器身份验证证书

按照下面的过程在 Web 服务器 (adfsweb) 上创建自签名服务器身份验证证书。

为 adfsweb 创建服务器身份验证证书的步骤

1. 单击「开始」，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

2. 在控制台树中，单击 ADFSWEB 。

3. 在中心窗格中，双击“服务器证书”。

4. 在“操作”窗格中，单击“创建自签名证书”。

5. 在“创建自签名证书”对话框中，键入 adfsweb ，然后单击“确定”。

将 adfsaccount 中的令牌签名证书导出到文件

按照下面的过程在帐户联合服务器 (adfsaccount) 上将 adfsaccount 中的令牌签名证书导出到文件。 将 adfsaccount 中的令牌签名证书导出到文件的步骤

1. 单击「开始」，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。

2. 右键单击“联合身份验证服务”，然后单击“属性”。

3. 在“常规”选项卡上，单击“查看”。

4. 在“详细信息”选项卡上，单击“复制到文件”。

5. 在“欢迎使用证书导出向导”页上，单击“下一步”。

6. 在“导出私钥”页上，单击“否，不导出私钥”，然后单击“下一步”。

7. 在“导出文件格式”页上，单击“DER 编码二进制 X.509 (.CER)”，然后单击“下一步”。 8. 在“要导出的文件”页上，键入 d:�fsaccount_ts.cer，然后单击“下一步”。

9. 在“完成证书导出向导”上，单击“完成”。

将 adfsresource 服务器身份验证证书导出到文件

仅当 Web 服务器 (adfsweb) 信任资源联合身份验证服务器 (adfsresource) 的根证书时，资源联合身份验证服务器和 Web 服务器之间才能正常通信。

由于在本指南介绍的方案中使用的是自签名证书，因此服务器身份验证证书是根证书。因此，必须通过将资源联合服务器 (adfsresource) 身份验证证书导出到文件，然后将该文件导入 Web 服务器 (adfsweb) 来建立此信任关系。若要将 adfsresource 服务器身份验证证书导出到文件，请在 adfsresource 上执行下面的过程。

将 adfsresource 服务器身份验证证书导出到文件的步骤

1. 单击「开始」，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

2. 在控制台树中，单击 ADFSRESOURCE 。

3. 在中心窗格中，双击“服务器证书”。

4. 在中心窗格中，右键单击 adfsresource.treyresearch.net ，然后单击“导出”。

5. 在“导出证书”对话框中，单击 „ 按钮。

6. 在“文件名”中，键入 d:�fsresource，然后单击“打开”。

7. 为证书键入一个密码，确认该密码，然后单击“确定”。

将 adfsresource 的服务器身份验证证书导入 adfsweb

若要导入 adfsresource 的服务器身份验证证书，请在 Web 服务器 (adfsweb) 上执行下面的过程。

将 adfsresource 的服务器身份验证证书导入 adfsweb 的步骤

1. 依次单击「开始」、“运行”，键入 mmc ，然后单击“确定”。