This is an old revision of the document!
Установка роли ADFS
1. В первую очередь для работы ADFS необходимо создать сервисную учётную запись на контроллере домена.
На КД от имени администратора запускаем PowerShell и выполняем:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName
YouDnsHostName - меняем на хостнейм adfs-сервера и имя службы ADFS для подключения (ServicePrincipalNames).
2. Для ADFS используется два основных сертификата.
- Сертификат служб. Этот сертификат используют клиенты для коннекта (обычно используется сертификат, выданный внутренним, либо внешним CA).
- Сертификат подписи. Этот сертификат необходим для подписи токенов (обычно используется самоподписанный сертификат).
Для начала установки нам необходимо сгенерировать сертификат служб. Для этих целей хорошо подходит шаблон Web Server. Можно сделать его дубликат, в котором желательно на всякий случай установить возможность экспорта закрытого ключа, а также выдать в настройках безопасности право на enroll для машинного аккаунта сервера ADFS. Больше ничего специфического менять не требуется.
Примечание: для работы ADFS лучше издавать RCA сертификат, с ECC, к примеру, возникает ошибка при установке. Ошибка имеет следующее содержание:
"ID8025 Parameter name: value"
После создания подходящего шаблона запросим сертификат у ЦС обычным образом.
Примечание: CN (Common Name) запрашиваемого сертификата должен соответствовать FQDN ADFS-сервера, иначе при попытке настроить роль ADFS мы не увидим сертификат в списке и не сможем его импортировать.
Примечание 2: Можно импортировать сертификат в сертификаты компьютера, а можно скормить установщику роли PFX-файл с сертификатом и закрытым ключом, разницы нет, главное, чтобы сертификат соответствовал указанным выше требованиям.
3. Запустим установщик роли и выберем при установке ролей Active Directory Federation Services.
Роль можно установить при помощи следующего командлета:
Install-WindowsFeature ADFS-Federation -IncludeManagementTools
На этапе установки роли никаких подводных камней нет.
4. После установки запустим конфигурирование роли.
Если у нас первый сервер - на следующем этапе выбираем соответствующую опцию.
Если мы работаем под администратором домена - на следующем этапе подтверждаем выбор собственной УЗ.
На этапе выбора сертификата - указываем наш сгенерированный сертификат, который мы получили на этапе 2.
Выбираем имя, соответствующее CN сертификата и прописанное в свойствах DNS-сертификата, а также отображаемое имя для служб ADFS. К примеру:
adfs.arasaka.local
Arasaka Labs ADFS
На этапе выбора учётной записи службы - выбираем FSgMS-аккаунт, который создавали на этапе 1.
В случае, если мы не создаём отказоустойчивую ферму серверов (с SQL), можем оставить в качестве БД Windows Internal Database. Всё остальное на этапе конфигурирования оставляем по умолчанию.
При появлении ошибки с таймаутом - можно проверить - достаточно ли серверу ADFS памяти и ресурсов. При тестировании такая ошибка возникала при установке сервера с минимально рекомендованным объемом RAM - 2ГБ.
При появлении ошибок конфигурирования - установщик роли предложит повторить процедуру конфигурирования. В этом случае на одном из этапов будет возможность перезаписать текущую конфигурацию ADFS. Можно это сделать.