標籤:windows server 2016 安裝及配置 adfs 4.0
Windows Server 2016 安裝及配置 ADFS 4.0
ADFS(Active Directory Federation Services),既活動目錄聯合服務。ADFS將活動目錄拓展到Internet。要理解這一點,可以考慮一般活動目錄設施的工作原理。當使用者通過活動目錄認證時,網域控制站檢查使用者的認證。證明是合法使用者後,使用者就可以隨意訪問Windows網路的任何授權資源,而無需在每次訪問不同伺服器時重新認證。具體就不多介紹了。今天我們主要介紹的是Windows Server 2016下安裝接配置ADFS 4.0。
我們需要注意的是:各版本的配置有不同的配置方法,尤其從4.0開始。
Windows Server 2008 的ADFS版本是 ADFS 2.5
Windows Server 2012R2版本的ADFS 3.0
Windows Server 2016版本的ADFS 4.0
環境介紹:
Hostname:DC
IP:192.168.5.10
Role:DC、DNS、CA
Hostname:ADFS
IP:192.168.6.26
Role:ADFS
我們首先是準備好DC,在此我們DC已經安裝好了,所以具體跳過了
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqlPh-T5sAAD7AbX2PUs730.png" width="644" height="391" />
然後我們需要在DC上安裝CA
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/AA/wKiom1kBqlSy-mHIAAHvjejoNvw643.png" width="644" height="457" />
勾選CA的相關服務
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/A8/wKioL1kBqlaCsetnAAFzbeD1HLM422.png" width="644" height="457" />
安裝完成
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/A8/wKioL1kBqlfQFDuBAAHDuq3KjiQ860.png" width="644" height="457" />
接下來我們配置認證服務
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqliQcZHRAAD7ASHyYRk118.png" width="584" height="372" />
根據嚮導進行配置
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqlnDYl9MAAFAn-Ts8U4465.png" width="644" height="472" />
勾選所需要配置的服務
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/A8/wKioL1kBqlmz0KS2AAEgqHvw8RA274.png" width="644" height="466" />
我們選擇企業根
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/AA/wKiom1kBqlrgnmyHAAF3Fo1SgxM155.png" width="644" height="475" />
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/A8/wKioL1kBqlywJbtoAAGIIKACS4w279.png" width="644" height="474" />
建立新的私密金鑰
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/AA/wKiom1kBql3DtgshAAHH5gVUj2M886.png" width="644" height="474" />
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBql6SN0Q1AAE5lFQ1wXo951.png" width="644" height="475" />
指定CA名稱
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/AA/wKiom1kBql-yZ_fAAAFRazNKco0030.png" width="644" height="476" />
確認配置資訊
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/A8/wKioL1kBqmDih8fLAAGY6UPC_o4708.png" width="644" height="470" />
配置完成
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/AA/wKiom1kBqmHSY5hbAAEYF6sJTWA248.png" width="644" height="471" />
我們驗證CA
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/A8/wKioL1kBqmKSIt5WAAE-Fs64G00250.png" width="644" height="372" />
以上環境準備好後就可以配置ADFS伺服器了。在配置前我們需要給電腦或者指定的使用者或者電腦授權憑證發行
我們在CA伺服器上開啟憑證發行架構,我們開啟管理工具,雙擊開啟憑證授權單位
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/AA/wKiom1kBqmORcsyyAAI26wmqIno432.png" width="644" height="424" />
右擊憑證範本--管理
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqmXAXlVaAAG1Ov3yUF4895.png" width="644" height="368" />
在憑證範本---web伺服器---右擊屬性-
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqmXzYxgiAAEkjmqwA_8207.png" width="644" height="325" />
在安全選項增加—ADFS電腦的hostname
hostname$ 比如 ADFS$
從這就可以看見那些使用者是有許可權申請認證的。預設是domain admins 、enterprise admins
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/A9/wKioL1kBqmigrFa-AADh6zh-DNA227.png" width="439" height="484" />
接下來我們安裝ADFS服務;在安裝ADFS之前,我們需要建立一個ADFS賬戶及認證。
我們建立的服賬戶adfs_svc
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/A9/wKioL1kBqmmBz41ZAAEURxcvrzc840.png" width="644" height="338" />
賬戶準備好後,然後申請認證,其實有很常見的兩種方法,第一種就是通過iis進行認證申請,第二種通過mmc控制台進行申請,IIS的申請方法在此就跳過了,今天主要使用mmc進行認證申請。該方法比較簡單。
我們在ADFS伺服器上,運行mmc,開啟認證管理
右擊--個人--所有任務---申請新認證
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqmriD6v9AAFBeaVWOIk076.png" width="644" height="320" />
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/A9/wKioL1kBqmuT-sfuAAE4FZVP3EA078.png" width="644" height="384" />
預設
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/A9/wKioL1kBqmzT6qZTAAE1nD2Wbpo645.png" width="644" height="393" />
我們可以看見web伺服器,單後通過嚮導進行註冊認證
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/A9/wKioL1kBqm2imoqUAAEjZ-TC3Kg771.png" width="644" height="352" />
需要主要的是,電腦名稱和ADFS的認證名稱不能一樣
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/AA/wKiom1kBqm6ysz4IAAIIQ-qX0A0265.png" width="642" height="484" />
勾選web伺服器,進行註冊
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/A9/wKioL1kBqnGQdf63AAF6bn81t4w689.png" width="644" height="359" />
註冊完成
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/A9/wKioL1kBqnKSp-P_AAEEhkA0OTU479.png" width="644" height="354" />
這樣認證就申請完成了
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/A9/wKioL1kBqnPgoD-wAAFJ9fLaAUc556.png" width="644" height="348" />
接下來就開始安裝ADFS服務了
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqnTRnSIfAAHrBJb5qnk905.png" width="644" height="457" />
安裝完成
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/AA/wKiom1kBqnXTOGHhAAFGUlV5P9w612.png" width="644" height="456" />
安裝完成就是開始配置了
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/AA/wKiom1kBqnbC_c3gAAFuSz4FYPo574.png" width="644" height="444" />
我們當前的使用者是網域系統管理員
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/A9/wKioL1kBqneDPCArAAE15lQyxiU871.png" width="644" height="471" />
我們選擇剛才申請的認證,然後定義顯示名稱
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/A9/wKioL1kBqnjzfKnbAAFmhMdAqms357.png" width="644" height="476" />
指定我們一開始建立的服務賬戶
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M02/92/AA/wKiom1kBqnySuJROAAFMbsMccdg766.png" width="644" height="479" />
我們在此伺服器上使用windows 內部的資料庫建立資料
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/A9/wKioL1kBqoGhzhSNAAFLwKMXYD8014.png" width="644" height="470" />
確認資訊
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqoLTs78TAAF-B4isjHE708.png" width="644" height="466" />
安裝條件
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/AA/wKiom1kBqoOxeVD0AAFmevzIsPw983.png" width="632" height="484" />
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/AA/wKiom1kBqtrgrAkPAAHwFx-bSPA957.png" width="644" height="469" />
我們發現出現錯誤,如果是在windows server 2012R2下安裝及配置ADFS的話就不會出現以上錯誤,
經過查看資料Windows server 2016的是 ADFS 4.0需要在配置認證的時候增加一個certauth開頭的使用者,
例如certauth.adfs.contoso.com,另外IDP-initiated sign on地址預設是關閉的,需要執行PowerShell命令手動開啟
我們首先需要在ADFS 4.0下的powershell下執行一下命令
Set-AdfsProperties -EnableIdPInitiatedSignonPage:$true
Set-AdfsProperties -EnableRelayStateForIdpInitiatedSignOn:$true
650) this.width=650;" title="image" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;padding-top:0px;padding-left:0px;border-left:0px;margin:0px;padding-right:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqtvjeroDAACTTH3AsDM346.png" height="40" />
執行後,我們重新申請一張認證
650) this.width=650;" title="clipboard" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;padding-top:0px;padding-left:0px;border-left:0px;margin:0px;padding-right:0px;" border="0" alt="clipboard" src="http://s3.51cto.com/wyfs02/M02/92/AA/wKiom1kBqtzQjicmAAHGa4I-mBo300.png" height="465" />
增加認證後,我們在dns中增加一條解析記錄
650) this.width=650;" title="image" style="border-right-width:0px;background-image:none;border-bottom-width:0px;padding-top:0px;padding-left:0px;margin:0px;padding-right:0px;border-top-width:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M00/92/AA/wKiom1kBqt2y4noZAADxHVE_1sA883.png" width="644" height="237" />
然後我們測試訪問
https://adfs-srv.ixmsoft.com/adfs/ls/idpinitiatedsignon.aspx
650) this.width=650;" title="image" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;padding-top:0px;padding-left:0px;border-left:0px;margin:0px;padding-right:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/A9/wKioL1kBqt7AnDqGAAFJmUqmcK0523.png" height="350" />
我們登陸成功
650) this.width=650;" title="image" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;padding-top:0px;padding-left:0px;border-left:0px;margin:0px;padding-right:0px;" border="0" alt="image" src="http://s3.51cto.com/wyfs02/M01/92/AA/wKiom1kBqt-je0kwAAEhC1naXwY723.png" height="315" />
具體可以參考以下微軟的文檔
https://social.technet.microsoft.com/wiki/contents/articles/34162.ad-fs-4-0-discover-setup-and-publish-application-part1.aspx
本文出自 “高文龍” 部落格,謝絕轉載!
Windows Server 2016 安裝及配置 ADFS 4.0