درس دویست و بیست و هشتم: نصب AD FS Server Role

نصب AD FS Server Role

ایجاد SSL Certificate

قبل از هر کاری باید یک Certificate از نوع .PFX یا Personal Information Exchange ایجاد کنیم. چون این گواهینامه برای مقوله SSL استفاده خواهد شد بهتر است برای ایجاد آن، روال ذیل را طی کنیم:

1- در کامپیوتر CA Server دامین Sina.local و یا در کامپیوتری که قرار است AD FS شود ( بسته به معماری شبکه و ساختار CA ) در کنسول Server Manager و در منوی Tools روی گزینه IIS Manager کلیک میکنیم تا کنسول IIS Manager ظاهر شود. اگر این Role نصب نیست باید ابتدا آنرا نصب کنیم.

2- در پنل سمت چپ روی Local Computer دبل کلیک میکنیم. سپس در پنل میانی روی Server Certificates دو بار کلیک میکنیم.

3- روی گواهینامه موجود راست کلیک کرده ( CA-Sina نام زیرساخت PKI دامین ماست) و سپس روی گزینه Create Self-signed Certificate کلیک میکنیم.

228-1 ca certificate

4- پنجره ذیل ظاهر میشود. در کادر موجود نامی برای گواهینامه وارد کرده و از منوی پایین افتادنی نیز گزینه Personal را انتخاب کرده و روی دکمه OK کلیک میکنیم.

228-2 specify SSL Cert

5- در  پنل میانی کنسول IIS Manager گواهینامه فوق ظاهر میشود که نام FQDN کامپیوتر فوق ( میزبان IIS ) را دارد. روی این گواهینامه راست کلیک کرده و گزینه Export را انتخاب می نماییم.

6- پنجره Export Certificate ظاهر میشود که در آن مطابق شکل ذیل در کادر Export to نام و مکان ذخیره سازی گواهینامه را تعیین میکنیم. مثلا نام Sina-SSL . سپس در کادرهای دوم و سوم یک Password تعیین می نماییم. همانطور که می بینید این گواهینامه با پسوند .pfx ساخته میشود که به معنای Key Private بودن آنست.

228-3 export cert dialog box

7- کار خاتمه یافته است. اکنون فایل SINA-SSL.pfx را به کامپیوتر AD FS Server شبکه انتقال میدهیم.

 

 

نصب AD FS Server Role

اکنون روی یک کامپیوتر ویندوز Server 2016 به نام Vserver003.Sina.local با یک اکانت کاربری که عضو گروه Domain Admins باشد لاگین کرده و در کنسول Server Manager روی Add roles and Features کلیک کرده و در ویزاردی که ظاهر میشود ، مطابق شکل ذیل در صفحه Select Server Role چکباکس Active Directory Federation Service را تیک میزنیم.

228-4 select server AD FS Role

سپس ویزارد را تا انتها ادامه میدهیم. این Role Server را در محیط Windows PowerShell از طریق دستور ذیل میتوان نصب کرد:

Install-WindowsFeature -Name adfs-federation –IncludeManagementTools

پیکربندی AD FS Server Role

اکنون زمان پیکربندی این سرویس رسیده است. پیکربندی شامل تعریف Service Account، پیکربندی Database ، پیکربندی گواهینامه و پیکربندی AD DS است. پس روال ذیل را طی میکنیم:

1- در کنسول Server Manager و در قسمت notification روی Configure The Federation Service on this Server کلیک میکنیم.

2- ابتدا صفحه Welcome ظاهر میشود:

228-5 welcome page

در این صفحه دو دکمه رادیویی وجود دارد. انتخاب دکمه نخست یعنی Create the first … به این معناست که در حال ساخت اولین AD FS  هستیم و دومی یعنی از قبل یک AD FS Farm داریم و در حال اضافه کردن یک AD FS به آن می باشیم. Farm به معنی مزرعه و در اینجا به معنای مجموعه ای از چند AD FS است. ما طبعا دکمه رادیویی نخست را انتخاب کرده و روی دکمه next کلیک میکنیم.

2- در صفحه Connect to Active Directory Domain Services باید اکانتی را تعیین کنیم که عضو گروه Domain Admins باشد. ما چون با یک اکانت عضو گروه فوق به این کامپیوتر login کرده ایم در این صفحه روی دکمه next کلیک میکنیم.

3- صفحه Specify Service Properties ظاهر میشود.

228-6 Specify Server Properties

در صفحه فوق باید از طریق دکمه import باید گواهینامه SIAN-SSL.pfx که در بخش نخست این درس ساخته ایم را انتخاب کنیم.

228-7 import pfx certificate

بلافاصله آن پسوردی که در هنگام ساخت گواهینامه تعیین کرده ایم از ما طلب میشود که باید آنرا وارد نماییم. سپس در کادر Federation Service Name باید نام FQDN کامپیوتر AD FS Server را وارد کنیم. نام فوق VServer003.sina.local است. نکته مهم اینست که نام گواهینامه نیز باید عین نام Federation Server باشد که خود ویندوز گواهینامه فوق را به همین صورت شناسایی و ثبت میکند. در کادر Federation Service Display Name نیز باید عبارتی را وارد کنیم که اهمیت چندانی هم ندارد. مثلا A Sina Company .

228-8 specify server properties page

4- در صفحه Specify Service Account یا باید با انتخاب دکمه Create a group Managed Service Account یک Service Account ایجاد کنیم و یا مانند شکل ذیل دکمه رادیویی use an existing … را انتخاب کرده و یک کاربر عضو Domain Admins را تعیین کنیم. راه دوم ساده تر است و ما نیز همانطور که در شکل می بینید این راه را انتخاب کرده ایم. ( در درس 77 این دوره آموزشی با چگونگی ساخت Service Account آشنا شده اید).

228-9 specify service account

5- در صفحه Specify Configuration Database باید یکی از دو گزینه موجود را انتخاب کرد. یا Windows Internal Database ( انتخاب پیشفرض) یا کلیک روی گزینه Specify The Location of a SQL Server Database که در این صورت باید نام سرور میزبان SQL Server و نام instance مورد استفاده را وارد کنیم.

228-10 configuration database page

6- در صفحه Review Options باید انتخاب ها را بررسی کرده و در صورتی که مشکل وجود نداشت روی دکمه next کلیک کنیم.

7- در صفحه Pre-Requisite Checks اگر خطایی گرفته نشده باشد روی دکمه Configure کلیک میکنیم.

8- در نهایت در صفحه Results روی دکمه Close کلیک میکنیم.

اکنون یک AD FS Server و در واقع یک Farm ایجاد کرده ایم.

الزامی وجود ندارد اما خیلی بهتر است که اکنون یکبار این کامپیوتر ریستارت شود. وقتی مجددا بوت شد و به آن لاگین کردیم میتوانیم در کنسول Server Manager در منوی Tools روی گزینه AD FS management کلیک نماییم تا کنسول مدیریتی AD FS اجرا شود. ممکن است در پنل میانی این کنسول یک Error اعلام شود در اتصال به Database . خیلی نگران نشوید. به احتمال زیاد این خطا به این دلیل رخ داده است که هنوز سرویس AD FS که جزو سرویس های ویندوز میباشد، Start نشده است. این سرویس بصورت پیشفرض بصورت delayed Start می باشد. میتوانید در کنسول Services.msc نحوه استارت شدن این سرویس را تنظیم کرده و تغییر دهید.

اکنون باید مشخص کرد که این AD FS Server باید نقش Claims Provider را ایفا کند یا Relying Party و یا هر دو. در سناریوهای واقعی باید AD FS Server شبکه ای که Account Partner است نقش Claims Provider را عهده دار شود و به همین صورت AD FS Server شبکه ای که Resource Partner است نیز باید بعنوان Relying Party پیکربندی شود. اما میتوان AD FS را فقط برای یک شبکه و یک Forest هم پیاده سازی کرد. در این حالت چون هم منابع و هم کاربران استفاده کننده از منابع در یک Forest قرار دارند، AD FS Server هم Claims Provider و هم Relying Party باید باشد. در درس بعدی با نحوه پیکربندی یک AD FS Server بعنوان Claims Provider و یا Relying Party آشنا خواهید شد.

مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید
رفتن به نوار ابزار