Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

MCSA: Office 365 – 70-346 (Teil 5) – Föderierte Identitäten für Single Sign-On

Zusätzliche Verbunddienste-Server hinzufügen

Testen Sie unsere 2021 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Lassen Sie sich in diesem Video von Tom Wechsler erklären, welche einzelnen Schritte Sie durchführen müssen, um Ihrer Verbundserverfarm einen zusätzlichen AD FS-Server hinzuzufügen.
10:27

Transkript

Wie Sie einen zusätzlichen Active Directory-Verbunddienste-Server der Farm hinzufügen, erfahren Sie in diesem Video. Es ist ganz wichtig, dass einige Schritte vorbereitet werden, damit Sie einen zweiten Server in Ihrer Farm hinzufügen können. Bei der Installation vom ersten Server habe ich am Schluss bei der Installation im Assistenten eine Warnung erhalten. Diese Warnung hat gesagt, dass der SPN für diesen Server nicht registriert werden konnte, weil dieser SPN, dieser Name, schon besteht. Es wäre also ein doppelter Name in diesem Sinn im Active Directory vorhanden, das darf nicht sein. Diese Warnung ist nicht schlimm, Active Directory-Verbunddienste konnte installiert werden. Wir dürfen diese Warnung aber nicht ignorieren, weil wenn Sie das nicht korrigieren, können Sie keinen zusätzlichen Server in die Farm aufnehmen. Was habe ich gemacht? Ganz einfach, ich habe den Namen der Verbunddienste geändert. Dazu navigiere ich in die Konsole, ich wähle Active Directory- Verbunddienste-Konsole aus. Mit einem Rechtsklick auf "Dienst" wähle ich "Verbunddiensteigenschaften bearbeiten" und Sie sehen hier, ich habe den Verbunddienstenamen geändert in "adfs1.corp.pri". Der Assistent konnte den SPN nicht erstellen, weil der Verbunddienstname genau gleich hieß wie der FQDN des Servers. Das geht nicht, weil dann wäre ein doppelter SPN im Active Directory vorhanden. Das darf nicht sein. Darum habe ich hier eine "1" ausgewählt. Wenn Sie das gemacht haben, wenn Sie da auf "OK" klicken, wird der Verbunddienst-Service, also der Dienst als solches, dann neu gestartet und dann ist dieser Name geändert. Nun haben Sie die Möglichkeit, diesen SPN manuell zu konfigurieren. Dazu starten Sie eine Kommandozeile mit Administratorenrechten und ich zeige Ihnen, wie das aussieht, wenn Sie das vorher nicht korrigieren und Sie sehen hier: "setspn -a host/adfs.corp.pri" und dann unser Service-Account, den wir erstellt haben. Dann kommt die Meldung: "Doppelter SPN gefunden, Vorgang wird abgebrochen." Das geht nicht. Wenn wir aber den Verbunddienstenamen geändert haben mit "adfs1", so wie Sie das hier sehen, dann haben wir die Möglichkeit, diesen SPN zu registrieren. Sie sehen hier: "setspn -a host/adfs1", das ist der neue Verbunddienstename, "corp.pri" und dann unser Dienstkonto, welches wir manuell im Active Directory-Benutzer und -Computer erstellt haben. Dann kann dieser SPN registriert werden. Das sind also die ersten Vorbereitungen, die Sie treffen müssen. Die nächste Vorbereitung besteht darin, dass Sie das Zertifikat, welches Sie für diesen Server installiert haben, exportieren müssen, damit Sie das beim zweiten Server dann importieren können. Dazu öffnen Sie die Konsole "Zertifikate" für den lokalen Computer, das sehen Sie hier sehr schön. Sie navigieren zu "Eigene Zertifikate", wählen "Zertifikate" aus. Mit einem Rechtsklick auf das Zertifikat wählen Sie alle Aufgaben und dann exportieren. Es startet der Assistent, Sie wählen "Weiter". Sie müssen unbedingt den privaten Schlüssel auch mit exportieren, wählen "Weiter", dann diese Konfiguration als solche ist perfekt. Sie können, wenn Sie möchten, noch "alle erweiterten Eigenschaften exportieren", ist allerdings nicht zwingend notwendig. "Weiter". Dann müssen Sie eine zusätzliche Sicherheit implementieren. Sie können eine Gruppe angeben oder ein Kennwort konfigurieren. Ich verwende da ein Kennwort. Diese Sicherheit ist notwendig, weil Sie auch den privaten Schlüssel gleich mitexportieren. Mit diesem Schutz kann das Zertifikat nicht einfach irgendwo angewendet werden, es muss immer noch das Kennwort mitgegeben werden, dann wählen Sie "Weiter". Nun geben Sie einen Pfad an, wo Sie das Zertifikat, diesen Export, ablegen möchten. Ich wähle da "Durchsuchen" und Sie sehen, ich habe das bereits gemacht, ich habe das auf dem lokalen Datenträger abgelegt im Ordner "CERT", da ist mein Zertifikat bereits exportiert. Dann haben Sie die Möglichkeit, auf "Weiter" zu klicken und der Export wird dann fertig gestellt. Das habe ich also bereits vorbereitet. Sie sehen das auch im Windows Explorer unter dem Laufwerk "C:" ist der Ordner "CERT", da habe ich dieses Zertifikat exportiert. Ich habe auch diesen Ordner freigegeben, damit ich auf dem zweiten Server dann diese Freigabe aufrufen kann. Das ist also eine weitere Vorbereitung, die Sie auf dem ersten Server treffen müssen. Nun geht es weiter auf dem zweiten Server, den Sie zu Ihrer Farm hinzufügen wollen. Ich befinde mich auf dem zweiten Server "adfs02". Dieser Server soll Mitglied der Verbunddienstefarm werden. Der erste Schritt besteht darin, dass Sie die Verbunddienste installieren. Sie sehen hier bereits die Warnung, also habe ich vorbereitet über das PowerShell-Cmdlet "Install-WindowsFeature". Das Feature heißt "ADFS-Federation" und dann "-IncludeManagementTools". Wenn Sie das gemacht haben, dann sind die Verbunddienste bereits installiert. Der nächste Schritt besteht darin, dass Sie das Zertifikat auf diesem Server lokal installieren. Ich habe die Freigabe aufgerufen und dann das Zertifikat -- Sie sehen hier die Freigabe, da ist das Zertifikat -- habe ich auf den Desktop kopiert. Das Zertifikat ist hier verfügbar. Sie haben die Möglichkeit, das Zertifikat zu installieren mit einem Doppelklick, es startet der Assistent. Ganz wichtig, Sie wählen hier "Lokaler Computer" und dann "Weiter". Da ist der Pfad zu diesem Zertifikat. "Weiter" und nun müssen Sie das Kennwort angeben, das Sie beim Export ebenfalls konfiguriert haben. Sie geben das Kennwort hier an und wählen hier noch die Option "Schlüssel als exportierbar markieren" und dann "Weiter". Und nun müssen Sie den Speicherort angeben, wo soll dieses Zertifikat installiert werden. Sie wählen also hier "Alle Zertifikate in folgendem Speicher speichern", wählen die Schaltfläche "Durchsuchen" und navigieren zu "Eigene Zertifikate". Sie wählen "OK", damit dieses Zertifikat im Speicher der "Eigenen Zertifikate" installiert wird. Sie klicken auf "Weiter", Sie erhalten hier die Übersicht und dann wählen Sie "Fertig stellen". Das habe ich ebenfalls bereits vorbereitet. Das können wir verifizieren, indem wir die Microsoft Management Console starten. Ich öffne das Snap-in "Zertifikate", wähle da "Hinzufügen", das ist der Computer-Account [Computerkonto], "Weiter", "Fertig stellen" und "OK". Ich navigiere zu "Zertifikate", dann "Eigene Zertifikate" und hier sehe ich "Zertifikate" und da sehen wir bereits das Zertifikat, welches ich importiert habe. Ich habe also diese Vorbereitung bezüglich "Zertifikat" bereits erstellt. Nun muss ich noch unserem Dienstkonto, welches wir in Active Directory-Benutzer und -Computer erstellt haben, ebenfalls die notwendigen Berechtigungen zuweisen in den lokalen Sicherheitsrichtlinien. Dazu navigieren Sie zu "Lokale Sicherheitsrichtlinie". Diese Konsole können Sie über den Server-Manager starten, wenn Sie auf "Tools" klicken. Dann navigieren Sie zu "Lokale Richtlinien", wählen "Zuweisen von Benutzerrechten" und Sie sehen hier bei "Anmelden als Dienst", habe ich unser Konto bereits konfiguriert und auch hier "Anmelden als Stapelverarbeitungsauftrag" habe ich ebenfalls das Konto bereits festgelegt. Diese Vorbereitung müssen Sie unbedingt treffen, damit wir dann den Server auch erfolgreich in die Farm aufnehmen können. Nun geht es weiter mit dem eigentlichen Konfigurationsassistenten im Server-Manager. Ich öffne also den Server-Manager. Ich navigiere zu dieser Benachrichtigung und ich möchte die Nachkonfiguration für die Verbunddienste starten, indem ich auf diesen Link klicke. Nun startet der Assistent. Ich muss die Option auswählen: "Fügt einer Verbundserverfarm einen Verbundserver hinzu". Ich möchte ja keine neue Farm erstellen. Hier auch wieder die Informationen, dass ich einen Domänenadministratorkonto brauche und das Zertifikat. Ich wähle "Weiter". Hier haben wir den Domänenadministrator, wunderbar, dieses Konto ist passend für die Installation und ich wähle "Weiter". Nun muss ich den primären Verbundserver angeben. Das ist der FQDN des ersten Servers: "adfs.corp.pri" und dann geht es weiter. Nun muss ich das Zertifikat auswählen. Das ist das Zertifikat, welches wir eben importiert haben und das wird hier angezeigt. Ich wähle "Weiter". Nun muss ich das Dienstkonto angeben. Das ist das Konto, welches wir eben vorhin gesehen haben, das zum Beispiel die zusätzlichen Berechtigungen erhalten hat über die lokalen Sicherheitsrichtlinien. Ich wähle da "Auswählen" und dann "adfssvc", ist übrigens auch das Konto, welches nun den registrierten SPN hat, ich wähle "OK". Ich muss das Kennwort ebenfalls mitgeben und dann geht es "Weiter". Nun erhalte ich die Auswahl, welche ich eben konfiguriert habe. Ich kann mir das Skript anzeigen lassen und ebenfalls möchte ich dieses Skript abspeichern, damit ich das später wieder einsehen kann. Ich wähle da "Speichern unter", navigiere zum Desktop, ich lege mir das Skript einfach auf [den Desktop], damit ich zu einem späteren Zeitpunkt die PowerShell-Cmdlets einsehen kann und ich wähle "Weiter". Es werden nun die Voraussetzungen überprüft und Sie sehen hier: "Voraussetzungsüberprüfung abgeschlossen". Wir können nun den zweiten Server in unsere Farm hinzufügen. Ich wähle die Schaltfläche "Konfigurieren". In diesem Video habe ich Ihnen gezeigt, wie Sie einen zweiten Server in die Farm aufnehmen können.

MCSA: Office 365 – 70-346 (Teil 5) – Föderierte Identitäten für Single Sign-On

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-346 vor und erlernen Sie umfassende Kenntnisse zur Verwaltung von Office 365.

1 Std. 19 min (18 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:15.12.2016

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!