6426C Lab5 部署和配置联合服务

本实验共包括4个练习：

练习1：安装 PKI
练习2：安装 AD FS
练习3：为内部用户配置 AD FS以访问内部应用程序
练习4：为Internet用户配置AD FS 以访问合作伙伴的应用程序

网络架构

环境准备：

　　下载本文的附件ContosoClaimApp.zip，解压到复制为HQDC1服务器的C:\inetpub\wwwroot\ContosoClaimApp文件夹。

　　下载本文的附件ADatumClaimApp.zip，解压到复制为HQDC2服务器的C:\inetpub\wwwroot\ADatumClaimApp文件夹。

　　分别在上述2台服务器打开IIS管理器，将上述文件夹转换为应用程序。

练习1：安装 PKI

任务1：在 Contoso 域安装 AD CS

1. 检查Active Directory Web Services服务的状态为“已启动”，并且启动类型为“自动”。

2. 打开“服务器管理器”，添加 AD CS 角色。

任务2：关闭CDP（CRL Distribution Point）和AIA（Authority Information Access）

1. 打开“管理工具”中的“证书颁发机构”，右键单击“ContosoCA”，选择“属性”。

2. 在“ContosoCA 属性”对话窗口，选择“扩展”选项卡。在“选择扩展”列表中选择“CRL分发点（CDP）”。然后在其下方的列表中删除“ldap:///CN…”和“file://<ServerDNSName>…”。

3. 选择“http://”条目，然后勾选“包含在颁发的证书的CDP扩展中”。

4. 在“选择扩展”列表中选择“颁发机构信息访问（AIA）”。然后在其下方的列表中删除“ldap:///CN…”和“file://<ServerDNSName>…”。选择“http://”条目，然后勾选“包含在颁发的证书的AIA扩展中”。

5. 点“确定”按钮，然后点“是”重启服务。

6. 在“命令提示符”下面输入：mmc。在管理控制台窗口“添加/删除管理单元”。

7. 在“添加或删除管理单元”对话窗口，在左侧的“可用的管理单元”列表中选择“证书”，然后点“添加”按钮。

8. 选择“计算机帐户”。

9. 暂停自动注册事件。“以管理员身份运行”的方式打开“命令提示符”，输入：

C:\Users\Administrator>certutil -pulse
CertUtil: -pulse 命令成功完成。

C:\Users\Administrator>

10. 再回到管理控制台，在左侧的树状列表中依次展开“证书”、“个人”、“证书”。可以看到显示出一个新证书。如果没有显示出来，请按F5刷新。

11. 由于这个证书包含了遗留的LDAP CRL URL列表，而且不能在AD FS环境中使用。因此删除这个证书。

任务3：配置 Web 服务器的证书模板，允许域控制器和域中的计算机有权限访问证书

1. 在管理控制台“添加/删除管理单元”添加“证书模板”。

2. 选择“Web服务器”，点“属性”。在“安全”选项卡，添加4个组或用户名：Domain Computers、Domain Controllers、Network Service、IIS_IUSRS。并且为它们的权限设置为允许“读取”和“注册”。

3. “以管理员身份运行”方式打开“命令提示符”，重启证书服务。

C:\Users\Administrator>net stop "Active Directory Certificate Services"
Active Directory Certificate Services 服务正在停止.
Active Directory Certificate Services 服务已成功停止。

C:\Users\Administrator>net start "Active Directory Certificate Services"
Active Directory Certificate Services 服务正在启动 .
Active Directory Certificate Services 服务已经启动成功。

C:\Users\Administrator>

任务4：在IIS中创建一个域证书

1. 在“管理工具”中打开“Internet信息服务（IIS）管理器”。双击“服务器证书”。

2. 选择“创建域证书”。

3. 输入“通用名称”等信息。

4. 点“选择”按钮，选择证书颁发机构。

注：必须输入一个“好记名称”。

5. 验证域证书。

任务5：绑定证书到需要SSL的程序

1. 选择“Default Web Site”，单击“绑定”。

2. 点击“添加”按钮，添加https所需的域证书。

注：在上图中，务必点击“查看”，确认该证书有“友好名称”。

任务6：将Contoso 根证书导出到Adatum域

1. 在管理控制台，选择域证书，在右键菜单中选择“所有任务”、“导出”。

2. 按照“证书导出向导”的提示，导出证书。

任务7：在Adatum域导出证书。

　　转到HQDC2服务器，按照前面的所有操作步骤。最后在Adatum域创建一个名为“AdatumCA”的根证书，并导出为AdatumCA.cer文件。将这个文件复制到HQDC1服务器的C:\LabFiles文件夹。

任务8：将Adatum域证书导入到受信任的根证书颁发机构。

1. 转到HQDC1服务器。打开“管理工具”中的“组策略管理”，编辑默认的域策略。依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“公钥策略”。在“受信任的根证书颁发机构”中“导入”。

2. 选择AdatumCA证书文件。

3. 确认证书存储在“受信任的根证书颁发机构”位置。

4. 确认导入成功。

5. 编辑完成后，退出“组策略管理”。

6. 强制刷新组策略。在命令提示符下面运行： gpupdate /force

任务9：将Contoso根证书导入到Adatum域

　　参照前面的操作，把ContosoCA.cer文件复制到HQDC2。在HQDC2服务器编辑默认的组策略，将ContosoCA.cer导入到Adatum域的“受信任的根证书颁发机构”位置。然后强制刷新组策略。

（附加）练习安装 AD FS 1.0

　　本实验需要使用AD FS 2.0，所以下述操作仅供参考，不要在本实验内操作。

　　安装完成之后，可以从“管理工具”的“Active Directory 联合身份验证服务”打开管理控制台。

练习2：安装 AD FS 2.0

任务1：在Contoso域安装AD FS 2.0

1. 下载安装程序 http://down.51cto.com/data/802169

2. 右键单击此解后的文件，“以管理员身份运行”。

3. 根据安装向导的提示，完成安装。

任务2：创建一个独立联合服务器

1. 在上一步的安装过程中，如果选择了“此向导关闭时自动启动AD FS 2.0管理单元”，则自动弹出管理界面。否则，在“管理工具”中单击“AD FS 2.0管理”。在管理控制台界面，单击“AD FS 2.0联合服务器配置向导”。

2. 创建一个新的联合身份验证服务。

3. 选择“独立联合服务器”。

4. 查看证书是否正确。

5. 完成安装。

注意：为了确保后续的正常操作，建议检查“服务”的列表中的“Active Directory Web Service”和“AD FS 2.0 Windows Service”的启动类型为“自动”，并且这2个服务的状态为“已启动”。

任务3：验证PowerShell

　　打开“管理工具”中的“Windows PowerShell Modules”。

运行：Get-ADFSProperties，查看AD FS模块是否已经加载。

运行：Get-Command *-ADFS* ，查看AD FS模块相关的命令。

任务4：验证federationmetadata.xml文件

　　打开IE，在地址栏输入 https://hqdc1.contoso.com/federationmetadata/2007-06/federationmetadata.xml

任务5：添加一个新的声明说明

1. 添加一个声明说明。本例只是介绍添加声明说明的方法，仅供参考。

2. 验证。

练习3：为内部用户配置 AD FS以访问内部应用程序

任务1：配置一个令牌签名证书

说明：当ADFS的自动注册功能被启用时，证书不能在ADFS中修改。这个功能会决定ADFS是否管理证书失效以及替换为新证书。因此，在ADFS中修改证书之前，要先关闭这个功能。

1. 打开“管理工具”中的“Windows PowerShell Modules”。

运行：Set-ADFSProperties -AutoCertificateRollover $false

再运行：Get-ADFSProperties ，检查AutoCertificateRollover是否为False。

2. 打开“管理工具”中的“AD FS 2.0管理”。

　　选择具有“友好名称”的证书。

3. 设置为主证书。

4. 删除被替换的令牌签名证书。

任务2：配置一个声明

1. 展开“信任关系”、“声明提供方信任”，“编辑声明规则”。

2. 添加规则。

任务3：配置声明应用程序

1. 安装WIF（Windows Identity Foundation，即Windows身份验证基础）。

下载地址 http://down.51cto.com/data/802274

2. 检查C:\inetpub\wwwroot\ContosoClaimApp文件夹。

3. 打开“管理工具”中的“Windows Identity Foundation Federation Utility”。在“欢迎使用Federation Utility向导”窗口，定位WIF示例应用程序。

4. 完成安装

注：在配置过程中，可能出现“STS签名证书链验证错误”页面。选择“禁用证书验证”。这样可以简化本实验的测试过程。

任务4：配置一个信赖方信任

　　打开“AD FS 2.0管理”。

任务5：配置规则

1. 在上一安装过程中，选择了“向导关闭时打开此信赖方信任的编辑声明规则对话框”，则自动弹出对话框。否则，在上一任务新建的信赖方信任点右键，选择“编辑声明规则”。

2. 添加规则。

3. 参照前一步骤，再添加2个规则。

任务6：测试

　　转到CL1.contoso.com客户端计算机，使用contoso\ZhangS帐户登入。打开IE浏览器，输入网址 https://hqdc1.contoso.com/ContosoClaimApp/ 。如果出现输入凭据的对话窗口，则表明测试成功。

任务7：配置声明规则以只允许组内用户

1. 展开“信任关系”、“声明提供方信任”。“编辑声明规则”。

2. 展开“信任关系”、“信赖方信任”。“编辑声明规则”。打开“颁发授权规则”选项卡，删除默认的规则。然后“添加规则”。

任务8：验证

　　转到CL1.contoso.com客户端计算机，以contoso\ZhangS帐户登入（此帐户属于ITADMIN组）。打开网址，验证。

　　然后再以contoso\LiS帐户登入，此帐户不属于ITADMIN组。打开网址，验证。

练习4：为Internet用户配置AD FS 以访问合作伙伴的应用程序

任务1：为ADatum域添加声明提供方信任

1. 参照前面的操作，为HQDC2.ADatum.com服务器安装AD FS 2.0。

2. 在DNS中添加一个条件转发规则。

3. 打开“AD FS 2.0管理”，使用“AD FS 联合服务器配置向导”配置一台独立联合服务器。

注：如果没有添加DNS条件转发器，可能会出现以下错误。

4. 继续下一步

5. 编辑规则

6. 打开“管理工具”的“Windows PowerShell Modules”，运行以下命令。

PS C:\Users\Administrator> Set-ADFSClaimsProviderTrust -TargetName "hqdc1.contoso.com" -SigningCertificateRevocationCheck None
PS C:\Users\Administrator>

任务2：配置一个信赖方信任

1. 转到HQDC1.contoso.com服务器。配置一个DNS转发器。