Службы федерации Active Directory (AD FS) предъявляют следующие требования к оборудованию и программному обеспечению.
Требования к оборудованию
- Скорость процессора: 133 МГц для компьютеров
с процессором х86
- Рекомендуемый объем ОЗУ: 256 мегабайтов
(МБ)
- Свободное место на диске, необходимое для
установки: 10 МБ
Требования к программному обеспечению
Службы AD FS основываются на функциональных возможностях сервера, которые встроены в операционные системы Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2. Службы ролей «Служба федерации», «Прокси-агент службы федерации» и «Веб-агент AD FS» не запускаются на более ранних операционных системах. В этом разделе описываются требования к программному обеспечению для каждой службы роли AD FS. Здесь также описываются общие конфигурации программного обеспечения, которые необходимы для работы AD FS в сетевой среде.
|
Примечание |
|
Службы ролей «Служба федерации» и «Прокси-агент службы федерации» не могут сосуществовать на одном компьютере. |
Служба федерации
Для работы службы федерации на компьютере должно быть установлено следующее программное обеспечение:
- Windows Server 2003 R2
Enterprise Edition, Windows Server 2003 R2
Datacenter Edition, Windows Server 2008 Enterprise, Windows
Server 2008 Datacenter, Windows Server 2008 R2
Standard, Windows Server 2008 R2 Enterprise или Windows
Server 2008 R2 Datacenter;
- службы IIS (Internet Information
Services);
- Microsoft ASP.NET 2.0;
- Microsoft .NET Framework 2.0.
|
|
Примечание |
|
После завершения установки службы федерации следует настроить в службах IIS веб-сайт по умолчанию с протоколами TLS/SSL (Transport Layer Security / Secure Sockets Layer). |
Требования к хранилищам учетных записей доменных служб Active Directory (AD DS) и служб Active Directory облегченного доступа к каталогам (AD LDS)
Для служб федерации Active Directory (AD FS) требуется наличие учетных записей пользователей в доменных службах Active Directory (AD DS) или службах Active Directory облегченного доступа к каталогам. На контроллерах доменов доменных служб Active Directory (AD DS) и на компьютерах, содержащих хранилища учетных записей, должна быть установлена одна из следующих операционных систем:
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server 2003 R2,
- Windows Server 2003,
- Windows 2000 с пакетом обновления 4
(SP4) и с критическими исправлениями.
Для работы AD FS не требуется вносить в службы AD DS изменения схемы или модификации на функциональном уровне. Чтобы гарантировать работу AD LDS с AD FS, установите версию AD LDS, которая поставляется с Windows Server 2008.
Прокси-агент службы федерации
Для работы прокси-агента службы федерации на компьютере должно быть установлено следующее программное обеспечение:
- Windows Server 2003 R2
Enterprise Edition, Windows Server 2003 R2
Datacenter Edition, Windows Server 2008 Enterprise, Windows
Server 2008 Datacenter, Windows Server 2008 R2
Standard, Windows Server 2008 R2 Enterprise или Windows
Server 2008 R2 Datacenter;
- службы IIS;
- ASP.NET 2.0;
- Microsoft .NET Framework 2.0.
|
|
Примечание |
|
После завершения установки прокси-агента службы федерации следует настроить в службах IIS веб-сайт по умолчанию с протоколами TLS/SSL (Transport Layer Security / Secure Sockets Layer). |
Веб-агент служб федерации Active Directory
Для работы веб-агента служб федерации Active Directory (агента, поддерживающего утверждения, или агента, использующего токены Windows) на компьютере должно быть установлено следующее программное обеспечение:
- Windows Server 2003 R2
Standard Edition, Windows Server 2003 R2
Enterprise Edition, Windows Server 2003 R2
Datacenter Edition, Windows Server 2008 Standard, Windows
Server 2008 Enterprise, Windows Server 2008 Datacenter,
Windows Server 2008 R2 Standard, Windows
Server 2008 R2 Enterprise или Windows
Server 2008 R2 Datacenter;
- службы IIS;
- ASP.NET 2.0;
- Microsoft .NET Framework 2.0.
|
|
Примечание |
|
После завершения установки веб-агента AD FS должен быть настроен в службе IIS хотя бы один веб-сайт для работы по протоколам TLS/SSL, чтобы федеративные пользователи могли обращаться к веб-приложениям, размещенным на веб-сервере с поддержкой AD FS. |
Доверенные центры сертификации
Так как и технология TLS/SSL, и подписание токеном основываются на цифровых сертификатах, центры сертификации являются важной частью AD FS. Общедоступные центры сертификации, такие как VeriSign Inc., представляют третью доверенную сторону, которая помогает установить идентичность носителя сертификата. Для обеспечения подписи токеном и функционирования других служб внутренних сертификатов можно использовать корпоративные центры сертификации, например службы сертификации (Майкрософт).
Если клиенту представляется сертификат проверки подлинности, принадлежащий серверу, клиентским компьютером проверяется, чтобы центр сертификации, выдавший сертификат, находился в клиентском списке доверенных центров сертификации и чтобы этот сертификат не был отозван центром сертификации. Эта проверка гарантирует, что клиент попал на намеченный сервер. Когда сертификат применяется для проверки подписанных токенов, клиент использует этот сертификат, чтобы удостовериться, что токен выдан надлежащим сервером федерации и что токен не подделан.
Сети TCP/IP
Для работы AD FS подключения сети TCP/IP должны быть установлены между клиентом, контроллером домена и компьютерами, на которых размещены «Служба федерации», «Прокси-агент службы федерации» (когда используется) и «Веб-агент AD FS».
Служба DNS
Для проверки подлинности пользователей в интрасети внутренние серверы DNS (Domain Name System) в лесу интрасети должны быть настроены на возврат канонического имени (CNAME) внутреннего сервера, на котором запущен компонент «Служба федерации». Для достижения наилучших результатов не используйте файлы Host со службой DNS.
Браузер
Хотя любой существующий веб-браузер с включенной поддержкой JScript должен работать как клиент AD FS, корпорацией Майкрософт протестированы только Internet Explorer 8, Internet Explorer 7, Internet Explorer 6, Internet Explorer 5 и 5.5, Mozilla Firefox, а также Safari на компьютерах Apple Macintosh. Для обеспечения надлежащей производительности настоятельно рекомендуется включить поддержку JScript. Файлы Cookie должны быть включены или, по крайней мере, должны быть доверенными для серверов федерации и веб-приложений, к которым происходит обращение.