Für Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) gelten die folgenden Hardware- und Softwareanforderungen.
Hardwareanforderungen
-
Prozessorgeschwindigkeit: 133 MHz für x86-basierte Computer
-
Empfohlenes Minimum für RAM: 256 Megabyte (MB)
-
Freier Festplattenspeicher für Setup: 10 MB
Softwareanforderungen
Von AD FS werden die Serverfunktionen von Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 verwendet. Die Verbunddienst-, Verbunddienstproxy- und AD FS-Web-Agent-Rollendienste können unter älteren Betriebssystemen nicht ausgeführt werden. In diesem Abschnitt werden die Softwareanforderungen für die einzelnen AD FS-Rollendienste beschrieben. Außerdem werden die allgemeinen Softwarekonfigurationen beschrieben, die für AD FS in Ihrer Netzwerkumgebung erforderlich sind.
 | Hinweis |
|
Der Verbunddienst- und der Verbunddienstproxy-Rollendienst können nicht auf demselben Computer vorhanden sein. |
Verbunddienst
Auf Computern, die den Verbunddienst ausführen, muss die folgende Software installiert sein:
-
Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise oder Windows Server 2008 R2 Datacenter
-
Internetinformationsdienste (Internet Information Services, IIS)
-
Microsoft ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Hinweis |
|
Nach der Installation des Verbunddiensts muss eine Standardwebsite in IIS mit TSL/SSL (Transport Layer Security/Secure Sockets Layer) konfiguriert werden. |
Anforderungen an AD DS- und AD LDS-Kontospeicher
Für den Verbunddienst erfordert AD FS das Vorhandensein von Benutzerkonten in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) oder Active Directory Lightweight Directory Services (AD LDS). Auf AD DS-Domänencontrollern bzw. -Computern, die als Host für die Kontospeicher fungieren, muss eine der folgenden Softwareanwendungen installiert sein:
-
Windows Server 2008 R2
-
Windows Server 2008
-
Windows Server 2003 R2
-
Windows Server 2003
-
Windows 2000 mit Service Pack 4 (SP4) und wichtigen Updates
Für AD FS sind keine Schemaänderungen oder Änderungen auf Funktionsebene von AD DS erforderlich. Installieren Sie die in Windows Server 2008 enthaltene Version von AD LDS, um sicherzustellen, dass AD LDS gemeinsam mit AD FS verwendet werden kann.
Verbunddienstproxy
Auf Computern, die den Verbunddienstproxy ausführen, muss die folgende Software installiert sein:
-
Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise oder Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Hinweis |
|
Nach der Installation des Verbunddienstsproxys muss eine Standardwebsite in IIS mit TSL/SSL konfiguriert werden. |
AD FS-Web-Agent
Auf Computern, die den AD FS-Web-Agent (entweder den Ansprüche unterstützenden Agent oder den tokenbasierten Windows-Agent) ausführen, muss die folgende Software installiert sein:
-
Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, oder Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Hinweis |
|
Wenn die Installation des AD FS-Web-Agents abgeschlossen ist, muss mindestens eine IIS-Website mit TLS/SSL konfiguriert sein, damit Benutzer des Verbunds auf webbasierte Anwendungen zugreifen können, die auf dem AD FS-fähigen Webserver gehostet werden. |
Vertrauenswürdige Zertifizierungsstellen
Da sowohl TLS/SSL als auch die Tokensignierung auf digitalen Zertifikaten beruht, sind Zertifizierungsstellen (Certification Authorities, CAs) ein wichtiger Teil von AD FS. Öffentliche Zertifizierungsstellen wie VeriSign, Inc., dienen als von beiden Seiten als vertrauenswürdig anerkannte dritte Partei, über die die Identität des Inhabers eines Zertifikats identifiziert werden kann. Sie können Unternehmenszertifizierungsstellen wie Microsoft-Zertifikatsdienste verwenden, um Tokensignierung und andere interne Zertifikatsdienste bereitzustellen.
Wenn ein Client das Authentifizierungszertifikat von einem Server empfängt, überprüft der Clientcomputer, ob die ausstellende Zertifizierungsstelle in der Liste der vertrauenswürdigen Zertifizierungsstellen des Clients enthalten ist und ob die Zertifizierungsstelle das Zertifikat nicht gesperrt hat. Durch diese Überprüfung wird sichergestellt, dass der Client den gewünschten Server erreicht hat. Wenn ein Zertifikat zum Überprüfen von signierten Tokens verwendet wird, überprüft der Client anhand des Zertifikats, ob das Token vom richtigen Verbundserver ausgestellt und nicht manipuliert wurde.
TCP/IP-Netzwerkkonnektivität
Damit AD FS ordnungsgemäß ausgeführt werden kann, muss zwischen dem Client, einem Domänencontroller und den Computern, die als Host für den Verbunddienst, den Verbunddienstproxy (falls vorhanden) und den AD FS-Web-Agent fungieren, TCP/IP-Netzwerkkonnektivität vorhanden sein.
DNS
Zum Authentifizieren von Benutzern im Intranet müssen interne DNS-Server (Domain Name System) in der Intranetgesamtstruktur so konfiguriert sein, dass sie den kanonischen Namen (CNAME) des internen Servers zurückgeben, auf dem der Verbunddienst ausgeführt wird. Damit optimale Ergebnisse erzielt werden, sollten Sie in Verbindung mit DNS keine Hostdateien verwenden.
Webbrowser
Im Prinzip können alle aktuellen Webbrowser mit JScript-Aktivierung als AD FS-Client fungieren. Microsoft hat jedoch nur Internet Explorer 8, Internet Explorer 7, Internet Explorer 6, Internet Explorer 5 und 5.5, Mozilla Firefox und Safari (Apple Macintosh) getestet. Damit eine optimale Leistung erzielt wird, wird die Aktivierung von JScript dringend empfohlen. Für die Verbundserver und Webanwendungen, auf die zugegriffen wird, müssen Cookies aktiviert bzw. mindestens auf Vertrauenswürdigkeit geprüft werden.