Das Snap-In Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) der Microsoft Management Console (MMC) wird installiert, wenn Sie die Verbunddienstkomponente unter Software in Windows Server 2003 R2 Enterprise Edition installieren oder den Assistenten zum Hinzufügen von Rollen in Windows Server 2008 oder Windows Server 2008 R2 verwenden. Sie können das Snap-In Active Directory-Verbunddienste für folgende Aufgaben verwenden:

  • Konfigurieren des Verbunddiensts oder der Verbundserverfarm

  • Verwalten der Vertrauensrichtlinie, die Ihrem Verbunddienst zugeordnet ist

    • Verwalten von Kontospeichern für Active Directory-Domänendienste (Active Directory Domain Services, AD DS) oder Active Directory Lightweight Directory Services (AD LDS)

    • Verwalten von Konto- und Ressourcenpartnern, die Ihrer Organisation vertrauen

    • Verwalten von Ansprüchen, Verbundserverzertifikaten und per AD FS geschützten Webanwendungen

Einstellungen, die Sie über das Snap-In Active Directory-Verbunddienste konfigurieren, werden zum Teil in der Datei web.config gespeichert, die sich im virtuellen Verzeichnis des Verbunddiensts befindet, und zum Teil in der Vertrauensrichtliniendatei. Sie können entweder die Datei web.config direkt bearbeiten und einen Push auf verschiedene Server ausführen, oder Sie können das Snap-In Active Directory-Verbunddienste verwenden, um die Einstellungen zu ändern.

Sie sollten die Vertrauensrichtliniendatei jedoch nicht manuell bearbeiten. Bearbeiten Sie die Vertrauensrichtliniendatei stattdessen, indem Sie das Snap-In Active Directory-Verbunddienste verwenden, oder führen Sie die Bearbeitung programmgesteuert aus, indem Sie das AD FS-Objektmodell verwenden.

Hinweis

Die Skriptunterstützung wird im AD FS-Objektmodell bereitgestellt. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie in der Übersicht zu Active Directory-Verbunddienste (https://go.microsoft.com/fwlink/?LinkId=91836).

Wenn Sie das Snap-In Active Directory-Verbunddienste öffnen, liest das Snap-In die Datei web.config aus dem virtuellen Verzeichnis des Verbunddiensts aus und ermittelt den Speicherort der Vertrauensrichtliniendatei. Das Snap-In stellt dann eine Konsolenstrukturhierarchie dar, in der der Verbunddienst und alle Aspekte der Vertrauensrichtlinie abgebildet sind, z. B. auch Organisationsansprüche, Partner, Kontospeicher und Anwendungen. Jedes Objekt in dieser Konsolenstrukturhierarchie verfügt über Optionen, mit deren Hilfe Sie Einheiten der Vertrauensrichtlinie anzeigen, ändern, hinzufügen und löschen können.

Verbunddienst (Knoten)

Der Knoten Verbunddienst in der Konsolenstruktur des Snap-Ins Active Directory-Verbunddienste stellt den lokalen Verbunddienst dar, der dem Verbundserver zugewiesen ist, auf dem Sie das Snap-In anzeigen. Sie steuern die Konfiguration des lokalen Verbundservers über diesen Knoten des AD FS-Snap-Ins. Die Konfiguration des lokalen Verbundservers unterscheidet sich von der Konfiguration der Vertrauensrichtlinie darin, dass Letztere von allen Verbundservern der Verbundserverfarm verwendet wird. Die Konfiguration des Verbundservers ist in der Datei web.config gespeichert und enthält die folgenden Elemente:

  • Den Pfad zur Vertrauensrichtliniendatei

  • Das lokale Zertifikat für die Tokensignatur

  • Microsoft ASP.NET-Webseiten

  • Die Debugprotokollierungsebene und den Pfad zum Verzeichnis mit den Protokolldateien

  • Die Option zum Aktivieren des anonymen Zugriffs auf Organisationsgruppenansprüche


Inhaltsverzeichnis