简述Windows Server 2008-ADFS配置

　　要理解ADFS的工作原理，可以先考虑活动目录的工作原理。当用户通过活动目录进行认证时，域控制器检查用户的证书。当证明是合法用户后，用户就可以随意访问Windows网络的任何授权资源，而无需在每次访问不同服务器时重新认证。ADFS将同样的概念应用到Internet。我们都知道当Web应用需要访问位于数据库或其他类型后端资源上的后端数据时，对后端资源的安全认证问题往往比较复杂。现在可以使用的有很多不同的认证方法提供这样的认证。例如，用户可能通过RADIUS(远程拨入用户服务认证)服务器或者通过应用程序代码的一部分实现所有权认证机制。这些认证机制都可实现认证功能，但是也有一些不足之处。不足之一是账户管理。当应用仅被企业自己的员工访问时，账户管理并不是个大问题。但是，如果企业的供应商、客户都使用该应用时，就会突然发现用户需要为其他企业的员工建立新的用户账户。不足之二是维护问题。当其他企业的员工离职，雇佣新员工时，用户还需要删除旧的账户和创建新的账户。

　　ADFS能为您做什么?

　　如果用户将账户管理的任务转移到他们的客户、供应商或者其他使用Web应用的人那里会是什么样子哪? 设想一下， Web应用为其他企业提供服务，而用户再也不用为那些员工创建用户账户或者重设密码。如果这还不够，使用这一应用的用户也不再需要登录应用。那将是一件多么令人兴奋的事情。

　　ADFS需要什么?

　　当然，活动目录联合服务还需要其它的一些配置才能使用，用户需要一些服务器执行这些功能。最基本的是联合服务器，联合服务器上运行ADFS的联合服务组件。 联合服务器的主要作用是发送来自不同外部用户的请求，它还负责向通过认证的用户发放令牌。

　　另外在大多数情况下还需要联合代理。试想一下，如果外部网络要能够和用户内部网络建立联合协议，这就意味着用户的联合服务器要能通过Internet访问。但是活动目录联合并不很依赖于活动目录，因此直接将联合服务器暴露在Internet上将带来很大的风险。正因为这样，联合服务器不能直接和 Internet相连，而是通过联合代理访问。联合代理向联合服务器中转来自外部的联合请求，联合服务器就不会直接暴露给外部。

　　另一ADFS的主要组件是ADFS Web代理。Web应用必须有对外部用户认证的机制。这些机制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服务器发放的认证cookies。

　　在下面的文章中我们将带领大家通过一个模拟的试验环境来一起感受ADFS服务带给企业的全新感受，闲言少叙，我们下面就开始ADFS的配置试验。

　　第1步：预安装任务

　　要想完成下面的试验，用户在安装ADFS之前先要准备好至少四台计算机。

　　1)配置计算机的操作系统和网络环境

　　使用下表来配置试验的计算机系统以及网络环境。

　　2)安装 AD DS

　　用户使用Dcpromo工具为每个同盟服务器(FS)创建一个全新的活动目录森林，具体的名称可以参考下面的配置表。

　　3)创建用户帐户以及资源帐户

　　设置好两个森林后，用户就可以通过“用户帐户和计算机”(Active Directory Users and Computers )工具来创建一些帐户为下面的试验做好准备。下面的列表给出了一些例子，供用户参考：

　　4)将测试计算机加入到适当的域

　　按照下表将对应的计算机加入到适当的域中，需要注意的是将这些计算机加入域前，用户需要先将对应域控制器上的防火墙禁用掉。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]