Está en la página 1de 15

2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

Puede mostrar el texto en ingls en una ventana emergente moviendo el cursor del mouse
Habilitar
sobre el texto.

Configurar un servidor de federacin


2016922 14 minutos para leer Colaboradores

En este artculo

Configurar el primer servidor de federacin en un nuevo conjunto de servidor de federacin


Agregar un servidor de federacin a un conjunto de servidor de federacin existente
Consulta tambin

Se aplica a: Windows Server 2016, Windows Server 2012 R2

Despus de instalar el servicio de rol de servicios de federacin de Active Directory AD FS en el


equipo, ests listo para configurar el equipo para convertirse en un servidor de federacin. Puedes
realizar una de las siguientes acciones:

Configurar el primer servidor de federacin en un nuevo conjunto de servidor de federacin

Agregar un servidor de federacin a un conjunto de servidor de federacin existente

Configurar el primer servidor de federacin en un nuevo


conjunto de servidor de federacin
https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 1/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

Para configurar el primer servidor de federacin en un nuevo conjunto de servidor de


federacin mediante el Asistente para la configuracin de los servicios de federacin
de Active Directory

Nota

Asegrate de que tiene los permisos de administrador de dominio o credenciales de administrador de dominio
disponibles antes de realizar este procedimiento.

1. En el administrador del servidor panel pgina, haz clic en el notificaciones marcar y, a


continuacin, haz clic en configurar el servicio de federacin en el servidor.

La Asistente para la configuracin a servicios de Active Directory federacin se abre.

2. En la bienvenida pgina, seleccione crea el primer servidor de federacin en una granja de


servidores de federaciny, a continuacin, haz clic en siguiente.

3. En la conectarse a AD DS pgina, especificar una cuenta con permisos de administrador de


dominio para el dominio de Active Directory AD a la que est unido a este equipo y, a
continuacin, haz clic en siguiente.

4. En la especificar propiedades del servicio pgina, haz lo siguiente y, a continuacin, haz clic
en siguiente:

Importar el archivo pfx que contenga el certificado de capa de sockets seguros SSL
y la clave que has obtenido anteriormente. En paso 2: inscribir un certificado SSL de
AD FS, ha obtenido este certificado y lo has copiado en el equipo que quieres
configurar como un servidor de federacin. Para importar el archivo .pfx mediante el
asistente, haz clic en importary, a continuacin, busca la ubicacin del archivo.
Cuando se te pida, escribe la contrasea para el archivo pfx.

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 2/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

Proporciona un nombre para el servicio de federacin. Por ejemplo, fs.contoso.com.


Este nombre debe coincidir con uno de los asunto o nombres alternativos de
firmante del certificado.

Proporcionar un nombre para el servicio de federacin. Por ejemplo, Contoso


Corporation. Los usuarios vern este nombre en el AD FS sign\ los servicios de
federacin de Active Directoryen la pgina.

5. En la especificar la cuenta de servicio pgina, especifica una cuenta de servicio. Puede crear
o usar una existente grupo cuenta de servicio administrada gMSA o utilizar una cuenta de
usuario de dominio existente. Si seleccionas la opcin de crear una nueva cuenta gMSA,
especifica un nombre para la nueva cuenta. Si seleccionas la opcin de usar una cuenta de
dominio o gMSA existente, haz clic en selecciona para seleccionar una cuenta.

Nota

La ventaja de usar una cuenta de gMSA es su caracterstica de actualizacin de contrasea negocia


auto.

Advertencia

Si quieres usar una cuenta de gMSA, debe tener al menos un controlador de dominio en el entorno
que est ejecutando el sistema operativo Windows Server 2012.

Si se deshabilita la opcin gMSA y ves un mensaje de error cuentas de servicio administradas de


grupo no estn disponibles porque no se estableci la clave raz de KDS, puedes habilitar gMSA
en tu dominio ejecutando el siguiente comando de Windows PowerShell en un controlador de
dominio, que se ejecuta Windows Server 2012 o posterior, en el dominio de Active Directory:
AddKdsRootKeyEffectiveTime(GetDate).AddHours(10) . A continuacin, vuelva al asistente,
haz clic en anteriory, a continuacin, haz clic en siguiente a reescribe la especificar la cuenta de
servicio pgina. La opcin gMSA ahora debe habilitarse. Puedes seleccionarla y escribe un nombre de
cuenta gMSA que quieras usar.

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 3/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

6. En la especificar base de datos de configuracin pgina, especificar una base de datos de


configuracin de AD FS y, a continuacin, haz clic en siguiente. Puede crear una base de
datos en este equipo mediante el uso de Windows Internal Database WID, o puedes
especificar la ubicacin y el nombre de la instancia de Microsoft SQL Server.

Para obtener ms informacin, consulta el rol de la base de datos de configuracin de AD FS.

Importante

Si quieres crear una granja de servidores de AD FS y usar SQL Server para almacenar los datos de
configuracin, puedes usar SQL Server 2008 y las versiones ms recientes, incluidos SQL Server 2012 y
SQL Server 2014.

7. En la opciones de revisin pgina, compruebe las selecciones de configuracin y, a


continuacin, haz clic en siguiente.

8. En la Pre\ requisito comprobaciones pgina, comprueba que todas las comprobaciones de


requisitos previos se ha completado correctamente y, a continuacin, haz clic en configurar.

9. En la resultados pgina, revisar los resultados y si la configuracin se realiz correctamente y,


a continuacin, haz clic en siguiente pasos necesarios para completar la implementacin
de servicios de federacin. Para obtener ms informacin, consulta pasos siguientes para
completar la instalacin de AD FS. Haz clic en cerrar para salir del asistente.

Para configurar el primer servidor de federacin en un nuevo conjunto de servidor de


federacin mediante Windows PowerShell

Puedes crear un nuevo conjunto de servidor de federacin mediante una cuenta nueva o existente
gMSA o una cuenta de usuario de dominio existente.

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 4/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

Si quieres crear un servidor de federacin de nuevo con una nueva cuenta gMSA, haz lo
siguiente:

Importante

Debes tener permisos de administrador de dominio para crear el primer servidor de federacin en un
nuevo conjunto de servidor de federacin.

1. En el equipo que quieres configurar como un servidor de federacin, asegrate de


que se ha importado el certificado SSL necesario en el almacn Local de PC\Mis
directorio. Puedes comprobar si se ha importado el certificado SSL ejecutando el
comando siguiente en la ventana de comandos de Windows PowerShell:
dirCert:\LocalMachine\My . Aparece el certificado de su huella digital en la almacn
Local de PC\Mis directorio.

2. En el controlador de dominio, abre la ventana de comandos de Windows PowerShell


y ejecuta el siguiente comando para comprobar si se ha creado la clave raz de KDS
en tu dominio: GetKdsRootKeyEffectiveTime(GetDate).AddHours(10) . Si no se ha
creado para que el resultado muestra ninguna informacin, ejecuta el siguiente
comando para crear la clave: AddKdsRootKeyEffectiveTime(GetDate).AddHours(10) .

3. En el equipo que quieres configurar como un servidor de federacin, abre la ventana


de comandos de Windows PowerShell y ejecuta el siguiente comando:

Copiar

InstallAdfsFarmCertificateThumbprint<certificate_thumbprint>FederationServiceName<federation_service_n

Advertencia

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 5/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

La $ inicio de sesin al final del comando anterior, es necesario.

Para obtener el valor de <certificate_thumbprint> , ejecuta


dirCert:\LocalMachine\My y, a continuacin, selecciona la huella digital del
certificado SSL. El valor de <federation_service_name> es el nombre de los servicios
de federacin de, por ejemplo, fs.contoso.com.

Nota

Si esto NO es la primera vez que ejecutes este comando, agregar el


OverwriteConfiguration parmetro.

Nota

El comando anterior crea una granja de servidores WID. Si quieres crear una granja de
servidores de SQL Server, debes tener una instancia de SQL Server ya instalado y en
funcionamiento.

Puedes usar el siguiente comando para crear el primer servidor de federacin en un nuevo
conjunto que use una instancia de SQL Server:
InstallAdfsFarmCertificateThumbprint<certificate_thumbprint>
FederationServiceName<federation_service_name>GroupServiceAccountIdentifier
<domain>\<GMSA_name>$SQLConnectionString"DataSource=<SQL_Host_Name?\
<SQL_instance_name>;IntegratedSecurity=True"
donde < SQL_Host_Name > es el nombre del servidor en el que se ejecuta SQL Server, y <
SQL_instance_name > es el nombre de la instancia de SQL Server. Si usas la instancia
predeterminada de SQL Server, usa un SessionState valor de "datos Source\ = <
SQL_Host_Name >; Security\ integrado = True".

Importante

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 6/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

Si quieres crear una granja de servidores de AD FS y usar SQL Server para almacenar los
datos de configuracin, puedes usar SQL Server 2008 y las versiones ms recientes, incluido
SQL Server 2012.

Si quieres crear un servidor de federacin de nuevo con una cuenta de usuario de


dominio existente, haz lo siguiente:

1. En el equipo que quieres configurar como un servidor de federacin, asegrate de


que se ha importado el certificado SSL necesario en el almacn Local de PC\Mis
directorio. Puedes comprobar si se ha importado el certificado SSL ejecutando el
comando siguiente en la ventana de comandos de Windows PowerShell:
dirCert:\LocalMachine\My . Aparece el certificado de su huella digital en la almacn
Local de PC\Mis directorio.

2. En el equipo que quieres configurar como un servidor de federacin, abre la ventana


de comandos de Windows PowerShell y, a continuacin, ejecuta el siguiente
comando: $fscred=GetCredential . Escribe las credenciales de cuenta de usuario de
dominio que quieras usar para la cuenta de servicio de federacin en el nombre del
formato dominio\usuario.

3. En la misma ventana de comandos de Windows PowerShell, ejecuta el siguiente


comando:

Copiar

InstallAdfsFarmCertificateThumbprint<certificate_thumbprint>FederationServiceName<federation_service_n

Para obtener el valor de < certificate_thumbprint >, ejecuta


dirCert:\LocalMachine\My y, a continuacin, selecciona la huella digital del

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 7/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

certificado SSL. El valor de < federation_service_name > es el nombre de los


servicios de federacin de, por ejemplo, fs.contoso.com.

Nota

Si esto NO es la primera vez que ejecutes este comando, agregar el


OverwriteConfiguration parmetro.

Nota

El comando anterior crea una granja de servidores WID. Si quieres crear una granja de SQL
Server, debes tener la instancia de SQL Server ya instalado y en funcionamiento.

Puedes usar el siguiente comando para crear el primer servidor de federacin en un nuevo
conjunto que use una instancia de SQL Server:
InstallAdfsFarmCertificateThumbprint<certificate_thumbprint>
FederationServiceName<federation_service_name>ServiceAccountCredential
$fscredentialSQLConnectionString"DataSource=<SQL_Host_Name>\<SQL_instance_
name>;IntegratedSecurity=True"
donde SQL_Host_Name es el nombre del servidor en el que se ejecuta SQL Server, y
SQL_instance_name es el nombre de la instancia de SQL Server. Si usas la instancia
predeterminada de SQL Server, usa un SessionState valor de "datos Source\ = <
SQL_Host_Name >; Security\ integrado = True".

Importante

Si quieres crear una granja de servidores de AD FS y usar SQL Server para almacenar los
datos de configuracin, puedes usar SQL Server 2008 y las versiones ms recientes,
incluidos SQL Server 2012 y SQL Server 2014.

Agregar un servidor de federacin a un conjunto de servidor


https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 8/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

Agregar un servidor de federacin a un conjunto de servidor


de federacin existente
Importante

Asegrate de que has completado paso 3: instalar el servicio de rol de AD FS, antes de empezar a cualquiera de
los procedimientos descritos en esta seccin.

Importante

Asegrate de que has obtenido a un servidor SSL vlido certificado de autenticacin para completar este
procedimiento.

Para agregar un servidor de federacin a un conjunto de servidor de federacin


existente mediante el Asistente para la configuracin de los servicios de federacin de
Active Directory

1. En el administrador del servidor panel pgina, haz clic en el notificaciones marcar y, a


continuacin, haz clic en configurar el servicio de federacin en el servidor.

La Asistente para la configuracin a servicios de Active Directory federacin se abre.

2. En la bienvenida pgina, seleccione agregar un servidor de federacin a una granja de


servidores de federaciny, a continuacin, haz clic en siguiente.

3. En la conectarse a AD DS pgina, especificar una cuenta con permisos de administrador de


dominio para el dominio de AD a la que est unido a este equipo y, a continuacin, haz clic en
siguiente.

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 9/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

4. En la especificar granja pgina y proporcionar el nombre del servidor de federacin principal


de un conjunto que utiliza WID o especificar el nombre de host de la base de datos y el
nombre de la instancia de base de datos de un conjunto de servidor de federacin existente
que usa SQL Server.

Advertencia

En Windows Server 2012 R2, no hay una solucin alternativa para especificar la instancia
predeterminada de SQL Server. La solucin consiste en no usar la interfaz de usuario. En su lugar, usa
los pasos de para configurar el primer servidor de federacin en un nuevo conjunto de servidor de
federacin mediante Windows PowerShell.

Importante

Si quieres crear una granja de servidores de AD FS y usar SQL Server para almacenar los datos de
configuracin, puedes usar SQL Server 2008 y las versiones ms recientes, incluido SQL Server 2012.

5. En la especificar el certificado SSL pgina, importar el archivo pfx que contenga el


certificado SSL y la clave que has obtenido anteriormente. Este certificado es el certificado de
autenticacin del servicio requerido. En paso 2: inscribir un certificado SSL de AD FS, ha
obtenido este certificado y lo has copiado en el equipo que quieres configurar como un
servidor de federacin. Para importar el archivo .pfx mediante el asistente, haz clic en
importar y busca la ubicacin del archivo. Cuando se te pida, escribe la contrasea para el
archivo pfx.

6. En la especificar la cuenta de servicio pgina, especifica la misma cuenta de servicio que


configuraste cuando crea el primer servidor de federacin de la batera. Puedes usar un grupo
existente administrado cuenta de servicio o una cuenta de usuario de dominio existente.

Importante

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 10/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

La cuenta que especifiques debe ser la misma cuenta que la cuenta que se us en el servidor de
federacin principal de servidores.

7. En la opciones de revisin pgina, compruebe las selecciones de configuracin y, a


continuacin, haz clic en siguiente.

8. En la Pre\ requisito comprobaciones pgina, comprueba que todas las comprobaciones de


requisitos previos se ha completado correctamente y, a continuacin, haz clic en configurar.

9. En la resultados pgina, revisar los resultados y si la configuracin se realiz correctamente y,


a continuacin, haz clic en siguiente pasos necesarios para completar la implementacin
de servicios de federacin. Para obtener ms informacin, consulta pasos siguientes para
completar la instalacin de AD FS. Haz clic en cerrar para salir del asistente.

Para agregar un servidor de federacin a un conjunto de servidor de federacin


existente mediante Windows PowerShell

Puedes agregar un servidor de federacin a un conjunto existente mediante una cuenta de gMSA
existente o una cuenta de usuario de dominio existente.

Si quieres unirte a un servidor de federacin a un conjunto de con una cuenta de gMSA


existente, haz lo siguiente:

1. En el equipo que quieres configurar como un servidor de federacin, asegrate de


que se ha importado el certificado SSL necesario en el almacn Local de PC\Mis
directorio. Puedes comprobar si se ha importado el certificado SSL ejecutando el
comando siguiente en la ventana de comandos de Windows PowerShell:
dirCert:\LocalMachine\My . Aparece el certificado de su huella digital en la almacn
Local de PC\Mis directorio.

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 11/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

2. En el equipo que quieres configurar como un servidor de federacin, abre la ventana


de comandos de Windows PowerShell y ejecuta el siguiente comando.

Copiar

AddAdfsFarmNodeGroupServiceAccountIdentifier<domain>\<GMSA_name>$PrimaryComputerName<first_federation_

<domain>\<GMSA_name> Es tu dominio de Active Directory y el nombre de tu cuenta


gMSA en ese dominio. <first_federation_server_hostname> Es el nombre de host del
servidor de federacin principal de este conjunto existente.

Puedes obtener el valor de <certificate_thumbprint> ejecutando


dirCert:\LocalMachine\My en el paso anterior.

Nota

Si esto NO es la primera vez que ejecutes este comando, agregar el


OverwriteConfiguration parmetro.

Nota

El comando anterior, crea un nodo de granja de servidores WID. Si quieres crear un nodo de
granja de servidores de equipos que ejecutan SQL Server, debes tener la instancia de SQL
Server ya instalado y en funcionamiento.

Puedes usar el siguiente comando para agregar un servidor de federacin a un conjunto


existente que est usando una instancia de SQL Server:
AddAdfsFarmNodeGroupServiceAccountIdentifier<domain>\<GMSA_name>$
SQLConnectionString"DataSource=<SQL_Host_Name>\<SQL_instance_
name>;IntegratedSecurity=True"
donde SQL_Host_Name es el nombre del servidor en el que se ejecuta SQL Server, y
SQL_instance_name es el nombre de la instancia de SQL Server. Si usas la instancia
https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 12/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

predeterminada de SQL Server, usa un SessionState valor de "datos Source\ = <


SQL_Host_Name >; Security\ integrado = True".

Importante

Si quieres crear una granja de servidores de AD FS y usar SQL Server para almacenar los
datos de configuracin, puedes usar SQL Server 2008 y las versiones ms recientes,
incluidos SQL Server 2012 y SQL Server 2014.

Si quieres unirte a un servidor de federacin a un conjunto de mediante el uso de una cuenta


de usuario de dominio existente, haz lo siguiente:

1. En el equipo que quieres configurar como un servidor de federacin, abre la ventana


PowerShellcommand de Windows y, a continuacin, ejecuta el siguiente comando:
$fscred=getcredential . Escribe las credenciales de cuenta de usuario de dominio
que quieras usar para la cuenta de servicio de federacin en el nombre del formato
dominio\usuario.

2. En el equipo que quieres configurar como un servidor de federacin, asegrate de


que se ha importado el certificado SSL necesario en el almacn Local de PC\Mis
directorio. Puedes comprobar si se ha importado el certificado SSL ejecutando el
comando siguiente en la ventana de Windows PowerShellcommand:
dirCert:\LocalMachine\My . Aparece el certificado de su huella digital en la almacn
Local de PC\Mis directorio.

3. En la misma ventana de comandos de Windows PowerShell, ejecuta el siguiente


comando.

Copiar

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 13/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

AddAdfsFarmNodeServiceAccountCredential$fscredPrimaryComputerName<first_federation_server_hostname>C

Nota

Si esto NO es la primera vez que ejecutes este comando, agregar el


OverwriteConfiguration parmetro.

Nota

El comando anterior, crea un nodo de granja de servidores WID. Si quieres crear un nodo de
granja de servidores de equipos que ejecutan SQL Server, debes tener la instancia de SQL
Server ya instalado y en funcionamiento. Puedes usar el siguiente comando para agregar un
servidor de federacin a un conjunto existente mediante una instancia de SQL Server:
AddAdfsFarmNodeServiceAccountCredential$fscredSQLConnectionString"Data
Source=<SQL_Host_Name>\<SQL_instance_name>;IntegratedSecurity=True"
donde SQL_Host_Name es el nombre del servidor en el que se ejecuta la instancia de SQL
Server, y SQL_instance_name es el nombre de la instancia de SQL Server. Si usas la
instancia predeterminada de SQL Server, usa un SessionState valor de "datos Source\ = <
SQL_Host_Name >; Security\ integrado = True".

Importante

Si quieres crear una granja de servidores de AD FS y usar SQL Server para almacenar los
datos de configuracin, puedes usar SQL Server 2008 y las versiones ms recientes,
incluidos SQL Server 2012 y SQL Server 2014.

Consulta tambin
Implementacin de AD FS
Gua de implementacin de Windows Server
https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 2012 R2 AD FS 14/15
2017619 GuadeimplementacindeWindowsServer2012R2ADFS|MicrosoftDocs

Gua de implementacin de Windows Server 2012 R2 AD FS

Implementar un conjunto de servidor de federacin

https://docs.microsoft.com/eses/windowsserver/identity/adfs/deployment/configureafederationserver 15/15