none
Настройка сервера AD FS RRS feed

  • Вопрос

  • Потребовалось в организации поднять роль службы федерации AD FS и сразу же, практически на первом этапе возникла проблема.

    Используя мастер настройки ADFS, на этапе выбора сертификата, возникает проблема:

    сертификат моего удостоверяющего центра не подходит и выбора другого сертификата нету.

    Я выполнил все действия до пункта с PowerShell согласно этой статье https://technet.microsoft.com/ru-ru/library/dn781428.aspx?f=255&MSPPError=-2147217396

    Собственно вопрос вот в чем: Объясните пожалуйста команды, которые предлагают выполнить в этой статье, чтобы я понимал логику их выполнения и знал какие пути и параметры использовать.

    По тем примерам что там указаны. я не смог выполнить ни одной команды.

    Как я понимаю, мне нужно через PS добавить мой сертификат к службе ADFS по умолчанию.

    Но как это сделать ? как узнать путь к нему ?

    11 апреля 2016 г. 11:15

Ответы

  • Ребят, помогите с этой службой... Что ей не нравится ? Я уже какие только сертификаты не выпускал, и по статьям и по логике...

    Итог один и тот же

    я не знаю, что Вы делаете не так. Я так же создал сертификат, вообще только с одни обязательным полем - CN=adfs2.domain.exonix.ru. всё работает:


    так. идите в оснастку IIS Manager:выберите "сайт по умолчанию" (надеюсь у вас от там будет один), далее "привязки" (Bindings...), дале "протокол https", изменить - какой сертифкат там стоит? можно ли выбрать там сертифкат, который вы создавали для AD FS ?

    если да, выберите его, перезапустите IIS, перезапустите визард конфигурации AD FS.


    • Помечено в качестве ответа Ульт 18 апреля 2016 г. 4:16
    15 апреля 2016 г. 15:23
    Модератор

Все ответы

  • Потребовалось в организации поднять роль службы федерации AD FS и сразу же, практически на первом этапе возникла проблема.
    Вам для чего? посмотрите тут, как создать сертификат для AD FS с помощью AD CS (для интергации с Office 365)
    11 апреля 2016 г. 11:22
    Модератор
  • ))) я надеюсь в командах PS вместо <thumbprint> использовался реальный отпечаток сертификата? ;)
    • Изменено RAMzez_ 11 апреля 2016 г. 11:44
    11 апреля 2016 г. 11:43
  • Потребовалось в организации поднять роль службы федерации AD FS и сразу же, практически на первом этапе возникла проблема.

    Используя мастер настройки ADFS, на этапе выбора сертификата, возникает проблема:

    сертификат моего удостоверяющего центра не подходит и выбора другого сертификата нету.

    Я выполнил все действия до пункта с PowerShell согласно этой статье https://technet.microsoft.com/ru-ru/library/dn781428.aspx?f=255&MSPPError=-2147217396

    Собственно вопрос вот в чем: Объясните пожалуйста команды, которые предлагают выполнить в этой статье, чтобы я понимал логику их выполнения и знал какие пути и параметры использовать.

    По тем примерам что там указаны. я не смог выполнить ни одной команды.

    Как я понимаю, мне нужно через PS добавить мой сертификат к службе ADFS по умолчанию.

    Но как это сделать ? как узнать путь к нему ?

    эта команда и покажет вам все сертификаты установленные и там должен быть ваш сертификат для ADFS.

    dir Cert:\LocalMachine\My

    Сертификат корневого центра сертификации установлен на этой машине?


    scientia potentia est
    My blog

    11 апреля 2016 г. 12:57
  • Мне ADFS нужен для edgy и reverce proxy. Сертификат я создал. Я не могу понять как правильно в PS команду ввести. Я как только не пытался. все ругается "неверный командлет".


    12 апреля 2016 г. 5:28
  • Вот поподробней про реальный отпечаток сертификата ? 
    12 апреля 2016 г. 5:29
  • Сертификат корневого центра установлен. Серты выдает и тут нету проблем. Я путаюсь на дальнейшем этапе, где нужно использовать PS

    dir Cert:\LocalMachine\My - эта команда показывает мои серты.

    PS C:\Windows\system32> Set-AdfsSslCertificate -Thumbprint BB55E6FF588E0A2D56A87C83FB43F687B4E1F1F

    Set-AdfsSslCertificate : Имя "Set-AdfsSslCertificate" не распознано как имя командлета, функции, файла сценария или выполняемой программы. Проверьте правильность написания имени, а также наличие и правильность пути, после чего повторите попытку.

    строка:1 знак:1

    + Set-AdfsSslCertificate -Thumbprint 5BB55E6FF588E0A2D56A87C83FB43F687B4E1F1F
    + ~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : ObjectNotFound: (Set-AdfsSslCertificate:String) [], CommandNotFoundException
        + FullyQualifiedErrorId : CommandNotFoundException

    Не могу понять синтаксис PS что тут ему не нравится ?

    12 апреля 2016 г. 5:36
  • - эти команды надо выполнять на сервере с adfs и из под администратора.

    - сам сертификат уже должен быть установлен на данном сервере.

    ---

    ошибка говорит о том что данный командлет не знаком данной системе (а точнее сеансу PS)

    12 апреля 2016 г. 5:59
  • так у меня как раз таки и проблема в установке ADFS. Точнее роль то я добавил, а вот настроить не даёт - на моменте выбора сертификата, нет никакого выбора (серые поля). Я создал серт для адфс, а как его её подсунуть ?

    12 апреля 2016 г. 7:36
  • для начала установить созданный сертификат на сервер ADFS. после этого он появится в выборе при настройке.
    12 апреля 2016 г. 8:11
  • Как это сделать ? :) с помощью PS ? ну я же в начале темы всё написал, что могу сделать, а с чем проблемы.

    12 апреля 2016 г. 8:24
  • а просто ткнуть мышью в сертификат не пробовали? ;) там есть кнопка "установить сертификат" ... при установке выбрать "для компьютера" (или как то так) ...
    12 апреля 2016 г. 8:29
  • Попробуйте посмотреть, что adfs установлена:

    Get-WindowsFeature -Name AD-Federation-Services | Select Name,Installed,InstallState

    Посмотреть есть ли команда в модуле:

    Get-Command -Module ADFS


    scientia potentia est
    My blog

    12 апреля 2016 г. 8:35
  • Пробовал. Вы объясните сами себе, что это дает, а потом сопоставьте свое объяснение с тем что нужно сделать мне. Вы поймете что установить сертификат в личный контейнер и добавить его к выбору при установке ADFS - разные вещи.

    12 апреля 2016 г. 9:24
  • Служба установлена. Команда set-adfsSSLcertificate в модуле отсутствует, есть просто команда set-ADFSCertificate

    Ввожу  Set-AdfsCertificate -Thumbprint 5BB55E6FF588E0A2D56A87C83FB43F687B4E1F1F

    Просит указать значения для параметра CertificateType - какой тип сертификата мне указывать ? (я как понимаю у меня ssl) Где можно глянуть какой тип мне нужен и как его задать ?

    12 апреля 2016 г. 9:31
  • Если вы внимательно посмотрите по ссылке, которую я вам давал, то увидите, что там нет PowerShell скриптов для установки сертификата. После установки сертификата он появится в выпадающем меню.
    12 апреля 2016 г. 9:52
    Модератор
  • Пробовал. Вы объясните сами себе, что это дает, а потом сопоставьте свое объяснение с тем что нужно сделать мне. Вы поймете что установить сертификат в личный контейнер и добавить его к выбору при установке ADFS - разные вещи.

    если вы внимательно прочтете то, что я написал, то увидите что сертификат надо ставить не на пользователя а на компьютер... а это две большие разницы :)
    12 апреля 2016 г. 10:06
  • "если вы внимательно прочтете то, что я написал, то увидите что сертификат надо ставить не на пользователя а на компьютер... а это две большие разницы :)"

    Уважаемый, я понимаю что вы хотите блеснуть умом передо мной глупцом, но.... уж простите, но не удалось... перечитайте тему.

    Чтобы закрыть глупости которые вы предлагаете скажу вам: Сертификат установлен в "компьютер->личные".

    12 апреля 2016 г. 10:24
  • Служба установлена. Команда set-adfsSSLcertificate в модуле отсутствует, есть просто команда set-ADFSCertificate

    Ввожу  Set-AdfsCertificate -Thumbprint 5BB55E6FF588E0A2D56A87C83FB43F687B4E1F1F

    Просит указать значения для параметра CertificateType - какой тип сертификата мне указывать ? (я как понимаю у меня ssl) Где можно глянуть какой тип мне нужен и как его задать ?

    Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint the-thumbprint



    scientia potentia est
    My blog

    12 апреля 2016 г. 10:31
  • Согласно той статье нужно создать новый сертификат по шаблону "компьютер". Я сразу же приступил к этому и на первом же этапе "Не удалось изменить шаблон сертификата копия "компьютер". Параметр задан не верно." Просто нажимая копировать шаблон и даже ничего в неё не меняя, он не дает его создать.

    А почему вы уверены что этот сертификат появится в меню выбора ? (я в нескольких статьях читал, что для адфс серт выпускается по шаблону "сертификата ssl" ?

    12 апреля 2016 г. 11:24
  • PS C:\Windows\system32> Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint 5BB55E6FF588E0A2D56A87C8
    3FB43F687B4E1F1F
    Set-AdfsCertificate : ADMIN0017: возникло исключение при подключении к службе настройки. Возможно, URL-адрес службы нас
    тройки "net.tcp://localhost:1500/policy" неправильный или не запущена служба Windows AD FS.
    строка:1 знак:1
    + Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint 5BB55E6F ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OpenError: (:) [Set-ADFSCertificate], PolicyStoreConnectionException
        + FullyQualifiedErrorId : ADMIN0017,Microsoft.IdentityServer.PowerShell.Commands.SetCertificateCommand
    12 апреля 2016 г. 11:24
  • А почему вы уверены что этот сертификат появится в меню выбора ?
    эта статья написана как тест для рабочего задания. По ней потом сделан рабочий проект. сертификат просто появился и всё.
    12 апреля 2016 г. 11:40
    Модератор
  •  "Не удалось изменить шаблон сертификата копия "компьютер". Параметр задан не верно."

    Есть какие-то предположения ?

    12 апреля 2016 г. 12:02
  • а что конкретно вы делаете? можете показать хотя бы скрины какие-то? я не знаю на каком этапе у Вас эта ошибка.
    12 апреля 2016 г. 12:16
    Модератор
  • Консоль шаблонов сертификатов -> выбираю "компьютер" -> скопировать шаблон, далее окно настройки сертификата -> меняю имя субъекта на "предоставлять в запросе" (как в статье), нажимаю "ок" чтобы сохранить изменения и вываливается эта ошибка.

    Самое непонятное то, что даже просто скопировав шаблон и ничего не изменяя в "свойства нового шаблона" он не дает его сохранить с той же ошибкой.

    12 апреля 2016 г. 12:28
  • Разобрался я какой "параметр задан неверно", это было имя "копия "компьютеры"". Изменив его на англ язык, серт сохранился. Заявку сделал, серт личные добавил, а при установке службы АДФС он так и не появился.

    Есть какие-нибудь предположения ?

    13 апреля 2016 г. 4:58
  • Ребят, помогите с этой службой... Что ей не нравится ? Я уже какие только сертификаты не выпускал, и по статьям и по логике...

    Итог один и тот же

    13 апреля 2016 г. 5:37
  • я конечно опять со своими глупостями... :) но... почему на скрине идет речь о плоском домене?

    можете выпустить сертификат с именем субъекта в виде полного доменного?

    ... и в продолжение глупостей... вообще то для ADFS лучше использовать сертификат от доверенного поставщика, поскольку вы его в конечном итоге в инет высунете... для ваших общих целей можно выпустить wildcard и использовать его везде...

    13 апреля 2016 г. 6:05
  • Глупостью было предложение добавить сертификат в "компьютеры-личное" когда он там уже есть.

    Сертификаты с именем субъекта sdc.evm.ru или же adfs.evm.ru выпускались уже каждый раз по 5 с разными параметрами. К сожалению они так же не появляются в этом окне.

    А мой центр сертификации не является доверенным поставщиком ?

    "для ваших общих целей можно выпустить wildcard и использовать его везде..."

    А это что  ? :)

    13 апреля 2016 г. 6:12
  • Я делал не самоподписанный сертификат, а брал бесплатные у "китайцев". Импортировал его на сервер с ролью AD FS. Есть у меня предположение, что нужно не просто сертификат устанавливать, а сертификат вместе с закрытым ключом. Попробуйте экспортировать его именно с ключом (в моем случае это был файл *.pfx) из УЦ и установить на AD FS. Если сертификат имеет закрытый ключ, то он отмечается значком ключика (картинку вставить не могу, к сожалению).

    13 апреля 2016 г. 6:14
  • Я просто не могу понять, какие параметры сертификата являются критическими для того, чтобы он появился в выборе при настройке сервера федерации.

    В справке написано, что у него должно быть "не простое" имя субъекта. чем тогда sdc.evm.ru ему не нравится ? какие еще параметры должны быть обязательными ? Вскипел я что-то уже от этого.

    • Изменено Ульт 13 апреля 2016 г. 6:21
    13 апреля 2016 г. 6:20
  • А мой центр сертификации не является доверенным поставщиком ?

    "для ваших общих целей можно выпустить wildcard и использовать его везде..."

    А это что  ? :)

    1. для интернета - не является

    2. это сертификат с именем субъекта типа *.evm.ru

    ----------------

    про сертификат с ключом, его экспорт и импорт есть информация в статье по ссылке из первого поста... это я уже про *.pfx ;) ... да и рекомендации о том какие, как и почему использовать сертификаты там тоже есть... 

    13 апреля 2016 г. 6:24
  • PS C:\Windows\system32> Set-AdfsSslCertificate -Thumbprint "BB55E6FF588E0A2D56A87C83FB43F687B4E1F1F" - тут https://technet.microsoft.com/en-us/library/dn479374(v=wps.630).aspx в примере отпечаток в кавычках.
    13 апреля 2016 г. 6:43
  • Set-AdfsSslCertificate  - нет такого командлета.

    "Попробуйте экспортировать его именно с ключом (в моем случае это был файл *.pfx) из УЦ и установить на AD FS"

    Из оснастки "сертификаты" выбираю нужные мне серт, копировать в файл, "да, экспортировать закрытый ключ", далее, пароль, далее сохранить -> готово.

    Установить на AD FS ? что вы имеете ввиду ? добавить его в "компьютер - > личные" ? так я оттуда его экспортирую.

    13 апреля 2016 г. 8:15
  • Ребят, помогите с этой службой... Что ей не нравится ? Я уже какие только сертификаты не выпускал, и по статьям и по логике...

    Итог один и тот же

    покажите поля в сертификате при запросе, как здесь:

    13 апреля 2016 г. 9:29
    Модератор
  • уберите поля "служба DNS", "IP-адрес (v4)" и 192.168.1.3
    13 апреля 2016 г. 10:32
    Модератор
  • убирал - тоже самое.

    13 апреля 2016 г. 10:37


  • Гдето явно что-то не так. Как разобарться где ? службе федерации нужен сертификат в котором будет правильное имя? - Есть.
    Почему она его не видит или просто не дает выбрать ?
    13 апреля 2016 г. 10:42
  • По поводу полей "служба днс"  и "ип адресс" в сапорте мелкомягких есть такие поля

    13 апреля 2016 г. 10:43
  • я сейчас у себя гляну на тесте. где имеено в саппорте МС написаны эти поля?

    прошу Вас не писать новые сообщения, а изменять предыдущее, если никто не ответил на предыдущее.



    13 апреля 2016 г. 10:51
    Модератор
  • https://technet.microsoft.com/ru-ru/library/dn781428.aspx?f=255&MSPPError=-2147217396

    Вот в этой статье есть пункт про добавления "днс" при создании сертификата. Где видел про айпишник уже не могу найти, но в какой-то из статей точно было. Лично я считаю что наличие или отсутствие этих полей в данной ситуации не решает никакой роли.
    13 апреля 2016 г. 11:08
  • https://technet.microsoft.com/ru-ru/library/dn781428.aspx?f=255&MSPPError=-2147217396

    Вот в этой статье есть пункт про добавления "днс" при создании сертификата. Где видел про айпишник уже не могу найти, но в какой-то из статей точно было. Лично я считаю что наличие или отсутствие этих полей в данной ситуации не решает никакой роли.

    если уж и добавлять альтернативное имя - то имя, а не IP-адрес...

    Under Alternative name, under Type, select DNS.
    Using the same process, add a subject alternative name of type DNS for your federation service name, for example, “fs.contoso.com” (the same name you added above).

    а у вас сервер какой R2 или нет? виже, мастер выглядит по-другому. и сейчас на тестовом R2 я уже быстро настроил AD FS с сертификатом:


    13 апреля 2016 г. 11:28
    Модератор
  • Сервер standart, не R2.

    Может есть способ подсунуть сертификат для ADFS минуя мастера ?

    Может как то можно изменить уже существующий сертификат добавив в него правильное имя службы ?

     Я просто не понимаю, как так, что мастер не видит сертификаты. Возможно какая-то мелкая ошибка, но какая ? Раз 20 уже переиздавал кучу различных сертификатов по разным статьям с шаблоном и ssl шифрование и компьютер.

    Сервер является одним из КД и что самое плохое удостоверяющим центром сертификации, так бы я его давно уже переставил.

    Может еще что-то можно сделать ?

    14 апреля 2016 г. 5:28
  • Ребят, помогите с этой службой... Что ей не нравится ? Я уже какие только сертификаты не выпускал, и по статьям и по логике...

    Итог один и тот же

    я не знаю, что Вы делаете не так. Я так же создал сертификат, вообще только с одни обязательным полем - CN=adfs2.domain.exonix.ru. всё работает:


    так. идите в оснастку IIS Manager:выберите "сайт по умолчанию" (надеюсь у вас от там будет один), далее "привязки" (Bindings...), дале "протокол https", изменить - какой сертифкат там стоит? можно ли выбрать там сертифкат, который вы создавали для AD FS ?

    если да, выберите его, перезапустите IIS, перезапустите визард конфигурации AD FS.


    • Помечено в качестве ответа Ульт 18 апреля 2016 г. 4:16
    15 апреля 2016 г. 15:23
    Модератор