創建KDS根密鑰

AD FS服務器是結合Web Application Proxy服務器，來完成企業網站應用系統安全發布的重要角色。關于AD FS服務器角色的安裝，在此筆者將以Windows Server 2012 R2來作為示范。

開始講解之前有兩點重要的事項需要特別注意。第一點是請將此服務器先行加入至Active Directory之中。第二點則是不可將它與后續的Web Application Proxy服務安裝在同一部主機之中。

在正式安裝AD FS服務器角色之前，必須先添加 KDS（Key Distribution Service）根密鑰，在添加之前您可以在Windows PowerShell窗口中先執行“Get-kdsrootkey” 命令，如圖1所示，來確認目前是否已經有此密鑰，一旦確認沒有此密鑰，再執行“Add-KdsRootKey -EffectiveImmediately”命令來添加即可，成功完成KDS根密鑰的添加之后，可以緊接著執行“Test-kdsrootkey-keyid ”命令參數，來測試一下所選定的GUID之KDS根密鑰是否可用，如果其值顯示為“True”，即表示正確無誤。最后您可以再執行一次“Get-kdsrootkey”命令，來查看目前KDS根密鑰的完整信息。

請注意！KDS根密鑰的創建默認將會在創建后的10小時才會生效。如果您不想等這么久的時間，則可以改以“Add-KdsRootKey-EffectiveTime ((getdate).addhours(-10))”命令參數來創建此密鑰，即可馬上生效。