创建KDS根密钥

AD FS服务器是结合Web Application Proxy服务器，来完成企业网站应用系统安全发布的重要角色。关于AD FS服务器角色的安装，在此笔者将以Windows Server 2012 R2来作为示范。

开始讲解之前有两点重要的事项需要特别注意。第一点是请将此服务器先行加入至Active Directory之中。第二点则是不可将它与后续的Web Application Proxy服务安装在同一部主机之中。

在正式安装AD FS服务器角色之前，必须先添加 KDS（Key Distribution Service）根密钥，在添加之前您可以在Windows PowerShell窗口中先执行“Get-kdsrootkey” 命令，如图1所示，来确认目前是否已经有此密钥，一旦确认没有此密钥，再执行“Add-KdsRootKey -EffectiveImmediately”命令来添加即可，成功完成KDS根密钥的添加之后，可以紧接着执行“Test-kdsrootkey-keyid ”命令参数，来测试一下所选定的GUID之KDS根密钥是否可用，如果其值显示为“True”，即表示正确无误。最后您可以再执行一次“Get-kdsrootkey”命令，来查看目前KDS根密钥的完整信息。

请注意！KDS根密钥的创建默认将会在创建后的10小时才会生效。如果您不想等这么久的时间，则可以改以“Add-KdsRootKey-EffectiveTime ((getdate).addhours(-10))”命令参数来创建此密钥，即可马上生效。