三、为 ADFSAppPool 标识分配 Local System 帐户

　　在 adfsresource 计算机和 adfsaccount 计算机上使用以下过程。只有本指南的环境中需要此步骤，因为这些联合身份验证服务器同时配置为域控制器。

　　注意

　　作为非常好的的安全操作，在生产环境中，域控制器不应同时作为联合身份验证服务器和域控制器运行，并且不应使用 Local System 帐户运行 IIS。

　　要为 ADFSAppPool 标识分配 Local System 帐户，请执行以下操作：

　　1.单击"开始"，依次指向"所有程序"、"管理工具"，然后单击"Internet 信息服务 (IIS) 管理器"。

　　2.在控制台树中，依次双击 ADFSRESOURCE 或 ADFSACCOUNT、"应用程序池"，右键单击 ADFSAppPool，然后单击"属性"。

　　3.在"标识"选项卡上，单击菜单中的 Local System，在出现"是否希望作为本地系统运行此应用程序池？"的提示时，单击"是"。

　　四、将令牌签名证书从 adfsaccount 导出到文件

　　在 adfsaccount 计算机上，使用以下过程将令牌签名证书从 adfsaccount 计算机导出到文件。

　　要将令牌签名证书从 adfsaccount 导出到文件，请执行以下操作：

　　1.单击"开始"，依次指向"所有程序"、"管理工具"，然后单击"Active Directory 联合身份验证服务"。

　　2.右键单击"联合身份验证服务"，然后单击"属性"。

　　3.在"常规"选项卡上单击"查看"。

　　4.在"详细信息"选项卡上，单击"复制到文件"。

　　5.在"欢迎使用证书导出向导"页中，单击"下一步"。

　　6.在"导出私钥"页中，单击"不，不要导出私钥"，然后单击"下一步"。

　　7.在"导出文件格式"页中，单击"DER 编码二进制 X.509 (.Cer)"，然后单击"下一步"。

　　8.在"要导出的文件"页中，键入 C:\adfsaccount_ts.cer，然后单击"下一步"。

　　注意

　　以后，在帐户伙伴向导提示您提供"帐户伙伴验证证书"时，adfsaccount 令牌签名证书将导入到 adfsresource 计算机（请参阅第 4 步：配置联合身份验证服务器）。此时，通过网络访问此计算机，以获取该文件。

　　9.在"正在完成证书导出向导"中，单击"完成"。

　　至此，ADFS配置完毕。