Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 1, AD FS instellen

In dit onderwerp wordt de eerste stap beschreven bij het implementeren van Werkmappen met Active Directory Federation Services (AD FS) en webtoepassingsproxy. U vindt de andere stappen in dit proces in deze onderwerpen:

• Werkmappen implementeren met AD FS en Webtoepassingsproxy: Overzicht

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 2, AD FS-werk na configuratie

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 3, Werkmappen instellen

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 4, Webtoepassingsproxy instellen

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 5, clients instellen

Als u AD FS wilt instellen voor gebruik met Werkmappen, gebruikt u de volgende procedures.

Werk vóór installatie

Als u van plan bent om de testomgeving die u instelt met deze instructies naar productie te converteren, zijn er twee dingen die u mogelijk wilt doen voordat u begint:

• Stel een Active Directory-domeinbeheerdersaccount in dat moet worden gebruikt om de AD FS-service uit te voeren.

• Verkrijg een Secure Sockets Layer (SSL) subject alternatieve naam (SAN) certificaat voor serverauthenticatie. Voor het testvoorbeeld gebruikt u een zelfondertekend certificaat, maar voor productie moet u een openbaar vertrouwd certificaat gebruiken.

Het verkrijgen van deze items kan enige tijd duren, afhankelijk van het beleid van uw bedrijf, zodat het nuttig kan zijn om het aanvraagproces voor de items te starten voordat u begint met het maken van de testomgeving.

Er zijn veel commerciële certificeringsinstanties (CA's) waaruit u het certificaat kunt kopen. U vindt een lijst met de CA's die worden vertrouwd door Microsoft in kb-artikel 931125. Een ander alternatief is om een certificaat op te halen van de ca van uw bedrijf.

Voor de testomgeving gebruikt u een zelfondertekend certificaat dat is gemaakt door een van de opgegeven scripts.

Voer vervolgens het extra voorbereidende werk uit dat in de volgende secties wordt beschreven.

Een zelfondertekend AD FS-certificaat maken

Volg deze stappen om een zelfondertekend AD FS-certificaat te maken:

1. Download de scripts in het blogbericht Deploying Work Folders with AD FS and Web Application Proxy en kopieer het bestand makecert.ps1 naar de AD FS-computer.

2. Open een Windows PowerShell-venster met beheerdersbevoegdheden.

3. Stel het uitvoeringsbeleid in op onbeperkt:

   Set-ExecutionPolicy –ExecutionPolicy Unrestricted
   

4. Ga naar de map waarin u het script hebt gekopieerd.

5. Voer het makecert-script uit:

   .\makecert.ps1
   

6. Wanneer u wordt gevraagd het onderwerpcertificaat te wijzigen, voert u de nieuwe waarde voor het onderwerp in. In dit voorbeeld is de waarde blueadfs.contoso.com.

7. Wanneer u wordt gevraagd OM SAN-namen in te voeren, drukt u op Y en voert u de SAN-namen één voor één in.

   Typ voor dit voorbeeld blueadfs.contoso.com en druk op Enter, typ 2016-adfs.contoso.com en druk op Enter, typ enterpriseregistration.contoso.com en druk op Enter.

   Wanneer alle SAN-namen zijn ingevoerd, drukt u op Enter op een lege regel.

8. Wanneer u wordt gevraagd de certificaten te installeren in de opslag voor vertrouwde basiscertificeringsinstanties, drukt u op Y.

Het AD FS-certificaat moet een SAN-certificaat zijn met de volgende waarden:

• AD FS-servicenaam.domein

• enterpriseregistration.domain

• AD FS-servernaam.domein

In het testvoorbeeld zijn de waarden:

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

• 2016-adfs.contoso.com

Het SAN voor enterpriseregistration is nodig voor Workplace Join.

Het IP-adres van de server instellen

Wijzig het IP-adres van uw server in een statisch IP-adres. Gebruik voor het testvoorbeeld IP-klasse A. Dit is 192.168.0.160 / subnetmasker: 255.255.0.0 / Standaardgateway: 192.168.0.1 / Voorkeurs-DNS: 192.168.0.150 (het IP-adres van uw domeincontroller).

De AD FS-rolservice installeren

Volg deze stappen om AD FS te installeren:

1. Meld u aan bij de fysieke of virtuele machine waarop u AD FS wilt installeren, open Serverbeheer en start de wizard Functies en onderdelen toevoegen.

2. Selecteer op de pagina Serverfuncties de rol Active Directory Federation Services en klik vervolgens op Volgende.

3. Op de pagina Active Directory Federation Services (AD FS) ziet u een bericht met de mededeling dat de webtoepassingsproxyfunctie niet kan worden geïnstalleerd op dezelfde computer als AD FS. Klik op Volgende.

4. Klik op Installeren op de bevestigingspagina.

Als u de equivalente installatie van AD FS via Windows PowerShell wilt uitvoeren, gebruikt u deze opdrachten:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

AD FS configureren

Configureer vervolgens AD FS met Serverbeheer of Windows PowerShell.

AD FS configureren met Serverbeheer

Voer de volgende stappen uit om AD FS te configureren met Serverbeheer:

1. Serverbeheer openen.

2. Klik op de vlag Meldingen boven aan het venster Serverbeheer en klik vervolgens op De federation-service op deze server configureren.

3. De configuratiewizard voor Active Directory Federation Services wordt gestart. Voer op de pagina Verbinding maken met AD DS het domeinbeheerdersaccount in dat u wilt gebruiken als het AD FS-account en klik op Volgende.

4. Voer op de pagina Service-eigenschappen opgeven de onderwerpnaam in van het SSL-certificaat dat moet worden gebruikt voor AD FS-communicatie. In het testvoorbeeld is dit blueadfs.contoso.com.

5. Voer de naam van de Federation-service in. In het testvoorbeeld is dit blueadfs.contoso.com. Klik op Volgende.

   Note

   De naam van de Federation-service mag niet de naam van een bestaande server in de omgeving gebruiken. Als u de naam van een bestaande server gebruikt, mislukt de AD FS-installatie en moet opnieuw worden opgestart.

6. Voer op de pagina Serviceaccount opgeven de naam in die u wilt gebruiken voor het beheerde serviceaccount. Voor het testvoorbeeld selecteert u Een door een groep beheerd serviceaccount maken en voert u in accountnaamADFSService in. Klik op Volgende.

7. Selecteer op de pagina Configuratiedatabase opgeveneen database maken op deze server met behulp van Windows Interne database en klik op Volgende.

8. Op de pagina Opties controleren ziet u een overzicht van de opties die u hebt geselecteerd. Klik op Volgende.

9. Op de pagina Vereiste controles wordt aangegeven of alle vereiste controles zijn geslaagd. Als er geen problemen zijn, klikt u op Configureren.

   Note

   Als u de naam van de AD FS-server of een andere bestaande computer voor de federation-servicenaam hebt gebruikt, wordt een foutbericht weergegeven. U moet de installatie opnieuw starten en een andere naam dan de naam van een bestaande computer kiezen.

10. Wanneer de configuratie is voltooid, bevestigt de pagina Resultaten dat AD FS is geconfigureerd.

AD FS configureren met behulp van PowerShell

Gebruik de volgende opdrachten om de equivalente configuratie van AD FS via Windows PowerShell uit te voeren.

AD FS installeren:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

Het beheerde serviceaccount maken:

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

Nadat u AD FS hebt geconfigureerd, moet u een AD FS-farm instellen met behulp van het beheerde serviceaccount dat u in de vorige stap hebt gemaakt en het certificaat dat u in de stappen voorafgaand aan de configuratie hebt gemaakt.

Een AD FS-farm instellen:

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

Volgende stap: Werkmappen implementeren met AD FS en Web Application Proxy: Stap 2, AD FS Post-configuratiewerk

Zie ook

Overzicht van Werkmappen