Bereitstellen von Arbeits Ordnern mit AD FS und webanwendungsproxy: Schritt 1, Setup AD FSDeploy Work Folders with AD FS and Web Application Proxy: Step 1, Set-up AD FS

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema wird der erste Schritt beim Bereitstellen von Arbeits Ordnern mit Active Directory-Verbunddienste (AD FS) (AD FS) und dem webanwendungsproxy beschrieben.This topic describes the first step in deploying Work Folders with Active Directory Federation Services (AD FS) and Web Application Proxy. Die anderen Schritte in diesem Prozess finden Sie in den folgenden Themen:You can find the other steps in this process in these topics:

Hinweis

Die in diesem Abschnitt behandelten Anweisungen gelten für eine Windows Server 2019-oder Windows Server 2016-Umgebung.The instructions covered in this section are for a Windows Server 2019 or Windows Server 2016 environment. Wenn Sie Windows Server 2012 R2 verwenden, befolgen Sie die Anweisungen unter Windows Server 2012 R2.If you're using Windows Server 2012 R2, follow the Windows Server 2012 R2 instructions.

Verwenden Sie die folgenden Verfahren, um AD FS für die Verwendung mit Arbeits Ordnern einzurichten.To set up AD FS for use with Work Folders, use the following procedures.

Arbeit vor der - AusgabePre-installment work

Wenn Sie die Testumgebung, die Sie mit diesen Anweisungen einrichten, in die Produktion konvertieren möchten, können Sie vor dem Starten zwei Dinge tun:If you intend to convert the test environment that you're setting up with these instructions to production, there are two things that you might want to do before you start:

  • Richten Sie ein Active Directory Domänen Administrator Konto ein, das zum Ausführen des AD FS Dienstanbieter verwendet werden soll.Set up an Active Directory domain administrator account to use to run the AD FS service.

  • Rufen Sie ein Secure Sockets Layer (SSL)-San-Zertifikat (Subject Alternative Name) für die Server Authentifizierung ab.Obtain a Secure Sockets Layer (SSL) subject alternative name (SAN) certificate for server authentication. Für das Testbeispiel verwenden Sie ein selbst signiertes Zertifikat, aber für die Produktion sollten Sie ein öffentlich vertrauenswürdiges Zertifikat verwenden.For the test example, you will use a self-signed certificate but for production you should use a publicly trusted certificate.

Das Abrufen dieser Elemente kann einige Zeit in Anspruch nehmen, je nach den Richtlinien Ihres Unternehmens. Daher kann es vorteilhaft sein, den Anforderungs Prozess für die Elemente zu starten, bevor Sie mit dem Erstellen der Testumgebung beginnen.Obtaining these items can take some time, depending on your company's policies, so it can be beneficial to start the request process for the items before you begin to create the test environment.

Es gibt viele kommerzielle Zertifizierungsstellen (CAS), von denen Sie das Zertifikat erwerben können.There are many commercial certificate authorities (CAs) from which you can purchase the certificate. Eine Liste der Zertifizierungsstellen, die von Microsoft als vertrauenswürdig eingestuft werden, finden Sie im KB-Artikel 931125.You can find a list of the CAs that are trusted by Microsoft in KB article 931125. Eine weitere Alternative besteht darin, ein Zertifikat von der Unternehmens Zertifizierungsstelle Ihres Unternehmens zu erhalten.Another alternative is to get a certificate from your company's enterprise CA.

Für die Testumgebung verwenden Sie ein selbst signiertes Zertifikat, das von einem der bereitgestellten Skripts erstellt wird.For the test environment, you will use a self-signed certificate that is created by one of the provided scripts.

Hinweis

AD FS unterstützt keine CNG-Zertifikate (Cryptography Next Generation), was bedeutet, dass Sie das selbst signierte Zertifikat nicht mithilfe des Windows PowerShell-Cmdlets New-selfsignedcertificate erstellen können.AD FS does not support Cryptography Next Generation (CNG) certificates, which means that you cannot create the self-signed certificate by using the Windows PowerShell cmdlet New-SelfSignedCertificate. Sie können jedoch das makecert.ps1 Skript verwenden, das im Blogbeitrag bereitstellen von Arbeits Ordnern mit AD FS und webanwendungsproxy enthalten ist.You can, however, use the makecert.ps1 script included in the Deploying Work Folders with AD FS and Web Application Proxy blog post. Dieses Skript erstellt ein selbst - signiertes Zertifikat, das mit AD FS verwendet werden kann, und fordert die San-Namen an, die zum Erstellen des Zertifikats benötigt werden.This script creates a self-signed certificated that works with AD FS and prompts for the SAN names that will be needed to create the certificate.

Führen Sie als nächstes die zusätzlichen Aufgaben vor der Ausgabe aus, die in den folgenden Abschnitten beschrieben werden.Next, do the additional pre-installment work described in the following sections.

Erstellen eines AD FS selbst - signierten ZertifikatsCreate an AD FS self-signed certificate

Führen Sie die folgenden Schritte aus, um ein AD FS selbst signiertes Zertifikat zu erstellen:To create an AD FS self-signed certificate, follow these steps:

  1. Laden Sie die Skripts im Blogbeitrag bereitstellen von Arbeits Ordnern mit AD FS und webanwendungsproxy herunter, und kopieren Sie die Datei makecert.ps1 auf den AD FS Computer.Download the scripts provided in the Deploying Work Folders with AD FS and Web Application Proxy blog post and then copy the file makecert.ps1 to the AD FS machine.

  2. Öffnen Sie ein Windows PowerShell-Fenster mit Administratorrechten.Open a Windows PowerShell window with admin privileges.

  3. Legen Sie die Ausführungs Richtlinie auf "uneingeschränkt" fest:Set the execution policy to unrestricted:

    Set-ExecutionPolicy –ExecutionPolicy Unrestricted
    
  4. Wechseln Sie in das Verzeichnis, in das Sie das Skript kopiert haben.Change to the directory where you copied the script.

  5. Führen Sie das MakeCert-Skript aus:Execute the makecert script:

    .\makecert.ps1
    
  6. Wenn Sie aufgefordert werden, das Zertifikat des Antragstellers zu ändern, geben Sie den neuen Wert für das Thema ein.When you are prompted to change the subject certificate, enter the new value for the subject. In diesem Beispiel ist der Wert blueadfs.contoso.com.In this example, the value is blueadfs.contoso.com.

  7. Wenn Sie zur Eingabe von San-Namen aufgefordert werden, drücken Sie Y, und geben Sie dann nacheinander die San-Namen ein.When you are prompted to enter SAN names, press Y and then enter the SAN names, one at a time.

    Geben Sie für dieses Beispiel blueadfs.contoso.com ein, drücken Sie die EINGABETASTE, geben Sie 2016-ADFS.contoso.com ein, drücken Sie die EINGABETASTE, geben Sie enterpriseregistration.contoso.com ein, und drücken SieFor this example, type blueadfs.contoso.com and press Enter, then type 2016-adfs.contoso.com and press Enter, then type enterpriseregistration.contoso.com and press Enter.

    Wenn alle San-Namen eingegeben wurden, drücken Sie in einer leeren Zeile die EINGABETASTE.When all of the SAN names have been entered, press Enter on an empty line.

  8. Wenn Sie aufgefordert werden, die Zertifikate im Speicher der vertrauenswürdigen Stamm Zertifizierungsstelle zu installieren, drücken Sie Y.When you are prompted to install the certificates to the Trusted Root Certification Authority store, press Y.

Das AD FS Zertifikat muss ein San-Zertifikat mit den folgenden Werten sein:The AD FS certificate must be a SAN certificate with the following values:

  • AD FS Dienst Name. DomäneAD FS service name.domain

  • enterpriseregistration. Domäneenterpriseregistration.domain

  • AD FS Servername. DomäneAD FS server name.domain

Im Testbeispiel lauten die Werte wie folgt:In the test example, the values are:

  • blueadfs.contoso.comblueadfs.contoso.com

  • enterpriseregistration.contoso.comenterpriseregistration.contoso.com

  • 2016-adfs.contoso.com2016-adfs.contoso.com

Das San "enterpriseregistration" ist für Workplace Join erforderlich.The enterpriseregistration SAN is needed for Workplace Join.

Festlegen der Server-IP-AdresseSet the server IP address

Ändern Sie die IP-Adresse Ihres Servers in eine statische IP-Adresse.Change your server IP address to a static IP address. Verwenden Sie für das Testbeispiel IP Class A, d. h. 192.168.0.160/Subnetzmaske: 255.255.0.0/Default Gateway: 192.168.0.1/bevorzugtes DNS: 192.168.0.150 (die IP-Adresse Ihres Domänen Controllers) ) .For the test example, use IP class A, which is 192.168.0.160 / subnet mask: 255.255.0.0 / Default Gateway: 192.168.0.1 / Preferred DNS: 192.168.0.150 (the IP address of your domain controller).

Installieren Sie den AD FS-Rollen Dienst.Install the AD FS role service

Um AD FS zu installieren, führen Sie die folgenden Schritte aus:To install AD FS, follow these steps:

  1. Melden Sie sich bei dem physischen oder virtuellen Computer an, auf dem Sie AD FS installieren möchten, öffnen Sie Server-Manager, und starten Sie den Assistenten zum Hinzufügen von Rollen und Features.Log on to the physical or virtual machine on which you plan to install AD FS, open Server Manager, and start the Add Roles and Features Wizard.

  2. Wählen Sie auf der Seite Server Rollen die Active Directory-Verbunddienste (AD FS) Rolle aus, und klicken Sie dann auf weiter.On the Server Roles page, select the Active Directory Federation Services role, and then click Next.

  3. Auf der Seite Active Directory-Verbunddienste (AD FS) (AD FS) wird eine Meldung angezeigt, die besagt, dass die webanwendungsproxy-Rolle nicht auf dem gleichen Computer wie AD FS installiert werden kann.On the Active Directory Federation Services (AD FS) page, you will see a message that states that the Web Application Proxy role cannot be installed on the same computer as AD FS. Klicken Sie auf Weiter.Click Next.

  4. Klicken Sie auf der Bestätigungsseite auf Installieren .Click Install on the confirmation page.

Um die entsprechende Installation von AD FS über Windows PowerShell zu erreichen, verwenden Sie die folgenden Befehle:To accomplish the equivalent installation of AD FS via Windows PowerShell, use these commands:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

Konfigurieren von AD FSConfigure AD FS

Als Nächstes konfigurieren Sie AD FS mithilfe von Server-Manager oder Windows PowerShell.Next, configure AD FS by using either Server Manager or Windows PowerShell.

Konfigurieren von AD FS mithilfe von Server-ManagerConfigure AD FS by using Server Manager

Führen Sie die folgenden Schritte aus, um AD FS mithilfe von Server-Manager zu konfigurieren:To configure AD FS by using Server Manager, follow these steps:

  1. Öffnen Sie den Server-Manager.Open Server Manager.

  2. Klicken Sie oben im Fenster Server-Manager auf das Benachrichtigungs Kennzeichen, und klicken Sie dann auf Verbund Dienst auf diesem Server konfigurieren.Click the Notifications flag at the top of the Server Manager window, and then click Configure the federation service on this server.

  3. Der Active Directory-Verbunddienste (AD FS) Konfigurations-Assistent wird gestartet.The Active Directory Federation Services Configuration Wizard launches. Geben Sie auf der Seite mit AD DS verbinden das Domänen Administrator Konto ein, das Sie als AD FS Konto verwenden möchten, und klicken Sie auf weiter.On the Connect to AD DS page, enter the domain administrator account that you want to use as the AD FS account, and click Next.

  4. Geben Sie auf der Seite Dienst Eigenschaften angeben den Antragsteller Namen des SSL-Zertifikats ein, das für die AD FS Kommunikation verwendet werden soll.On the Specify Service Properties page, enter the subject name of the SSL certificate to use for AD FS communication. Im Beispiel Test ist dies blueadfs.contoso.com.In the test example, this is blueadfs.contoso.com.

  5. Geben Sie den Namen des Verbunddienst ein.Enter the Federation Service name. Im Beispiel Test ist dies blueadfs.contoso.com.In the test example, this is blueadfs.contoso.com. Klicken Sie auf Weiter.Click Next.

    Hinweis

    Der Verbunddienst Name darf nicht den Namen eines vorhandenen Servers in der Umgebung verwenden.The Federation Service name must not use the name of an existing server in the environment. Wenn Sie den Namen eines vorhandenen Servers verwenden, schlägt die AD FS Installation fehl und muss neu gestartet werden.If you do use the name of an existing server, the AD FS installation will fail and must be restarted.

  6. Geben Sie auf der Seite Dienst Konto angeben den Namen ein, den Sie für das verwaltete Dienst Konto verwenden möchten.On the Specify Service Account page, enter the name that you would like to use for the managed service account. Wählen Sie für das Beispiel Test die Option Gruppen verwaltetes Dienst Konto erstellen aus, und geben Sie unter Kontoname den Namen adtsservice ein.For the test example, select Create a Group Managed Service Account, and in Account Name, enter ADFSService. Klicken Sie auf Weiter.Click Next.

  7. Wählen Sie auf der Seite Konfigurations Datenbank angeben die Option Datenbank auf diesem Server mit interner Windows-Datenbank erstellen aus, und klicken Sie auf weiter.On the Specify Configuration Database page, select Create a database on this server using Windows Internal Database, and click Next.

  8. Auf der Seite Optionen prüfen wird eine Übersicht über die Optionen angezeigt, die Sie ausgewählt haben.The Review Options page shows you an overview of the options you have selected. Klicken Sie auf Weiter.Click Next.

  9. Auf der Seite Voraussetzungs Prüfungen wird angegeben, ob alle Voraussetzungs Prüfungen erfolgreich abgeschlossen wurden.The Pre-requisite Checks page indicates whether all the prerequisite checks passed successfully. Wenn keine Probleme vorliegen, klicken Sie auf Konfigurieren.If there are no issues, click Configure.

    Hinweis

    Wenn Sie den Namen des AD FS Servers oder eines anderen vorhandenen Computers als Verbunddienst Namen verwendet haben, wird eine Fehlermeldung angezeigt.If you used the name of the AD FS server or any other existing machine for the Federation Service Name, an error message is displayed. Sie müssen die Installation erneut starten und einen anderen Namen als den Namen eines vorhandenen Computers auswählen.You must start the installation over and choose a name other than the name of an existing machine.

  10. Nachdem die Konfiguration erfolgreich abgeschlossen wurde, wird auf der Seite Ergebnisse bestätigt, dass AD FS erfolgreich konfiguriert wurde.When the configuration completes successfully, the Results page confirms that AD FS was successfully configured.

Konfigurieren von AD FS mithilfe von PowerShellConfigure AD FS by using PowerShell

Verwenden Sie die folgenden Befehle, um die entsprechende Konfiguration von AD FS über Windows PowerShell durchzuführen.To accomplish the equivalent configuration of AD FS via Windows PowerShell, use the following commands.

So installieren Sie AD FS:To install AD FS:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

So erstellen Sie das verwaltete Dienst Konto:To create the managed service account:

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

Nachdem Sie AD FS konfiguriert haben, müssen Sie mit dem verwalteten Dienst Konto, das Sie im vorherigen Schritt erstellt haben, und dem Zertifikat, das Sie in den Schritten vor der Konfiguration erstellt haben, eine AD FS Farm einrichten.After you configure AD FS, you must set up an AD FS farm by using the managed service account that you created in the previous step and the certificate you created in the pre-configuration steps.

So richten Sie eine AD FS-Farm ein:To set up an AD FS farm:

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

Nächster Schritt: bereitstellen von Arbeits Ordnern mit AD FS und webanwendungsproxy: Schritt 2, AD FS Arbeitsaufgaben nach der KonfigurationNext step: Deploy Work Folders with AD FS and Web Application Proxy: Step 2, AD FS Post-Configuration Work

Weitere InformationenSee Also

Übersicht: ArbeitsordnerWork Folders Overview