Bereitstellen von Arbeits Ordnern mit AD FS und dem webanwendungsproxy: Schritt 2 AD FS arbeiten nach der KonfigurationDeploy Work Folders with AD FS and Web Application Proxy: Step 2, AD FS Post-Configuration Work

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema wird der zweite Schritt beim Bereitstellen von Arbeits Ordnern mit Active Directory-Verbunddienste (AD FS) (AD FS) und dem webanwendungsproxy beschrieben.This topic describes the second step in deploying Work Folders with Active Directory Federation Services (AD FS) and Web Application Proxy. Die anderen Schritte in diesem Prozess finden Sie in den folgenden Themen:You can find the other steps in this process in these topics:

Hinweis

Die in diesem Abschnitt behandelten Anweisungen gelten für eine Windows Server 2019-oder Windows Server 2016-Umgebung.The instructions covered in this section are for a Windows Server 2019 or Windows Server 2016 environment. Wenn Sie Windows Server 2012 R2 verwenden, befolgen Sie die Anweisungen unter Windows Server 2012 R2.If you're using Windows Server 2012 R2, follow the Windows Server 2012 R2 instructions.

In Schritt 1 haben Sie AD FS installiert und konfiguriert.In step 1, you installed and configured AD FS. Nun müssen Sie die folgenden Schritte zur nach Konfiguration für AD FS ausführen.Now, you need to perform the following post-configuration steps for AD FS.

Konfigurieren von DNS-EinträgenConfigure DNS entries

Sie müssen für AD FS zwei DNS-Einträge erstellen.You must create two DNS entries for AD FS. Dabei handelt es sich um die gleichen zwei Einträge, die in den Schritten vor der Installation verwendet wurden, als Sie das San-Zertifikat (Subject Alternative Name) erstellt haben.These are the same two entries that were used in the pre-installation steps when you created the subject alternative name (SAN) certificate.

Die DNS-Einträge lauten in der folgenden Form:The DNS entries are in the form:

  • AD FS Dienst Name. DomäneAD FS service name.domain

  • enterpriseregistration. Domäneenterpriseregistration.domain

  • AD FS Servername. Domain (DNS-Eintrag sollte bereits vorhanden sein.AD FS server name.domain (DNS entry should already exist. z. b. 2016-ADFS.contoso.com)e.g., 2016-ADFS.contoso.com)

Im Testbeispiel lauten die Werte wie folgt:In the test example, the values are:

  • blueadfs.contoso.comblueadfs.contoso.com

  • enterpriseregistration.contoso.comenterpriseregistration.contoso.com

Erstellen Sie die A-und CNAME-Einträge für AD FSCreate the A and CNAME records for AD FS

Führen Sie die folgenden Schritte aus, um einen-und CNAME-Eintrag für AD FS zu erstellen:To create A and CNAME records for AD FS, follow these steps:

  1. Öffnen Sie auf dem Domänen Controller den DNS-Manager.On your domain controller, open DNS Manager.

  2. Erweitern Sie den Ordner Forward-Lookupzonen, klicken Sie mit der rechten Maustaste auf Ihre Domäne, und wählen Sie neuer Host (A) aus.Expand the Forward Lookup Zones folder, right-click on your domain, and select New Host (A).

  3. Das neue Host Fenster wird geöffnet.The New Host window opens. Geben Sie im Feld Name den Alias für den AD FS Dienstnamen ein.In the Name field, enter the alias for the AD FS service name. Im Testbeispiel ist dies blueadfs.In the test example, this is blueadfs.

    Der Alias muss mit dem Betreff im Zertifikat identisch sein, das für die AD FS verwendet wurde.The alias must be the same as the subject in the certificate that was used for AD FS. Wenn der Betreff z. b. "ADFS.contoso.com" lautet, wäre der hier eingegebene Alias " ADFS".For example, if the subject was adfs.contoso.com, then the alias entered here would be adfs.

    Wichtig

    Wenn Sie AD FS mithilfe der Windows Server-Benutzeroberfläche (UI) anstelle von Windows PowerShell einrichten, müssen Sie einen A-Datensatz anstelle eines CNAME-Einsatzes für AD FS erstellen.When you set up AD FS by using the Windows Server user interface (UI) instead of Windows PowerShell, you must create an A record instead of a CNAME record for AD FS. Der Grund hierfür ist, dass der Dienst Prinzipal Name (Service Principal Name, SPN), der über die Benutzeroberfläche erstellt wird, nur den Alias enthält, der zum Einrichten des AD FS Diensts als Host verwendet wird.The reason is that the service principal name (SPN) that is created via the UI contains only the alias that is used to set up the AD FS service as the host.

  4. Geben Sie unter IP-Adresse die IP-Adresse für den AD FS Server ein.In IP address, enter the IP address for the AD FS server. Im Beispiel Test ist dies 192.168.0.160.In the test example, this is 192.168.0.160. Klicken Sie auf Host hinzufügen.Click Add Host.

  5. Klicken Sie im Ordner Forward-Lookupzonen mit der rechten Maustaste erneut auf die Domäne, und wählen Sie Neuer Alias (CNAME) aus.In the Forward Lookup Zones folder, right-click on your domain again, and select New Alias (CNAME).

  6. Fügen Sie im Fenster neues Ressourcen Daten Satz den Aliasnamen enterpriseregistration hinzu, und geben Sie den voll qualifizierten Domänen Namen für den AD FS Server ein.In the New Resource Record window, add the alias name enterpriseregistration and enter the FQDN for the AD FS server. Dieser Alias wird für den Geräte Beitritt verwendet und muss als enterpriseregistration bezeichnet werden.This alias is used for Device Join and must be called enterpriseregistration.

  7. Klicken Sie auf OK.Click OK.

Wenn Sie die entsprechenden Schritte über Windows PowerShell ausführen möchten, verwenden Sie den folgenden Befehl.To accomplish the equivalent steps via Windows PowerShell, use the following command. Der Befehl muss auf dem Domänen Controller ausgeführt werden.The command must be executed on the domain controller.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

Einrichten der AD FS Vertrauensstellung der vertrauenden Seite für ArbeitsordnerSet up the AD FS relying party trust for Work Folders

Sie können die Vertrauensstellung der vertrauenden Seite für Arbeitsordner einrichten und konfigurieren, auch wenn noch keine Arbeitsordner eingerichtet wurden.You can set up and configure the relying party trust for Work Folders, even though Work Folders hasn't been set up yet. Die Vertrauensstellung der vertrauenden Seite muss so eingerichtet werden, dass Arbeitsordner AD FS verwenden können.The relying party trust must be set up to enable Work Folders to use AD FS. Da Sie gerade AD FS einrichten, ist jetzt ein guter Zeitpunkt, diesen Schritt durchzuführen.Because you're in the process of setting up AD FS, now is a good time to do this step.

So richten Sie die Vertrauensstellung der vertrauenden Seite ein:To set up the relying party trust:

  1. Öffnen Sie Server-Manager klicken Sie im Menü Extras auf AD FS Verwaltung.Open Server Manager, on the Tools menu, select AD FS Management.

  2. Klicken Sie im rechten Bereich unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.In the right-hand pane, under Actions, click Add Relying Party Trust.

  3. Wählen Sie auf der Seite Willkommen die Option Ansprüche beachten aus, und klicken Sie auf starten.On the Welcome page, select Claims aware and click Start.

  4. Wählen Sie auf der Seite Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben aus, und klicken Sie dann auf weiter.On the Select Data Source page, select Enter data about the relying party manually, and then click Next.

  5. Geben Sie im Feld Anzeige Name den Namen Arbeitsordner ein, und klicken Sie dann auf weiter.In the Display name field, enter WorkFolders, and then click Next.

  6. Klicken Sie auf der Seite Zertifikat konfigurieren auf weiter.On the Configure Certificate page, click Next. Die tokenverschlüsselungszertifikate sind optional und werden für die Testkonfiguration nicht benötigt.The token encryption certificates are optional, and are not needed for the test configuration.

  7. Klicken Sie auf der Seite URL konfigurieren auf weiter.On the Configure URL page, click Next.

  8. Fügen Sie auf der Seite Bezeichner Konfigurieren den folgenden Bezeichner hinzu: https://windows-server-work-folders/V1 .On the Configure Identifiers page, add the following identifier: https://windows-server-work-folders/V1. Dieser Bezeichner ist ein hart codierter Wert, der von Arbeits Ordnern verwendet wird und der vom Arbeitsordner Dienst gesendet wird, wenn er mit AD FS kommuniziert.This identifier is a hard-coded value used by Work Folders, and is sent by the Work Folders service when it is communicating with AD FS. Klicken Sie auf Weiter.Click Next.

  9. Wählen Sie auf der Seite Richtlinie für Access Control auswählen die Option Alle zulassen aus, und klicken Sie dann auf weiter.On the Choose Access Control Policy page, select Permit Everyone, and then click Next.

  10. Klicken Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung auf Weiter.On the Ready to Add Trust page, click Next.

  11. Nachdem die Konfiguration abgeschlossen ist, zeigt die letzte Seite des Assistenten an, dass die Konfiguration erfolgreich war.After the configuration is finished, the last page of the wizard indicates that the configuration was successful. Aktivieren Sie das Kontrollkästchen zum Bearbeiten der Anspruchs Regeln, und klicken Sie auf Schließen.Select the checkbox for editing the claims rules, and click Close.

  12. Wählen Sie im Snap-in "AD FS" die Arbeitsordner -Vertrauensstellung der vertrauenden Seite aus, und klicken Sie unter "Aktionen" auf " RichtlinieIn the AD FS snap-in, select the WorkFolders relying party trust and click Edit Claim Issuance Policy under Actions.

  13. Das Fenster Anspruchs Ausstellungs Richtlinie für Arbeitsordner bearbeiten wird geöffnet.The Edit Claim Issuance Policy for WorkFolders window opens. Klicken Sie auf Regel hinzufügen.Click Add rule.

  14. Wählen Sie in der Dropdown Liste Anspruchs Regel Vorlage die Option LDAP-Attribute als Ansprüche senden aus, und klicken Sie auf weiter.In the Claim rule template drop-down list, select Send LDAP Attributes as Claims, and click Next.

  15. Geben Sie auf der Seite Anspruchs Regel konfigurieren im Feld Anspruchs Regel Name den Namen Arbeitsordner ein.On the Configure Claim Rule page, in the Claim rule name field, enter WorkFolders.

  16. Wählen Sie in der Dropdown Liste Attribut Speicher die Option Active Directory aus.In the Attribute store drop-down list, select Active Directory.

  17. Geben Sie in der Tabelle Mapping die folgenden Werte ein:In the mapping table, enter these values:

    • Benutzer Prinzipal Name: UPNUser-Principal-Name: UPN

    • Anzeige Name: NameDisplay Name: Name

    • Nachname: NachnameSurname: Surname

    • Vorname: Vorname: VornameGiven-Name: Given Name

  18. Klicken Sie auf Fertig stellen.Click Finish. Die Regel "Arbeitsordner" wird auf der Registerkarte Ausstellungs Transformationsregeln aufgelistet, und klicken Sie auf OK.You'll see the WorkFolders rule listed on the Issuance Transform Rules tab and click OK.

Vertrauens Optionen für vertrauenswürdige Teile festlegenSet relying part trust options

Nachdem die Vertrauensstellung der vertrauenden Seite für AD FS eingerichtet wurde, müssen Sie die Konfiguration abschließen, indem Sie fünf Befehle in Windows PowerShell ausführen.After the relying party trust has been set up for AD FS, you must finish the configuration by running five commands in Windows PowerShell. Mit diesen Befehlen werden Optionen festgelegt, die für die erfolgreiche Kommunikation von Arbeits Ordnern mit AD FS erforderlich sind und nicht über die Benutzeroberfläche festgelegt werden können.These commands set options that are needed for Work Folders to communicate successfully with AD FS, and can't be set through the UI. Die Optionen sind:These options are:

  • Aktivieren der Verwendung von JSON-webtoken (jwts)Enable the use of JSON web tokens (JWTs)

  • Verschlüsselte Ansprüche deaktivierenDisable encrypted claims

  • Automatische - Aktualisierung aktivierenEnable auto-update

  • Legen Sie die Ausgabe von OAuth-Aktualisierungs Token auf alle Geräte fest.Set the issuing of Oauth refresh tokens to All Devices.

  • Gewähren des Zugriffs auf die Vertrauensstellung der vertrauenden SeiteGrant clients access to the relying party trust

Verwenden Sie die folgenden Befehle, um diese Optionen festzulegen:To set these options, use the following commands:

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

Aktivieren von Workplace JoinEnable Workplace Join

Das Aktivieren von Workplace Join ist optional, kann jedoch nützlich sein, wenn Sie möchten, dass Benutzer Ihre persönlichen Geräte für den Zugriff auf Arbeitsplatz Ressourcen verwenden können.Enabling Workplace Join is optional, but can be useful when you want users to be able to use their personal devices to access workplace resources.

Zum Aktivieren der Geräteregistrierung für Workplace Join müssen Sie die folgenden Windows PowerShell-Befehle ausführen, mit denen die Geräteregistrierung konfiguriert und die globale Authentifizierungs Richtlinie festgelegt wird:To enable device registration for Workplace Join, you must run the following Windows PowerShell commands, which will configure device registration and set the global authentication policy:

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

Exportieren des AD FS ZertifikatsExport the AD FS certificate

Exportieren Sie als nächstes das selbst - signierte AD FS Zertifikat, damit es auf den folgenden Computern in der Testumgebung installiert werden kann:Next, export the self-signed AD FS certificate so that it can be installed on the following machines in the test environment:

  • Der Server, der für Arbeitsordner verwendet wird.The server that is used for Work Folders

  • Der Server, der für den webanwendungsproxy verwendet wirdThe server that is used for Web Application Proxy

  • Der in die Domäne eingebundener Windows-ClientThe domain-joined Windows client

  • Der nicht in die Domäne eingebundenen Windows-ClientThe non-domain-joined Windows client

Führen Sie die folgenden Schritte aus, um das Zertifikat zu exportieren:To export the certificate, follow these steps:

  1. Klicken Sie im Startmenü auf Ausführen.Click Start, and then click Run.

  2. Geben Sie MMC ein.Type MMC.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.On the File menu, click Add/Remove Snap-in.

  4. Wählen Sie in der Liste Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen.In the Available snap-ins list, select Certificates, and then click Add. Der Zertifikat-Snap-in-Assistent wird gestartet.The Certificates Snap-in Wizard starts.

  5. Wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.Select Computer account, and then click Next.

  6. Wählen Sie lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) aus, und klicken Sie dann auf Fertig stellen.Select Local computer: (the computer this console is running on), and then click Finish.

  7. Klicken Sie auf OK.Click OK.

  8. Erweitern Sie die Ordner Konsole root\zertifikate ( lokaler Computer) \personal\zertifikate.Expand the folder Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Klicken Sie mit der rechten Maustaste auf das AD FS Zertifikat, klicken Sie auf Alle Tasks, und klicken Sie dann auf exportieren.Right-click the AD FS certificate, click All Tasks, and then click Export....

  10. Der Zertifikatexport-Assistent wird geöffnet.The Certificate Export Wizard opens. Wählen Sie Ja, privaten Schlüssel exportieren aus.Select Yes, export the private key.

  11. Belassen Sie auf der Seite Format der zu exportierenden Datei die Standardoptionen ausgewählt, und klicken Sie auf weiter.On the Export File Format page, leave the default options selected, and click Next.

  12. Erstellen Sie ein Kennwort für das Zertifikat.Create a password for the certificate. Dies ist das Kennwort, das Sie später verwenden, wenn Sie das Zertifikat auf andere Geräte importieren.This is the password that you'll use later when you import the certificate to other devices. Klicken Sie auf Weiter.Click Next.

  13. Geben Sie einen Speicherort und Namen für das Zertifikat ein, und klicken Sie dann auf Fertig stellen.Enter a location and name for the certificate, and then click Finish.

Die Installation des Zertifikats wird später im Bereitstellungs Verfahren behandelt.Installation of the certificate is covered later in the deployment procedure.

Verwalten der Einstellung für den privaten SchlüsselManage the private key setting

Sie müssen dem AD FS-Dienst Konto die Berechtigung zum Zugriff auf den privaten Schlüssel des neuen Zertifikats erteilen.You must give the AD FS service account permission to access the private key of the new certificate. Sie müssen diese Berechtigung erneut erteilen, wenn Sie das Kommunikations Zertifikat ersetzen, nachdem es abläuft.You will need to grant this permission again when you replace the communication certificate after it expires. Führen Sie die folgenden Schritte aus, um Berechtigungen zu erteilen:To grant permission, follow these steps:

  1. Klicken Sie im Startmenü auf Ausführen.Click Start, and then click Run.

  2. Geben Sie MMC ein.Type MMC.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.On the File menu, click Add/Remove Snap-in.

  4. Wählen Sie in der Liste Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen.In the Available snap-ins list, select Certificates, and then click Add. Der Zertifikat-Snap-in-Assistent wird gestartet.The Certificates Snap-in Wizard starts.

  5. Wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.Select Computer account, and then click Next.

  6. Wählen Sie lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) aus, und klicken Sie dann auf Fertig stellen.Select Local computer: (the computer this console is running on), and then click Finish.

  7. Klicken Sie auf OK.Click OK.

  8. Erweitern Sie die Ordner Konsole root\zertifikate ( lokaler Computer) \personal\zertifikate.Expand the folder Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Klicken Sie mit der rechten Maustaste auf das AD FS Zertifikat, klicken Sie auf Alle Tasks und dann auf private Schlüssel verwalten.Right-click the AD FS certificate, click All Tasks, and then click Manage Private Keys.

  10. Klicken Sie im Fenster Berechtigungen auf Hinzufügen.In the Permissions window, click Add.

  11. Wählen Sie im Fenster Objekttypen die Option Dienst Konten aus, und klicken Sie dann auf OK.In the Object Types window, select Service Accounts, and then click OK.

  12. Geben Sie den Namen des Kontos ein, das AD FS ausgeführt wird.Type the name of the account that is running AD FS. Im Testbeispiel lautet dies adtsservice.In the test example, this is ADFSService. Klicken Sie auf OK.Click OK.

  13. Legen Sie im Fenster Berechtigungen dem Konto mindestens Leseberechtigungen zu, und klicken Sie auf OK.In the Permissions window, give the account at least read permissions, and click OK.

Wenn Sie nicht über die Option zum Verwalten von privaten Schlüsseln verfügen, müssen Sie möglicherweise den folgenden Befehl ausführen: certutil -repairstore my *If you don't have the option to manage private keys, you might need to run the following command: certutil -repairstore my *

Überprüfen, ob AD FS betriebsbereit istVerify that AD FS is operational

Öffnen Sie ein Browserfenster, und wechseln Sie zu, um zu überprüfen, ob AD FS funktionstüchtig ist, und https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml Ändern Sie die URL entsprechend Ihrer Umgebung.To verify that AD FS is operational, open a browser window and go to https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml, changing the URL to match your environment.

Im Browserfenster werden die Verbund Server Metadaten ohne Formatierung angezeigt.The browser window will display the federation server metadata without any formatting. Wenn die Daten ohne SSL-Fehler oder-Warnungen angezeigt werden, ist der Verbund Serverbetriebs bereit.If you can see the data without any SSL errors or warnings, your federation server is operational.

Nächster Schritt: Bereitstellen von Arbeits Ordnern mit AD FS und webanwendungsproxy: Schritt 3, Einrichten von Arbeits OrdnernNext step: Deploy Work Folders with AD FS and Web Application Proxy: Step 3, Set Up Work Folders

Weitere InformationenSee Also

Übersicht: ArbeitsordnerWork Folders Overview