Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 3: Einrichten von Arbeitsordnern

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird der dritte Schritt bei der Bereitstellung von Arbeitsordnern mit Active Directory-Verbunddiensten (AD FS) und Webproxyanwendung beschrieben. Die übrigen Schritte dieses Prozesses sind in den folgenden Themen beschrieben:

Hinweis

Die in diesem Abschnitt enthaltenen Anweisungen gelten für eine Umgebung mit Windows Server 2019 oder Windows Server 2016. Wenn Sie Windows Server 2012 R2 verwenden, befolgen Sie die Anweisungen für Windows Server 2012 R2.

Zum Einrichten von Arbeitsordnern verwenden Sie die folgenden Verfahren.

Vor der Installation

Um Arbeitsordner zu installieren, müssen Sie über einen Server verfügen, welcher der Domäne beigetreten ist und auf dem Windows Server 2016 ausgeführt wird. Der Server muss über eine gültige Netzwerkkonfiguration verfügen.

Binden Sie für das Testbeispiel den Computer, auf dem Arbeitsordner ausgeführt werden, in die Contoso-Domäne ein, und richten Sie die Netzwerkschnittstelle wie in den folgenden Abschnitten beschrieben ein.

Festlegen der IP-Adresse des Servers

Ändern Sie die IP-Adresse des Servers in eine statische IP-Adresse. Verwenden Sie für das Testbeispiel die IP-Adresse der Klasse A: 192.168.0.170/Subnetzmaske: 255.255.0.0/Standardgateway: 192.168.0.1/Bevorzugter DNS-Server: 192.168.0.150 (IP-Adresse Ihres Domänencontrollers).

Erstellen des CNAME-Eintrags für Arbeitsordner

Um den CNAME-Eintrag für Arbeitsordner zu erstellen, gehen Sie folgendermaßen vor:

  1. Öffnen Sie auf dem Domänencontroller den DNS-Manager.

  2. Erweitern Sie den Ordner „Forward-Lookupzonen“, klicken Sie mit der rechten Maustaste auf Ihre Domäne, und klicken Sie auf Neuer Alias (CNAME) .

  3. Geben Sie im Fenster Neuer Ressourceneintrag im Feld Aliasname den Alias für Arbeitsordner ein. Im Testbeispiel wird workfolders verwendet.

  4. Im Feld Vollqualifizierter Domänenname sollte der Wert workfolders.contoso.com lauten.

  5. Geben Sie im Feld Vollqualifizierter Domänenname für Zielhost den vollqualifizierten Domänennamen für den Arbeitsordnerserver ein. Im Testbeispiel ist dies 2016-WF.contoso.com.

  6. Klicken Sie auf OK.

Verwenden Sie den folgenden Befehl, um die entsprechenden Schritte mit Windows PowerShell durchzuführen. Der Befehl muss auf dem Domänencontroller ausgeführt werden.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

Installieren des AD FS-Zertifikats

Installieren Sie anhand der folgenden Schritte das AD FS-Zertifikat, das beim Einrichten von AD FS im Zertifikatspeicher des lokalen Computers erstellt wurde:

  1. Klicken Sie im Startmenüauf Ausführen.

  2. Geben Sie MMC ein.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  4. Wählen Sie in der Liste Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen. Der Assistent für das Snap-In „Zertifikate“ wird gestartet.

  5. Wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.

  6. Wählen Sie Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) aus, und klicken Sie auf Fertig stellen.

  7. Klicken Sie auf OK.

  8. Erweitern Sie den Ordner Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.

  10. Navigieren Sie zu dem Ordner, der das AD FS-Zertifikat enthält, führen Sie die Anweisungen im Assistenten zum Importieren der Datei aus, und speichern Sie diese im Zertifikatspeicher.

  11. Erweitern Sie den Ordner Console Root\Certificates(Local Computer)\Vertrauenswürdige Stammzertifizierungsstellen\Certificates.

  12. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.

  13. Navigieren Sie zu dem Ordner, der das AD FS-Zertifikat enthält, führen Sie die Anweisungen im Assistenten zum Importieren der Datei aus, und speichern Sie diese im Speicher „Vertrauenswürdige Stammzertifizierungsstellen“.

Erstellen des selbstsignierten Zertifikats für Arbeitsordner

Um das selbstsignierte Zertifikat für Arbeitsordner zu erstellen, gehen Sie folgendermaßen vor:

  1. Laden Sie die im Blogbeitrag Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy bereitgestellten Skripts herunter, und kopieren Sie anschließend die Datei „makecert.ps1“ auf den Arbeitsordnercomputer.

  2. Öffnen Sie mit Administratorberechtigungen ein Windows PowerShell-Fenster.

  3. Legen Sie die Ausführungsrichtlinie auf „uneingeschränkt” fest:

    PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
    
  4. Wechseln Sie zu dem Verzeichnis, in das Sie das Skript kopiert haben.

  5. Führen Sie das Skript „makeCert“ aus:

    PS C:\temp\scripts> .\makecert.ps1
    
  6. Wenn Sie aufgefordert werden, den Zertifikatsantragsteller zu ändern, geben Sie den neuen Wert für den Antragssteller ein. In diesem Beispiel ist der Wert workfolders.contoso.com.

  7. Wenn Sie aufgefordert werden, die Namen der alternativen Antragsteller (SAN) einzugeben, drücken Sie „J“, und geben Sie die Namen einzeln ein.

    Geben Sie in diesem Beispiel workfolders.contoso.com ein, und drücken Sie die EINGABETASTE. Geben Sie anschließend 2016-WF.contoso.com ein, und drücken Sie die EINGABETASTE.

    Wenn Sie alle Namen der alternativen Antragsteller eingegeben haben, drücken Sie in einer leeren Zeile die EINGABETASTE.

  8. Wenn Sie aufgefordert werden, die Zertifikate im Speicher „Vertrauenswürdige Stammzertifizierungsstellen“ zu installieren, drücken Sie „J“.

Das Arbeitsordnerzertifikat muss ein SAN-Zertifikat mit folgenden Werten sein:

  • workfolders.Domäne

  • Computername.Domäne

Im Testbeispiel lauten diese Werte wie folgt:

  • workfolders.contoso.com

  • 2016-WF.contoso.com

Installieren von Arbeitsordnern

Gehen Sie folgendermaßen vor, um die Arbeitsordnerrolle zu installieren:

  1. Öffnen Sie den Server-Manager, klicken Sie auf Rollen und Features hinzufügen, und klicken Sie dann auf Weiter.

  2. Wählen Sie auf der Seite Installationstyp die Option Rollenbasierte oder funktionsbasierte Installation aus, und klicken Sie auf Weiter.

  3. Wählen Sie auf der Seite Serverauswahl den aktuellen Server aus, und klicken Sie auf Weiter.

  4. Erweitern Sie auf der Seite Serverrollen die Knoten Datei- und Speicherdienste und Datei- und iSCSI-Dienste, und wählen Sie dann Arbeitsordner aus.

  5. Klicken Sie auf der Seite Assistent zum Hinzufügen von Rollen und Features auf Features hinzufügen, und klicken Sie auf Weiter.

  6. Klicken Sie auf der Seite Features auf Weiter.

  7. Klicken Sie auf der Seite Bestätigung auf Installieren.

Konfigurieren von Arbeitsordnern

Gehen Sie folgendermaßen vor, um Arbeitsordner zu konfigurieren:

  1. Öffnen Sie Server-Manager.

  2. Wählen Sie Datei- und Speicherdienste und anschließend Arbeitsordner aus.

  3. Starten Sie auf der Seite Arbeitsordner den Assistent für neue Synchronisierungsfreigaben, und klicken Sie auf Weiter.

  4. Wählen Sie auf der Seite Server und Pfad den Server aus, auf dem die Synchronisierungsfreigabe erstellt werden soll, geben Sie einen lokalen Pfad ein, in dem die Arbeitsordnerdaten gespeichert werden sollen, und klicken Sie auf Weiter.

    Wenn der Pfad nicht vorhanden ist, werden Sie aufgefordert, ihn zu erstellen. Klicken Sie auf OK.

  5. Wählen Sie auf der Seite Benutzerordnerstruktur die Option Benutzeralias aus, und klicken Sie dann auf Weiter.

  6. Geben Sie auf der Seite Name der Synchronisierungsfreigabe den Namen für die Synchronisierungsfreigabe ein. Im Testbeispiel ist lautet dieser WorkFolders. Klicken Sie auf Weiter.

  7. Fügen Sie auf der Seite Synchronisierungszugriff die Benutzer oder Gruppen hinzu, die Zugriff auf die neue Synchronisierungsfreigabe haben sollen. Gewähren Sie bei diesem Testbeispiel allen Domänenbenutzern Zugriff. Klicken Sie auf Weiter.

  8. Aktivieren Sie auf der Seite PC-Sicherheitsrichtlinien die Optionen Arbeitsordner verschlüsseln und Seite automatisch sperren und ein Kennwort anfordern. Klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Bestätigung auf Erstellen, um den Konfigurationsvorgang abzuschließen.

Aufgaben nach der Konfiguration von Arbeitsordnern

Führen Sie die folgenden zusätzlichen Schritte aus, um das Einrichten der Arbeitsordner abzuschließen:

  • Binden des Arbeitsordnerzertifikats an den SSL-Port

  • Konfigurieren der Arbeitsordner für die Verwendung der AD FS-Authentifizierung

  • Exportieren des Arbeitsordnerzertifikats (bei Verwendung eines selbstsignierten Zertifikats)

Binden des Zertifikats

Arbeitsordner kommunizieren nur über SSL. Daher muss das selbstsignierte Zertifikat, das Sie zuvor erstellt haben (oder das von der Zertifizierungsstelle ausgestellt wurde), an den Port gebunden werden.

Es gibt zwei Methoden, mit denen Sie über Windows PowerShell das Zertifikat an den Port binden können: IIS-Cmdlets und Netsh.

Binden des Zertifikats mithilfe von Netsh

Um das Befehlszeilen-Skripthilfsprogramm Netsh in Windows PowerShell zu verwenden, müssen Sie den Befehl zu Netsh umleiten. Das folgende Beispielskript sucht das Zertifikat mit dem Antragsteller workfolders.contoso.com und bindet es mithilfe von Netsh an Port 443:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Binden des Zertifikats mithilfe von IIS-Cmdlets

Sie können das Zertifikat auch mithilfe von IIS-Verwaltungs-Cmdlets an den Port binden, die verfügbar sind, wenn Sie IIS-Verwaltungstools und -Skripts installiert haben.

Hinweis

Durch die Installation der IIS-Verwaltungstools wird nicht die Vollversion von IIS (Internet Information Services) auf dem Arbeitsordnercomputer aktiviert. Aktiviert werden lediglich die Verwaltungs-Cmdlets. Diese Installation kann einige Vorteile haben, zum Beispiel, wenn Sie Cmdlets benötigen, die die Funktionalität bereitstellen, die Sie von Netsh erhalten. Wenn das Zertifikat über das Cmdlet „New-WebBinding“ an den Port gebunden wird, ist die Bindung in keiner Weise von IIS abhängig. Nachdem Sie die Bindung durchgeführt haben, können Sie das Feature „Web-Mgmt-Konsole“ entfernen. Das Zertifikat bleibt trotzdem an den Port gebunden. Sie können die Bindung mithilfe von Netsh durch die Eingabe von netsh http show sslcert überprüfen.

Im folgenden Beispiel wird das Cmdlet „New-WebBinding“ verwendet, um das Zertifikat mit dem Antragsteller workfolders.contoso.com zu suchen und es an Port 443 zu binden:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Einrichten der AD FS-Authentifizierung

Gehen Sie folgendermaßen vor, um für Arbeitsordner die Authentifizierung über AD FS zu konfigurieren:

  1. Öffnen Sie Server-Manager.

  2. Klicken Sie auf Server, und wählen Sie dann in der Liste Ihren Arbeitsordnerserver aus.

  3. Klicken Sie mit der rechten Maustaste auf den Servernamen, und klicken Sie anschließend auf Arbeitsordnereinstellungen.

  4. Wählen Sie im Fenster Arbeitsordnereinstellungen die Option Active Directory-Verbunddienste (AD FS) aus, und geben Sie eine Verbunddienst-URL ein. Klicken Sie auf Anwenden.

    Im Testbeispiel lautet die URL https://blueadfs.contoso.com .

Das Cmdlet zum Ausführen derselben Aufgabe mit Windows PowerShell lautet:

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

Wenn Sie AD FS mit selbstsignierten Zertifikaten einrichten, wird möglicherweise eine Fehlermeldung angezeigt, die besagt, dass die Verbunddienst-URL falsch oder nicht erreichbar ist oder keine Vertrauensstellung der vertrauenden Seite eingerichtet ist.

Dieser Fehler kann auch auftreten, wenn das AD FS-Zertifikat nicht auf dem Arbeitsordnerserver installiert oder der CNAME-Eintrag für AD FS nicht korrekt festgelegt wurde. Sie müssen diese Probleme beheben, bevor Sie fortfahren können.

Exportieren des Arbeitsordnerzertifikats

Das selbstsignierte Arbeitsordnerzertifikat muss exportiert werden, damit Sie es später auf den folgenden Computern in der Testumgebung installieren können:

  • Server, der für den Webanwendungsproxy verwendet wird

  • In die Domäne eingebundener Windows-Client

  • Nicht in die Domäne eingebundener Windows-Client

Um das Zertifikat zu exportieren, führen Sie die gleichen Schritte aus, mit denen Sie das AD FS-Zertifikat zuvor exportiert haben (siehe Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 2: Aufgaben nach der Konfiguration von AD FS).

Nächster Schritt: Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 4: Einrichten des Webanwendungsproxys

Weitere Informationen

Übersicht: Arbeitsordner