Implementación Carpetas de trabajo con AD FS y web Application Proxy: Paso 1, Configuración AD FS

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema se describe el primer paso para implementar Carpetas de trabajo con Servicios de federación de Active Directory (AD FS) (AD FS) y web Application Proxy. Puede encontrar los demás pasos de este proceso en estos temas:

Nota

Las instrucciones que se tratan en esta sección son para un Windows Server 2019 o Windows Server 2016 único. Si usa Windows Server 2012 R2, siga las instrucciones Windows Server 2012 R2.

Para configurar AD FS para su uso con Carpetas de trabajo, use los procedimientos siguientes.

Trabajo previo a la instalación

Si piensa convertir el entorno de prueba que está configurando con estas instrucciones en producción, hay dos cosas que puede hacer antes de empezar:

  • Configure una cuenta Active Directory administrador de dominio que se usará para ejecutar el servicio AD FS cliente.

  • Obtenga un certificado Capa de sockets seguros (SSL) de nombre alternativo de sujeto (SAN) para la autenticación de servidor. En el ejemplo de prueba, usará un certificado autofirmado, pero para producción debe usar un certificado de confianza pública.

La obtención de estos elementos puede tardar algún tiempo, en función de las directivas de la empresa, por lo que puede ser beneficioso iniciar el proceso de solicitud de los elementos antes de empezar a crear el entorno de prueba.

Hay muchas autoridades de certificación (CA) comerciales desde las que puede adquirir el certificado. Puede encontrar una lista de las CA de confianza para Microsoft en el artículo de KB 931125. Otra alternativa es obtener un certificado de la entidad de certificación empresarial de la empresa.

Para el entorno de prueba, usará un certificado autofirmado creado por uno de los scripts proporcionados.

Nota

AD FS no admite certificados Cryptography Next Generation (CNG), lo que significa que no se puede crear el certificado autofirmado mediante el cmdlet new-SelfSignedCertificate de Windows PowerShell. Sin embargo, puede usar el script makecert.ps1 incluido en la entrada de blog Deploying Carpetas de trabajo with AD FS and Web Application Proxy (Implementación de AD FS web Application Proxy web). Este script crea un certificado autofirmado que funciona con AD FS y solicita los nombres SAN necesarios para crear el certificado.

A continuación, realice el trabajo adicional de instalación previa que se describe en las secciones siguientes.

Creación de un AD FS autofirmado

Para crear un AD FS autofirmado, siga estos pasos:

  1. Descargue los scripts proporcionados en la entrada de blog Deploying Carpetas de trabajo with AD FS and Web Application Proxy (Implementación de Carpetas de trabajo con AD FS web y Web Application Proxy y, a continuación, copie el archivo makecert.ps1 en el AD FS equipo).

  2. Abra una Windows PowerShell con privilegios de administrador.

  3. Establezca la directiva de ejecución en sin restricciones:

    Set-ExecutionPolicy –ExecutionPolicy Unrestricted
    
  4. Cambie al directorio donde copió el script.

  5. Ejecute el script makecert:

    .\makecert.ps1
    
  6. Cuando se le pida que cambie el certificado de sujeto, escriba el nuevo valor para el asunto. En este ejemplo, el valor es blueadfs.contoso.com.

  7. Cuando se le pida que escriba nombres SAN, presione Y y, a continuación, escriba los nombres SAN, de uno en uno.

    En este ejemplo, escriba blueadfs.contoso.com presione Entrar, escriba 2016-adfs.contoso.com presione Entrar, escriba enterpriseregistration.contoso.com presione Entrar.

    Cuando se hayan especificado todos los nombres SAN, presione Entrar en una línea vacía.

  8. Cuando se le pida que instale los certificados en el almacén de entidades de certificación raíz de confianza, presione Y.

El AD FS certificado debe ser un certificado SAN con los valores siguientes:

  • AD FS service name.domain

  • enterpriseregistration.domain

  • AD FS server name.domain

En el ejemplo de prueba, los valores son:

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

  • 2016-adfs.contoso.com

La SAN enterpriseregistration es necesaria para Workplace Join.

Establecer la dirección IP del servidor

Cambie la dirección IP del servidor a una dirección IP estática. Para el ejemplo de prueba, use la clase IP A, que es 192.168.0.160 / máscara de subred: 255.255.0.0 / Puerta de enlace predeterminada: 192.168.0.1 / DNS preferido: 192.168.0.150 (la dirección IP del controlador de dominio).

Instalación del servicio AD FS rol de servidor

Para instalar AD FS, siga estos pasos:

  1. Inicie sesión en la máquina física o virtual en la que planea instalar AD FS, abra Administrador del servidore inicie el Asistente para agregar roles y características.

  2. En la página Roles de servidor , seleccione el rol Servicios de federación de Active Directory (AD FS) y, a continuación, haga clic en Siguiente.

  3. En la página Servicios de federación de Active Directory (AD FS) (AD FS), verá un mensaje que indica que el rol web Application Proxy no se puede instalar en el mismo equipo que AD FS. Haga clic en Next.

  4. Haga clic en Instalar en la página de confirmación.

Para realizar la instalación equivalente de AD FS mediante Windows PowerShell, use estos comandos:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

Configurar AD FS

A continuación, configure AD FS mediante Administrador del servidor o Windows PowerShell.

Configuración AD FS mediante Administrador del servidor

Para configurar AD FS mediante Administrador del servidor, siga estos pasos:

  1. Abra el Administrador del servidor.

  2. Haga clic en la marca Notificaciones en la parte superior de la Administrador del servidor y, a continuación, haga clic en Configurar el servicio de federación en este servidor.

  3. Se inicia Servicios de federación de Active Directory (AD FS) Asistente para configuración de aplicaciones. En la Conectar de AD DS, escriba la cuenta de administrador de dominio que desea usar como cuenta de AD FS y haga clic en Siguiente.

  4. En la página Especificar propiedades del servicio , escriba el nombre del firmantes del certificado SSL que se usará para AD FS comunicación. En el ejemplo de prueba, se trata blueadfs.contoso.com.

  5. Escriba el Servicio de federación nombre. En el ejemplo de prueba, se trata blueadfs.contoso.com. Haga clic en Next.

    Nota

    El Servicio de federación no debe usar el nombre de un servidor existente en el entorno. Si usa el nombre de un servidor existente, se producirá un error en AD FS instalación del servidor y se debe reiniciar.

  6. En la página Especificar cuenta de servicio, escriba el nombre que desea usar para la cuenta de servicio administrada. En el ejemplo de prueba, seleccione Crear una cuenta de servicioadministrada de grupo y, en Nombrede cuenta, escriba ADFSService. Haga clic en Next.

  7. En la página Especificar base de datos de configuración , seleccione Crearuna base de datos en este servidor Windows Internal Database y haga clic en Siguiente.

  8. En la página Opciones de revisión se muestra información general de las opciones que ha seleccionado. Haga clic en Next.

  9. La página Comprobaciones de requisitos previos indica si todas las comprobaciones de requisitos previos se han superado correctamente. Si no hay ningún problema, haga clic en Configurar.

    Nota

    Si usó el nombre del servidor AD FS o cualquier otro equipo existente para el nombre Servicio de federación, se muestra un mensaje de error. Debe iniciar la instalación de nuevo y elegir un nombre distinto del nombre de una máquina existente.

  10. Cuando la configuración se completa correctamente, la página Resultados confirma que AD FS se configuró correctamente.

Configuración AD FS mediante PowerShell

Para realizar la configuración equivalente de AD FS mediante Windows PowerShell, use los siguientes comandos.

Para instalar AD FS:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

Para crear la cuenta de servicio administrada:

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

Después de configurar AD FS, debe configurar una granja de servidores de AD FS mediante la cuenta de servicio administrada que creó en el paso anterior y el certificado que creó en los pasos de configuración previa.

Para configurar una granja AD FS datos:

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

Paso siguiente: Implementación de Carpetas de trabajo con AD FS y web Application Proxy: Paso 2, AD FS trabajo posterior a la configuración

Consulte también

Introducción a Carpetas de trabajo