Implementación de Carpetas de trabajo con AD FS y web Application Proxy: Paso 2, AD FS trabajo posterior a la configuración

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema se describe el segundo paso para implementar Carpetas de trabajo con Servicios de federación de Active Directory (AD FS) (AD FS) y Web Application Proxy. Puede encontrar los demás pasos de este proceso en estos temas:

Nota

Las instrucciones que se tratan en esta sección son para un Windows Server 2019 o Windows Server 2016 virtual. Si usa Windows Server 2012 R2, siga las instrucciones Windows Server 2012 R2.

En el paso 1, ha instalado y configurado AD FS. Ahora, debe realizar los siguientes pasos posteriores a la configuración para AD FS.

Configuración de entradas DNS

Debe crear dos entradas DNS para AD FS. Estas son las mismas dos entradas que se usaron en los pasos previos a la instalación al crear el certificado de nombre alternativo del firmando (SAN).

Las entradas DNS tienen el formato:

  • AD FS service name.domain

  • enterpriseregistration.domain

  • AD FS server name.domain (la entrada DNS ya debe existir. Por ejemplo, 2016-ADFS.contoso.com)

En el ejemplo de prueba, los valores son:

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

Cree los registros A y CNAME para AD FS

Para crear registros A y CNAME para AD FS, siga estos pasos:

  1. En el controlador de dominio, abra el Administrador de DNS.

  2. Expanda la carpeta Zonas de búsqueda directa, haga clic con el botón derecho en el dominio y seleccione Nuevo host (A).

  3. Se abre la ventana Nuevo host. En el campo Nombre, escriba el alias del nombre AD FS servicio. En el ejemplo de prueba, se trata de blueadfs.

    El alias debe ser el mismo que el sujeto del certificado que se usó para AD FS. Por ejemplo, si el asunto se adfs.contoso.com, el alias especificado aquí sería adfs.

    Importante

    Al configurar AD FS mediante la interfaz de usuario (UI) de Windows Server en lugar de Windows PowerShell, debe crear un registro A en lugar de un registro CNAME para AD FS. El motivo es que el nombre de entidad de seguridad de servicio (SPN) que se crea a través de la interfaz de usuario contiene solo el alias que se usa para configurar el servicio AD FS como host.

  4. En Dirección IP,escriba la dirección IP del AD FS servidor. En el ejemplo de prueba, es 192.168.0.160. Haz clic en Agregar host.

  5. En la carpeta Zonas de búsqueda directa, vuelva a hacer clic con el botón derecho en el dominio y seleccione Nuevo alias (CNAME).

  6. En la ventana Nuevo registro de recursos, agregue el nombre de alias enterpriseregistration y escriba el FQDN del AD FS servidor. Este alias se usa para la unión a dispositivos y se debe llamar enterpriseregistration.

  7. Haga clic en OK.

Para realizar los pasos equivalentes mediante Windows PowerShell, use el siguiente comando. El comando debe ejecutarse en el controlador de dominio.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

Configure la relación de AD FS usuario de confianza para Carpetas de trabajo

Puede configurar y configurar la confianza de usuario de confianza para Carpetas de trabajo, aunque Carpetas de trabajo no se haya configurado todavía. La confianza del usuario de confianza debe configurarse para permitir que Carpetas de trabajo usar AD FS. Dado que está en proceso de configurar AD FS, ahora es un buen momento para realizar este paso.

Para configurar la confianza de usuario de confianza:

  1. Abra Administrador del servidor, en el menú Herramientas,seleccione AD FS Management.

  2. En el panel derecho, en Acciones, haga clic en Agregar relación de confianza para usuario de confianza.

  3. En la página principal, seleccione Notificaciones para notificaciones y haga clic en Iniciar.

  4. En la página Seleccionar origen de datos, seleccione Especificar datos sobre el usuario de confianza manualmentey, a continuación, haga clic en Siguiente.

  5. En el campo Nombre para mostrar, escriba WorkFolders y,a continuación, haga clic en Siguiente.

  6. En la página Configurar certificado , haga clic en Siguiente. Los certificados de cifrado de tokens son opcionales y no son necesarios para la configuración de prueba.

  7. En la página Configurar dirección URL, haga clic en Siguiente.

  8. En la página Configurar identificadores, agregue el identificador siguiente: . Este identificador es un valor codificado de forma Carpetas de trabajo y lo envía el servicio Carpetas de trabajo cuando se comunica con AD FS. Haga clic en Next.

  9. En la página Elegir Access Control directiva, seleccione Permitira todos y, a continuación, haga clic en Siguiente.

  10. En la página Listo para agregar confianza, haz clic en Siguiente.

  11. Una vez finalizada la configuración, la última página del asistente indica que la configuración se ha realizado correctamente. Active la casilla para editar las reglas de notificaciones y haga clic en Cerrar.

  12. En el complemento AD FS, seleccione la relación de confianza para usuario de confianza WorkFolders y haga clic en Editar directiva de emisión de notificación en Acciones.

  13. Se abre la ventana Editar directiva de emisión de notificación para WorkFolders. Haga clic en Agregar regla.

  14. En la lista desplegable Plantilla de regla de notificación, seleccione Enviar atributos LDAPcomo notificaciones y haga clic en Siguiente.

  15. En la página Configurar regla de notificación, en el campo Nombre de la regla de notificación,escriba WorkFolders.

  16. En la lista desplegable Almacén de atributos, seleccione Active Directory.

  17. En la tabla de asignación, escriba estos valores:

    • User-Principal-Name: UPN

    • Nombre para mostrar: Nombre

    • Apellido: Apellido

    • Given-Name: Given Name

  18. Haga clic en Finalizar Verá que la regla WorkFolders aparece en la pestaña Reglas de transformación de emisión y hace clic en Aceptar.

Establecer opciones de confianza de parte de confianza

Después de configurar la confianza de usuario de confianza para AD FS, debe finalizar la configuración mediante la ejecución de cinco comandos en Windows PowerShell. Estos comandos establecen opciones que son necesarias para Carpetas de trabajo comunicarse correctamente con AD FS y no se pueden establecer a través de la interfaz de usuario. Estas opciones son:

  • Habilitación del uso de tokens web JSON (JWT)

  • Deshabilitación de notificaciones cifradas

  • Habilitación de la actualización automática

  • Establezca la emisión de tokens de actualización de Oauth en Todos los dispositivos.

  • Conceder a los clientes acceso a la confianza de usuario de confianza

Para establecer estas opciones, use los siguientes comandos:

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

Habilitar Workplace Join

Habilitar Workplace Join es opcional, pero puede ser útil cuando se quiere que los usuarios puedan usar sus dispositivos personales para acceder a los recursos del área de trabajo.

Para habilitar el registro de dispositivos Workplace Join, debe ejecutar los siguientes comandos Windows PowerShell, que configurarán el registro de dispositivos y establecerán la directiva de autenticación global:

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

Exportación del AD FS certificado

A continuación, exporte el certificado AD FS autofirmado para que se pueda instalar en las siguientes máquinas en el entorno de prueba:

  • El servidor que se usa para Carpetas de trabajo

  • Servidor que se usa para web Application Proxy

  • El cliente de Windows unido Windows dominio

  • El cliente no unido a Windows dominio

Para exportar el certificado, siga estos pasos:

  1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar.

  2. Escriba MMC.

  3. En el menú Archivo , haga clic en Agregar o quitar complemento.

  4. En la lista Complementos disponibles, seleccione Certificadosy, a continuación, haga clic en Agregar. Se inicia el Asistente para complemento certificados.

  5. Seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.

  6. Seleccione Equipo local: (el equipo en elque se ejecuta esta consola) y, a continuación, haga clic en Finalizar.

  7. Haga clic en OK.

  8. Expanda la carpeta Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Haga clic con el botón derecho en AD FS certificado, haga clic en Todas las tareasy, a continuación, haga clic en Exportar....

  10. Se abre el Asistente para exportar certificados. Selecciona Sí, exportar la clave privada.

  11. En la página Exportar formato de archivo, deje las opciones predeterminadas seleccionadas y haga clic en Siguiente.

  12. Cree una contraseña para el certificado. Esta es la contraseña que usará más adelante al importar el certificado a otros dispositivos. Haga clic en Next.

  13. Escriba una ubicación y un nombre para el certificado y, a continuación, haga clic en Finalizar.

La instalación del certificado se trata más adelante en el procedimiento de implementación.

Administración de la configuración de clave privada

Debe conceder permiso a AD FS cuenta de servicio para acceder a la clave privada del nuevo certificado. Tendrá que conceder este permiso de nuevo cuando reemplace el certificado de comunicación una vez que expire. Para conceder permiso, siga estos pasos:

  1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar.

  2. Escriba MMC.

  3. En el menú Archivo , haga clic en Agregar o quitar complemento.

  4. En la lista Complementos disponibles, seleccione Certificadosy, a continuación, haga clic en Agregar. Se inicia el Asistente para complemento certificados.

  5. Seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.

  6. Seleccione Equipo local: (el equipo en elque se ejecuta esta consola) y, a continuación, haga clic en Finalizar.

  7. Haga clic en OK.

  8. Expanda la carpeta Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Haga clic con el botón derecho en AD FS certificado,haga clic en Todas las tareasy, a continuación, haga clic en Administrar claves privadas.

  10. En la ventana Permisos, haga clic en Agregar.

  11. En la ventana Tipos de objeto, seleccione Cuentas de servicioy, a continuación, haga clic en Aceptar.

  12. Escriba el nombre de la cuenta que se ejecuta AD FS. En el ejemplo de prueba, se trata de ADFSService. Haga clic en OK.

  13. En la ventana Permisos, dé a la cuenta al menos permisos de lectura y haga clic en Aceptar.

Si no tiene la opción de administrar claves privadas, es posible que tenga que ejecutar el siguiente comando: certutil -repairstore my *

Comprobación de que AD FS está operativo

Para comprobar que AD FS operativo, abra una ventana del explorador y vaya a , cambiando la https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml dirección URL para que coincida con su entorno.

La ventana del explorador mostrará los metadatos del servidor de federación sin formato. Si puede ver los datos sin errores o advertencias SSL, el servidor de federación está operativo.

Paso siguiente: Implementar Carpetas de trabajo con AD FS web Application Proxy: Paso 3, Configurar Carpetas de trabajo

Consulte también

Introducción a Carpetas de trabajo