Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 3: Configurar carpetas de trabajo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema se describe el tercer paso para implementar Carpetas de trabajo con Servicios de federación de Active Directory (AD FS) y Proxy de aplicación web. Puede encontrar los otros pasos de este proceso en estos temas:

• Implementación de carpetas de trabajo con AD FS y Proxy de aplicación web: introducción

• Implementación de carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 1: Configurar AD FS

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 2: Trabajo posterior a la configuración de AD FS

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web, Paso 4: Configurar Proxy de aplicación web

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 5: Configurar clientes

Nota

Las instrucciones que se describen en esta sección son para un entorno de Windows Server 2019 o Windows Server 2016. Si usa Windows Server 2012 R2, siga las instrucciones de Windows Server 2012 R2.

Para configurar Carpetas de trabajo, use los procedimientos siguientes.

Trabajo previo a la instalación

Para instalar Carpetas de trabajo, debe tener un servidor unido al dominio y ejecutar Windows Server 2016. El servidor debe tener una configuración de red válida.

Para el ejemplo de prueba, una la máquina que ejecutará Carpetas de trabajo al dominio Contoso y configure la interfaz de red, tal como se describe en las secciones siguientes.

Establecimiento de la dirección IP del servidor

Cambie la dirección IP del servidor a una dirección IP estática. Para el ejemplo de prueba, use la clase A de IP, que es 192.168.0.170 / máscara de subred: 255.255.0.0 / Puerta de enlace predeterminada: 192.168.0.1 / DNS preferido: 192.168.0.150 (la dirección IP del controlador de dominio).

Creación del registro CNAME para carpetas de trabajo

Para crear el registro CNAME para Carpetas de trabajo, siga estos pasos:

1. Desde el controlador de dominio, abra el Administrador de DNS.

2. Expanda la carpeta Zonas de búsqueda directa, haga clic con el botón derecho en el dominio y haga clic en Nuevo alias (CNAME).

3. En la ventana Nuevo registro de recursos, en el campo Nombre del alias, escriba el alias de Carpetas de trabajo. En el ejemplo de prueba, se trata de carpetas de trabajo.

4. En el campo Nombre de dominio completo, el valor debe ser workfolders.contoso.com.

5. En el campo Nombre de dominio completo del host de destino, escriba el FQDN para el servidor de Carpetas de trabajo. En el ejemplo de prueba, es2016-WF.contoso.com.

6. Haga clic en OK.

Para realizar los pasos equivalentes a través de Windows PowerShell, use el siguiente comando. El comando debe ejecutarse en el controlador de dominio.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

Instalación del certificado de AD FS

Para instalar el certificado de AD FS que se creó durante la instalación de AD FS en el almacén de certificados del equipo local, siga estos pasos:

1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar.

2. Escriba MMC.

3. En el menú Archivo , haga clic en Agregar o quitar complemento.

4. En la lista Complementos disponibles, seleccione Certificados y, a continuación, haga clic en Agregar. Se inicia el Asistente para complementos de certificados.

5. Seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.

6. Seleccione Equipo local: (el equipo en el que se está ejecutando esta consola) y, a continuación, haga clic en Finalizar.

7. Haga clic en OK.

8. Expanda la carpeta Raíz de la consola\Certificados(equipo local)\Personal\Certificados.

9. Haga clic con el botón derecho en Certificados, haga clic en Todas las tareas y haga clic en Importar.

10. Vaya a la carpeta que contiene el certificado de AD FS y siga las instrucciones del asistente para importar el archivo y colocarlo en el almacén de certificados.

11. Expanda la carpeta Raíz de la consola\Certificados(equipo local)\Entidades de certificación raíz de confianza\Certificados.

12. Haga clic con el botón derecho en Certificados, haga clic en Todas las tareas y haga clic en Importar.

13. Vaya a la carpeta que contiene el certificado de AD FS y siga las instrucciones del asistente para importar el archivo y colocarlo en el almacén de entidades de certificación raíz de confianza.

Creación del certificado autofirmado de Carpetas de trabajo

Para crear el certificado autofirmado de Carpetas de trabajo, siga estos pasos:

1. Descargue los scripts proporcionados en la entrada de blog Deploying Work Folders with AD FS and Web Application Proxy (Implementar carpetas de trabajo con AD FS y Web Application Proxy) y, a continuación, copie el archivo makecert.ps1 en la máquina de Carpetas de trabajo.

2. Abra la ventana de Windows PowerShell con privilegios de administrador.

3. Establezca la directiva de ejecución en “unrestricted” (sin restricciones):

   PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
   

4. Cambie al directorio en el que copió el script.

5. Ejecute el script makeCert:

   PS C:\temp\scripts> .\makecert.ps1
   

6. Cuando se le pida que cambie el certificado del firmante, escriba el nuevo valor para el firmante. En este ejemplo, el valor es workfolders.contoso.com.

7. Cuando se le pida que escriba nombres alternativos del firmante (SAN), presione Y y, a continuación, escriba los nombres de SAN, de uno en uno.

   En este ejemplo, escriba workfolders.contoso.com y presione Entrar. A continuación, escriba 2016-WF.contoso.com y presione Entrar.

   Cuando se hayan especificado todos los nombres de SAN, presione Entrar en una línea vacía.

8. Cuando se le pida que instale los certificados en el almacén de entidades de certificación raíz de confianza, presione Y.

El certificado de Carpetas de trabajo debe ser un certificado SAN con los siguientes valores:

• carpetas de trabajo.dominio

• nombre de máquina.dominio

En el ejemplo de prueba, los valores son:

• carpetas de trabajo.contoso.com

• 2016-WF.contoso.com

Instalación de carpetas de trabajo

Para instalar el rol Carpetas de trabajo, siga estos pasos:

1. Abra Administrador del servidor, haga clic en Agregar roles y características y, a continuación, en Siguiente.

2. En la página Tipo de instalación, seleccione Instalación basada en características o en roles y haga clic en Siguiente.

3. En la pantalla Selección de servidor, seleccione el servidor actual y haga clic en Siguiente.

4. En la página Roles de servidor, expanda Servicios de archivos y almacenamiento, expanda Servicios de iSCSI y archivo y posteriormente seleccione Carpetas de trabajo.

5. En el Asistente para agregar roles y características, haga clic en Agregar características y, después, en Siguiente.

6. En la página Características, haga clic en Siguiente.

7. En la página Confirmación, haz clic en Instalar.

Configurar las carpetas de trabajo

Para configurar Carpetas de trabajo, siga estos pasos:

1. Abra el Administrador del servidor.

2. Seleccione Servicios de archivos y almacenamiento y, después, Carpetas de trabajo.

3. En la página Carpetas de trabajo, inicie el Asistente para crear recursos compartidos de sincronización y haga clic en Siguiente.

4. En la página Servidor y ruta de acceso, seleccione el servidor donde se creará el recurso compartido de sincronización, escriba una ruta de acceso local donde se almacenarán los datos de Carpetas de trabajo y haga clic en Siguiente.

   Si la ruta de acceso no existe, se le pedirá que la cree. Haga clic en OK.

5. En la página Estructura de carpetas de usuario, seleccione Alias de usuario y, a continuación, haga clic en Siguiente.

6. En la página Nombre del recurso compartido de sincronización, escriba el nombre del recurso compartido de sincronización. En el ejemplo de prueba, es WorkFolders. Haga clic en Next.

7. En la página Acceso de sincronización, agregue los usuarios o grupos que tendrán acceso al nuevo recurso compartido de sincronización. En el ejemplo de prueba, conceda acceso a todos los usuarios del dominio. Haga clic en Next.

8. En la página Directivas de seguridad del equipo, seleccione Cifrar carpetas de trabajo y Bloquear página automáticamente y requerir contraseña. Haga clic en Next.

9. En la página Confirmación, haga clic en Crear para finalizar el proceso de configuración.

Trabajo posterior a la configuración de carpetas de trabajo

Para terminar de configurar Carpetas de trabajo, complete estos pasos adicionales:

• Enlace el certificado de Carpetas de trabajo al puerto SSL

• Configure carpetas de trabajo para usar la autenticación de AD FS

• Exporte el certificado de Carpetas de trabajo (si usa un certificado autofirmado)

Enlace del certificado

Carpetas de trabajo solo se comunica a través de SSL y debe tener el certificado autofirmado que creó anteriormente (o que la entidad de certificación emitió) enlazado al puerto.

Hay dos métodos que puede usar para enlazar el certificado al puerto a través de Windows PowerShell: cmdlets de IIS y netsh.

Enlace del certificado mediante netsh

Para usar la utilidad de scripting de línea de comandos netsh en Windows PowerShell, debe canalizar el comando a netsh. El siguiente script de ejemplo busca el certificado con el asunto workfolders.contoso.com y lo enlaza al puerto 443 mediante netsh:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Enlace del certificado mediante cmdlets de IIS

También puede enlazar el certificado al puerto mediante cmdlets de administración de IIS, que están disponibles si instaló las herramientas y scripts de administración de IIS.

Nota

La instalación de las herramientas de administración de IIS no habilita la versión completa de Internet Information Services (IIS) en el equipo Carpetas de trabajo; solo habilita los cmdlets de administración. Hay algunas ventajas posibles para esta configuración. Por ejemplo, si busca cmdlets para proporcionar la funcionalidad que obtiene de netsh. Cuando el certificado está enlazado al puerto a través del cmdlet New-WebBinding, el enlace no depende de IIS de ninguna manera. Después de realizar el enlace, incluso puede quitar la característica Web-Mgmt-Console y el certificado seguirá enlazado al puerto. Para comprobar el enlace a través de netsh, escriba netsh http show sslcert.

En el ejemplo siguiente se usa el cmdlet New-WebBinding para buscar el certificado con el asunto workfolders.contoso.com y enlazarlo al puerto 443:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Configuración de la autenticación de AD FS

Para configurar Carpetas de trabajo para usar AD FS para la autenticación, siga estos pasos:

1. Abra el Administrador del servidor.

2. Haga clic en Servidores y, a continuación, seleccione el servidor Carpetas de trabajo en la lista.

3. Haga clic con el botón secundario en el nombre del servidor y, a continuación, haga clic en Configuración de Carpetas de trabajo.

4. En la ventana Configuración de carpeta de trabajo, seleccione Servicios de federación de Active Directory (AD FS) y escriba la dirección URL del servicio de federación. Haga clic en Aplicar.

   En el ejemplo de prueba, la dirección URL es https://blueadfs.contoso.com.

El cmdlet para realizar la misma tarea a través de Windows PowerShell es:

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

Si va a configurar AD FS con certificados autofirmados, puede recibir un mensaje de error que indica que la dirección URL del servicio de federación es incorrecta, inaccesible o que no se ha configurado una relación de confianza para usuario autenticado.

Este error también puede ocurrir si el certificado de AD FS no se instaló en el servidor de Carpetas de trabajo o si el CNAME para AD FS no se configuró correctamente. Debe corregir estos problemas antes de continuar.

Exportación del certificado de Carpetas de trabajo

El certificado autofirmado Carpetas de trabajo debe exportarse para poder instalarlo más adelante en las siguientes máquinas del entorno de prueba:

• el servidor que se usa para web Application Proxy

• el cliente Windows unido a un dominio

• el cliente Windows no unido a un dominio

Para exportar el certificado, siga los mismos pasos que usó para exportar el certificado de AD FS anteriormente, como se describe en Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 2: Trabajo posterior a la configuración de AD FS y exporte el certificado de AD FS.

Paso siguiente: Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 4: Configurar Proxy de aplicación web

Vea también

Introducción a Carpetas de trabajo