Déployer des dossiers de travail avec AD FS et Proxy d’Application Web : Étape 1, la configuration AD FSDeploy Work Folders with AD FS and Web Application Proxy: Step 1, Set-up AD FS

S’applique à : Windows Server (canal semi-annuel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Cette rubrique décrit la première étape du déploiement de Dossiers de travail avec les services de fédération Active Directory (AD FS) et le proxy d’application Web.This topic describes the first step in deploying Work Folders with Active Directory Federation Services (AD FS) and Web Application Proxy. Vous pouvez trouver les autres étapes de ce processus dans ces rubriques :You can find the other steps in this process in these topics:

Notes

Les instructions présentées dans cette section concernent un environnement Windows Server 2019 ou Windows Server 2016.The instructions covered in this section are for a Windows Server 2019 or Windows Server 2016 environment. Si vous utilisez Windows Server 2012 R2, suivez les instructions pour Windows Server 2012 R2.If you're using Windows Server 2012 R2, follow the Windows Server 2012 R2 instructions.

Pour configurer AD FS pour l’utiliser avec Dossiers de travail, utilisez les procédures suivantes.To set up AD FS for use with Work Folders, use the following procedures.

Tâche de préinstallationPre-installment work

Si vous envisagez de convertir l’environnement de test que vous configurez avec ces instructions pour le mettre en production, vous pouvez effectuer deux opérations avant de commencer :If you intend to convert the test environment that you're setting up with these instructions to production, there are two things that you might want to do before you start:

  • Configurer un compte d’administrateur de domaine Active Directory à utiliser pour exécuter le service AD FS.Set up an Active Directory domain administrator account to use to run the AD FS service.

  • Obtenir un certificat SAN (Subject Alternative Name) SSL (Secure Sockets Layer) pour l’authentification du serveur.Obtain a Secure Sockets Layer (SSL) subject alternative name (SAN) certificate for server authentication. Dans l’exemple de test, vous utiliserez un certificat auto-signé, mais pour la production, vous devez utiliser un certificat approuvé publiquement.For the test example, you will use a self-signed certificate but for production you should use a publicly trusted certificate.

L’obtention de ces éléments peut prendre un certain temps, en fonction des stratégies de votre société. Il peut donc s’avérer utile de lancer le processus de demande de ces éléments avant de commencer à créer l’environnement de test.Obtaining these items can take some time, depending on your company's policies, so it can be beneficial to start the request process for the items before you begin to create the test environment.

Il existe de nombreuses autorités de certification commerciale (CA) auprès desquelles vous pouvez acheter le certificat.There are many commercial certificate authorities (CAs) from which you can purchase the certificate. Vous trouverez une liste des autorités de certification approuvées par Microsoft dans l’article 931125 de la Base de connaissances.You can find a list of the CAs that are trusted by Microsoft in KB article 931125. Une autre solution consiste à obtenir un certificat auprès de l’autorité de certification de votre société.Another alternative is to get a certificate from your company's enterprise CA.

Pour l’environnement de test, vous utiliserez un certificat auto-signé qui est créé par l’un des scripts fournis.For the test environment, you will use a self-signed certificate that is created by one of the provided scripts.

Notes

AD FS ne prend pas en charge les certificats de chiffrement de nouvelle génération (CNG), ce qui signifie que vous ne pouvez pas créer le certificat auto-signé à l’aide de l’applet de commande Windows PowerShell New-SelfSignedCertificate.AD FS does not support Cryptography Next Generation (CNG) certificates, which means that you cannot create the self-signed certificate by using the Windows PowerShell cmdlet New-SelfSignedCertificate. Vous pouvez cependant utiliser le script makecert.ps1 inclus dans le billet de blog Deploying Work Folders with AD FS and Web Application Proxy.You can, however, use the makecert.ps1 script included in the Deploying Work Folders with AD FS and Web Application Proxy blog post. Ce script crée un certificat auto-signé qui fonctionne avec AD FS et vous invite à fournir les noms SAN qui seront nécessaires pour créer le certificat.This script creates a self-signed certificated that works with AD FS and prompts for the SAN names that will be needed to create the certificate.

Ensuite, exécutez les tâches de préinstallation supplémentaires décrites dans les sections suivantes.Next, do the additional pre-installment work described in the following sections.

Créer un certificat auto-signé AD FSCreate an AD FS self-signed certificate

Pour créer un certificat auto-signé AD FS, procédez comme suit :To create an AD FS self-signed certificate, follow these steps:

  1. Téléchargez les scripts fournis dans le billet de blog Deploying Work Folders with AD FS and Web Application Proxy, puis copiez le fichier makecert.ps1 sur la machine AD FS.Download the scripts provided in the Deploying Work Folders with AD FS and Web Application Proxy blog post and then copy the file makecert.ps1 to the AD FS machine.

  2. Ouvrez une fenêtre Windows PowerShell avec des privilèges d’administrateur.Open a Windows PowerShell window with admin privileges.

  3. Définissez la stratégie d’exécution sur unrestricted :Set the execution policy to unrestricted:

    Set-ExecutionPolicy –ExecutionPolicy Unrestricted   
    
  4. Passez au répertoire où vous avez copié le script.Change to the directory where you copied the script.

  5. Exécutez le script makecert :Execute the makecert script:

    .\makecert.ps1  
    
  6. Lorsque vous êtes invité à modifier l’objet du certificat, entrez la nouvelle valeur pour l’objet.When you are prompted to change the subject certificate, enter the new value for the subject. Dans cet exemple, la valeur est blueadfs.contoso.com.In this example, the value is blueadfs.contoso.com.

  7. Lorsque vous êtes invité à entrer les noms SAN, appuyez sur Y, puis entrez les noms SAN, un par un.When you are prompted to enter SAN names, press Y and then enter the SAN names, one at a time.

    Dans cet exemple, tapez blueadfs.contoso.com et appuyez sur Entrée, puis tapez 2016-adfs.contoso.com et appuyez sur Entrée, puis tapez enterpriseregistration.contoso.com et appuyez sur Entrée.For this example, type blueadfs.contoso.com and press Enter, then type 2016-adfs.contoso.com and press Enter, then type enterpriseregistration.contoso.com and press Enter.

    Lorsque tous les noms SAN ont été entrés, appuyez sur Entrée dans une ligne vide.When all of the SAN names have been entered, press Enter on an empty line.

  8. Lorsque vous êtes invité à installer les certificats dans le magasin d’autorités de certification racines de confiance, appuyez sur Y.When you are prompted to install the certificates to the Trusted Root Certification Authority store, press Y.

Le certificat AD FS doit être un certificat SAN avec les valeurs suivantes :The AD FS certificate must be a SAN certificate with the following values:

  • Service AD FS nom.domaineAD FS service name.domain

  • enterpriseregistration.domainenterpriseregistration.domain

  • nom du serveur AD FS.domaineAD FS server name.domain

Dans l’exemple de test, les valeurs sont :In the test example, the values are:

  • blueadfs.contoso.comblueadfs.contoso.com

  • enterpriseregistration.contoso.comenterpriseregistration.contoso.com

  • 2016-adfs.contoso.com2016-adfs.contoso.com

Le SAN enterpriseregistration est nécessaire pour Workplace Join.The enterpriseregistration SAN is needed for Workplace Join.

Configurer l’adresse IP du serveurSet the server IP address

Changez l’adresse IP de votre serveur en adresse IP statique.Change your server IP address to a static IP address. Pour l’exemple de test, utilisez la classe IP A, qui est 192.168.0.160 / masque de sous-réseau : 255.255.0.0 / passerelle par défaut : 192.168.0.1 / préféré DNS : 192.168.0.150 (l’adresse IP de votre contrôleur de domaine).For the test example, use IP class A, which is 192.168.0.160 / subnet mask: 255.255.0.0 / Default Gateway: 192.168.0.1 / Preferred DNS: 192.168.0.150 (the IP address of your domain controller).

Installer le service de rôle AD FSInstall the AD FS role service

Pour installer les services AD FS, procédez comme suit :To install AD FS, follow these steps:

  1. Ouvrez une session sur la machine physique ou virtuelle sur laquelle vous envisagez d’installer les services AD FS, ouvrez le Gestionnaire de serveur et démarrez l’Assistant Ajout de rôles et de fonctionnalités.Log on to the physical or virtual machine on which you plan to install AD FS, open Server Manager, and start the Add Roles and Features Wizard.

  2. Dans la page Rôles de serveur, sélectionnez le rôle Services de fédération Active Directory (AD FS) , puis cliquez sur Suivant.On the Server Roles page, select the Active Directory Federation Services role, and then click Next.

  3. Dans la page Services de fédération Active Directory (AD FS) , vous verrez un message indiquant que le rôle Proxy d’application Web ne peut pas être installé sur le même ordinateur que les services AD FS.On the Active Directory Federation Services (AD FS) page, you will see a message that states that the Web Application Proxy role cannot be installed on the same computer as AD FS. Cliquez sur Suivant.Click Next.

  4. Cliquez sur Installer dans la page de confirmation.Click Install on the confirmation page.

Pour réaliser la même installation d’AD FS via Windows PowerShell, utilisez les commandes suivantes :To accomplish the equivalent installation of AD FS via Windows PowerShell, use these commands:

Add-WindowsFeature RSAT-AD-Tools  
Add-WindowsFeature ADFS-Federation –IncludeManagementTools  

Configurer AD FSConfigure AD FS

Configurez ensuite les services AD FS en utilisant le Gestionnaire de serveur ou Windows PowerShell.Next, configure AD FS by using either Server Manager or Windows PowerShell.

Configurer AD FS à l’aide du Gestionnaire de serveurConfigure AD FS by using Server Manager

Pour configurer AD FS à l’aide du Gestionnaire de serveur, procédez comme suit :To configure AD FS by using Server Manager, follow these steps:

  1. Ouvrez le Gestionnaire de serveur.Open Server Manager.

  2. Cliquez sur l’indicateur Notifications en haut de la fenêtre Gestionnaire de serveur, puis cliquez sur Configurez le service FS (Federation Service) sur ce serveur.Click the Notifications flag at the top of the Server Manager window, and then click Configure the federation service on this server.

  3. L’Assistant Configuration des services AD FS (Active Directory Federation Services) s’ouvre.The Active Directory Federation Services Configuration Wizard launches. Dans la page Connexion à AD DS, entrez le compte d’administrateur de domaine que vous souhaitez utiliser en tant que compte AD FS, puis cliquez sur Suivant.On the Connect to AD DS page, enter the domain administrator account that you want to use as the AD FS account, and click Next.

  4. Dans la page Spécifier les propriétés de service, entrez le nom de l’objet du certificat SSL (Secure Sockets Layer) à utiliser pour la communication AD FS.On the Specify Service Properties page, enter the subject name of the SSL certificate to use for AD FS communication. Dans l’exemple de test, il s’agit de blueadfs.contoso.com.In the test example, this is blueadfs.contoso.com.

  5. Entrez le nom du Service de fédération.Enter the Federation Service name. Dans l’exemple de test, il s’agit de blueadfs.contoso.com.In the test example, this is blueadfs.contoso.com. Cliquez sur Suivant.Click Next.

    Notes

    Le nom du Service de fédération ne doit pas utiliser le nom d’un serveur existant dans l’environnement.The Federation Service name must not use the name of an existing server in the environment. Si vous utilisez le nom d’un serveur existant, l’installation d’AD FS échoue et vous devrez la relancer.If you do use the name of an existing server, the AD FS installation will fail and must be restarted.

  6. Dans la page Spécifier un compte de service, entrez le nom que vous souhaitez utiliser pour le compte de service géré.On the Specify Service Account page, enter the name that you would like to use for the managed service account. Dans l’exemple de test, sélectionnez Créer un compte de service géré de groupe et dans Nom du compte, entrez ADFSService.For the test example, select Create a Group Managed Service Account, and in Account Name, enter ADFSService. Cliquez sur Suivant.Click Next.

  7. Dans la page Spécifier une base de données de configuration, sélectionnez Créez une base de données sur ce serveur à l’aide de la base de données interne Windows et cliquez sur Suivant.On the Specify Configuration Database page, select Create a database on this server using Windows Internal Database, and click Next.

  8. La page Examiner les options vous donne une vue d’ensemble des options que vous avez sélectionnées.The Review Options page shows you an overview of the options you have selected. Cliquez sur Suivant.Click Next.

  9. La page Vérifications des conditions préalables indique si toutes les vérifications de la configuration requise ont donné satisfaction.The Pre-requisite Checks page indicates whether all the prerequisite checks passed successfully. S’il n’existe aucun problème, cliquez sur Configurer.If there are no issues, click Configure.

    Notes

    Si vous avez utilisé le nom du serveur AD FS ou de n’importe quel autre ordinateur existant pour le nom du service de fédération, un message d’erreur s’affiche.If you used the name of the AD FS server or any other existing machine for the Federation Service Name, an error message is displayed. Vous devez recommencer l’installation et choisir un nom autre que celui d’un ordinateur existant.You must start the installation over and choose a name other than the name of an existing machine.

  10. Une fois la configuration terminée, la page Résultats confirme que les services AD FS ont été correctement configurés.When the configuration completes successfully, the Results page confirms that AD FS was successfully configured.

Configurer AD FS à l’aide de PowerShellConfigure AD FS by using PowerShell

Pour effectuer la même configuration d’AD FS via Windows PowerShell, utilisez les commandes suivantes.To accomplish the equivalent configuration of AD FS via Windows PowerShell, use the following commands.

Pour installer les services AD FS :To install AD FS:

Add-WindowsFeature RSAT-AD-Tools  
Add-WindowsFeature ADFS-Federation -IncludeManagementTools   

Pour créer le compte de service géré :To create the managed service account:

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com  

Après avoir configuré les services AD FS, vous devez configurer une batterie AD FS en utilisant le compte de service géré que vous avez créé à l’étape précédente et le certificat que vous avez créé au cours des étapes préalables à la configuration.After you configure AD FS, you must set up an AD FS farm by using the managed service account that you created in the previous step and the certificate you created in the pre-configuration steps.

Pour configurer une batterie AD FS :To set up an AD FS farm:

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1    
$thumbprint = $cert.Thumbprint  
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop  

Étape suivante : Déployer des dossiers de travail avec AD FS et Proxy d’Application Web : Étape 2, le travail de post-configuration AD FSNext step: Deploy Work Folders with AD FS and Web Application Proxy: Step 2, AD FS Post-Configuration Work

Voir aussiSee Also

Vue d’ensemble des dossiers de travailWork Folders Overview