Déployer des dossiers de travail avec AD FS et le proxy d’application Web : étape 1, configurer AD FS

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cette rubrique décrit la première étape du déploiement de dossiers de travail avec services de fédération Active Directory (AD FS) (AD FS) et le proxy d’application Web. Les autres étapes de ce processus sont disponibles dans les rubriques suivantes :

Notes

les instructions décrites dans cette section concernent un environnement Windows Server 2019 ou Windows Server 2016. si vous utilisez Windows Server 2012 r2, suivez les instructions Windows Server 2012 r2.

Pour configurer des AD FS pour une utilisation avec des dossiers de travail, utilisez les procédures suivantes.

Travail de préinstallation

Si vous envisagez de convertir l’environnement de test que vous configurez avec ces instructions en production, vous souhaiterez peut-être effectuer deux opérations avant de commencer :

  • Configurez un compte d’administrateur de domaine Active Directory à utiliser pour exécuter le service AD FS.

  • Obtenez un certificat SAN (autre nom de l’objet) SSL (Secure Sockets Layer) (SSL) pour l’authentification du serveur. Pour l’exemple de test, vous allez utiliser un certificat auto-signé, mais pour la production, vous devez utiliser un certificat approuvé publiquement.

L’obtention de ces éléments peut prendre un certain temps, selon les stratégies de votre entreprise. il peut donc être bénéfique pour démarrer le processus de demande des éléments avant de commencer à créer l’environnement de test.

Il existe de nombreuses autorités de certification (ca) commerciales à partir desquelles vous pouvez acheter le certificat. Vous trouverez la liste des autorités de certification approuvées par Microsoft dans l’article 931125de la base de connaissances. Une autre solution consiste à obtenir un certificat auprès de l’autorité de certification d’entreprise de votre entreprise.

Pour l’environnement de test, vous allez utiliser un certificat auto-signé créé par l’un des scripts fournis.

Notes

AD FS ne prend pas en charge les certificats CNG (Cryptography Next Generation), ce qui signifie que vous ne pouvez pas créer le certificat auto-signé à l’aide de l’applet de commande Windows PowerShell New-SelfSignedCertificate. Toutefois, vous pouvez utiliser le script makecert.ps1 inclus dans le billet de blog déploiement de dossiers de travail avec AD FS et proxy d’application Web . Ce script crée un certificat auto-signé qui fonctionne avec AD FS et vous invite à entrer les noms SAN qui seront nécessaires à la création du certificat.

Ensuite, effectuez les autres tâches de préinstallation décrites dans les sections suivantes.

Créer un certificat auto-signé AD FS

Pour créer un certificat auto-signé AD FS, procédez comme suit :

  1. Téléchargez les scripts fournis dans le billet de blog déploiement de dossiers de travail avec AD FS et proxy d’application Web , puis copiez le fichier makecert.ps1 sur l’ordinateur AD FS.

  2. ouvrez une fenêtre de Windows PowerShell avec des privilèges d’administrateur.

  3. Définissez la stratégie d’exécution sur non restreinte :

    Set-ExecutionPolicy –ExecutionPolicy Unrestricted
    
  4. Accédez au répertoire dans lequel vous avez copié le script.

  5. Exécutez le script Makecert :

    .\makecert.ps1
    
  6. Lorsque vous êtes invité à modifier le certificat du sujet, entrez la nouvelle valeur de l’objet. Dans cet exemple, la valeur est blueadfs.contoso.com.

  7. Lorsque vous êtes invité à entrer des noms SAN, appuyez sur o, puis entrez les noms SAN, un à la fois.

    Pour cet exemple, tapez blueadfs.contoso.com et appuyez sur entrée, tapez 2016-ADFS.contoso.com et appuyez sur entrée, puis tapez enterpriseregistration.contoso.com et appuyez sur entrée.

    Une fois tous les noms SAN entrés, appuyez sur entrée sur une ligne vide.

  8. Lorsque vous êtes invité à installer les certificats dans le magasin d’autorités de certification racines de confiance, appuyez sur o.

Le certificat de AD FS doit être un certificat SAN avec les valeurs suivantes :

  • Nom du service AD FS. domaine

  • enterpriseregistration. domaine

  • Nom du serveur AD FS. domaine

Dans l’exemple de test, les valeurs sont :

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

  • 2016-adfs.contoso.com

Le réseau SAN enterpriseregistration est nécessaire pour Workplace Join.

Définir l’adresse IP du serveur

Remplacez l’adresse IP de votre serveur par une adresse IP statique. Pour l’exemple de test, utilisez la classe IP A, qui est 192.168.0.160/masque de sous-réseau : 255.255.0.0/passerelle par défaut : 192.168.0.1/DNS préféré : 192.168.0.150 (adresse IP de votre contrôleur de domaine).

Installer le service de rôle AD FS

Pour installer AD FS, procédez comme suit :

  1. Connectez-vous à la machine physique ou virtuelle sur laquelle vous prévoyez d’installer AD FS, ouvrez Gestionnaire de serveuret démarrez l’Assistant Ajout de rôles et de fonctionnalités.

  2. Dans la page rôles du serveur , sélectionnez le rôle services de fédération Active Directory (AD FS) , puis cliquez sur suivant.

  3. Dans la page services de fédération Active Directory (AD FS) (AD FS) , un message indiquant que le rôle proxy d’application Web ne peut pas être installé sur le même ordinateur que AD FS s’affiche. Cliquez sur Suivant.

  4. Dans la page confirmation, cliquez sur installer .

pour effectuer l’installation équivalente de AD FS via Windows PowerShell, utilisez les commandes suivantes :

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

Configurer AD FS

Ensuite, configurez AD FS à l’aide de Gestionnaire de serveur ou Windows PowerShell.

Configurer AD FS à l’aide de Gestionnaire de serveur

Pour configurer AD FS à l’aide de Gestionnaire de serveur, procédez comme suit :

  1. Ouvrez le Gestionnaire de serveurs.

  2. Cliquez sur l’indicateur notifications en haut de la fenêtre Gestionnaire de serveur, puis cliquez sur configurer le service de Fédération sur ce serveur.

  3. L’Assistant Configuration de services de fédération Active Directory (AD FS) démarre. dans la page Connecter à AD DS , entrez le compte d’administrateur de domaine que vous souhaitez utiliser comme compte d’AD FS, puis cliquez sur suivant.

  4. Dans la page spécifier les propriétés du service , entrez le nom du sujet du certificat SSL à utiliser pour AD FS communication. Dans l’exemple de test, il s’agit de blueadfs.contoso.com.

  5. Entrez le nom du service FS (Federation Service). Dans l’exemple de test, il s’agit de blueadfs.contoso.com. Cliquez sur Suivant.

    Notes

    Le nom de service FS (Federation Service) ne doit pas utiliser le nom d’un serveur existant dans l’environnement. Si vous utilisez le nom d’un serveur existant, l’installation AD FS échoue et doit être redémarrée.

  6. Dans la page spécifier un compte de service , entrez le nom que vous souhaitez utiliser pour le compte de service administré. Pour l’exemple de test, sélectionnez créer un compte de service géré de groupe, et dans nom du compte, entrez ADFSService. Cliquez sur Suivant.

  7. dans la page spécifier la base de données de Configuration , sélectionnez créer une base de données sur ce serveur à l’aide de Base de données interne Windows, puis cliquez sur suivant.

  8. La page examiner les options vous donne une vue d’ensemble des options que vous avez sélectionnées. Cliquez sur Suivant.

  9. La page vérifications des conditions préalables indique si toutes les vérifications de la configuration requise ont réussi. S’il n’y a aucun problème, cliquez sur configurer.

    Notes

    Si vous avez utilisé le nom du serveur AD FS ou de tout autre ordinateur existant pour le nom de l’service FS (Federation Service), un message d’erreur s’affiche. Vous devez démarrer l’installation de et choisir un nom autre que le nom d’une machine existante.

  10. Une fois la configuration terminée, la page résultats confirme que AD FS a été correctement configurée.

Configurer des AD FS à l’aide de PowerShell

pour obtenir la configuration équivalente de AD FS via Windows PowerShell, utilisez les commandes suivantes.

Pour installer AD FS :

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

Pour créer le compte de service administré :

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

Après avoir configuré AD FS, vous devez configurer une batterie de serveurs AD FS en utilisant le compte de service géré que vous avez créé à l’étape précédente et le certificat que vous avez créé lors des étapes de préconfiguration.

Pour configurer une batterie de serveurs AD FS :

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

Étape suivante : déployer dossiers de travail avec AD FS et le proxy d’application Web : étape 2, AD FS travail de configuration

Voir aussi

Vue d’ensemble des Dossiers de travail