Déployer des dossiers de travail avec AD FS et Proxy d’Application Web : Étape 3, les dossiers de travail de configurationDeploy Work Folders with AD FS and Web Application Proxy: Step 3, Set-up Work Folders

S’applique à : Windows Server (canal semi-annuel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Cette rubrique décrit la troisième étape de déploiement Dossiers de travail avec les services de fédération Active Directory (AD FS) et le proxy d’application Web.This topic describes the third step in deploying Work Folders with Active Directory Federation Services (AD FS) and Web Application Proxy. Vous pouvez trouver les autres étapes de ce processus dans ces rubriques :You can find the other steps in this process in these topics:

Notes

Les instructions présentées dans cette section concernent un environnement Windows Server 2019 ou Windows Server 2016.The instructions covered in this section are for a Windows Server 2019 or Windows Server 2016 environment. Si vous utilisez Windows Server 2012 R2, suivez les instructions pour Windows Server 2012 R2.If you're using Windows Server 2012 R2, follow the Windows Server 2012 R2 instructions.

Pour configurer Dossiers de travail, procédez comme suit.To set up Work Folders, use the following procedures.

Tâche de préinstallationPre-installment work

Pour pouvoir installer Dossiers de travail, vous devez disposer d’un serveur joint au domaine et exécutant Windows Server 2016.In order to install Work Folders, you must have a server that is joined to the domain and running Windows Server 2016. La configuration réseau du serveur doit être valide.The server must have a valid network configuration.

Dans l’exemple de test, joignez l’ordinateur qui exécute Dossiers de travail au domaine Contoso et configurez l’interface réseau comme décrit dans les sections suivantes.For the test example, join the machine that will run Work Folders to the Contoso domain and set up the network interface as described in the following sections.

Configurer l’adresse IP du serveurSet the server IP address

Changez l’adresse IP de votre serveur en adresse IP statique.Change your server IP address to a static IP address. Pour l’exemple de test, utilisez la classe IP A, qui est 192.168.0.170 / masque de sous-réseau : 255.255.0.0 / passerelle par défaut : 192.168.0.1 / préféré DNS : 192.168.0.150 (l’adresse IP de votre contrôleur de domaine).For the test example, use IP class A, which is 192.168.0.170 / subnet mask: 255.255.0.0 / Default Gateway: 192.168.0.1 / Preferred DNS: 192.168.0.150 (the IP address of your domain controller).

Créer l’enregistrement CNAME pour Dossiers de travailCreate the CNAME record for Work Folders

Pour créer l’enregistrement CNAME pour Dossiers de travail, procédez comme suit :To create the CNAME record for Work Folders, follow these steps:

  1. Sur votre contrôleur de domaine, ouvrez le Gestionnaire DNS.On your domain controller, open DNS Manager.

  2. Développez le dossier Zones de recherche directe, cliquez avec le bouton droit sur votre domaine, puis cliquez sur Nouvel Alias (CNAME) .Expand the Forward Lookup Zones folder, right-click on your domain, and click New Alias (CNAME).

  3. Dans la fenêtre Nouvel enregistrement de ressource, dans le champ Nom de l’alias, entrez l’alias de Dossiers de travail.In the New Resource Record window, in the Alias name field, enter the alias for Work Folders. Dans l’exemple de test, il s’agit de workfolders.In the test example, this is workfolders.

  4. Dans le champ Nom de domaine complet, la valeur doit être workfolders.contoso.com.In the Fully qualified domain name field, the value should be workfolders.contoso.com.

  5. Dans le champ Nom de domaine complet de l’hôte cible, entrez le nom de domaine complet du serveur Dossiers de travail.In the Fully qualified domain name for target host field, enter the FQDN for the Work Folders server. Dans l’exemple de test, il s’agit de 2016-WF.contoso.com.In the test example, this is 2016-WF.contoso.com.

  6. Cliquez sur OK.Click OK.

Pour effectuer les mêmes étapes via Windows PowerShell, utilisez la commande suivante.To accomplish the equivalent steps via Windows PowerShell, use the following command. La commande doit être exécutée sur le contrôleur de domaine.The command must be executed on the domain controller.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com   

Installer le certificat AD FSInstall the AD FS certificate

Installez le certificat AD FS qui a été créé pendant l’installation d’AD FS dans le magasin de certificats de l’ordinateur local, en procédant comme suit :Install the AD FS certificate that was created during AD FS setup into the local computer certificate store, using these steps:

  1. Cliquez sur Démarrer, puis sur Exécuter.Click Start, and then click Run.

  2. Tapez MMC.Type MMC.

  3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.On the File menu, click Add/Remove Snap-in.

  4. Dans la zone Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter.In the Available snap-ins list, select Certificates, and then click Add. L’assistant Composant logiciel enfichable Certificats démarre.The Certificates Snap-in Wizard starts.

  5. Sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.Select Computer account, and then click Next.

  6. Sélectionnez Ordinateur local (l’ordinateur sur lequel cette console s’exécute) , puis cliquez sur Terminer.Select Local computer: (the computer this console is running on), and then click Finish.

  7. Cliquez sur OK.Click OK.

  8. Développez le dossier Racine de la console\Certificats(Ordinateur local)\Personnel\Certificats.Expand the folder Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Cliquez avec le bouton droit sur Certificats, cliquez sur Toutes les tâches, puis cliquez sur Importer.Right-click Certificates, click All Tasks, and then click Import.

  10. Accédez au dossier contenant le certificat AD FS et suivez les instructions de l’Assistant pour importer le fichier et le placer dans le magasin de certificats.Browse to the folder that contains the AD FS certificate, and follow the instructions in the wizard to import the file and place it in the certificate store.

  11. Développez le dossier Racine de la console\Certificats(Ordinateur local)\Autorités de certification racines de confiance\Certificats.Expand the folder Console Root\Certificates(Local Computer)\Trusted Root Certification Authorities\Certificates.

  12. Cliquez avec le bouton droit sur Certificats, cliquez sur Toutes les tâches, puis cliquez sur Importer.Right-click Certificates, click All Tasks, and then click Import.

  13. Accédez au dossier contenant le certificat AD FS, puis suivez les instructions de l’assistant pour importer le fichier et le placer dans le magasin des autorités de certification racines de confiance.Browse to the folder that contains the AD FS certificate, and follow the instructions in the wizard to import the file and place it in the Trusted Root Certification Authorities store.

Créer le certificat auto-signé Dossiers de travailCreate the Work Folders self-signed certificate

Pour créer le certificat auto-signé Dossiers de travail, procédez comme suit :To create the Work Folders self-signed certificate, follow these steps:

  1. Télécharger les scripts fournis dans billet de blog Deploying Work Folders with AD FS and Web Application Proxy, puis copiez le fichier makecert.ps1 sur l’ordinateur de Dossiers de travail.Download the scripts provided in the Deploying Work Folders with AD FS and Web Application Proxy blog post and then copy the file makecert.ps1 to the Work Folders machine.

  2. Ouvrez une fenêtre Windows PowerShell avec des privilèges d’administrateur.Open a Windows PowerShell window with admin privileges.

  3. Définissez la stratégie d’exécution sur unrestricted :Set the execution policy to unrestricted:

    PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted   
    
  4. Passez au répertoire où vous avez copié le script.Change to the directory where you copied the script.

  5. Exécutez le script makecert :Execute the makeCert script:

    PS C:\temp\scripts> .\makecert.ps1  
    
  6. Lorsque vous êtes invité à modifier l’objet du certificat, entrez la nouvelle valeur pour l’objet.When you are prompted to change the subject certificate, enter the new value for the subject. Dans cet exemple, la valeur est workfolders.contoso.com.In this example, the value is workfolders.contoso.com.

  7. Lorsque vous êtes invité à entrer les noms SAN (Subject alternative name), appuyez sur Y, puis entrez les noms SAN, un à la fois.When you are prompted to enter subject alternative name (SAN) names, press Y and then enter the SAN names, one at a time.

    Dans cet exemple, tapez workfolders.contoso.com, puis appuyez sur Entrée.For this example, type workfolders.contoso.com, and press Enter. Tapez ensuite 2016-WF.contoso.com, puis appuyez sur Entrer.Then type 2016-WF.contoso.com and press Enter.

    Lorsque tous les noms SAN ont été entrés, appuyez sur Entrée dans une ligne vide.When all of the SAN names have been entered, press Enter on an empty line.

  8. Lorsque vous êtes invité à installer les certificats dans le magasin d’autorités de certification racines de confiance, appuyez sur Y.When you are prompted to install the certificates to the Trusted Root Certification Authority store, press Y.

Le certificat Dossiers de travail doit être un certificat SAN avec les valeurs suivantes :The Work Folders certificate must be a SAN certificate with the following values:

  • workfolders.domaineworkfolders.domain

  • nom de l’ordinateur.domainemachine name.domain

Dans l’exemple de test, les valeurs sont :In the test example, the values are:

  • workfolders.contoso.comworkfolders.contoso.com

  • 2016-WF.contoso.com2016-WF.contoso.com

Installer Dossiers de travailInstall Work Folders

Pour installer le rôle Dossiers de travail, procédez comme suit :To install the Work Folders role, follow these steps:

  1. Ouvrez le Gestionnaire de serveur, sélectionnez Ajouter des rôles et des fonctionnalités, puis cliquez sur Suivant.Open Server Manager, click Add roles and features, and click Next.

  2. Dans la page Type d’installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité, puis cliquez sur Suivant.On the Installation Type page, select Role-based or feature-based installation, and click Next.

  3. Dans la page Sélection du serveur, sélectionnez le serveur actuel et cliquez sur Suivant.On the Server Selection page, select the current server, and click Next.

  4. Dans la page Rôles de serveur, développez Services de fichiers et de stockage, développez Services de fichiers et iSCSI, puis sélectionnez Dossiers de travail.On the Server Roles page, expand File and Storage Services, expand File and iSCSI Services, and then select Work Folders.

  5. Dans la boîte de dialogue Assistant Ajout de rôles et de fonctionnalités, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.On the Add Roles and Feature Wizard page, click Add Features, and click Next.

  6. Dans la page Fonctionnalités cliquez sur Suivant.On the Features page, click Next.

  7. Dans la page Confirmation, cliquez sur Installer.On the Confirmation page, click Install.

Configurer Dossiers de travailConfigure Work Folders

Pour configurer Dossiers de travail, procédez comme suit :To configure Work Folders, follow these steps:

  1. Ouvrez le Gestionnaire de serveur.Open Server Manager.

  2. Sélectionnez Services de fichiers et de stockage, puis Dossiers de travail.Select File and Storage Services, and then select Work Folders.

  3. Dans la page Dossiers de travail, démarrez l’Assistant Nouveau partage de synchronisation, puis cliquez sur Suivant.On the Work Folders page, start the New Sync Share Wizard, and click Next.

  4. Dans la page Serveur et chemin d’accès, sélectionnez le serveur où le partage de synchronisation sera créé, entrez un chemin d’accès local où seront stockées les données de Dossiers de travail, puis cliquez sur Suivant.On the Server and Path page, select the server where the sync share will be created, enter a local path where the Work Folders data will be stored, and click Next.

    Si le chemin d’accès n’existe pas, il vous sera demandé de le créer.If the path doesn't exist, you'll be prompted to create it. Cliquez sur OK.Click OK.

  5. Dans la page Structure des dossiers utilisateur, sélectionnez Alias utilisateur, puis cliquez sur Suivant.On the User Folder Structure page, select User alias, and then click Next.

  6. Dans la page Nom du partage de synchronisation, entrez le nom du partage de synchronisation.On the Sync Share Name page, enter the name for the sync share. Dans l’exemple de test, il s’agit de WorkFolders.For the test example, this is WorkFolders. Cliquez sur Suivant.Click Next.

  7. Dans la page Accès à la synchronisation, ajoutez les utilisateurs ou les groupes qui auront accès au nouveau partage de synchronisation.On the Sync Access page, add the users or groups that will have access to the new sync share. Dans l’exemple de test, accordez l’accès à tous les utilisateurs du domaine.For the test example, grant access to all domain users. Cliquez sur Suivant.Click Next.

  8. Dans la page Stratégies de sécurité PC, sélectionnez Chiffrer les dossiers de travail et Verrouiller automatiquement l’écran et exiger un mot de passe.On the PC Security Policies page, select Encrypt work folders and Automatically lock page and require a password. Cliquez sur Suivant.Click Next.

  9. Dans la page Confirmation, cliquez sur Créer pour terminer le processus de configuration.On the Confirmation page, click Create to finish the configuration process.

Dossiers de travail tâches post-configurationWork Folders post-configuration work

Pour terminer la configuration de Dossiers de travail, effectuez les étapes supplémentaires suivantes :To finish setting up Work Folders, complete these additional steps:

  • Lier le certificat Dossiers de travail au port SSLBind the Work Folders certificate to the SSL port

  • Configurer Dossiers de travail pour utiliser l’authentification AD FSConfigure Work Folders to use AD FS authentication

  • Exporter le certificat Dossiers de travail (si vous utilisez un certificat auto-signé)Export the Work Folders certificate (if you are using a self-signed certificate)

Lier le certificatBind the certificate

Dossiers de travail communique uniquement via SSL et doit posséder un certificat auto-signé lié au port, créé au préalable (ou que votre autorité de certification a émis).Work Folders communicates only over SSL and must have the self-signed certificate that you created earlier (or that your certificate authority issued) bound to the port.

Il existe deux méthodes que vous pouvez utiliser pour lier le certificat vers le port via Windows PowerShell : Applets de commande IIS et netsh.There are two methods that you can use to bind the certificate to the port via Windows PowerShell: IIS cmdlets and netsh.

Lier le certificat à l’aide de netshBind the certificate by using netsh

Pour utiliser l’utilitaire de script de ligne de commande netsh dans Windows PowerShell, vous devez diriger la commande vers netsh.To use the netsh command-line scripting utility in Windows PowerShell, you must pipe the command to netsh. L’exemple de script suivant recherche le certificat avec l’objet workfolders.contoso.com et les lie au port 443 à l’aide de netsh :The following example script finds the certificate with the subject workfolders.contoso.com and binds it to port 443 by using netsh:

$subject = "workfolders.contoso.com"   
Try  
{  
#In case there are multiple certificates with the same subject, get the latest version   
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1    
$thumbprint = $cert.Thumbprint  
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"  
$Command | netsh  
}  
Catch  
{  
"     Error: unable to locate certificate for $($subject)"  
Exit  
}   

Lier le certificat à l’aide des applets de commande IISBind the certificate by using IIS cmdlets

Vous pouvez également lier le certificat au port à l’aide des applets de commande de gestion IIS, qui sont disponibles si vous avez installé les outils de gestion IIS et les scripts.You can also bind the certificate to the port by using IIS management cmdlets, which are available if you installed the IIS management tools and scripts.

Notes

L’installation des outils de gestion IIS n’active pas la version complète des Services Internet (IIS). sur l’ordinateur de Dossiers de travail ; il active uniquement les applets de commande de gestion.Installation of the IIS management tools doesn't enable the full version of Internet Information Services (IIS) on the Work Folders machine; it only enables the management cmdlets. Cette configuration offre un certain nombre d’avantages.There are some possible benefits to this setup. Par exemple, si vous recherchez des applets de commande pour fournir la fonctionnalité que vous obtenez de netsh.For example, if you're looking for cmdlets to provide the functionality that you get from netsh. Lorsque le certificat est lié au port via l’applet de commande New-WebBinding, la liaison n’est en aucun cas pas dépendante d’IIS.When the certificate is bound to the port via the New-WebBinding cmdlet, the binding is not dependent on IIS in any way. Après avoir effectué la liaison, vous pouvez même supprimer la console d’administration Web, et le certificat sera toujours lié au port.After you do the binding, you can even remove the Web-Mgmt-Console feature, and the certificate will still be bound to the port. Vous pouvez vérifier la liaison via netsh en tapant netsh http show sslcert.You can verify the binding via netsh by typing netsh http show sslcert.

L’exemple suivant utilise l’applet de commande New-WebBinding pour trouver le certificat avec l’objet workfolders.contoso.com et le lier au port 443 :The following example uses the New-WebBinding cmdlet to find the certificate with the subject workfolders.contoso.com and bind it to port 443:

$subject = "workfolders.contoso.com"  
Try  
{  
#In case there are multiple certificates with the same subject, get the latest version   
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1   
$thumbprint = $cert.Thumbprint  
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https  
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.   
Push-Location IIS:\SslBindings  
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443  
Pop-Location  
}  
Catch  
{  
"     Error: unable to locate certificate for $($subject)"  
Exit  
}   

Configurer l’authentification AD FSSet up AD FS authentication

Pour configurer Dossiers de travail de manière à utiliser les services AD FS pour l’authentification, procédez comme suit :To configure Work Folders to use AD FS for authentication, follow these steps:

  1. Ouvrez le Gestionnaire de serveur.Open Server Manager.

  2. Cliquez sur Serveurs, puis sélectionnez votre serveur Dossiers de travail dans la liste.Click Servers, and then select your Work Folders server in the list.

  3. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Paramètres de Dossiers de travail.Right-click the server name, and click Work Folders Settings.

  4. Dans la fenêtre Paramètres de Dossier de travail, sélectionnez Services de fédération Active Directory (AD FS) puis tapez l’URL du service de fédération.In the Work Folder Settings window, select Active Directory Federation Services, and type in the Federation Service URL. Cliquez sur Appliquer.Click Apply.

    Dans l’exemple de test, l’URL est https://blueadfs.contoso.com .In the test example, the URL is https://blueadfs.contoso.com.

L’applet de commande permettant d’effectuer la même tâche via Windows PowerShell est la suivante :The cmdlet to accomplish the same task via Windows PowerShell is:

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"   

Si vous configurez des services AD FS avec des certificats auto-signés, vous pouvez recevoir un message d’erreur indiquant que l’URL du service de fédération est incorrecte, inaccessible, ou qu’une approbation de partie de confiance n’a pas été configurée.If you're setting up AD FS with self-signed certificates, you might receive an error message that says the Federation Service URL is incorrect, unreachable, or a relying party trust has not been set up.

Cette erreur peut également survenir si le certificat AD FS n’est pas installé sur le serveur Dossiers de travail ou si l’enregistrement CNAME pour AD FS n’était pas configuré correctement.This error can also happen if the AD FS certificate was not installed on the Work Folders server or if the CNAME for AD FS was not set up correctly. Vous devez corriger ces problèmes avant de poursuivre.You must correct these issues before proceeding.

Exporter le certificat Dossiers de travailExport the Work Folders certificate

Le certificat Dossiers de travail auto-signé doit être exporté afin que vous puissiez l’installer ultérieurement sur les ordinateurs suivants dans l’environnement de test :The self-signed Work Folders certificate must be exported so that you can later install it on the following machines in the test environment:

  • Le serveur qui est utilisé pour le proxy d’application WebThe server that is used for Web Application Proxy

  • Le client Windows joint au domaineThe domain-joined Windows client

  • Le client Windows qui n’est pas joint au domaineThe non-domain-joined Windows client

Pour exporter le certificat, suivez les mêmes étapes que vous avez utilisé pour exporter le certificat AD FS précédemment, comme décrit dans déployer des dossiers de travail avec AD FS et Proxy d’Application Web : Étape 2, AD FS post-configuration travail, exportez le certificat AD FS.To export the certificate, follow the same steps you used to export the AD FS certificate earlier, as described in Deploy Work Folders with AD FS and Web Application Proxy: Step 2, AD FS Post-Configuration Work, Export the AD FS certificate.

Étape suivante : Déployer des dossiers de travail avec AD FS et Proxy d’Application Web : Étape 4 : configurer le Proxy d’Application WebNext step: Deploy Work Folders with AD FS and Web Application Proxy: Step 4, Set Up Web Application Proxy

Voir aussiSee Also

Vue d’ensemble des dossiers de travailWork Folders Overview