Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 3, Configurer Dossiers de travail

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cette rubrique décrit la troisième étape du déploiement de Dossiers de travail avec les services de fédération Active Directory (AD FS) et le Proxy d’application Web. Les rubriques suivantes décrivent les autres étapes de ce processus :

• Déployer Dossiers de travail avec AD FS et le Proxy d’application web : Vue d’ensemble

• Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 1, Configurer AD FS

• Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 2, Travail de post-configuration d’AD FS

• Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 4, Configurer le Proxy d’application Web

• Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 5, Configurer des clients

Notes

Les instructions décrites dans cette section concernent un environnement Windows Server 2019 ou Windows Server 2016. Si vous utilisez Windows Server 2012 R2, suivez les instructions Windows Server 2012 R2.

Pour configurer Dossiers de travail, utilisez les procédures suivantes.

Travail de préinstallation

Pour installer Dossiers de travail, vous devez disposer d’un serveur joint au domaine et exécutant Windows Server 2016. Le serveur doit avoir une configuration réseau valide.

Pour l’exemple de test, joignez l’ordinateur qui exécutera Dossiers de travail au domaine Contoso, et configurez l’interface réseau comme décrit dans les sections suivantes.

Définir l’adresse IP du serveur

Remplacez l’adresse IP de votre serveur par une adresse IP statique. Pour l’exemple de test, utilisez la classe IP A, qui est 192.168.0.170 / masque de sous-réseau : 255.255.0.0 / Passerelle par défaut : 192.168.0.1 / DNS préféré : 192.168.0.150 (l’adresse IP de votre contrôleur de domaine).

Créer l’enregistrement CNAME pour Dossiers de travail

Pour créer l’enregistrement CNAME pour Dossiers de travail, procédez comme suit :

1. Sur votre contrôleur de domaine, ouvrez le Gestionnaire DNS.

2. Développez le dossier Zones de recherche directe, cliquez avec le bouton droit sur votre domaine, puis cliquez sur Nouvel alias (CNAME).

3. Dans la fenêtre Nouvel enregistrement de ressource, dans le champ Nom de l’alias, entrez l’alias pour Dossiers de travail. Dans l’exemple de test, il s’agit de workfolders.

4. Dans le champ Nom de domaine complet, la valeur doit être workfolders.contoso.com.

5. Dans le champ Nom de domaine complet pour l’hôte cible, entrez le nom de domaine complet du serveur Dossiers de travail. Dans l’exemple de test, il s’agit de 2016-WF.contoso.com.

6. Cliquez sur OK.

Pour effectuer les étapes équivalentes via Windows PowerShell, utilisez la commande suivante. La commande doit être exécutée sur le contrôleur de domaine.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

Installer le certificat AD FS

Installez le certificat AD FS créé pendant l’installation d’AD FS dans le magasin de certificats de l’ordinateur local, en procédant comme suit :

1. Cliquez sur Démarrer, puis sur Exécuter.

2. Tapez MMC.

3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

4. Dans la liste Composants logiciels enfichables disponibles, sélectionnez Certificats, puis cliquez sur Ajouter. L’Assistant Composant logiciel enfichable Certificats démarre.

5. Sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.

6. Sélectionnez Ordinateur local : (ordinateur sur lequel s’exécute cette console), puis cliquez sur Terminer.

7. Cliquez sur OK.

8. Développez le dossier Racine de la console\Certificats(Ordinateur local)\Personnel\Certificats.

9. Cliquez avec le bouton droit sur Certificats, cliquez sur Toutes les tâches, puis cliquez sur Importer.

10. Accédez au dossier contenant le certificat AD FS, puis suivez les instructions de l’Assistant pour importer le fichier et le placer dans le magasin de certificats.

11. Développez le dossier Racine de la console\Certificats(Ordinateur local)\Autorités de certification racines de confiance\Certificats.

12. Cliquez avec le bouton droit sur Certificats, cliquez sur Toutes les tâches, puis cliquez sur Importer.

13. Accédez au dossier contenant le certificat AD FS et suivez les instructions de l’Assistant pour importer le fichier et le placer dans le magasin Autorités de certification racines de confiance.

Créer le certificat auto-signé Dossiers de travail

Pour créer le certificat auto-signé Dossiers de travail, procédez comme suit :

1. Téléchargez les scripts fournis dans le billet de blog Déploiement de Dossiers de travail avec AD FS et le proxy d’application web, puis copiez le fichier makecert.ps1 sur l’ordinateur Dossiers de travail.

2. Ouvrez une fenêtre Windows PowerShell avec des privilèges administrateur.

3. Définissez la stratégie d’exécution sur unrestricted :

   PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
   

4. Accédez au répertoire dans lequel vous avez copié le script.

5. Exécutez le script makeCert :

   PS C:\temp\scripts> .\makecert.ps1
   

6. Lorsque vous êtes invité à modifier le certificat d’objet, entrez la nouvelle valeur de l’objet. Dans cet exemple, la valeur est workfolders.contoso.com.

7. Lorsque vous êtes invité à entrer d’autres noms d’objet (SAN), appuyez sur Y, puis entrez les noms SAN, un par un.

   Pour cet exemple, tapez workfolders.contoso.com, puis appuyez sur Entrée. Tapez ensuite 2016-WF.contoso.com, puis appuyez sur Entrée.

   Lorsque tous les noms SAN ont été entrés, appuyez sur Entrée sur une ligne vide.

8. Lorsque vous êtes invité à installer les certificats dans le magasin Autorité de certification racine de confiance, appuyez sur Y.

Le certificat Dossiers de travail doit être un certificat SAN avec les valeurs suivantes :

• dossiersdetravail.domaine

• nom de la machine.domaine

Dans l’exemple de test, les valeurs sont les suivantes :

• workfolders.contoso.com

• 2016-WF.contoso.com

Installer les dossiers de travail

Pour installer le rôle Dossiers de travail, procédez comme suit :

1. Ouvrez le Gestionnaire de serveur, cliquez sur Ajouter des rôles et fonctions, puis sur Suivant.

2. Dans la page Type d’installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité, puis cliquez sur Suivant.

3. Dans la page Sélection du serveur, sélectionnez le serveur actuel et cliquez sur Suivant.

4. Dans la page Rôles de serveur, développez Services de fichiers et de stockage, Services de fichiers et iSCSI, puis sélectionnez Dossiers de travail.

5. Dans la page Assistant Ajout de rôles et de fonctionnalités, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

6. Dans la page Fonctionnalités, cliquez sur Suivant.

7. Dans la page Confirmation, cliquez sur Installer.

Configurer Dossiers de travail

Pour configurer Dossiers de travail, procédez comme suit :

1. Ouvrez Gestionnaire de serveur.

2. Sélectionnez Services de fichiers et de stockage, puis Dossiers de travail.

3. Dans la page Dossiers de travail, démarrez l’Assistant Nouveau partage de synchronisation, puis cliquez sur Suivant.

4. Dans la page Serveur et chemin d’accès, sélectionnez le serveur sur lequel le partage de synchronisation sera créé, entrez un chemin d’accès local où seront stockées les données des Dossiers de travail, puis cliquez sur Suivant.

   Si le chemin d’accès n’existe pas, vous serez invité à le créer. Cliquez sur OK.

5. Dans la page Structure de dossiers utilisateur, sélectionnez Alias d’utilisateur, puis cliquez sur Suivant.

6. Dans la page Nom du partage de synchronisation, entrez le nom du partage de synchronisation. Pour l’exemple de test, il s’agit de WorkFolders. Cliquez sur Suivant.

7. Dans la page Accès de synchronisation, ajoutez les utilisateurs ou les groupes qui auront accès au nouveau partage de synchronisation. Pour l’exemple de test, accordez l’accès à tous les utilisateurs du domaine. Cliquez sur Suivant.

8. Dans la page Stratégies de sécurité du PC, sélectionnez Chiffrer les dossiers de travail et Verrouiller automatiquement la page et exiger un mot de passe. Cliquez sur Suivant.

9. Dans la page Confirmation, cliquez sur Créer pour terminer le processus de configuration.

Travail post-configuration des Dossiers de travail

Pour terminer la configuration des Dossiers de travail, procédez comme suit :

• Lier le certificat Dossiers de travail au port SSL

• Configurer Dossiers de travail pour utiliser l’authentification AD FS

• Exporter le certificat Dossiers de travail (si vous utilisez un certificat auto-signé)

Lier le certificat

Dossiers de travail communique uniquement via SSL et doit avoir le certificat auto-signé que vous avez créé précédemment (ou que votre autorité de certification a émis) lié au port.

Vous pouvez utiliser deux méthodes pour lier le certificat au port via Windows PowerShell : les cmdlets IIS et netsh.

Lier le certificat à l’aide de netsh

Pour utiliser l’utilitaire de script de ligne netsh dans Windows PowerShell, vous devez diriger la commande vers netsh. L’exemple de script suivant recherche le certificat avec l’objet workfolders.contoso.com et le lie au port 443 à l’aide de netsh :

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Lier le certificat à l’aide de cmdlets IIS

Vous pouvez également lier le certificat au port à l’aide des cmdlets de gestion IIS, qui sont disponibles si vous avez installé les outils et scripts de gestion IIS.

Notes

L’installation des outils de gestion IIS n’active pas la version complète d’Internet Information Services (IIS) sur l’ordinateur Dossiers de travail. Cela active uniquement les cmdlets de gestion. Cette configuration présente certains avantages potentiels. Par exemple, si vous recherchez des cmdlets pour fournir les fonctionnalités que vous obtenez de netsh. Lorsque le certificat est lié au port via la cmdlet New-WebBinding, la liaison ne dépend en aucune façon d’IIS. Après avoir fait la liaison, vous pouvez même supprimer la fonctionnalité Web-Mgmt-Console, et le certificat sera toujours lié au port. Vous pouvez vérifier la liaison via netsh en tapant netsh http show sslcert.

L’exemple suivant utilise la cmdlet New-WebBinding pour rechercher le certificat avec l’objet workfolders.contoso.com et le lier au port 443 :

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Configurer l’authentification AD FS

Pour configurer Dossiers de travail afin d’utiliser AD FS pour l’authentification, procédez comme suit :

1. Ouvrez Gestionnaire de serveur.

2. Cliquez sur Serveurs, puis sélectionnez votre serveur Dossiers de travail dans la liste.

3. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Paramètres de Dossiers de travail.

4. Dans la fenêtre Paramètres du dossier de travail, sélectionnez Services AD FS, puis tapez l’URL du service de fédération. Cliquez sur Appliquer.

   Dans l’exemple de test, l’URL est https://blueadfs.contoso.com.

La cmdlet permettant d’accomplir la même tâche via Windows PowerShell est la suivante :

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

Si vous configurez AD FS avec des certificats auto-signés, vous pourriez recevoir un message d’erreur indiquant que l’URL du service de fédération est incorrecte, inaccessible ou qu’une approbation de partie de confiance n’a pas été configurée.

Cette erreur peut également se produire si le certificat AD FS n’a pas été installé sur le serveur Dossiers de travail ou si le CNAME pour AD FS n’a pas été correctement configuré. Vous devez corriger ces problèmes avant de continuer.

Exporter le certificat Dossiers de travail

Le certificat Dossiers de travail auto-signé doit être exporté afin que vous puissiez l’installer ultérieurement sur les machines suivantes dans l’environnement de test :

• Serveur utilisé pour le proxy d’application web

• Client Windows joint à un domaine

• Client Windows non joint à un domaine

Pour exporter le certificat, suivez les étapes que vous avez utilisées précédemment pour exporter le certificat AD FS, comme décrit dans Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 2, Travail de post-configuration d’AD FS, Exporter le certificat AD FS.

Étape suivante : Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 4, Configurer le Proxy d’application Web

Voir aussi

Vue d’ensemble des Dossiers de travail