Distribuire Cartelle di lavoro con AD FS e Proxy applicazione Web: passaggio 3, Configurare Cartelle di lavoro

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Questo argomento descrive il terzo passaggio della distribuzione di Cartelle di lavoro con Active Directory Federation Services (AD FS) e Proxy applicazione Web. Gli altri passaggi di questo processo sono descritti negli argomenti seguenti:

• Distribuire Cartelle di lavoro con AD FS e Proxy applicazione Web: panoramica

• Distribuire Cartelle di lavoro con AD FS e Proxy applicazione Web: passaggio 1, configurare AD FS

• Distribuire Cartelle di lavoro con AD FS e Proxy applicazione Web: passaggio 2, lavoro post-configurazione di AD FS

• Distribuire Cartelle di lavoro con AD FS e Proxy applicazione Web - Passaggio 4: Configurare Proxy applicazione Web

• Distribuire Cartelle di lavoro con AD FS e Proxy applicazione Web: passaggio 5, Configurare i client

Nota

Le istruzioni descritte in questa sezione sono relative a un ambiente Windows Server 2019 o Windows Server 2016. Se si usa Windows Server 2012 R2, seguire le istruzioni di Windows Server 2012 R2.

Per configurare Cartelle di lavoro, utilizzare le procedure seguenti.

Lavoro di pre-installazione

Per installare Cartelle di lavoro, è necessario avere un server aggiunto al dominio ed eseguire Windows Server 2016. Il server deve avere una configurazione di rete valida.

Per l'esempio di test, aggiungere il computer che eseguirà Cartelle di lavoro al dominio Contoso e configurare l'interfaccia di rete come descritto nelle sezioni seguenti.

Impostare l'indirizzo IP del server

Modificare l'indirizzo IP del server in un indirizzo IP statico. Per l'esempio di test, usare la classe IP A, ovvero 192.168.0.170 / subnet mask: 255.255.0.0/Gateway predefinito: 192.168.0.1 / DNS preferito: 192.168.0.150 (indirizzo IP del controller di dominio).

Creare il record CNAME per Cartelle di lavoro

Per creare il record CNAME per Cartelle di lavoro, seguire questa procedura:

1. Nel controller di dominio aprire Gestore DNS.

2. Espandere la cartella Zone di ricerca diretta, fare clic con il pulsante destro del mouse sul dominio e scegliere Nuovo alias (CNAME).

3. Nella finestra Nuovo record di risorse , nel campo Nome alias immettere l'alias per Cartelle di lavoro. Nell'esempio di test si tratta di cartelle di lavoro.

4. Nel campo Nome di dominio completo il valore deve essere workfolders.contoso.com.

5. Nel campo Nome di dominio completo per l'host di destinazione immettere il nome di dominio completo per il server Cartelle di lavoro. Nell'esempio di test si tratta di 2016-WF.contoso.com.

6. Fare clic su OK.

Per eseguire i passaggi equivalenti tramite Windows PowerShell, usare il comando seguente. Il comando deve essere eseguito nel controller di dominio.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

Installare il certificato AD FS

Installare il certificato AD FS creato durante l'installazione di AD FS nell'archivio certificati del computer locale, attenendosi alla procedura seguente:

1. Fare clic sul pulsante Starte quindi scegliere Esegui.

2. Digitare MMC.

3. Scegliere Aggiungi/Rimuovi snap-in dal menu File.

4. Nell'elenco Snap-in disponibili, selezionare Certificati e quindi fare clic su Aggiungi. Viene avviata la procedura guidata per lo snap-in certificati.

5. Selezionare Account computer, quindi fare clic su Avanti.

6. Selezionare Computer locale: (il computer in cui è in esecuzione la console)e quindi fare clic su Fine.

7. Fare clic su OK.

8. Espandere la cartella Console RootCertificates(Local Computer)PersonalCertificates.

9. Fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e fare clic su Importa.

10. Passare alla cartella contenente il certificato AD FS e seguire le istruzioni della procedura guidata per importare il file e inserirlo nell'archivio certificati.

11. Espandere la cartella Console Root\Certificates(Local Computer)\Trusted Root Certification Authorities\Certificates.

12. Fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e fare clic su Importa.

13. Passare alla cartella contenente il certificato AD FS e seguire le istruzioni della procedura guidata per importare il file e inserirlo nell'archivio Autorità di certificazione radice attendibili.

Creare il certificato autofirmato di Cartelle di lavoro

Per creare il certificato autofirmato di Cartelle di lavoro, seguire questa procedura:

1. Scaricare gli script forniti nella Distribuzione di cartelle di lavoro con AD FS e proxy applicazione Web post di blog e quindi copiare il file makecert.ps1 nel computer cartelle di lavoro.

2. Aprire una finestra di Windows PowerShell con privilegi di amministratore.

3. Impostare i criteri di esecuzione senza restrizioni:

   PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
   

4. Passare alla directory in cui è stato copiato lo script.

5. Eseguire lo script makeCert:

   PS C:\temp\scripts> .\makecert.ps1
   

6. Quando viene richiesto di modificare il certificato soggetto, immettere il nuovo valore per l'oggetto. In questo esempio il valore è workfolders.contoso.com.

7. Quando viene richiesto di immettere i nomi del nome alternativo soggetto (SAN), premere Y e quindi immettere i nomi SAN, uno alla volta.

   Per questo esempio, digitare workfolders.contoso.come premere INVIO. Digitare quindi 2016-WF.contoso.com e premere INVIO.

   Quando sono stati immessi tutti i nomi SAN, premere INVIO su una riga vuota.

8. Quando viene richiesto di installare i certificati nell'archivio Autorità di certificazione radice attendibile, premere Y.

Il certificato di Cartelle di lavoro deve essere un certificato SAN con i valori seguenti:

• cartelle di lavoro.dominio

• nome computer.dominio

Nell'esempio di test i valori sono:

• workfolders.contoso.com

• 2016-WF.contoso.com

Installare Cartelle di lavoro

Per installare il ruolo Cartelle di lavoro, seguire questa procedura:

1. Aprire Server Manager, fare clic su Aggiungi ruoli e funzionalitàe fare clic su Avanti.

2. Nella pagina Tipo di installazione selezionare Installazione basata su ruoli o basata su funzionalità, quindi fare clic su Avanti.

3. Nella pagina Selezione server selezionare il server corrente e fare clic su Avanti.

4. Nella pagina Selezione ruoli server espandere Servizi file e archiviazione, espandere Servizi file e iSCSI e quindi selezionare Cartelle di lavoro.

5. Nella pagina Aggiungi ruoli e Creazione guidata funzionalità fare clic su Aggiungi funzionalitàe fare clic su Avanti.

6. Nella pagina Funzionalità fare clic su Avanti.

7. Nella pagina Conferma fare clic su Installa.

Configurare Cartelle di lavoro

Per configurare Cartelle di lavoro, seguire questa procedura:

1. Aprire Gestione server.

2. Selezionare Servizi file e archiviazionee quindi selezionare Cartelle di lavoro.

3. Nella pagina Cartelle di lavoro avviare Nuova condivisione guidata sincronizzazionee fare clic su Avanti.

4. Nella pagina Server e percorso selezionare il server in cui verrà creata la condivisione di sincronizzazione, immettere un percorso locale in cui verranno archiviati i dati di Cartelle di lavoro e fare clic su Avanti.

   Se il percorso non esiste, verrà richiesto di crearlo. Fare clic su OK.

5. Nella pagina Struttura cartelle utente selezionare Alias utentee quindi fare clic su Avanti.

6. Nella pagina Nome condivisione di sincronizzazione immettere il nome della condivisione di sincronizzazione. Per l'esempio di test, si tratta di Cartelle di lavoro. Fare clic su Avanti.

7. Nella pagina Sincronizza accesso aggiungere gli utenti o i gruppi che avranno accesso alla nuova condivisione di sincronizzazione. Per l'esempio di test, concedere l'accesso a tutti gli utenti di dominio. Fare clic su Avanti.

8. Nella pagina Criteri di sicurezza PC selezionare Crittografa cartelle di lavoro e Pagina Blocco automatico e richiedere una password. Fare clic su Avanti.

9. Nella pagina Conferma fare clic su Crea per completare il processo di configurazione.

Lavoro post-configurazione di Cartelle di lavoro

Per completare la configurazione di Cartelle di lavoro, completare questi passaggi aggiuntivi:

• Associare il certificato di Cartelle di lavoro alla porta SSL

• Configurare Cartelle di lavoro per l'uso dell'autenticazione ad AD FS

• Esportare il certificato di Cartelle di lavoro (se si usa un certificato autofirmato)

Associare il certificato

Cartelle di lavoro comunica solo tramite SSL e deve avere il certificato autofirmato creato in precedenza (o che l'autorità di certificazione ha emesso) associata alla porta.

Esistono due metodi che è possibile usare per associare il certificato alla porta tramite Windows PowerShell: cmdlet IIS e netsh.

Associare il certificato usando netsh

Per usare l'utilità di scripting della riga di comando netsh in Windows PowerShell, è necessario inviare tramite pipe il comando a netsh. Lo script di esempio seguente trova il certificato con l'oggetto workfolders.contoso.com e lo associa alla porta 443 usando netsh:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Associare il certificato usando i cmdlet IIS

È anche possibile associare il certificato alla porta usando i cmdlet di gestione IIS, disponibili se sono stati installati gli strumenti e gli script di gestione IIS.

Nota

L'installazione degli strumenti di gestione IIS non abilita la versione completa di Internet Information Services (IIS) nel computer Cartelle di lavoro; abilita solo i cmdlet di gestione. Questa configurazione offre alcuni possibili vantaggi. Ad esempio, se si stanno cercando cmdlet per fornire la funzionalità ottenuta da netsh. Quando il certificato è associato alla porta tramite il cmdlet New-WebBinding, l'associazione non dipende in alcun modo da IIS. Dopo aver eseguito l'associazione, è anche possibile rimuovere la funzionalità Web-Mgmt-Console e il certificato verrà comunque associato alla porta. È possibile verificare l'associazione tramite netsh digitando netsh http show sslcert.

Nell'esempio seguente viene usato il cmdlet New-WebBinding per trovare il certificato con l'oggetto workfolders.contoso.com e associarlo alla porta 443:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Configurare l'autenticazione di AD FS

Per configurare Cartelle di lavoro per l'uso di AD FS per l'autenticazione, seguire questa procedura:

1. Aprire Gestione server.

2. Fare clic su Servere quindi selezionare il server cartelle di lavoro nell'elenco.

3. Fare clic con il pulsante destro del mouse sul nome del server e scegliere Impostazioni cartelle di lavoro.

4. Nella finestra Impostazioni cartella di lavoro selezionare Active Directory Federation Servicese digitare l'URL del servizio federativo. Fare clic su Applica.

   Nell'esempio di test l'URL è https://blueadfs.contoso.com.

Il cmdlet per eseguire la stessa attività tramite Windows PowerShell è:

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

Se si configura AD FS con certificati autofirmati, è possibile che venga visualizzato un messaggio di errore che indica che l'URL del servizio federativo non è corretto, non raggiungibile o non è stato configurato un trust della relying party.

Questo errore può verificarsi anche se il certificato AD FS non è stato installato nel server cartelle di lavoro o se CNAME per AD FS non è stato configurato correttamente. Prima di procedere, è necessario correggere questi problemi.

Nome del certificato di Cartelle di lavoro

Il certificato di Cartelle di lavoro autofirmato deve essere esportato in modo che sia possibile installarlo in un secondo momento nei computer seguenti nell'ambiente di test:

• Server utilizzato per il proxy applicazione Web

• Client Windows aggiunto a un dominio

• Client Windows non aggiunto a un dominio

Per esportare il certificato, seguire la stessa procedura usata per esportare il certificato AD FS in precedenza, come descritto in Distribuzione di cartelle di lavoro con AD FS e Proxy applicazione Web: fase 2, Lavoro post-configurazione, Esportare il certificato AD FS.

Passaggio successivo: distribuire Cartelle di lavoro con AD FS e Proxy applicazione Web - Passaggio 4: Configurare Proxy applicazione Web

Vedi anche

Panoramica di Cartelle di lavoro