Distribuire Cartelle di lavoro con AD FS e web Application Proxy: Passaggio 3, Configurare Cartelle di lavoro

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Questo argomento descrive il terzo passaggio della distribuzione di Cartelle di lavoro con Active Directory Federation Services (AD FS) e web Application Proxy. Gli altri passaggi di questo processo sono disponibili negli argomenti seguenti:

Nota

Le istruzioni trattate in questa sezione riguardano un Windows Server 2019 o Windows Server 2016 ambiente. Se si usa Windows Server 2012 R2, seguire le istruzioni Windows Server 2012 R2.

Per configurare Cartelle di lavoro, usare le procedure seguenti.

Operazioni di pre-installazione

Per installare Cartelle di lavoro, è necessario avere un server aggiunto al dominio e che ese Windows Server 2016. Il server deve avere una configurazione di rete valida.

Per l'esempio di test, aggiungere il computer che eseguirà Cartelle di lavoro al dominio Contoso e configurare l'interfaccia di rete come descritto nelle sezioni seguenti.

Impostare l'indirizzo IP del server

Modificare l'indirizzo IP del server in un indirizzo IP statico. Per l'esempio di test, usare la classe IP A, che è 192.168.0.170/subnet mask: 255.255.0.0/Gateway predefinito: 192.168.0.1/ DNS preferito: 192.168.0.150 (indirizzo IP del controller di dominio).

Creare il record CNAME per Cartelle di lavoro

Per creare il record CNAME per Cartelle di lavoro, seguire questa procedura:

  1. Nel controller di dominio aprire Gestione DNS.

  2. Espandere la cartella Zone di ricerca diretta, fare clic con il pulsante destro del mouse sul dominio e scegliere Nuovo alias (CNAME).

  3. Nel campo Nome alias della finestra Nuovo record di risorse immettere l'alias per Cartelle di lavoro. Nell'esempio di test si tratta di cartelle di lavoro.

  4. Nel campo Nome di dominio completo il valore deve essere workfolders.contoso.com.

  5. Nel campo Nome di dominio completo per l'host di destinazione immettere il nome di dominio completo per il server Cartelle di lavoro destinazione. Nell'esempio di test si tratta 2016-WF.contoso.com.

  6. Fare clic su OK.

Per eseguire i passaggi equivalenti tramite Windows PowerShell, usare il comando seguente. Il comando deve essere eseguito nel controller di dominio.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

Installare il AD FS certificato

Installare il AD FS certificato creato durante l'AD FS nell'archivio certificati del computer locale, usando questa procedura:

  1. Fare clic sul pulsante Starte quindi scegliere Esegui.

  2. Digitare MMC.

  3. Scegliere Aggiungi/Rimuovi snap-in dal menu File.

  4. Nell'elenco Snap-in disponibili selezionare Certificatie quindi fare clic su Aggiungi. Verrà avviata la Creazione guidata snap-in certificati.

  5. Selezionare Account del computer, quindi fare clic su Avanti.

  6. Selezionare Computer locale: (il computer in cui èin esecuzione la console) e quindi fare clic su Fine.

  7. Fare clic su OK.

  8. Espandere la cartella Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Fare clic con il pulsante destro delmouse su Certificati , scegliere Tutte leattività e quindi fare clic su Importa.

  10. Passare alla cartella che contiene il certificato AD FS e seguire le istruzioni della procedura guidata per importare il file e posizionarlo nell'archivio certificati.

  11. Espandere la cartella Console Root\Certificates(Local Computer)\Autorità di certificazione radice disponibile nell'elenco locale\Certificates.

  12. Fare clic con il pulsante destro delmouse su Certificati , scegliere Tutte leattività e quindi fare clic su Importa.

  13. Passare alla cartella che contiene il certificato AD FS e seguire le istruzioni della procedura guidata per importare il file e posizionarlo nell Autorità di certificazione radice disponibile nell'elenco locale store.

Creare il Cartelle di lavoro autofirmato

Per creare il Cartelle di lavoro autofirmato, seguire questa procedura:

  1. Scaricare gli script forniti nel post di blog Deploying Cartelle di lavoro with AD FS and Web Application Proxy (Distribuzione di Cartelle di lavoro con AD FS e Web Application Proxy) e quindi copiare il file makecert.ps1 nel Cartelle di lavoro computer.

  2. Aprire una Windows PowerShell con privilegi di amministratore.

  3. Impostare i criteri di esecuzione su senza restrizioni:

    PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
    
  4. Passare alla directory in cui è stato copiato lo script.

  5. Eseguire lo script makeCert:

    PS C:\temp\scripts> .\makecert.ps1
    
  6. Quando viene richiesto di modificare il certificato del soggetto, immettere il nuovo valore per il soggetto. In questo esempio il valore è workfolders.contoso.com.

  7. Quando viene richiesto di immettere i nomi dei nomi alternativi del soggetto (SAN), premere Y e quindi immettere i nomi SAN, uno alla volta.

    Per questo esempio, digitare workfolders.contoso.come premere INVIO. Digitare quindi 2016-WF.contoso.com e premere INVIO.

    Dopo aver immesso tutti i nomi SAN, premere INVIO in una riga vuota.

  8. Quando viene richiesto di installare i certificati nell'archivio Autorità di certificazione radice attendibile, premere Y.

Il Cartelle di lavoro certificato deve essere un certificato SAN con i valori seguenti:

  • cartelle di lavoro. Dominio

  • nome computer. Dominio

Nell'esempio di test i valori sono:

  • workfolders.contoso.com

  • 2016-WF.contoso.com

Installare Cartelle di lavoro

Per installare il ruolo Cartelle di lavoro, seguire questa procedura:

  1. Aprire Server Manager, fare clic su Aggiungi ruoli e funzionalitàe fare clic su Avanti.

  2. Nella pagina Tipo di installazione selezionare Installazione basata su ruoli o basata su funzionalitàe fare clic su Avanti.

  3. Nella pagina Selezione server selezionare il server corrente e fare clic su Avanti.

  4. Nella pagina Ruoli server espandere File e Archiviazione Services, espandere File e servizi iSCSIe quindi selezionare Cartelle di lavoro.

  5. Nella pagina Aggiunta guidata ruoli e funzionalità fare clic su Aggiungi funzionalitàe quindi su Avanti.

  6. Nella pagina Funzionalità fare clic su Avanti.

  7. Nella pagina Conferma fare clic su Installa.

Configurare Cartelle di lavoro

Per configurare Cartelle di lavoro, seguire questa procedura:

  1. Aprire Gestione server.

  2. Selezionare File e Archiviazione Servicese quindi selezionare Cartelle di lavoro.

  3. Nella pagina Cartelle di lavoro avviare la Creazione guidata nuova condivisione di sincronizzazionee fare clic su Avanti.

  4. Nella pagina Server e percorso selezionare il server in cui verrà creata la condivisione di sincronizzazione, immettere un percorso locale in cui verranno archiviati i dati Cartelle di lavoro e fare clic su Avanti.

    Se il percorso non esiste, verrà richiesto di crearlo. Fare clic su OK.

  5. Nella pagina Struttura cartelle utente selezionare Alias utentee quindi fare clic su Avanti.

  6. Nella pagina Nome condivisione di sincronizzazione immettere il nome per la condivisione di sincronizzazione. Per l'esempio di test, si tratta di WorkFolders. Fare clic su Avanti.

  7. Nella pagina Sincronizza accesso aggiungere gli utenti o i gruppi che avranno accesso alla nuova condivisione di sincronizzazione. Per l'esempio di test, concedere l'accesso a tutti gli utenti del dominio. Fare clic su Avanti.

  8. Nella pagina Criteri di sicurezza PC selezionare Crittografa cartelle di lavoro e Blocca automaticamente e richiedere una password. Fare clic su Avanti.

  9. Nella pagina Conferma fare clic su Crea per completare il processo di configurazione.

Cartelle di lavoro di post-configurazione

Per completare la configurazione Cartelle di lavoro, completare questi passaggi aggiuntivi:

  • Associare Cartelle di lavoro certificato alla porta SSL

  • Configurare l Cartelle di lavoro per l'uso AD FS autenticazione

  • Esportare Cartelle di lavoro certificato (se si usa un certificato autofirmato)

Associare il certificato

Cartelle di lavoro comunica solo tramite SSL e deve avere il certificato autofirmato creato in precedenza (o rilasciato dall'autorità di certificazione) associato alla porta.

Esistono due metodi che è possibile usare per associare il certificato alla porta tramite Windows PowerShell: cmdlet IIS e netsh.

Associare il certificato usando netsh

Per usare l'utilità di scripting della riga di comando netsh in Windows PowerShell, è necessario pipe il comando a netsh. Lo script di esempio seguente trova il certificato workfolders.contoso.com oggetto e lo associa alla porta 443 usando netsh:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Associare il certificato usando i cmdlet IIS

È anche possibile associare il certificato alla porta usando i cmdlet di gestione IIS, disponibili se sono stati installati gli strumenti e gli script di gestione IIS.

Nota

L'installazione degli strumenti di gestione IIS non abilita la versione completa di Internet Information Services (IIS) nel computer Cartelle di lavoro, ma solo i cmdlet di gestione. Questa configurazione offre alcuni vantaggi. Ad esempio, se si stanno cercando i cmdlet per fornire la funzionalità che si ottiene da netsh. Quando il certificato è associato alla porta tramite il cmdlet New-WebBinding, l'associazione non dipende in alcun modo da IIS. Dopo l'associazione, è anche possibile rimuovere la funzionalità Web-Mgmt-Console e il certificato verrà comunque associato alla porta. È possibile verificare l'associazione tramite netsh digitando netsh http show sslcert.

L'esempio seguente usa il cmdlet New-WebBinding per trovare il certificato con il workfolders.contoso.com soggetto e associarlo alla porta 443:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Configurare l'AD FS autenticazione

Per configurare l Cartelle di lavoro per l'AD FS per l'autenticazione, seguire questa procedura:

  1. Aprire Gestione server.

  2. Fare clic suServer e quindi selezionare il server Cartelle di lavoro nell'elenco.

  3. Fare clic con il pulsante destro del mouse sul nome del server e scegliere Cartelle di lavoro Impostazioni.

  4. Nella finestra di dialogo Impostazioni lavoro selezionare Active Directory Federation Servicese digitare l'URL Servizio federativo lavoro. Fare clic su Applica.

    Nell'esempio di test l'URL è https://blueadfs.contoso.com .

Il cmdlet per eseguire la stessa attività tramite Windows PowerShell è:

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

Se si configura un AD FS con certificati autofirmati, è possibile che venga visualizzato un messaggio di errore che indica che l'URL di Servizio federativo non è corretto, non è raggiungibile o che non è stato configurato un trust relying party.

Questo errore può verificarsi anche se il certificato AD FS non è stato installato nel server Cartelle di lavoro o se il CNAME per AD FS non è stato configurato correttamente. È necessario risolvere questi problemi prima di procedere.

Esportare il Cartelle di lavoro certificato

Il certificato di Cartelle di lavoro autofirmato deve essere esportato in modo che sia possibile installarlo in un secondo momento nei computer seguenti nell'ambiente di test:

  • Server utilizzato per l'Application Proxy Web

  • Client di accesso aggiunto Windows dominio

  • Client non aggiunto Windows dominio

Per esportare il certificato, seguire la stessa procedura usata in precedenza per esportare il certificato AD FS, come descritto in Distribuire Cartelle di lavoro con AD FS e Web Application Proxy: Passaggio 2, AD FS Post-configurazione,Esportare il certificato AD FS.

Passaggio successivo: Distribuire Cartelle di lavoro con AD FS e Web Application Proxy: Passaggio 4, Configurare l'accesso Web Application Proxy

Vedere anche

Panoramica di Cartelle di lavoro