AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 3: ワーク フォルダーのセットアップDeploy Work Folders with AD FS and Web Application Proxy: Step 3, Set-up Work Folders

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

このトピックでは、Active Directory フェデレーション サービス (AD FS) と Web アプリケーション プロキシを使用して、ワーク フォルダーを展開する 3 番目の手順について説明します。This topic describes the third step in deploying Work Folders with Active Directory Federation Services (AD FS) and Web Application Proxy. このプロセスの他の手順は、次のトピックで確認できます。You can find the other steps in this process in these topics:

注意

このセクションで説明する手順は、Windows Server 2019 または Windows Server 2016 環境向けです。The instructions covered in this section are for a Windows Server 2019 or Windows Server 2016 environment. Windows Server 2012 R2 を使用している場合には、Windows Server 2012 R2 の手順 に従います。If you're using Windows Server 2012 R2, follow the Windows Server 2012 R2 instructions.

ワーク フォルダーをセットアップするには、次の手順を使用します。To set up Work Folders, use the following procedures.

事前 - 分割作業Pre-installment work

ワーク フォルダーをインストールするには、ドメインに参加している、Windows Server 2016 を実行しているサーバーが必要です。In order to install Work Folders, you must have a server that is joined to the domain and running Windows Server 2016. サーバーには、有効なネットワーク構成が必要です。The server must have a valid network configuration.

このテストの例では、ワーク フォルダーを実行するコンピューターは Contoso ドメイン に参加し、以下のセクションの説明のようにネットワーク インターフェイスをセットアップします。For the test example, join the machine that will run Work Folders to the Contoso domain and set up the network interface as described in the following sections.

サーバー IP アドレスの設定Set the server IP address

サーバーの IP アドレスを静的 IP アドレスに変更します。Change your server IP address to a static IP address. テストの例では、IP クラス A を使用し、192.168.0.170 / サブネット マスク: 255.255.0.0 / 既定のゲートウェイ: 192.168.0.1 / 優先 DNS: 192.168.0.150 (ドメイン コントローラーの IP アドレス) とします。For the test example, use IP class A, which is 192.168.0.170 / subnet mask: 255.255.0.0 / Default Gateway: 192.168.0.1 / Preferred DNS: 192.168.0.150 (the IP address of your domain controller).

ワーク フォルダーの CNAME レコードの作成Create the CNAME record for Work Folders

ワーク フォルダーの CNAME レコードを作成するには、次の手順を実行します。To create the CNAME record for Work Folders, follow these steps:

  1. ドメイン コントローラーで、[DNS マネージャー] を開きます。On your domain controller, open DNS Manager.

  2. [前方参照ゾーン] フォルダーを展開し、ドメインで右クリックして、[新しいエイリアス (CNAME)] をクリックします。Expand the Forward Lookup Zones folder, right-click on your domain, and click New Alias (CNAME).

  3. [新しいリソース レコード] ウィンドウで、[エイリアス名] フィールドに、ワーク フォルダーのエイリアスを入力します。In the New Resource Record window, in the Alias name field, enter the alias for Work Folders. このテストの例では、「workfolders」とします。In the test example, this is workfolders.

  4. [完全修飾ドメイン名] フィールドの値は「workfolders.contoso.com」です。In the Fully qualified domain name field, the value should be workfolders.contoso.com.

  5. [ターゲット ホスト用の完全修飾ドメイン名] フィールドに、ワーク フォルダーのサーバーの FQDN を入力します。In the Fully qualified domain name for target host field, enter the FQDN for the Work Folders server. このテストの例では、「2016-WF.contoso.com」とします。In the test example, this is 2016-WF.contoso.com.

  6. [OK] をクリックします。Click OK.

Windows PowerShell で同等の手順を実行するには、次のコマンドを使用します。To accomplish the equivalent steps via Windows PowerShell, use the following command. コマンドは、ドメイン コントローラーで実行する必要があります。The command must be executed on the domain controller.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

AD FS 証明書のインストールInstall the AD FS certificate

次の手順を使用して、AD FS のセットアップ中に作成されたAD FS 証明書を、ローカル コンピューターの証明書ストアにインストールします。Install the AD FS certificate that was created during AD FS setup into the local computer certificate store, using these steps:

  1. [スタート] ボタンをクリックし、 [ファイル名を指定して実行] をクリックします。Click Start, and then click Run.

  2. MMC」と入力します。Type MMC.

  3. [ファイル] メニューの [スナップインの追加と削除] をクリックします。On the File menu, click Add/Remove Snap-in.

  4. [利用できるスナップイン] の一覧で、[証明書]、[追加] の順に選択します。In the Available snap-ins list, select Certificates, and then click Add. 証明書スナップイン ウィザードが開始されます。The Certificates Snap-in Wizard starts.

  5. [コンピューター アカウント] を選択し、[次へ] をクリックします。Select Computer account, and then click Next.

  6. [ローカル コンピュータ (このコンソールを実行しているコンピュータ)] を選択し、次に [完了] をクリックします。Select Local computer: (the computer this console is running on), and then click Finish.

  7. [OK] をクリックします。Click OK.

  8. フォルダー コンソール Root\Certificates ( Local Computer) \Personal\Certificates を展開します。Expand the folder Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. [証明書] を右クリックし、[すべてのタスク]、[インポート] の順にクリックします。Right-click Certificates, click All Tasks, and then click Import.

  10. AD FS 証明書を含むフォルダーを参照し、ウィザードの指示に従ってファイルをインポートして、証明書ストアに配置します。Browse to the folder that contains the AD FS certificate, and follow the instructions in the wizard to import the file and place it in the certificate store.

  11. フォルダー コンソール Root\Certificates ( Local Computer) \Trusted ルート証明書 Authorities\Certificates を展開します。Expand the folder Console Root\Certificates(Local Computer)\Trusted Root Certification Authorities\Certificates.

  12. [証明書] を右クリックし、[すべてのタスク]、[インポート] の順にクリックします。Right-click Certificates, click All Tasks, and then click Import.

  13. AD FS 証明書を含むフォルダーを参照し、ウィザードの指示に従ってファイルをインポートして、信頼されたルート証明機関ストアに配置します。Browse to the folder that contains the AD FS certificate, and follow the instructions in the wizard to import the file and place it in the Trusted Root Certification Authorities store.

ワーク フォルダーの自己署名証明書を作成します。Create the Work Folders self-signed certificate

ワーク フォルダーの自己署名証明書を作成するには、次の手順に従います。To create the Work Folders self-signed certificate, follow these steps:

  1. AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開」のブログ投稿で提供されているスクリプトをダウンロードし、ファイル makecert.ps1 をワーク フォルダーのコンピューターにコピーします。Download the scripts provided in the Deploying Work Folders with AD FS and Web Application Proxy blog post and then copy the file makecert.ps1 to the Work Folders machine.

  2. 管理者特権で Windows PowerShell ウィンドウを開きます。Open a Windows PowerShell window with admin privileges.

  3. 実行ポリシーを、Unrestricted に設定します。Set the execution policy to unrestricted:

    PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
    
  4. スクリプトをコピーしたディレクトリに移動します。Change to the directory where you copied the script.

  5. makeCert スクリプトを実行します。Execute the makeCert script:

    PS C:\temp\scripts> .\makecert.ps1
    
  6. サブジェクトの証明書を変更するようにメッセージが表示されたら、サブジェクトの新しい値を入力します。When you are prompted to change the subject certificate, enter the new value for the subject. この例では、値を「workfolders.contoso.com」とします。In this example, the value is workfolders.contoso.com.

  7. SAN の名前を入力するメッセージが表示されたら、Y キーを押し、次にサブジェクト代替名 (SAN) の名前を一度に 1 つずつ入力します。When you are prompted to enter subject alternative name (SAN) names, press Y and then enter the SAN names, one at a time.

    この例では、「workfolders.contoso.com」と入力して、Enter キーを押します。For this example, type workfolders.contoso.com, and press Enter. 次に「2016-WF.contoso.com」と入力し、Enter キーを押します。Then type 2016-WF.contoso.com and press Enter.

    すべての SAN の名前を入力したら、空の行で Enter キーを押します。When all of the SAN names have been entered, press Enter on an empty line.

  8. 信頼されたルート証明機関ストアに証明書をインストールするようにメッセージが表示されたら、Y キーを押します。When you are prompted to install the certificates to the Trusted Root Certification Authority store, press Y.

ワーク フォルダー証明書は、次の値を持つ SAN 証明書である必要があります。The Work Folders certificate must be a SAN certificate with the following values:

  • ワークフォルダードメインworkfolders.domain

  • コンピューター名.ドメインmachine name.domain

テストの例では、値は以下のようになります。In the test example, the values are:

  • workfolders.contoso.comworkfolders.contoso.com

  • 2016-WF.contoso.com2016-WF.contoso.com

ワーク フォルダーのインストールInstall Work Folders

ワーク フォルダーの役割をインストールするには、以下の手順を実行します。To install the Work Folders role, follow these steps:

  1. [サーバー マネージャー] を開き、[役割と機能の追加] をクリックして、[次へ] をクリックします。Open Server Manager, click Add roles and features, and click Next.

  2. [ インストールの種類 ] ページで、[ 役割ベースまたは機能ベースのインストール] を選択し、[ 次へ] をクリックします。On the Installation Type page, select Role-based or feature-based installation, and click Next.

  3. [サーバーの選択] ページで現在のサーバーを選択し、[次へ] をクリックします。On the Server Selection page, select the current server, and click Next.

  4. [サーバーの役割] ページで、[ファイル サービスおよび記憶域サービス][ファイル サービスおよび iSCSI サービス] の順に展開し、[ワーク フォルダー] を選択します。On the Server Roles page, expand File and Storage Services, expand File and iSCSI Services, and then select Work Folders.

  5. [役割と機能の追加ウィザード] ページで、[機能の追加] をクリックし、[次へ] をクリックします。On the Add Roles and Feature Wizard page, click Add Features, and click Next.

  6. [ 機能 ] ページで、[ 次へ] をクリックします。On the Features page, click Next.

  7. [確認] ページで [インストール] をクリックします。On the Confirmation page, click Install.

ワーク フォルダーの構成Configure Work Folders

ワーク フォルダーを構成するには、次の手順に従います。To configure Work Folders, follow these steps:

  1. サーバー マネージャー を開きます。Open Server Manager.

  2. [ファイル サービスと記憶域サービス][ワーク フォルダー] の順に選択します。Select File and Storage Services, and then select Work Folders.

  3. [ワーク フォルダー] ページで、[新しい同期共有ウィザード] を開始して、[次へ] をクリックします。On the Work Folders page, start the New Sync Share Wizard, and click Next.

  4. [サーバーとパス] ページで同期共有を作成するサーバーを選択し、ワーク フォルダーが保存されるローカル パスを入力して、[次へ] をクリックします。On the Server and Path page, select the server where the sync share will be created, enter a local path where the Work Folders data will be stored, and click Next.

    パスが存在しない場合は、作成するように求められます。If the path doesn't exist, you'll be prompted to create it. [OK] をクリックします。Click OK.

  5. [ユーザー フォルダーの構造] ページで、[ユーザーのエイリアス] を選択し、[次へ] をクリックします。On the User Folder Structure page, select User alias, and then click Next.

  6. [同期共有名] ページで、同期共有の名前を入力します。On the Sync Share Name page, enter the name for the sync share. このテストの例では、「WorkFolders」とします。For the test example, this is WorkFolders. [次へ] をクリックします。Click Next.

  7. [同期アクセス] ページで、新しい同期共有にアクセスするユーザーまたはグループを追加します。On the Sync Access page, add the users or groups that will have access to the new sync share. このテストの例では、すべてのドメイン ユーザーにアクセスを許可します。For the test example, grant access to all domain users. [次へ] をクリックします。Click Next.

  8. [PC セキュリティ ポリシー] ページで、[ワーク フォルダーを暗号化する][自動的にページをロックし、パスワードを要求する] を選択します。On the PC Security Policies page, select Encrypt work folders and Automatically lock page and require a password. [次へ] をクリックします。Click Next.

  9. [確認] ページで、[作成] をクリックして、構成処理を完了します。On the Confirmation page, click Create to finish the configuration process.

ワーク フォルダーの構成後の作業Work Folders post-configuration work

ワーク フォルダーのセットアップを完了するには、次の追加の手順を実行します。To finish setting up Work Folders, complete these additional steps:

  • ワーク フォルダー証明書を SSL ポートにバインドするBind the Work Folders certificate to the SSL port

  • ワーク フォルダーを構成して AD FS 認証を使うConfigure Work Folders to use AD FS authentication

  • ワーク フォルダー証明書をエクスポートする (自己署名証明書を使用している場合)Export the Work Folders certificate (if you are using a self-signed certificate)

証明書をバインドするBind the certificate

ワーク フォルダーは SSL 経由のみで通信し、以前に作成した自己署名証明書 (または証明書機関によって発行されている証明書) をポートにバインドする必要があります。Work Folders communicates only over SSL and must have the self-signed certificate that you created earlier (or that your certificate authority issued) bound to the port.

証明書をポートにバインドするために Windows PowerShell で使用できる 2 つの方法があります。IIS コマンドレットおよび netsh です。There are two methods that you can use to bind the certificate to the port via Windows PowerShell: IIS cmdlets and netsh.

netsh を使用した証明書のバインドBind the certificate by using netsh

netsh コマンド ライン スクリプト ユーティリティを Windows PowerShell で使用するには、コマンドを netsh にパイプ処理する必要があります。To use the netsh command-line scripting utility in Windows PowerShell, you must pipe the command to netsh. 次のスクリプト例では、workfolders.contoso.com というサブジェクトの証明書を検索し、netsh を使ってそれをポート 443 にバインドします。The following example script finds the certificate with the subject workfolders.contoso.com and binds it to port 443 by using netsh:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

IIS コマンドレットを使用した証明書のバインドBind the certificate by using IIS cmdlets

IIS 管理コマンドレットを使ってポートに証明書をバインドすることもできます。IIS 管理コマンドレットは IIS 管理ツールとスクリプトをインストールした場合に使用できます。You can also bind the certificate to the port by using IIS management cmdlets, which are available if you installed the IIS management tools and scripts.

注意

IIS 管理ツールのインストールだけでは、ワーク フォルダー コンピューターで、インターネット インフォメーション サービス (IIS) のフルバージョンは有効になりません。IIS 管理ツールのインストールでは、管理コマンドレットのみが有効になります。Installation of the IIS management tools doesn't enable the full version of Internet Information Services (IIS) on the Work Folders machine; it only enables the management cmdlets. このセットアップには、いくつかの利点があります。There are some possible benefits to this setup. たとえば、netsh が提供している機能を提供するコマンドレットが必要な場合です。For example, if you're looking for cmdlets to provide the functionality that you get from netsh. New-WebBinding コマンドレットを使って証明書をポートにバインドすると、このバインドは IIS に一切依存しません。When the certificate is bound to the port via the New-WebBinding cmdlet, the binding is not dependent on IIS in any way. バインド後に Web-Mgmt-Console 機能を削除することもでき、それでも証明書はポートにバインドされています。After you do the binding, you can even remove the Web-Mgmt-Console feature, and the certificate will still be bound to the port. netsh を使って「netsh http show sslcert」と入力して、バインドを確認することができます。You can verify the binding via netsh by typing netsh http show sslcert.

次の例では、New-WebBinding コマンドレットを使用して、workfolders.contoso.com というサブジェクトの証明書を検索し、ポート 443 にバインドします。The following example uses the New-WebBinding cmdlet to find the certificate with the subject workfolders.contoso.com and bind it to port 443:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

AD FS 認証のセットアップSet up AD FS authentication

AD FS 認証を使用するようにワーク フォルダーを構成するには、次の手順に従います。To configure Work Folders to use AD FS for authentication, follow these steps:

  1. サーバー マネージャー を開きます。Open Server Manager.

  2. [サーバー] をクリックして、一覧からワーク フォルダーのサーバーを選択します。Click Servers, and then select your Work Folders server in the list.

  3. サーバー名を右クリックし、[ワーク フォルダーの設定] をクリックします。Right-click the server name, and click Work Folders Settings.

  4. [ワーク フォルダーの設定] ウィンドウで、[Active Directory フェデレーション サービス (AD FS)] を選択し、フェデレーション サービスの URL を入力します。In the Work Folder Settings window, select Active Directory Federation Services, and type in the Federation Service URL. [適用] をクリックします。Click Apply.

    テストの例では、URL は https://blueadfs.contoso.com です。In the test example, the URL is https://blueadfs.contoso.com.

Windows PowerShell で同じタスクを実行するコマンドレットは次のとおりです。The cmdlet to accomplish the same task via Windows PowerShell is:

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

自己署名証明書を使って AD FS を設定する場合、フェデレーション サービスの URL が正しくない、アクセスできない、証明書利用者信頼がセットアップされていない、などのエラー メッセージが表示される場合があります。If you're setting up AD FS with self-signed certificates, you might receive an error message that says the Federation Service URL is incorrect, unreachable, or a relying party trust has not been set up.

このエラーは、AD FS 証明書がワーク フォルダー サーバーにインストールされていない場合、または AD FS の CNAME が正しくセットアップされていない場合にも発生します。This error can also happen if the AD FS certificate was not installed on the Work Folders server or if the CNAME for AD FS was not set up correctly. 続行する前に、それらの問題を修正する必要があります。You must correct these issues before proceeding.

ワーク フォルダー証明書のエクスポートExport the Work Folders certificate

自己署名のワーク フォルダー証明書をエクスポートして、テスト環境の以下のコンピューターにインストールできるようにする必要があります。The self-signed Work Folders certificate must be exported so that you can later install it on the following machines in the test environment:

  • Web アプリケーション プロキシに使用するサーバーThe server that is used for Web Application Proxy

  • ドメインに参加している Windows クライアントThe domain-joined Windows client

  • ドメインに参加していない Windows クライアントThe non-domain-joined Windows client

証明書をエクスポートするには、以前に AD FS 証明書のエクスポートに使用したものと同じ手順に従います。これは、「AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 2、AD FS の構成後の作業」の「AD FS 証明書のエクスポート」で説明されています。To export the certificate, follow the same steps you used to export the AD FS certificate earlier, as described in Deploy Work Folders with AD FS and Web Application Proxy: Step 2, AD FS Post-Configuration Work, Export the AD FS certificate.

次の手順: AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 4: Web アプリケーション プロキシのセットアップNext step: Deploy Work Folders with AD FS and Web Application Proxy: Step 4, Set Up Web Application Proxy

関連項目See Also

ワーク フォルダーの概要Work Folders Overview