使用 AD FS 和 Web 应用程序代理部署工作文件夹：概述

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

本节中的主题提供有关使用 Active Directory 联合身份验证服务 (AD FS) 和 Web 应用程序代理部署工作文件夹的说明。 这些说明旨在帮助你使用客户端计算机创建完整的正常运行的工作文件夹设置，这些客户端计算机已准备好在本地或 Internet 上使用工作文件夹。

工作文件夹是 Windows Server 2012 R2 中引入的组件，它允许信息工作者在其设备之间同步工作文件。 有关工作文件夹的详细信息，请参阅工作文件夹概述。

若要使用户能够通过 Internet 同步其工作文件夹，需要通过反向代理发布工作文件夹，以便在 Internet 上从外部使用工作文件夹。 AD FS 中包含的 Web 应用程序代理是可用于提供反向代理功能的一个选项。 Web 应用程序代理使用 AD FS 预验证对工作文件夹 Web 应用程序的访问权限，以便任何设备上的用户可以从公司网络外部访问工作文件夹。

注意

本部分介绍的说明适用于 Windows Server 2016 环境。 如果你使用的是 Windows Server 2012 R2，请遵循 Windows Server 2012 R2 说明。

这些主题提供以下内容：

• 通过 Windows Server 用户界面使用 AD FS 和 Web 应用程序代理设置和部署工作文件夹的分步说明。 这些说明介绍如何使用自签名证书设置简单的测试环境。 然后，可以使用测试示例作为指南来帮助创建使用公开信任证书的生产环境。

先决条件

若要遵循这些主题中的过程和示例，需要准备好以下组件：

• 在 Windows Server 2012 R2 中提供一个包含架构扩展的 Active Directory® 域服务林，以便在使用多个文件服务器时支持将电脑和设备自动定向到正确的文件服务器。 最好在林中启用 DNS，但这不是必需的。

• 域控制器：启用了 AD DS 角色并配置域的服务器（对于测试示例为 contoso.com）。

  需要至少运行 Windows Server 2012 R2 的域控制器才能支持 Workplace Join 的设备注册。 如果不想使用 Workplace Join，可以在域控制器上运行 Windows Server 2012。

• 已加入域（例如，contoso.com）且运行 Windows Server 2016 的两个服务器。 一台服务器将用于 AD FS，另一台服务器将用于工作文件夹。

• 一台未加入域且正在运行 Windows Server 2016 的服务器。 此服务器将运行 Web 应用程序代理，并且它必须有一个网卡用于网络域（例如 contoso.com），另一个网卡用于外部网络。

• 运行 Windows 7 或更高版本的一台已加入域的客户端计算机。

• 运行 Windows 7 或更高版本的一台未加入域的客户端计算机。

对于本指南中介绍的测试环境，应具有下图所示的拓扑。 计算机可以是物理计算机或虚拟机 (VM)。

部署概述

在此主题组中，你将演练在测试环境中设置 AD FS、Web 应用程序代理和工作文件夹的分步示例。 将按以下顺序设置组件：

1. AD FS

2. 工作文件夹

3. Web 应用程序代理

4. 已加入域的工作站和未加入域的工作站

还将使用 Windows PowerShell 脚本创建自签名证书。

部署步骤

若要使用 Windows Server 用户界面执行部署，请按照以下主题中的步骤操作：

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 1，设置 AD FS

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 2，AD FS 后期配置工作

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 3，设置工作文件夹

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 4，设置 Web 应用程序代理

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 5，设置客户端

另请参阅

工作文件夹概述设计工作文件夹实现部署工作文件夹