Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 1: Einrichten von AD FS

In diesem Artikel wird der erste Schritt bei der Bereitstellung von Arbeitsordnern mit Active Directory-Verbunddiensten (AD FS) und Webanwendungsproxy beschrieben. Die übrigen Schritte dieses Prozesses sind in den folgenden Themen beschrieben:

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy: Übersicht

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 2: Aufgaben nach der Konfiguration von AD FS

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 3: Einrichten von Arbeitsordnern

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 4: Einrichten des Webanwendungsproxys

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 5: Einrichten des Clients

Hinweis

Die in diesem Abschnitt enthaltenen Anweisungen gelten für eine Umgebung mit Windows Server 2019 oder Windows Server 2016. Wenn Sie Windows Server 2012 R2 verwenden, befolgen Sie die Anweisungen für Windows Server 2012 R2.

Gehen Sie folgendermaßen vor, um AD FS für die Verwendung mit Arbeitsordnern einzurichten.

Aufgaben vor der Installation

Wenn Sie die in dieser Anweisung erstellte Testumgebung für die Produktion einrichten möchten, sollten Sie vor Beginn zwei Schritte durchführen:

• Richten Sie ein Active Directory-Domänenadministratorkonto ein, auf dem Sie die AD FS-Dienste ausführen.

• Rufen Sie ein SSL-SAN-Zertifikat für die Authentifizierung des Servers ab. Verwenden Sie ein öffentlich vertrauenswürdiges Zertifikat für das Testbeispiel und ein selbstsigniertes Zertifikat für die Produktion.

Das Abrufen dieser Elemente kann je nach Richtlinien Ihres Unternehmens einige Zeit dauern. Daher sollten Sie den Anforderungsprozess für diese Elemente vor dem Erstellen der Testumgebung einleiten.

Es gibt viele kommerziellen Zertifizierungsstellen (CAs), von denen Sie das Zertifikat erwerben können. Sie können unter Knowledge Base-Artikel 931125 ebenfalls eine Liste der Zertifizierungsstellen abrufen, denen Microsoft vertraut. Alternativ können Sie ein Zertifikat von der Zertifizierungsstelle Ihres Unternehmens erhalten.

Verwenden Sie für die Testumgebung ein selbstsigniertes Zertifikat, das von einem bereitgestellten Skript erstellt wird.

Hinweis

AD FS unterstützt keine CNG-Zertifikate (Cryptography Next Generation), d. h. Sie können nicht mithilfe des Windows PowerShell-Cmdlets „New-SelfSignedCertificate” selbstsignierte Zertifikat erstellen. Sie können allerdings das Skript „makecert.ps1” verwenden, das im Blogpost Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy (WAP) enthalten ist. Dieses Skript erstellt ein selbstsigniertes Zertifikat, das mit AD FS und Anweisungen für die SAN-Namen funktioniert, die zur Erstellung der Zertifikate benötigt werden.

Führen Sie dann die in den folgenden Abschnitten beschriebenen Installationsvorbereitungen aus.

Erstellen eines selbstsignierten Zertifikats für AD FS

Gehen Sie folgendermaßen vor, um ein selbstsigniertes AD FS-Zertifikat zu erstellen:

1. Laden Sie die im Blogbeitrag Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy (WAP) bereitgestellten Skripts herunter, und kopieren Sie anschließend die Datei „makecert.ps1“ auf den AD FS-Computer.

2. Öffnen Sie mit Administratorberechtigungen ein Windows PowerShell-Fenster.

3. Legen Sie die Ausführungsrichtlinie auf „uneingeschränkt” fest:

   Set-ExecutionPolicy –ExecutionPolicy Unrestricted
   

4. Wechseln Sie zu dem Verzeichnis, in das Sie das Skript kopiert haben.

5. Führen Sie das Skript „makecert“ aus:

   .\makecert.ps1
   

6. Wenn Sie aufgefordert werden, den Zertifikatsantragsteller zu ändern, geben Sie den neuen Wert für den Antragssteller ein. In diesem Beispiel ist der Wert blueadfs.contoso.com.

7. Wenn Sie aufgefordert werden, geben Sie die SAN-Namen ein, drücken Sie Y, und geben Sie die einzelnen SAN-Namen ein.

   Geben Sie in diesem Beispiel blueadfs.contoso.com ein, und drücken Sie die EINGABETASTE. Geben Sie dann 2016-adfs.contoso.com ein, und drücken Sie die EINGABETASTE. Geben Sie zuletzt enterpriseregistration.contoso.com ein, und drücken Sie wieder die EINGABETASTE.

   Wenn Sie alle Namen der alternativen Antragsteller eingegeben haben, drücken Sie in einer leeren Zeile die EINGABETASTE.

8. Wenn Sie aufgefordert werden, die Zertifikate im Speicher „Vertrauenswürdige Stammzertifizierungsstellen“ zu installieren, drücken Sie „J“.

Das AD FS-Zertifikat muss ein SAN-Zertifikat mit folgenden Werten sein:

• AD FS-Dienstname.Domäne

• enterpriseregistration.domain

• AD FS-Servername.domain

Im Testbeispiel lauten diese Werte wie folgt:

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

• 2016-adfs.contoso.com

Der „enterpriseregistration”-SAN ist für Workplace Join erforderlich.

Festlegen der IP-Adresse des Servers

Ändern Sie die IP-Adresse des Servers in eine statische IP-Adresse. Verwenden Sie für das Testbeispiel die IP-Adresse der Klasse A: 192.168.0.160/Subnetzmaske: 255.255.0.0/Standardgateway: 192.168.0.1/Bevorzugter DNS-Server: 192.168.0.150 (IP-Adresse Ihres Domänencontrollers).

Installieren des AD FS-Rollendiensts

Führen Sie folgende Schritte aus, um AD FS zu installieren:

1. Melden Sie sich auf dem physischen oder virtuellen Computer an, auf dem Sie AD FS installieren möchten, öffnen Sie Server-Manager, und starten Sie den Assistenten zum Hinzufügen von Rollen und Features.

2. Klicken Sie auf der Seite Serverrollen auf die Rolle Active Directory-Verbunddienste (AD FS) , und klicken Sie dann auf Weiter.

3. Auf der Seite Active Directory-Verbunddienste (AD FS) erscheint eine Meldung, dass die Webanwendungsproxy-Rolle nicht auf demselben Computer wie AD FS installiert werden kann. Klicken Sie auf Weiter.

4. Klicken Sie auf der Seite „Bestätigung” auf Installieren.

Geben Sie die folgenden Befehle ein, um die entsprechende Installation von AD FS über Windows PowerShell auszuführen:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

Konfigurieren von AD FS

Konfigurieren Sie anschließend AD FS mithilfe von des Server-Managers oder Windows PowerShell.

Konfigurieren von AD FS mit dem Server-Manager

Gehen Sie folgendermaßen vor, um AD FS mit Server-Manager zu konfigurieren:

1. Öffnen Sie den Server-Manager.

2. Klicken Sie auf das Kennzeichen Benachrichtigungen oben im Server Manager-Fenster und anschließend auf Verbunddienst auf den Server konfigurieren.

3. Der Konfigurations-Assistent für Active Directory-Verbunddienste (AD FS) wird geöffnet. Geben Sie auf der Seite Mit AD DS verbinden das Domänenadministratorkonto ein, das Sie als AD FS-Konto verwenden möchten, und klicken Sie auf Weiter.

4. Geben Sie auf der Seite Diensteigenschaften angeben den Antragstellernamen des SSL-Zertifikats für die AD FS-Kommunikation ein. In diesem Testbeispiel lautet der Wert blueadfs.contoso.com.

5. Geben Sie den Verbunddienstnamen ein. In diesem Testbeispiel lautet der Wert blueadfs.contoso.com. Klicken Sie auf Weiter.

   Hinweis

   Der Verbunddienstname kann nicht der Namen eines vorhandenen Servers in der Umgebung sein. Wenn Sie den Namen eines vorhandenen Servers verwenden, schlägt die AD FS-Installation fehl und muss neu gestartet werden.

6. Geben Sie auf der Seite Angeben des Dienstkontos den Namen ein, den Sie für das verwaltete Dienstkonto verwenden möchten. Wählen Sie für das Testbeispiel Gruppenverwaltetes Dienstkonto erstellen aus, und geben Sie unter KontonameADFSService ein. Klicken Sie auf Weiter.

7. Wählen Sie auf der Seite Angeben der Konfigurationsdatenbank die Option Erstellen einer Datenbank auf diesem Server mit der internen Windows-Datenbank aus, und klicken Sie auf Weiter.

8. Auf der Seite Überprüfungsoptionen sehen Sie eine Übersicht über die Optionen, die Sie ausgewählt haben. Klicken Sie auf Weiter.

9. Auf der Seite Voraussetzungsprüfungen sehen Sie, ob alle erforderlichen Komponenten erfolgreich überprüft wurden. Wenn keine Probleme vorliegen, klicken Sie auf Konfigurieren.

   Hinweis

   Wenn Sie den Namen des AD FS-Servers oder eines anderen vorhandenen Rechners als Verbunddienstname verwendet haben, wird eine Fehlermeldung angezeigt. Sie müssen die Installation dann neu beginnen und den Namen eines vorhandenen Computers auswählen.

10. Wenn die Konfiguration erfolgreich abgeschlossen wurde, wird auf der Seite Ergebnisse bestätigt, dass AD FS erfolgreich konfiguriert wurde.

Konfigurieren von AD FS mit PowerShell

Geben Sie folgende Befehle ein, um die entsprechende Konfiguration von AD FS mit Windows PowerShell durchzuführen.

So installieren Sie AD FS:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

So erstellen Sie ein verwaltetes Dienstkonto:

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

Nachdem Sie AD FS konfiguriert haben, müssen Sie eine AD FS-Farm über das im vorherigen Schritt erstellte verwaltete Dienstkonto und mithilfe des Zertifikats einrichten, das Sie in den Schritten vor der Konfiguration erstellt haben.

So richten Sie eine AD FS-Farm ein:

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

Nächster Schritt: Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy: Schritt 2, Konfigurationsaufgaben nach dem Einrichten von AD FS

Weitere Informationen

Übersicht: Arbeitsordner