Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 2: Aufgaben nach der Konfiguration von AD FS

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird der zweite Schritt bei der Bereitstellung von Arbeitsordnern mit Active Directory-Verbunddiensten (AD FS) und Webanwendungsproxy beschrieben. Die übrigen Schritte dieses Prozesses sind in den folgenden Themen beschrieben:

Hinweis

Die in diesem Abschnitt enthaltenen Anweisungen gelten für eine Umgebung mit Windows Server 2019 oder Windows Server 2016. Wenn Sie Windows Server 2012 R2 verwenden, befolgen Sie die Anweisungen für Windows Server 2012 R2.

In Schritt 1 wurde AD FS installiert und konfiguriert. Nach der Konfiguration von AD FS müssen Sie jetzt die folgenden Schritte ausführen.

Konfigurieren von DNS-Einträgen

Sie müssen zwei DNS-Einträge für AD FS erstellen. Hierbei handelt es sich um die beiden gleichen Einträge, die in den Schritten vor der Installation bei der Erstellung des Zertifikats mit dem alternativen Antragstellernamen (SAN) erstellt wurden.

Die DNS-Einträge haben folgendes Format:

  • AD FS-Dienstname.Domäne

  • enterpriseregistration.domain

  • AD FS Servername.domäne (DNS-Eintrag sollte bereits vorhanden sein, z.B. 2016-ADFS.contoso.com)

Im Testbeispiel lauten diese Werte wie folgt:

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

Erstellen der A- und CNAME-Einträge für AD FS

Zum Erstellen der A- und CNAME-Einträge für AD FS gehen Sie folgendermaßen vor:

  1. Öffnen Sie auf dem Domänencontroller den DNS-Manager.

  2. Erweitern Sie den Ordner „Forward-Lookupzonen“, klicken Sie mit der rechten Maustaste auf Ihre Domäne, und wählen Sie Neuer Host (A) aus.

  3. Das Fenster Neuer Host wird geöffnet. Geben Sie im Feld Name den Alias für den AD FS-Dienstnamen ein. Im Testbeispiel lautet er blueadfs.

    Der Alias muss mit dem Antragsteller im Zertifikat identisch sein, das für AD FS verwendet wurde. Wenn der Antragsteller beispielsweise adfs.contoso.com wäre, müsste der hier eingegebene Alias adfs lauten.

    Wichtig

    Wenn Sie AD FS über die Windows Server-Benutzeroberfläche und nicht mit Windows PowerShell einrichten, müssen Sie für AD FS anstelle des CNAME-Eintrags einen A-Eintrag erstellen. Der Grund hierfür ist, dass der Dienstprinzipalname (SPN), der über die Benutzeroberfläche erstellt wird, nur den Alias enthält, der zum Einrichten des AD FS-Diensts als Host verwendet wird.

  4. Geben Sie als IP-Adresse die IP-Adresse für den AD FS-Server ein. Im Testbeispiel ist dies 192.168.0.160. Klicken Sie auf Host hinzufügen.

  5. Klicken Sie im Ordner „Forward-Lookupzonen“ erneut mit der rechten Maustaste auf die Domäne, und wählen Sie Neuer Alias (CNAME) aus.

  6. Fügen Sie im Fenster Neuer Ressourceneintrag den Aliasnamen enterpriseregistration hinzu, und geben Sie den vollqualifizierten Domänennamen für den AD FS-Server ein. Dieser Alias dient zum Einbinden von Geräten und muss enterpriseregistration heißen.

  7. Klicken Sie auf OK.

Verwenden Sie den folgenden Befehl, um die entsprechenden Schritte mit Windows PowerShell durchzuführen. Der Befehl muss auf dem Domänencontroller ausgeführt werden.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

Einrichten der AD FS-Vertrauensstellung der vertrauenden Seite für Arbeitsordner

Sie können die Vertrauensstellung der vertrauenden Seite für Arbeitsordner einrichten und konfigurieren, auch wenn Arbeitsordner noch nicht eingerichtet wurden. Die Vertrauensstellung der vertrauenden Seite muss so eingerichtet sein, dass für Arbeitsordner die Verwendung von AD FS aktiviert ist. Da Sie gerade die erforderlichen Schritte zum Einrichten von AD FS durchführen, ist jetzt ein guter Zeitpunkt dafür.

So richten Sie die Vertrauensstellung der vertrauenden Seite ein:

  1. Öffnen Sie Server-Manager im Menü Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie im rechten Bereich unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.

  3. Wählen Sie auf der Willkommensseite die Option Ansprüche unterstützen aus, und klicken Sie auf Starten.

  4. Wählen Sie auf der Seite Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben aus, und klicken Sie anschließend auf Weiter.

  5. Geben Sie im Feld Anzeigename den Namen Arbeitsordner ein, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Zertifikat konfigurieren auf Weiter. Die Tokenverschlüsselungszertifikate sind optional und für die Testkonfiguration nicht erforderlich.

  7. Klicken Sie auf der Seite URL konfigurieren auf Weiter.

  8. Fügen Sie auf der Seite Konfigurieren von Bezeichnern den Bezeichner https://windows-server-work-folders/V1 hinzu. Dieser Bezeichner ist eine hartcodierter Wert, der von Arbeitsordnern verwendet und vom Arbeitsordnerdienst gesendet wird, wenn er mit AD FS kommuniziert. Klicken Sie auf Weiter.

  9. Wählen Sie auf der Seite „Zugriffssteuerungsrichtlinie auswählen” die Option Jedem einzelnen aus, und klicken Sie dann auf Weiter.

  10. Klicken Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung auf Weiter.

  11. Am Ende der Konfiguration wird auf der letzten Seite des Assistenten der erfolgreiche Abschluss der Konfiguration angezeigt. Aktivieren Sie das Kontrollkästchen für die Bearbeitung von Anspruchsregeln, und klicken Sie auf Schließen.

  12. Wählen Sie im AD FS-Snap-In als Vertrauensstellung der vertrauenden Seite Arbeitsordner aus, und klicken Sie unter „Aktionen“ auf Anspruchsausstellungsrichtlinie bearbeiten.

  13. Das Fenster Anspruchsausstellungsrichtlinie für Arbeitsordner bearbeiten wird geöffnet. Klicken Sie auf Regel hinzufügen.

  14. Wählen Sie in der Dropdownliste Anspruchsregelvorlage aus, wählen Sie LDAP-Attribute als Ansprüche senden aus, und klicken Sie auf Weiter.

  15. Geben Sie auf der Seite Konfigurieren einer Anspruchsregel im Feld Name der Anspruchsregel den Namen Arbeitsordner ein.

  16. Wählen Sie in der Dropdownliste Attributspeicher den Eintrag Active Directory aus.

  17. Geben Sie in der Zuordnungstabelle die folgenden Werte ein:

    • Benutzerprinzipalname: UPN

    • Anzeigename: Name

    • Nachname: Nachname

    • Angegebener Name: Angegebener Name

  18. Klicken Sie auf Fertig stellen. Auf der Registerkarte „Ausstellungstransformationsregeln“ wird die Regel „Arbeitsordner“ angezeigt. Klicken Sie auf OK.

Festlegen von Optionen für die Vertrauensstellung der vertrauenden Seite

Nachdem die Vertrauensstellung der vertrauenden Seite für AD FS eingerichtet wurde, müssen Sie die Konfiguration abschließen, indem Sie fünf Befehle in Windows PowerShell ausführen. Mit diesen Befehlen werden Optionen festgelegt, die für die erfolgreiche Kommunikation von Arbeitsordnern mit AD FS erforderlich sind und die nicht über die Benutzeroberfläche festgelegt werden können. Die Optionen sind:

  • Verwendung von JSON-Webtoken (JWT) aktivieren

  • Verschlüsselte Ansprüche deaktivieren

  • Aktivieren der automatischen Aktualisierung

  • Ausgabe der OAuth-Aktualisierungstoken an alle Geräte festlegen

  • Clients den Zugriff auf die Vertrauensstellung der vertrauenden Seite gewähren

Verwenden Sie zum Festlegen dieser Optionen die folgenden Befehle:

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

Aktivieren von „Arbeitsplatz beitreten“

Das Aktivieren von „Arbeitsplatz beitreten“ ist optional, kann jedoch nützlich sein, wenn Sie möchten, dass Benutzer mit ihren persönlichen Geräten auf Arbeitsplatzressourcen zugreifen können.

Zum Aktivieren der Geräteregistrierung für „Arbeitsplatz beitreten“ müssen Sie die folgenden Windows PowerShell-Befehle ausführen, mit denen Sie die Geräteregistrierung konfigurieren und die globalen Authentifizierungsrichtlinien festlegen:

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

Exportieren des AD FS-Zertifikats

Exportieren Sie als Nächstes das selbstsignierte AD FS Zertifikat, damit es auf den folgenden Computern in der Testumgebung installiert werden kann:

  • Server, der für Arbeitsordner verwendet wird

  • Server, der für den Webanwendungsproxy verwendet wird

  • In die Domäne eingebundener Windows-Client

  • Nicht in die Domäne eingebundener Windows-Client

Gehen Sie folgendermaßen vor, um das Zertifikat zu exportieren:

  1. Klicken Sie im Startmenüauf Ausführen.

  2. Geben Sie MMC ein.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  4. Wählen Sie in der Liste Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen. Der Assistent für das Snap-In „Zertifikate“ wird gestartet.

  5. Wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.

  6. Wählen Sie Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) aus, und klicken Sie auf Fertig stellen.

  7. Klicken Sie auf OK.

  8. Erweitern Sie den Ordner Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Klicken Sie mit der rechten Maustaste auf AD FS-Zertifikat, klicken Sie auf Alle Aufgaben und dann auf Exportieren... .

  10. Der Zertifikatexport-Assistent wird geöffnet. Wählen Sie Ja, privaten Schlüssel exportierenaus.

  11. Übernehmen Sie auf der Seite Exportdateiformat die Standardoptionen, und klicken Sie auf Weiter.

  12. Erstellen Sie ein Kennwort für das Zertifikat. Dieses Kennwort wird später beim Importieren des Zertifikats auf anderen Geräten verwendet. Klicken Sie auf Weiter.

  13. Geben Sie Speicherort und Namen für das Zertifikat ein, und klicken Sie dann auf Fertig stellen.

Die Installation des Zertifikats wird später im Bereitstellungsverfahren behandelt.

Verwalten der Einstellung für den privaten Schlüssel

Sie müssen dem AD FS-Dienstkonto die Berechtigung zum Zugriff auf den privaten Schlüssel des neuen Zertifikats erteilen. Sie müssen diese Berechtigung erneut gewähren, wenn Sie das Kommunikationszertifikat nach Ablauf der Gültigkeitsdauer ersetzen. Um die Berechtigung zu erteilen, gehen Sie folgendermaßen vor:

  1. Klicken Sie im Startmenüauf Ausführen.

  2. Geben Sie MMC ein.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  4. Wählen Sie in der Liste Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen. Der Assistent für das Snap-In „Zertifikate“ wird gestartet.

  5. Wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.

  6. Wählen Sie Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) aus, und klicken Sie auf Fertig stellen.

  7. Klicken Sie auf OK.

  8. Erweitern Sie den Ordner Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Klicken Sie mit der rechten Maustaste auf das AD FS-Zertifikat, klicken Sie auf Alle Aufgaben und dann auf Private Schlüssel verwalten.

  10. Klicken Sie im Fenster Berechtigungen auf Hinzufügen.

  11. Wählen Sie im Fenster Objekttypen den Objekttyp Dienstkonten aus, und klicken Sie dann auf OK.

  12. Geben Sie den Namen des Kontos ein, unter dem AD FS ausgeführt wird. Im Testbeispiel ist dies ADFSService. Klicken Sie auf OK.

  13. Erteilen Sie im Fenster Berechtigungen dem Konto mindestens Leseberechtigungen, und klicken Sie auf OK.

Wenn Ihnen die Option zum Verwalten privater Schlüssel nicht zur Verfügung steht, müssen Sie den folgenden Befehl ausführen: certutil -repairstore my *

Überprüfen der Betriebsbereitschaft von AD FS

Um sicherzustellen, dass AD FS betriebsbereit ist, öffnen Sie ein Browserfenster, und wechseln Sie zu https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Passen Sie dabei die URL an Ihre Umgebung an.

Im Browserfenster werden die Verbundservermetadaten ohne Formatierung angezeigt. Wenn die Daten ohne SSL-Fehler oder -Warnungen angezeigt werden, ist Ihr Verbundserver betriebsbereit.

Nächster Schritt: Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 3: Einrichten von Arbeitsordnern

Weitere Informationen

Übersicht: Arbeitsordner