Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 4: Einrichten des Webanwendungsproxys

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird der vierte Schritt bei der Bereitstellung von Arbeitsordnern mit Active Directory-Verbunddiensten (AD FS) und Webanwendungsproxy beschrieben. Die übrigen Schritte dieses Prozesses sind in den folgenden Themen beschrieben:

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy: Übersicht

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 1: Einrichten von AD FS

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 2: Aufgaben nach der Konfiguration von AD FS

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 3: Einrichten von Arbeitsordnern

• Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 5: Einrichten des Clients

Hinweis

Die in diesem Abschnitt enthaltenen Anweisungen gelten für eine Umgebung mit Windows Server 2019 oder Windows Server 2016. Wenn Sie Windows Server 2012 R2 verwenden, befolgen Sie die Anweisungen für Windows Server 2012 R2.

Gehen Sie folgendermaßen vor, um den Webanwendungsproxy für die Verwendung mit Arbeitsordnern einzurichten.

Installieren des AD FS-Zertifikats und des Arbeitsordnerzertifikats

Sie müssen das AD FS-Zertifikat und das Arbeitsordnerzertifikat, die Sie zuvor in Schritt 1 (Einrichten von AD FS) und Schritt 3 (Einrichten von Arbeitsordnern) erstellt haben, im lokalen Zertifikatspeicher auf dem Computer installieren, auf dem die Webanwendungsproxy-Rolle installiert werden soll.

Da Sie selbstsignierte Zertifikate installieren, die nicht auf einen Herausgeber im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen zurückverfolgt werden können, müssen Sie auch die Zertifikate in diesen Speicher kopieren.

Gehen Sie folgendermaßen vor, um die Zertifikate zu installieren:

1. Klicken Sie im Startmenüauf Ausführen.

2. Geben Sie MMC ein.

3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

4. Wählen Sie in der Liste Verfügbare Snap-Ins die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen. Der Assistent für das Snap-In „Zertifikate“ wird gestartet.

5. Wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.

6. Wählen Sie Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) aus, und klicken Sie auf Fertig stellen.

7. Klicken Sie auf OK.

8. Erweitern Sie den Ordner Root\Certificates(Lokaler Computer)\Personal\Certificates.

9. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.

10. Navigieren Sie zu dem Ordner, der das AD FS-Zertifikat enthält, führen Sie die Anweisungen im Assistenten zum Importieren der Datei aus, und speichern Sie diese im Zertifikatspeicher.

11. Wiederholen Sie die Schritte 9 und 10. Navigieren Sie dieses Mal aber zum Arbeitsordnerzertifikat, und importieren Sie es.

12. Erweitern Sie den Ordner Console Root\Certificates(Lokaler Computer)\Trusted Root Certification Authorities\Certificates.

13. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.

14. Navigieren Sie zu dem Ordner, der das AD FS-Zertifikat enthält, führen Sie die Anweisungen im Assistenten zum Importieren der Datei aus, und speichern Sie diese im Speicher „Vertrauenswürdige Stammzertifizierungsstellen“.

15. Wiederholen Sie die Schritte 13 und 14. Navigieren Sie dieses Mal aber zum Arbeitsordnerzertifikat, und importieren Sie es.

Installieren des Webanwendungsproxys

Gehen Sie folgendermaßen vor, um den Webanwendungsproxy zu installieren:

1. Öffnen Sie auf dem Server, auf dem Sie den Webanwendungsproxy installieren möchten, den Server-Manager, und starten Sie den Assistenten Hinzufügen von Rollen und Features.

2. Klicken Sie auf der ersten und zweiten Seite des Assistenten auf Weiter.

3. Wählen Sie auf der Seite Serverauswahl Ihren Server aus, und klicken Sie auf Weiter.

4. Wählen Sie auf der Seite Serverrolle die Option Remotezugriff aus, und klicken Sie dann auf Weiter.

5. Klicken Sie auf der Seite „Features“ und auf der Seite „Remotezugriff“ auf Weiter.

6. Wählen Sie auf der Seite Rollendienste die Option Webanwendungsproxy aus, klicken Sie auf Features hinzufügen und dann auf Weiter.

7. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.

Konfigurieren des Webanwendungsproxys

Gehen Sie folgendermaßen vor, um den Webanwendungsproxy zu konfigurieren:

1. Klicken Sie oben im Server-Manager auf das Warnflag, und klicken Sie dann auf den Link, um den Assistenten zum Konfigurieren des Webanwendungsproxys zu öffnen.

2. Klicken Sie auf der Willkommensseite auf Weiter.

3. Geben Sie auf der Seite Verbundserver den Namen des Verbunddiensts an. In diesem Testbeispiel lautet der Wert blueadfs.contoso.com.

4. Geben Sie die Anmeldeinformationen eines lokalen Administratorkontos auf den Verbundservern ein. Geben Sie nicht die Domänenanmeldeinformationen ein (z. B. „contoso\administrator“), sondern die lokalen Anmeldeinformationen (z. B. „Administrator“).

5. Wählen Sie auf der Seite AD FS-Proxyzertifikat das AD FS-Zertifikat aus, das Sie zuvor importiert haben. In diesem Testbeispiel ist dies blueadfs.contoso.com. Klicken Sie auf Weiter.

6. Auf der Bestätigungsseite wird der Windows PowerShell-Befehl angezeigt, der ausgeführt wird, um den Dienst zu konfigurieren. Klicken Sie auf Konfigurieren.

Veröffentlichen der Arbeitsordner-Webanwendung

Im nächsten Schritt wird eine Webanwendung veröffentlicht, über die Arbeitsordner für Clients verfügbar gemacht werden. Um die Arbeitsordner-Webanwendung zu veröffentlichen, gehen Sie folgendermaßen vor:

1. Öffnen Sie den Server-Manager, und klicken Sie im Menü Tools auf Remotezugriffsverwaltung, um die Remotezugriffs-Verwaltungskonsole zu öffnen.

2. Klicken Sie unter Konfiguration auf Webanwendungsproxy.

3. Klicken Sie unter Aufgaben auf Veröffentlichen. Der Assistenten zum Veröffentlichen neuer Anwendungen wird geöffnet.

4. Klicken Sie auf der Seite Willkommenauf Weiter.

5. Wählen Sie auf der Seite Vorauthentifizierung die Option Active Directory-Verbunddienste (AD FS) aus, und klicken Sie dann auf Weiter.

6. Wählen Sie auf der Seite Clients unterstützen die Option OAuth2 aus, und klicken Sie auf Weiter.

7. Wählen Sie auf der Seite Vertrauende Seite die Option Arbeitsordner aus, und klicken Sie dann auf Weiter. Diese Liste wird von AD FS auf dem Webanwendungsproxy veröffentlicht.

8. Geben Sie auf der Seite Veröffentlichungseinstellungen folgende Informationen ein, und klicken Sie dann auf Weiter:

   • Name, der für die Webanwendung verwendet werden soll

   • Externe URL für Arbeitsordner

   • Name des Arbeitsordnerzertifikats

   • Back-End-URL für Arbeitsordner

   Standardmäßig legt der Assistent die Back-End-URL auf denselben Wert wie die externe URL fest.

   Verwenden Sie für das Testbeispiel die folgenden Werte:

   Name: WorkFolders

   Externe URL: https://workfolders.contoso.com

   Externes Zertifikat: Das Arbeitsordnerzertifikat, das Sie zuvor installiert haben

   Back-End-Server-URL: https://workfolders.contoso.com

9. Auf der Bestätigungsseite wird der Windows PowerShell-Befehl angezeigt, der zum Veröffentlichen der Anwendung ausgeführt wird. Klicken Sie auf Veröffentlichen.

10. Auf der Seite Ergebnisse wird angezeigt, ob die Anwendung erfolgreich veröffentlicht wurde.

    Hinweis

    Wenn Sie über mehrere Arbeitsordnerserver verfügen, müssen Sie für jeden Arbeitsordnerserver eine Arbeitsordner-Webanwendung veröffentlichen (wiederholen Sie die Schritte 1 bis 10).

Nächster Schritt: Bereitstellen von Arbeitsordnern mit AD FS und Webanwendungsproxy, Schritt 5: Einrichten von Clients

Weitere Informationen

Übersicht: Arbeitsordner