Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo argomento descrive il primo passaggio nella distribuzione di Work Folders con Active Directory Federation Services (AD FS) e Proxy applicativo Web. Gli altri passaggi di questo processo sono descritti negli argomenti seguenti:
Nota
Le istruzioni descritte in questa sezione sono relative a un ambiente Windows Server 2019 o Windows Server 2016. Se si usa Windows Server 2012 R2, seguire le istruzioni di Windows Server 2012 R2.
Per configurare AD FS per l'uso con Cartelle di lavoro, usare le procedure seguenti.
Lavoro di pre-installazione
Se si intende convertire l'ambiente di test che si sta configurando con queste istruzioni nell'ambiente di produzione, è possibile eseguire due operazioni prima di iniziare:
Configurare un account amministratore di dominio Active Directory da usare per eseguire il servizio AD FS.
Ottenere un certificato SAN (Subject Alternative Name) SSL per l'autenticazione del server. Per l'esempio di test si userà un certificato autofirmato, ma per la produzione è consigliabile usare un certificato attendibile pubblicamente.
L'acquisizione di questi elementi può richiedere del tempo, a seconda dei criteri dell'azienda, quindi può essere utile avviare il processo di richiesta per gli elementi prima di iniziare a creare l'ambiente di test.
Esistono molte autorità di certificazione commerciali da cui è possibile acquistare il certificato. È possibile trovare un elenco delle autorità di certificazione considerate attendibili da Microsoft nell'articolo 931125 della Knowledge Base. Un'altra alternativa consiste nell'ottenere un certificato dall'autorità di certificazione globale (enterprise) dell'azienda.
Per l'ambiente di test, si userà un certificato autofirmato creato da uno degli script forniti.
Nota
AD FS non supporta i certificati CNG (Cryptography Next Generation), il che significa che non è possibile creare il certificato autofirmato usando il cmdlet di Windows PowerShell New-SelfSignedCertificate. È tuttavia possibile usare lo script makecert.ps1 incluso nel post del blog Distribuzione delle Cartelle di lavoro con AD FS e Proxy applicazioni Web. Questo script crea un certificato autofirmato che funziona con AD FS e richiede i nomi SAN necessari per creare il certificato.
Eseguire quindi le operazioni aggiuntive di pre-installazione descritte nelle sezioni seguenti.
Creare un certificato AD FS autofirmato
Per creare un certificato autofirmato AD FS, seguire questa procedura:
Scarica gli script forniti nel post del blog Implementazione di Work Folders con AD FS e Proxy Applicazioni Web, quindi copia il file makecert.ps1 nel computer AD FS.
Aprire una finestra di Windows PowerShell con i privilegi di amministratore.
Impostare i criteri di esecuzione senza restrizioni:
Set-ExecutionPolicy –ExecutionPolicy Unrestricted
Passare alla directory in cui è stato copiato lo script.
Eseguire lo script makecert:
.\makecert.ps1
Quando viene richiesto di modificare il certificato soggetto, immettere il nuovo valore per l'oggetto. In questo esempio il valore è blueadfs.contoso.com.
Quando viene richiesto di immettere i nomi SAN, premere il tasto Y, quindi immettere i nomi SAN, uno alla volta.
Per questo esempio digitare blueadfs.contoso.com e premere Invio, quindi digitare 2016-adfs.contoso.com e premere Invio, quindi digitare enterpriseregistration.contoso.com e premere Invio.
Quando sono stati immessi tutti i nomi SAN, premere Invio su una riga vuota.
Quando viene richiesto di installare i certificati nell'archivio delle Autorità di certificazione attendibile principale, premere Y.
Il certificato di AD FS deve essere un certificato SAN con i valori seguenti:
Nome del servizio AD FS.dominio
enterpriseregistration.dominio
Nome server AD FS.dominio
Nel test di esempio, i valori sono:
blueadfs.contoso.com
enterpriseregistration.contoso.com
2016-adfs.contoso.com
È necessario il SAN enterpriseregistration per Workplace Join.
Impostare l'indirizzo IP del server
Modificare l'indirizzo IP del server in un indirizzo IP statico. Per l'esempio di test, usare la classe IP A, ovvero 192.168.0.160 / subnet mask: 255.255.0.0/Gateway predefinito: 192.168.0.1 / DNS preferito: 192.168.0.150 (indirizzo IP del controller di dominio).
Installare il servizio di ruolo AD FS
Per installare AD FS, attenersi alla seguente procedura:
Accedere alla macchina virtuale o fisica su cui si intende installare AD FS, aprire Server Manager e avviare la procedura guidata Aggiungi ruoli e funzionalità.
Nella pagina Ruoli server fare clic sul ruolo Active Directory Federation Servicese quindi scegliere Avanti.
Nella pagina Active Directory Federation Services (AD FS) verrà visualizzato un messaggio che indica che il ruolo Proxy applicazione Web non può essere installato nello stesso computer di AD FS. Fare clic su Avanti.
Nella pagina di conferma fare clic su Installa.
Per eseguire l'installazione di AD FS tramite Windows PowerShell, usare i comandi seguenti:
Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools
Configurare AD FS
Quindi, configurare AD FS tramite Server Manager oppure Windows PowerShell.
Configurare AD FS con Server Manager
Per configurare AD FS con Server Manager, seguire la procedura seguente:
Aprire Gestione server.
Nella parte superiore della finestra di Server Manager fare clic sul flag Notifiche, quindi su Configurare il servizio federativo nel server.
Si avvia la Configurazione guidata di Active Directory Federation Services (AD FS). Nella pagina Connetti ad Active Directory Domain Services immettere l'account amministratore di dominio da usare come account AD FS e fare clic su Avanti.
Nella pagina Impostazione proprietà del servizio immettere il nome soggetto del certificato SSL da usare per la comunicazione AD FS. Nell'esempio di test si tratta di blueadfs.contoso.com.
Immettere il nome del Servizio di Federazione. Nell'esempio di test si tratta di blueadfs.contoso.com. Fare clic su Avanti.
Nota
Il nome del Servizio federativo non deve usare il nome di un server esistente nell'ambiente. Se si usa il nome di un server esistente, l'installazione di AD FS avrà esito negativo e deve essere riavviata.
Nella pagina Specificare account di servizio, immettere il nome che si desidera utilizzare per l'account di servizio gestito. Per l'esempio di test, selezionare Creare un account del servizio gestito di gruppo e in Nome accountimmettere ADFSService. Fare clic su Avanti.
Nella pagina Impostazione database di configurazione selezionare Creare un database nel server mediante il database interno di Windows e quindi fare clic su Avanti.
La pagina Verifica opzioni mostra una panoramica delle opzioni selezionate. Fare clic su Avanti.
La pagina Controlli dei prerequisiti indica se tutti i controlli dei prerequisiti sono stati superati correttamente. Se non si verificano problemi, fare clic su Configura.
Nota
Se è stato usato il nome del server AD FS o qualsiasi altro computer esistente per il nome del Servizio federativo, viene visualizzato un messaggio di errore. È necessario avviare l'installazione e scegliere un nome diverso dal nome di un computer esistente.
Al termine della configurazione, la pagina Risultati conferma che AD FS è stato configurato correttamente.
Configura AD FS mediante PowerShell
Per eseguire la configurazione di AD FS equivalente tramite Windows PowerShell, usare i comandi seguenti.
Per installare AD FS:
Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools
Per creare un nuovo account del servizio gestito:
New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com
Dopo aver configurato AD FS, è necessario configurare una farm AD FS usando l'account del servizio gestito creato nel passaggio precedente e il certificato creato nei passaggi di preconfigurazione.
Per impostare una server farm AD FS:
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop