Condividi tramite


Implementare le Cartelle di lavoro con AD FS e Proxy applicativo Web: Passaggio 1, configurare AD FS

Questo argomento descrive il primo passaggio nella distribuzione di Work Folders con Active Directory Federation Services (AD FS) e Proxy applicativo Web. Gli altri passaggi di questo processo sono descritti negli argomenti seguenti:

Nota

Le istruzioni descritte in questa sezione sono relative a un ambiente Windows Server 2019 o Windows Server 2016. Se si usa Windows Server 2012 R2, seguire le istruzioni di Windows Server 2012 R2.

Per configurare AD FS per l'uso con Cartelle di lavoro, usare le procedure seguenti.

Lavoro di pre-installazione

Se si intende convertire l'ambiente di test che si sta configurando con queste istruzioni nell'ambiente di produzione, è possibile eseguire due operazioni prima di iniziare:

  • Configurare un account amministratore di dominio Active Directory da usare per eseguire il servizio AD FS.

  • Ottenere un certificato SAN (Subject Alternative Name) SSL per l'autenticazione del server. Per l'esempio di test si userà un certificato autofirmato, ma per la produzione è consigliabile usare un certificato attendibile pubblicamente.

L'acquisizione di questi elementi può richiedere del tempo, a seconda dei criteri dell'azienda, quindi può essere utile avviare il processo di richiesta per gli elementi prima di iniziare a creare l'ambiente di test.

Esistono molte autorità di certificazione commerciali da cui è possibile acquistare il certificato. È possibile trovare un elenco delle autorità di certificazione considerate attendibili da Microsoft nell'articolo 931125 della Knowledge Base. Un'altra alternativa consiste nell'ottenere un certificato dall'autorità di certificazione globale (enterprise) dell'azienda.

Per l'ambiente di test, si userà un certificato autofirmato creato da uno degli script forniti.

Nota

AD FS non supporta i certificati CNG (Cryptography Next Generation), il che significa che non è possibile creare il certificato autofirmato usando il cmdlet di Windows PowerShell New-SelfSignedCertificate. È tuttavia possibile usare lo script makecert.ps1 incluso nel post del blog Distribuzione delle Cartelle di lavoro con AD FS e Proxy applicazioni Web. Questo script crea un certificato autofirmato che funziona con AD FS e richiede i nomi SAN necessari per creare il certificato.

Eseguire quindi le operazioni aggiuntive di pre-installazione descritte nelle sezioni seguenti.

Creare un certificato AD FS autofirmato

Per creare un certificato autofirmato AD FS, seguire questa procedura:

  1. Scarica gli script forniti nel post del blog Implementazione di Work Folders con AD FS e Proxy Applicazioni Web, quindi copia il file makecert.ps1 nel computer AD FS.

  2. Aprire una finestra di Windows PowerShell con i privilegi di amministratore.

  3. Impostare i criteri di esecuzione senza restrizioni:

    Set-ExecutionPolicy –ExecutionPolicy Unrestricted
    
  4. Passare alla directory in cui è stato copiato lo script.

  5. Eseguire lo script makecert:

    .\makecert.ps1
    
  6. Quando viene richiesto di modificare il certificato soggetto, immettere il nuovo valore per l'oggetto. In questo esempio il valore è blueadfs.contoso.com.

  7. Quando viene richiesto di immettere i nomi SAN, premere il tasto Y, quindi immettere i nomi SAN, uno alla volta.

    Per questo esempio digitare blueadfs.contoso.com e premere Invio, quindi digitare 2016-adfs.contoso.com e premere Invio, quindi digitare enterpriseregistration.contoso.com e premere Invio.

    Quando sono stati immessi tutti i nomi SAN, premere Invio su una riga vuota.

  8. Quando viene richiesto di installare i certificati nell'archivio delle Autorità di certificazione attendibile principale, premere Y.

Il certificato di AD FS deve essere un certificato SAN con i valori seguenti:

  • Nome del servizio AD FS.dominio

  • enterpriseregistration.dominio

  • Nome server AD FS.dominio

Nel test di esempio, i valori sono:

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

  • 2016-adfs.contoso.com

È necessario il SAN enterpriseregistration per Workplace Join.

Impostare l'indirizzo IP del server

Modificare l'indirizzo IP del server in un indirizzo IP statico. Per l'esempio di test, usare la classe IP A, ovvero 192.168.0.160 / subnet mask: 255.255.0.0/Gateway predefinito: 192.168.0.1 / DNS preferito: 192.168.0.150 (indirizzo IP del controller di dominio).

Installare il servizio di ruolo AD FS

Per installare AD FS, attenersi alla seguente procedura:

  1. Accedere alla macchina virtuale o fisica su cui si intende installare AD FS, aprire Server Manager e avviare la procedura guidata Aggiungi ruoli e funzionalità.

  2. Nella pagina Ruoli server fare clic sul ruolo Active Directory Federation Servicese quindi scegliere Avanti.

  3. Nella pagina Active Directory Federation Services (AD FS) verrà visualizzato un messaggio che indica che il ruolo Proxy applicazione Web non può essere installato nello stesso computer di AD FS. Fare clic su Avanti.

  4. Nella pagina di conferma fare clic su Installa.

Per eseguire l'installazione di AD FS tramite Windows PowerShell, usare i comandi seguenti:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

Configurare AD FS

Quindi, configurare AD FS tramite Server Manager oppure Windows PowerShell.

Configurare AD FS con Server Manager

Per configurare AD FS con Server Manager, seguire la procedura seguente:

  1. Aprire Gestione server.

  2. Nella parte superiore della finestra di Server Manager fare clic sul flag Notifiche, quindi su Configurare il servizio federativo nel server.

  3. Si avvia la Configurazione guidata di Active Directory Federation Services (AD FS). Nella pagina Connetti ad Active Directory Domain Services immettere l'account amministratore di dominio da usare come account AD FS e fare clic su Avanti.

  4. Nella pagina Impostazione proprietà del servizio immettere il nome soggetto del certificato SSL da usare per la comunicazione AD FS. Nell'esempio di test si tratta di blueadfs.contoso.com.

  5. Immettere il nome del Servizio di Federazione. Nell'esempio di test si tratta di blueadfs.contoso.com. Fare clic su Avanti.

    Nota

    Il nome del Servizio federativo non deve usare il nome di un server esistente nell'ambiente. Se si usa il nome di un server esistente, l'installazione di AD FS avrà esito negativo e deve essere riavviata.

  6. Nella pagina Specificare account di servizio, immettere il nome che si desidera utilizzare per l'account di servizio gestito. Per l'esempio di test, selezionare Creare un account del servizio gestito di gruppo e in Nome accountimmettere ADFSService. Fare clic su Avanti.

  7. Nella pagina Impostazione database di configurazione selezionare Creare un database nel server mediante il database interno di Windows e quindi fare clic su Avanti.

  8. La pagina Verifica opzioni mostra una panoramica delle opzioni selezionate. Fare clic su Avanti.

  9. La pagina Controlli dei prerequisiti indica se tutti i controlli dei prerequisiti sono stati superati correttamente. Se non si verificano problemi, fare clic su Configura.

    Nota

    Se è stato usato il nome del server AD FS o qualsiasi altro computer esistente per il nome del Servizio federativo, viene visualizzato un messaggio di errore. È necessario avviare l'installazione e scegliere un nome diverso dal nome di un computer esistente.

  10. Al termine della configurazione, la pagina Risultati conferma che AD FS è stato configurato correttamente.

Configura AD FS mediante PowerShell

Per eseguire la configurazione di AD FS equivalente tramite Windows PowerShell, usare i comandi seguenti.

Per installare AD FS:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

Per creare un nuovo account del servizio gestito:

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

Dopo aver configurato AD FS, è necessario configurare una farm AD FS usando l'account del servizio gestito creato nel passaggio precedente e il certificato creato nei passaggi di preconfigurazione.

Per impostare una server farm AD FS:

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

Passaggio successivo: distribuire Cartelle di lavoro con Active Directory Federation Services (AD FS) e Proxy applicazione Web - Passaggio 2: attività successive alla configurazione di Active Directory Federation Services

Vedi anche

Panoramica di Cartelle di Lavoro