Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 2, AD FS-werk na configuratie

In dit onderwerp wordt de tweede stap beschreven bij het implementeren van Werkmappen met Active Directory Federation Services (AD FS) en webtoepassingsproxy. U vindt de andere stappen in dit proces in deze onderwerpen:

• Werkmappen implementeren met AD FS en Webtoepassingsproxy: Overzicht

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 1, AD FS instellen

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 3, Werkmappen instellen

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 4, Webtoepassingsproxy instellen

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 5, clients instellen

Opmerking

De instructies in deze sectie zijn bedoeld voor een Windows Server 2019- of Windows Server 2016-omgeving. Als u Windows Server 2012 R2 gebruikt, volgt u de instructies Windows Server 2012 R2.

In stap 1 hebt u AD FS geïnstalleerd en geconfigureerd. Nu moet u de volgende stappen na de configuratie uitvoeren voor AD FS.

DNS-vermeldingen configureren

U moet twee DNS-vermeldingen maken voor AD FS. Dit zijn dezelfde twee vermeldingen die zijn gebruikt in de stappen vóór de installatie toen u het SAN-certificaat (Subject Alternative Name) hebt gemaakt.

De DNS-vermeldingen staan in de vorm:

• AD FS-servicenaam.domein

• enterpriseregistration.domain

• AD FS-servernaam.domein (DNS-vermelding moet al bestaan. bijvoorbeeld 2016-ADFS.contoso.com)

In het testvoorbeeld zijn de waarden:

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

De A- en CNAME-records voor AD FS maken

Volg deze stappen om A- en CNAME-records voor AD FS te maken:

1. Open DNS Manager op uw domeincontroller.

2. Vouw de map Forward Lookup Zones uit, klik met de rechtermuisknop op uw domein en selecteer Nieuwe host (A).

3. Het venster Nieuwe host wordt geopend. Voer in het veld Naam de alias in voor de AD FS-servicenaam. In het testvoorbeeld is dit blueadfs.

   De alias moet hetzelfde zijn als het onderwerp in het certificaat dat is gebruikt voor AD FS. Als het onderwerp bijvoorbeeld is adfs.contoso.com, is de alias die hier is ingevoerd adfs.

   Belangrijk

   Wanneer u AD FS instelt met behulp van de gebruikersinterface van Windows Server (UI) in plaats van Windows PowerShell, moet u een A-record maken in plaats van een CNAME-record voor AD FS. De reden hiervoor is dat de SPN (Service Principal Name) die via de gebruikersinterface wordt gemaakt, alleen de alias bevat die wordt gebruikt voor het instellen van de AD FS-service als host.

4. Voer in het IP-adres het IP-adres voor de AD FS-server in. In het testvoorbeeld is dit 192.168.0.160. Klik op Host toevoegen.

5. Klik in de map Forward Lookup Zones opnieuw met de rechtermuisknop op uw domein en selecteer Nieuwe alias (CNAME).

6. Voeg in het venster Nieuwe bronrecord de aliasnaam enterpriseregistration toe en voer de FQDN voor de AD FS-server in. Deze alias wordt gebruikt voor Device Join en moet enterpriseregistration worden genoemd.

7. Klik op OK.

Gebruik de volgende opdracht om de equivalente stappen uit te voeren via Windows PowerShell. De opdracht moet worden uitgevoerd op de domeincontroller.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

De vertrouwensrelatie van de vertrouwenspartij van AD FS instellen voor Werkmappen

U kunt de vertrouwensrelatie van de vertrouwende partij voor Werkmappen instellen of configureren, zelfs als Werkmappen nog niet is ingesteld. De relying party-vertrouwensrelatie moet worden ingesteld om Werkmappen in te schakelen voor het gebruik van AD FS. Omdat u bezig bent met het instellen van AD FS, is het nu een goed moment om deze stap uit te voeren.

De relying party-vertrouwensrelatie instellen:

1. Open Serverbeheer in het menu Extra en selecteer AD FS-beheer.

2. Klik in het rechterdeelvenster onder Acties op Relying Party Trust toevoegen.

3. Op de Welkomstpagina, selecteer Claimbewust en klik op Start.

4. Selecteer op de pagina Gegevensbron selecteren de optie Gegevens over de relying party handmatig invoeren en klik vervolgens op Volgende.

5. Voer in het veld WeergavenaamWorkFolders in en klik vervolgens op Volgende.

6. Klik op de pagina Certificaat configureren op Volgende. De tokenversleutelingscertificaten zijn optioneel en zijn niet nodig voor de testconfiguratie.

7. Klik op de pagina URL configureren op Volgende.

8. Voeg op de pagina Id's configureren de volgende id toe: https://windows-server-work-folders/V1 Deze id is een in code vastgelegde waarde die wordt gebruikt door Werkmappen en wordt verzonden door de service Werkmappen wanneer deze communiceert met AD FS. Klik op Volgende.

9. Selecteer Iedereen toestaan op de pagina Toegangsbeheerbeleid kiezen en klik vervolgens op Volgende.

10. Op de pagina Ready to Add Trust, klik op Volgende.

11. Nadat de configuratie is voltooid, geeft de laatste pagina van de wizard aan dat de configuratie is geslaagd. Schakel het selectievakje in voor het bewerken van de claimregels en klik op Sluiten.

12. Selecteer in de AD FS-module de vertrouwensrelatie van de relying party WorkFolders en klik op Claimuitgiftebeleid bewerken onder Acties.

13. Het venster Claimuitgiftebeleid bewerken voor Werkmappen wordt geopend. Klik op Regel toevoegen.

14. Selecteer in de vervolgkeuzelijst ClaimregelsjabloonLDAP-kenmerken verzenden als claims en klik op Volgende.

15. Voer op de pagina Claimregel configureren , in het veld Claimregelnaam , Werkmappen in.

16. Selecteer Active Directory in de vervolgkeuzelijst Attribuutopslag.

17. Voer in de toewijzingstabel de volgende waarden in:

    • User-Principal-Name: UPN

    • Weergavenaam: naam

    • Achternaam: Achternaam

    • Voornaam: Voornaam

18. Klik op Voltooien. U ziet de werkmappenregel op het tabblad Uitgiftetransformatieregels en klik op OK.

Vertrouwensopties voor relying part instellen

Nadat de relying party-vertrouwensrelatie is ingesteld voor AD FS, moet u de configuratie voltooien door vijf opdrachten uit te voeren in Windows PowerShell. Met deze opdrachten stelt u opties in die nodig zijn om werkmappen te laten communiceren met AD FS en die niet via de gebruikersinterface kunnen worden ingesteld. Dit zijn de volgende opties:

• Het gebruik van JSON-webtokens (JWT's) inschakelen

• Versleutelde claims uitschakelen

• Automatisch bijwerken inschakelen

• Stel de uitgifte van Oauth-vernieuwingstokens in op alle apparaten.

• Clients toegang verlenen tot de relying party-vertrouwensrelatie

Gebruik de volgende opdrachten om deze opties in te stellen:

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

Werkplek koppelen inschakelen

Het inschakelen van Workplace Join is optioneel, maar kan handig zijn wanneer u wilt dat gebruikers hun persoonlijke apparaten kunnen gebruiken om toegang te krijgen tot werkplekresources.

Als u apparaatregistratie wilt inschakelen voor Workplace Join, moet u de volgende Windows PowerShell-opdrachten uitvoeren, waarmee apparaatregistratie wordt geconfigureerd en het globale verificatiebeleid wordt ingesteld:

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

Het AD FS-certificaat exporteren

Exporteer vervolgens het zelfondertekende AD FS-certificaat, zodat het kan worden geïnstalleerd op de volgende computers in de testomgeving:

• De server die wordt gebruikt voor Werkmappen

• De server die wordt gebruikt voor webtoepassingsproxy

• De Windows-client die lid is van een domein

• De windows-client die niet lid is van een domein

Voer de volgende stappen uit om het certificaat te exporteren:

1. Klik op Start en vervolgens op Uitvoeren.

2. Typ MMC.

3. Klik in het menu Bestand op Snap-in toevoegen/verwijderen.

4. Selecteer Certificaten in de lijst Beschikbare modules en klik vervolgens op Toevoegen. De wizard voor de invoegtoepassing Certificaten wordt gestart.

5. Selecteer Computeraccount en klik vervolgens op Volgende.

6. Selecteer Lokale computer: (de computer waarop deze console wordt uitgevoerd) en klik vervolgens op Voltooien.

7. Klik op OK.

8. Vouw de map Console Root\Certificates(Local Computer)\Personal\Certificates uit.

9. Klik met de rechtermuisknop op het AD FS-certificaat, klik op Alle taken en klik vervolgens op Exporteren....

10. De wizard voor het exporteren van certificaten wordt geopend. Selecteer Ja, exporteer de persoonlijke sleutel.

11. Laat op de pagina Bestandsindeling exporteren de standaardopties geselecteerd en klik op Volgende.

12. Maak een wachtwoord voor het certificaat. Dit is het wachtwoord dat u later gaat gebruiken wanneer u het certificaat importeert op andere apparaten. Klik op Volgende.

13. Voer een locatie en naam in voor het certificaat en klik vervolgens op Voltooien.

De installatie van het certificaat wordt verderop in de implementatieprocedure behandeld.

De instelling voor de persoonlijke sleutel beheren

U moet het AD FS-serviceaccount toestemming geven voor toegang tot de persoonlijke sleutel van het nieuwe certificaat. U moet deze machtiging opnieuw verlenen wanneer u het communicatiecertificaat vervangt nadat het is verlopen. Voer de volgende stappen uit om toestemming te verlenen:

1. Klik op Start en vervolgens op Uitvoeren.

2. Typ MMC.

3. Klik in het menu Bestand op Snap-in toevoegen/verwijderen.

4. Selecteer Certificaten in de lijst Beschikbare modules en klik vervolgens op Toevoegen. De wizard voor de invoegtoepassing Certificaten wordt gestart.

5. Selecteer Computeraccount en klik vervolgens op Volgende.

6. Selecteer Lokale computer: (de computer waarop deze console wordt uitgevoerd) en klik vervolgens op Voltooien.

7. Klik op OK.

8. Vouw de map Console Root\Certificates(Local Computer)\Personal\Certificates uit.

9. Klik met de rechtermuisknop op het AD FS-certificaat, klik op Alle taken en klik vervolgens op Persoonlijke sleutels beheren.

10. Klik in het venster Machtigingen op Toevoegen.

11. Selecteer serviceaccounts in het venster Objecttypen en klik op OK.

12. Typ de naam van het account waarop AD FS wordt uitgevoerd. In het testvoorbeeld is dit ADFSService. Klik op OK.

13. Geef het account in het venster Machtigingen ten minste leesmachtigingen en klik op OK.

Als u geen optie hebt om persoonlijke sleutels te beheren, moet u mogelijk de volgende opdracht uitvoeren: certutil -repairstore my *

Controleer of AD FS in werking is

Als u wilt controleren of AD FS operationeel is, opent u een browservenster en gaat u naar https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml, wijzigt u de URL zodat deze overeenkomt met uw omgeving.

In het browservenster worden de metagegevens van de federatieserver zonder opmaak weergegeven. Als u de gegevens zonder SSL-fouten of -waarschuwingen kunt zien, is uw federatieserver operationeel.

Volgende stap: Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 3, Werkmappen instellen

Zie ook

Overzicht van Werkmappen