Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 3, Werkmappen instellen

In dit onderwerp wordt de derde stap beschreven bij het implementeren van Werkmappen met Active Directory Federation Services (AD FS) en webtoepassingsproxy. U vindt de andere stappen in dit proces in deze onderwerpen:

• Werkmappen implementeren met AD FS en Webtoepassingsproxy: Overzicht

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 1, AD FS instellen

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 2, AD FS-werk na configuratie

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 4, Webtoepassingsproxy instellen

• Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 5, clients instellen

Opmerking

De instructies in deze sectie zijn bedoeld voor een Windows Server 2019- of Windows Server 2016-omgeving. Als u Windows Server 2012 R2 gebruikt, volgt u de instructies Windows Server 2012 R2.

Gebruik de volgende procedures om Werkmappen in te stellen.

Werk vóór installatie

Als u Werkmappen wilt installeren, moet u een server hebben die is gekoppeld aan het domein en Windows Server 2016 uitvoert. De server moet een geldige netwerkconfiguratie hebben.

Voor het testvoorbeeld voegt u de computer toe waarop Werkmappen worden uitgevoerd naar het Contoso-domein en stelt u de netwerkinterface in, zoals beschreven in de volgende secties.

Het IP-adres van de server instellen

Wijzig het IP-adres van uw server in een statisch IP-adres. Gebruik voor het testvoorbeeld IP-klasse A. Dit is 192.168.0.170 / subnetmasker: 255.255.0.0 / Standaardgateway: 192.168.0.1 / Voorkeurs-DNS: 192.168.0.150 (het IP-adres van uw domeincontroller).

De CNAME-record voor Werkmappen maken

Voer de volgende stappen uit om de CNAME-record voor Werkmappen te maken:

1. Open DNS Manager op uw domeincontroller.

2. Vouw de map Forward Lookup Zones uit, klik met de rechtermuisknop op uw domein en klik op Nieuwe alias (CNAME).

3. Voer in het venster Nieuwe resourcerecord in het veld Aliasnaam de alias voor Werkmappen in. In het testvoorbeeld is dit werkmappen.

4. In het veld Fully Qualified Domain Name moet de waarde worden workfolders.contoso.com.

5. Voer in het veld Volledig gekwalificeerde domeinnaam voor de doelhost de FQDN in voor de Work Folders-server. In het testvoorbeeld is dit 2016-WF.contoso.com.

6. Klik op OK.

Gebruik de volgende opdracht om de equivalente stappen uit te voeren via Windows PowerShell. De opdracht moet worden uitgevoerd op de domeincontroller.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

Het AD FS-certificaat installeren

Installeer het AD FS-certificaat dat is gemaakt tijdens het instellen van AD FS in het certificaatarchief van de lokale computer met behulp van de volgende stappen:

1. Klik op Starten klik vervolgens op uitvoeren.

2. Typ MMC.

3. Klik in het menu Bestand op Snap-in toevoegen/verwijderen.

4. Selecteer Certificaten in de lijst Beschikbare modules en klik vervolgens op Toevoegen. De wizard voor de invoegtoepassing Certificaten wordt gestart.

5. Selecteer Computeraccount en klik vervolgens op Volgende.

6. Selecteer Lokale computer: (de computer waarop deze console wordt uitgevoerd) en klik vervolgens op Voltooien.

7. Klik op OK.

8. Vouw de map Console Root\Certificates(Local Computer)\Personal\Certificates uit.

9. Klik met de rechtermuisknop op Certificaten, klik op Alle taken en klik vervolgens op Importeren.

10. Blader naar de map met het AD FS-certificaat en volg de instructies in de wizard om het bestand te importeren en in het certificaatarchief te plaatsen.

11. Vouw de map Console Root\Certificates(Lokale computer)\Vertrouwde basiscertificeringsinstanties\Certificaten uit.

12. Klik met de rechtermuisknop op Certificaten, klik op Alle taken en klik vervolgens op Importeren.

13. Blader naar de map die het AD FS-certificaat bevat en volg de instructies in de wizard om het bestand te importeren en het in de opslagplaats van Vertrouwde Basiscertificeringsinstanties te plaatsen.

Zelfondertekend certificaat voor Werkmappen maken

Voer de volgende stappen uit om het zelfondertekende certificaat voor Werkmappen te maken:

1. Download de scripts in het blogbericht Werkmappen implementeren met AD FS en Webtoepassingsproxy en kopieer vervolgens het bestand makecert.ps1 naar de computer met Werkmappen.

2. Open een Windows PowerShell-venster met beheerdersbevoegdheden.

3. Stel het uitvoeringsbeleid in op onbeperkt:

   PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
   

4. Ga naar de map waarin u het script hebt gekopieerd.

5. Voer het makeCert-script uit:

   PS C:\temp\scripts> .\makecert.ps1
   

6. Wanneer u wordt gevraagd het onderwerpcertificaat te wijzigen, voert u de nieuwe waarde voor het onderwerp in. In dit voorbeeld is de waarde workfolders.contoso.com.

7. Wanneer u wordt gevraagd om namen van alternatieve onderwerpnamen (SAN) in te voeren, drukt u op Y en voert u de SAN-namen één voor één in.

   Typ voor dit voorbeeld workfolders.contoso.com en druk op Enter. Typ 2016-WF.contoso.com en druk op Enter.

   Wanneer alle SAN-namen zijn ingevoerd, drukt u op Enter op een lege regel.

8. Wanneer u wordt gevraagd de certificaten te installeren in de opslag voor vertrouwde basiscertificeringsinstanties, drukt u op Y.

Het Werkmappen-certificaat moet een SAN-certificaat zijn met de volgende waarden:

• werkmappen. domein

• computernaam. domein

In het testvoorbeeld zijn de waarden:

• workfolders.contoso.com

• 2016-WF.contoso.com

Werkmappen installeren

Voer de volgende stappen uit om de rol Werkmappen te installeren:

1. Open Serverbeheer, klik op Functies en onderdelen toevoegen en klik op Volgende.

2. Selecteer op de pagina Installatietype de optie Installatie op basis van rollen of onderdelen en klik op Volgende.

3. Selecteer op de pagina Serverselectie de huidige server en klik op Volgende.

4. Vouw op de pagina Serverfunctiesbestands- en opslagservices uit, vouw Bestands- en iSCSI-services uit en selecteer vervolgens Werkmappen.

5. Klik op de pagina Wizard Rollen en Functies toevoegen op Functies toevoegen en klik op Volgende.

6. Klik op de pagina Onderdelen op Volgende.

7. Klik op de bevestigingspagina op Installeren.

Werkmappen configureren

Voer de volgende stappen uit om Werkmappen te configureren:

1. Open Serverbeheer.

2. Selecteer Bestands- en opslagservices en selecteer vervolgens Werkmappen.

3. Start op de pagina Werkmappen de wizard Nieuwe synchronisatieshare en klik op Volgende.

4. Selecteer op de pagina Server en Pad de server waarop de synchronisatieshare wordt gemaakt, voer een lokaal pad in waar de gegevens van Werkmappen worden opgeslagen en klik op Volgende.

   Als het pad niet bestaat, wordt u gevraagd het te maken. Klik op OK.

5. Selecteer op de pagina Structuur van gebruikersmappende optie Gebruikersalias en klik vervolgens op Volgende.

6. Voer op de pagina Naam van synchronisatieshare de naam voor de synchronisatieshare in. Voor het testvoorbeeld is dit WorkFolders. Klik op Volgende.

7. Voeg op de pagina Synchronisatietoegang de gebruikers of groepen toe die toegang hebben tot de nieuwe synchronisatieshare. Voor het testvoorbeeld verleent u toegang tot alle domeingebruikers. Klik op Volgende.

8. Selecteer op de pagina Pc-beveiligingsbeleidwerkmappen versleutelen en de pagina Automatisch vergrendelen en een wachtwoord vereisen. Klik op Volgende.

9. Klik op de bevestigingspagina op Maken om het configuratieproces te voltooien.

Werkmappen na configuratieactiviteiten

Voer de volgende extra stappen uit om het instellen van Werkmappen te voltooien:

• Het Werkmappen-certificaat verbinden met de SSL-poort

• Werkmappen configureren voor het gebruik van AD FS-verificatie

• Het Werkmappen-certificaat exporteren (als u een zelfondertekend certificaat gebruikt)

Het certificaat binden

Work Folders communiceert alleen via SSL en moet het zelfondertekende certificaat hebben dat u eerder hebt gemaakt (of uitgegeven door uw certificeringsinstantie) dat is gebonden aan de poort.

Er zijn twee methoden die u kunt gebruiken om het certificaat te binden aan de poort via Windows PowerShell: IIS-cmdlets en netsh.

Het certificaat binden met behulp van netsh

Als u het opdrachtregelprogramma voor netsh wilt gebruiken in Windows PowerShell, moet u de opdracht doorsluisen naar netsh. In het volgende voorbeeldscript wordt het certificaat met het onderwerp gevonden workfolders.contoso.com en wordt het gekoppeld aan poort 443 met behulp van netsh:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$guid = New-Guid
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={$guid} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

Het certificaat binden met behulp van IIS-cmdlets

U kunt het certificaat ook verbinden met de poort met behulp van IIS-beheer-cmdlets, die beschikbaar zijn als u de IIS-beheerhulpprogramma's en scripts hebt geïnstalleerd.

Opmerking

Installatie van de IIS-beheerhulpprogramma's schakelt niet de volledige versie van Internet Information Services (IIS) in op de computer met werkmappen; hiermee worden alleen de beheer-cmdlets ingeschakeld. Er zijn enkele mogelijke voordelen voor deze installatie. Als u bijvoorbeeld op zoek bent naar cmdlets die de functionaliteit bieden die u van netsh krijgt. Wanneer het certificaat is gebonden aan de poort via de New-WebBinding cmdlet, is de binding op geen enkele manier afhankelijk van IIS. Nadat u de binding hebt uitgevoerd, kunt u zelfs de functie Web-Mgmt-Console verwijderen en is het certificaat nog steeds gebonden aan de poort. U kunt de binding verifiëren via netsh door netsh http show sslcert te typen.

In het volgende voorbeeld wordt de cmdlet New-WebBinding gebruikt om het certificaat te vinden met het onderwerp workfolders.contoso.com en dit te binden aan poort 443:

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

AD FS-verificatie instellen

Volg deze stappen om Werkmappen te configureren voor het gebruik van AD FS voor verificatie:

1. Open Serverbeheer.

2. Klik op Servers en selecteer vervolgens uw Werkmappen-server in de lijst.

3. Klik met de rechtermuisknop op de servernaam en klik op Instellingen voor Werkmappen.

4. Selecteer Active Directory Federation Services in het venster Instellingen voor werkmappen en typ de URL van de Federation-service. Klik op Toepassen.

   In het testvoorbeeld is de URL https://blueadfs.contoso.com.

De cmdlet voor het uitvoeren van dezelfde taak via Windows PowerShell is:

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

Als u AD FS instelt met zelfondertekende certificaten, krijgt u mogelijk een foutbericht met de melding dat de URL van de Federation Service onjuist, onbereikbaar is of dat er geen relying party-vertrouwensrelatie is ingesteld.

Deze fout kan ook optreden als het AD FS-certificaat niet is geïnstalleerd op de werkmappen-server of als de CNAME voor AD FS niet juist is ingesteld. U moet deze problemen corrigeren voordat u doorgaat.

Het werkmappencertificaat exporteren

Het zelfondertekende Werkmappen-certificaat moet worden geëxporteerd, zodat u het later kunt installeren op de volgende computers in de testomgeving:

• De server die wordt gebruikt voor webtoepassingsproxy

• De Windows-client die lid is van een domein

• De windows-client die niet lid is van een domein

Als u het certificaat wilt exporteren, volgt u dezelfde stappen die u eerder hebt gebruikt om het AD FS-certificaat te exporteren, zoals beschreven in Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 2, AD FS-werk na configuratie, het AD FS-certificaat exporteren.

Volgende stap: Werkmappen implementeren met AD FS en webtoepassingsproxy: stap 4, Webtoepassingsproxy instellen

Zie ook

Overzicht van Werkmappen