使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 2，AD FS 后期配置工作

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

本主题介绍使用 Active Directory 联合身份验证服务 (AD FS) 和 Web 应用程序代理部署工作文件夹的第二个步骤。 你可以在这些主题中查找这一过程的其他步骤：

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：概述

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 1，设置 AD FS

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 3，设置工作文件夹

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 4，设置 Web 应用程序代理

• 使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 5，设置客户端

注意

本节中包含的说明适用于 Windows Server 2019 或 Windows Server2016 环境。 如果你使用的是 Windows Server 2012 R2，请遵循 Windows Server 2012 R2 说明。

在步骤 1 中，你安装并配置了 AD FS。 现在，你需要对 AD FS 执行以下配置后步骤。

配置 DNS 条目

你必须为 AD FS 创建两个 DNS 条目。 这些条目就是你在创建使用者备用名称 (SAN) 证书时在预安装步骤中使用的两个条目。

DNS 条目的格式如下：

• AD FS service name.domain

• enterpriseregistration.domain

• AD FS 服务器名称.domain（DNS 条目应当已存在，例如 2016-ADFS.contoso.com）

在测试示例中，这些值为：

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

为 AD FS 创建 A 和 CNAME 记录

要为 AD FS 创建 A 和 CNAME 记录，请遵循下列步骤：

1. 在域控制器上，打开 DNS 管理器。

2. 展开“正向查找区域”文件夹，右键单击你的域，然后选择新建主机 (A)。

3. 新建主机窗口随即打开。 在名称字段中，输入 AD FS 服务名称的别名。 在测验示例中，别名为 blueadfs。

   别名必须与用于 AD FS 的证书中的主题相同。 例如，如果主题是 adfs.contoso.com，则此处输入的别名将为 adfs。

   重要

   使用 Windows Server 用户界面 (UI) 而不是 Windows PowerShell 设置 AD FS 时，必须为 AD FS 创建 A 记录而不是 CNAME 记录。 原因是通过 UI 创建的服务主体名称 (SPN) 仅包含用于将 AD FS 服务设置为主机的别名。

4. 在 IP 地址中，输入 AD FS 服务器上的 IP 地址。 在测试示例中，这是 192.168.0.160。 单击“添加主机”。

5. 在“正向查找区域”文件夹中，再次右键单击你的域，然后选择新别名 (CNAME)。

6. 在新资源记录窗口中添加别名 enterpriseregistration 并输入 AD FS 服务器的 FQDN。 此别名用于 Device Join，必须称为 enterpriseregistration。

7. 单击“确定”。

要通过 Windows PowerShell 完成相同的步骤，请使用以下命令。 该命令必须在域控制器上执行。

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

为工作文件夹设置 AD FS 信赖方信任

即使工作文件夹尚未设置，也可以设置和配置工作文件夹的信赖方信任。 必须设置信赖方信任，以使工作文件夹能够使用 AD FS。 因为你正在设置 AD FS，因此，现在是执行这个步骤的好时机。

若要设置信赖方信任：

1. 打开服务器管理器，在工具菜单上，选择 AD FS 管理。

2. 在右侧窗格的操作下，单击添加信赖方信任。

3. 在欢迎页上，选择声明感知，然后单击开始。

4. 在选择数据源页上，选择手动输入信赖方数据，然后单击下一步。

5. 在显示名称字段中，输入 WorkFolders，然后单击下一步。

6. 在配置证书页上，单击下一步。 令牌加密证书是可选的，并且不需要测试配置。

7. 在配置 URL 页上，单击下一步。

8. 在“配置标识符”页上，添加以下标识符：https://windows-server-work-folders/V1。 此标识符是工作文件夹使用的硬编码值，并在与 AD FS 通信时由工作文件夹服务发送。 单击“下一步”。

9. 在“选择访问控制策略”页上，选择允许所有人，然后单击下一步。

10. 在“准备好添加信任”页面上，单击“下一步”。

11. 配置完成后，向导的最后一页会指示配置成功。 选中用于编辑声明规则的复选框，然后单击关闭。

12. 在 AD FS 管理单元中，选择 WorkFolders 信赖方信任，然后单击“操作”下的编辑声明颁发策略。

13. 编辑 WorkFolders 的声明颁发策略窗口随即打开。 单击 “添加规则” 。

14. 在声明规则模板下拉列表中，选择以声明方式发送 LDAP 特性，然后单击下一步。

15. 在配置声明规则页上，在声明规则名称字段中，输入 WorkFolders。

16. 在属性存储下拉列表中，选择 Active Directory。

17. 在映射表中，输入以下值：

    • 用户主体名称：UPN

    • 显示名称：名称

    • 姓氏：姓氏

    • 名字：名字

18. 单击“完成”。 你将在“颁发转换规则”选项卡上看到 WorkFolders 规则，然后单击确定。

设置信赖方信任选项

在为 AD FS 设置信赖方信任之后，必须在 Windows PowerShell 中运行五个命令来完成配置。 这些命令设置工作文件夹与 AD FS 成功通信所需的选项，无法通过 UI 进行设置。 这些选项包括：

• 支持使用 JSON Web 令牌 (JWT)

• 禁用加密声明

• 启用自动更新

• 为所有设备设置颁发 Oauth 刷新令牌。

• 将客户端访问权限授予信赖方信任

若要设置这些选项，请使用以下命令：

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

启用 Workplace Join

启用 Workplace Join 是可选的，但是当你希望用户能够使用其个人设备访问工作区资源时，这可能十分有用。

要为 Workplace Join 启用设备注册，必须运行以下 Windows PowerShell 命令，这些命令将配置设备注册并设置全局身份验证策略：

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

导出 AD FS 证书

接下来，导出自签名证书，以便它可以安装在测试环境中的以下计算机上：

• 用于工作文件夹的服务器

• 用于 Web 应用程序代理的服务器

• 加入域的 Windows 客户端

• 未加入域的 Windows 客户端

要导出证书，请按照下列步骤操作：

1. 单击 “启动” ，再单击 “运行” 。

2. 键入 MMC。

3. 在“文件” 菜单上，单击“添加/删除管理单元” 。

4. 在可用的管理单元列表中，单击证书，然后单击添加。 证书管理单元向导启动。

5. 选择“计算机帐户”，然后单击“下一步”。

6. 选择本地计算机：（运行此控制台的计算机），然后单击完成。

7. 单击“确定”。

8. 展开文件夹“Console Root\Certificates(Local Computer)\Personal\Certificates”。

9. 右键单击 AD FS 证书，单击所有任务，然后单击导出...。

10. 此时会打开“证书导出向导”。 选择是，导出私钥。

11. 在导出文件格式页上，选择默认选项，然后单击下一步。

12. 为证书创建密码。 这是以后在将证书导入其他设备时使用的密码。 单击“下一步”。

13. 输入证书的位置和名称，然后单击完成。

将在后面的部署过程中介绍证书的安装。

管理私钥设置

你必须授予 AD FS 服务帐户权限才能访问新证书的私钥。 当更换已过期的通信证书时，你需要再次授予此权限。 若要授予权限，请遵循下列步骤：

1. 单击 “启动” ，再单击 “运行” 。

2. 键入 MMC。

3. 在“文件” 菜单上，单击“添加/删除管理单元” 。

4. 在可用的管理单元列表中，单击证书，然后单击添加。 证书管理单元向导启动。

5. 选择“计算机帐户”，然后单击“下一步”。

6. 选择本地计算机：（运行此控制台的计算机），然后单击完成。

7. 单击“确定”。

8. 展开文件夹“Console Root\Certificates(Local Computer)\Personal\Certificates”。

9. 右键单击 AD FS 证书，单击所有任务，然后单击管理私钥。

10. 在权限窗口中，单击添加。

11. 在对象类型上，选择服务帐户，然后单击确定。

12. 键入运行 AD FS 的帐户的名称。 在测验示例中，名称为 ADFSService。 单击“确定”。

13. 在权限窗口中，至少将读取权限给予帐户，然后单击确定。

如果没有管理私钥的选项，则可能需要运行以下命令：certutil -repairstore my *

验证 AD FS 是否可运行

若要验证 AD FS 是否正常运行，请打开浏览器窗口并转到 https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml（请更改 URL 以匹配你的环境）。

浏览器窗口将显示联合服务器元数据，而不进行任何格式化。 如果你可以看到数据没有任何 SSL 错误或警告，则你的联合服务器可以运行。

下一步：使用 AD FS 和 Web 应用程序代理部署工作文件夹：步骤 3，设置工作文件夹

另请参阅

工作文件夹概述