使用 AD FS 和 Web 應用程式 Proxy部署工作資料夾:步驟 1 設定 AD FS
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
本主題描述使用 Active Directory 同盟服務 部署工作資料夾的第一個步驟(AD FS) 和 Web 應用程式 Proxy。 您可以在下列主題中找到此程序中的其他步驟:
注意
本節涵蓋的指示適用於 Windows Server 2019 或 Windows Server 2016 環境。 如果您使用 Windows Server 2012 R2,請遵循 Windows Server 2012 R2 指示。
若要設定 AD FS 以搭配工作資料夾使用,請使用下列程式。
安裝前工作
如果您想要將這些指示設定的測試環境轉換為生產環境,在開始之前,您可能會想要執行兩件事:
設定 Active Directory 網域系統管理員帳戶,以用來執行 AD FS 服務。
取得伺服器驗證的安全通訊端層 (SSL) 主體別名 (SAN) 憑證。 針對測試範例,您將使用自我簽署憑證,但針對生產環境,您應該使用公開信任的憑證。
取得這些專案可能需要一些時間,視公司的原則而定,因此在您開始建立測試環境之前,啟動專案的要求程式會很有説明。
您可以從中購買憑證的許多商業憑證授權單位單位(CA)。 您可以在知識庫文章931125 中找到 Microsoft 信任的 CA 清單。 另一個替代方法是從貴公司的企業 CA 取得憑證。
針對測試環境,您將使用由其中一個提供的腳本所建立的自我簽署憑證。
注意
AD FS 不支援新一代密碼編譯 (CNG) 憑證,這表示您無法使用 Windows PowerShell Cmdlet New-SelfSignedCertificate 建立自我簽署憑證。 不過,您可以使用使用 AD FS 和 Web 應用程式 Proxy 部落格文章部署工作資料夾中包含的 makecert.ps1 腳本。 此腳本會建立可與 AD FS 搭配運作的自我簽署憑證,並提示建立憑證所需的 SAN 名稱。
接下來,執行下列各節所述的其他分期前工作。
建立 AD FS 自我簽署憑證
若要建立 AD FS 自我簽署憑證,請遵循下列步驟:
下載使用 AD FS 和 Web 部署工作資料夾中提供的 腳本,應用程式 Proxy 部落格文章,然後將檔案 makecert.ps1 複製到 AD FS 電腦。
使用系統管理員權限開啟 Windows PowerShell 視窗。
將執行原則設定為不受限制:
Set-ExecutionPolicy –ExecutionPolicy Unrestricted變更至您複製指令碼的目錄。
執行 makecert 腳本:
.\makecert.ps1提示您變更主體憑證時,輸入主體的新值。 在此範例中,值為 blueadfs.contoso.com 。
當系統提示您輸入 SAN 名稱時,請按 Y,然後輸入 SAN 名稱,一次一個。
在此範例中,輸入 blueadfs.contoso.com 然後按 Enter,然後輸入 2016-adfs.contoso.com 然後按 Enter,然後輸入 enterpriseregistration.contoso.com 然後按 Enter。
輸入所有 SAN 名稱後,請在空白行上按 Enter。
提示您將憑證安裝至受信任的根憑證授權單位存放區時,請按 Y。
AD FS 憑證必須是具有下列值的 SAN 憑證:
AD FS service name.domain
enterpriseregistration.domain
AD FS 伺服器名稱.domain
在測試範例中,值為:
blueadfs.contoso.com
enterpriseregistration.contoso.com
2016-adfs.contoso.com
Workplace Join 需要 enterpriseregistration SAN。
設定伺服器 IP 位址
將您的伺服器 IP 位址變更為靜態 IP 位址。 針對測試範例,請使用 IP 類別 A,也就是 192.168.0.160 / 子網路遮罩:255.255.0.0 / 預設閘道:192.168.0.1 / 慣用 DNS:192.168.0.150 (網域控制站的 IP 位址)。
安裝 AD FS 角色服務
若要安裝 AD FS,請遵循下列步驟:
登入您打算安裝 AD FS 的實體或虛擬機器,開啟 伺服器管理員 ,然後啟動 [新增角色和功能精靈]。
在 [ 伺服器角色] 頁面上,選取 Active Directory 同盟服務 角色,然後按 [ 下一步 ]。
在 [Active Directory 同盟服務 (AD FS) 頁面上,您會看到一則訊息,指出 Web 應用程式 Proxy 角色無法安裝在與 AD FS 相同的電腦上。 按一下 [下一步] 。
按一下 確認頁面上的 [安裝 ]。
若要透過 Windows PowerShell 完成 AD FS 的對等安裝,請使用下列命令:
Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools
設定 AD FS
接下來,使用 伺服器管理員 或 Windows PowerShell 設定 AD FS。
使用 伺服器管理員 設定 AD FS
若要使用 伺服器管理員 設定 AD FS,請遵循下列步驟:
開啟 [伺服器管理員] 。
按一下伺服器管理員視窗頂端的 [通知] 旗標,然後按一下 [在此伺服器上 設定同盟服務]。
Active Directory 同盟服務設定精靈隨即啟動。 在 [ 連線至 AD DS ] 頁面上,輸入您想要作為 AD FS 帳戶使用的網域系統管理員帳戶,然後按 [下一步 ]。
在 [ 指定服務屬性] 頁面上,輸入要用於 AD FS 通訊之 SSL 憑證的主體名稱。 在測試範例中,這是 blueadfs.contoso.com。
輸入同盟服務名稱。 在測試範例中,這是 blueadfs.contoso.com。 按一下 [下一步] 。
注意
同盟服務名稱不得使用環境中現有伺服器的名稱。 如果您使用現有伺服器的名稱,AD FS 安裝將會失敗,而且必須重新開機。
在 [ 指定服務帳戶 ] 頁面上,輸入您想要用於受控服務帳戶的名稱。 針對測試範例,選取 [建立群組受控服務帳戶],然後在 [帳戶 名稱 ] 中 輸入 ADFSService 。 按一下 [下一步] 。
在 [ 指定組態資料庫] 頁面上,選取 [使用Windows 內部資料庫 在此伺服器上建立資料庫],然後按 [ 下一步 ]。
[ 檢閱選項 ] 頁面會顯示您所選取選項的概觀。 按一下 [下一步] 。
[ 必要條件檢查 ] 頁面會指出所有必要條件檢查是否已順利通過。 如果沒有問題,請按一下 [ 設定 ]。
注意
如果您使用 AD FS 伺服器的名稱或任何其他現有電腦作為同盟服務名稱,則會顯示錯誤訊息。 您必須開始安裝,並選擇現有電腦名稱稱以外的名稱。
設定成功完成時,[ 結果 ] 頁面會確認 AD FS 已成功設定。
使用 PowerShell 設定 AD FS
若要透過 Windows PowerShell 完成 AD FS 的對等設定,請使用下列命令。
若要安裝 AD FS:
Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools
若要建立受控服務帳戶:
New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com
設定 AD FS 之後,您必須使用您在上一個步驟中建立的受控服務帳戶,以及您在預先設定步驟中建立的憑證來設定 AD FS 伺服器陣列。
若要設定 AD FS 伺服器陣列:
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop
下一個步驟: 使用 AD FS 和 Web 應用程式 Proxy部署工作資料夾:步驟 2,AD FS 設定後工作