搭配 AD FS 與 Web 應用程式 Proxy 部署工作資料夾︰步驟 1 設定 AD FS
適用于: Windows server 2022、Windows Server 2019、Windows Server 2016
本主題說明使用 Active Directory 同盟服務 (AD FS) 和 Web 應用程式 Proxy 部署工作資料夾的第一個步驟。 您可以在這些主題中找到這個程序的其他步驟︰
注意
本節所涵蓋的指示適用于 Windows Server 2019 或 Windows Server 2016 環境。 如果您使用 Windows Server 2012 R2,請依照 Windows Server 2012 R2 指示。
若要設定 AD FS 以搭配使用工作資料夾,請使用下列程序。
預先分期付款工作
如果您打算利用這些指示將您要設定的測試環境轉換為生產,在您開始之前有兩件事您可能需要執行︰
設定 Active Directory 系統管理員帳戶,以用來執行 AD FS 服務。
取得伺服器驗證用的安全通訊端層 (SSL) 主體別名 (SAN) 憑證。 對於測試範例,您將使用自我簽署憑證,但對於生產您應該使用公開信任憑證。
依據貴公司的原則而定,取得這些項目可能需要一些時間,所以在您開始建立測試環境之前,先展開項目的請求程序可能比較有利於您的作業。
您可以從許多商業憑證授權單位購買憑證。 您可以在知識庫 931125 中找到 Microsoft所受信任的 CA 清單。 另一個方法是從您公司的企業 CA 取得憑證。
對於測試環境,您將使用由所提供的指令碼之一建立的自我簽署憑證。
注意
AD FS 不支援新一代密碼編譯 (CNG) 憑證,這表示您無法使用 Windows PowerShell Cmdlet new-selfsignedcertificate 來建立自我簽署憑證。 不過,您可以使用搭配 AD FS 與 Web 應用程式 Proxy 部署工作資料夾部落格文章內所含的 makecert.ps1 指令碼。 此腳本會建立可搭配 AD FS 使用的自我簽署憑證,並提示您提供建立憑證所需的 SAN 名稱。
接著,執行以下區段中所述的其他預先安裝工作。
建立 AD FS 自我簽署憑證
若要建立 AD FS 自我簽署憑證,請依照下列步驟執行︰
下載搭配 AD FS 與 Web 應用程式 Proxy 部署工作資料夾部落格文章中提供的指令碼,然後將檔案 makecert.ps1 複製到 AD FS 電腦。
以系統管理員權限開啟 Windows PowerShell 視窗。
將執行原則設為不受限制︰
Set-ExecutionPolicy –ExecutionPolicy Unrestricted
變更至複製指令碼的目錄。
執行 makecert 指令碼:
.\makecert.ps1
當系統提示您變更主體憑證時,請輸入主體的新值。 在此範例中,該值為 blueadfs.contoso.com。
當系統提示您輸入 SAN 名稱時,請按下 Y 鍵,然後輸入 SAN 名稱 (一次輸入一個)。
例如,輸入 blueadfs.contoso.com 並按 Enter 鍵,然後輸入 2016-adfs.contoso.com 並按 Enter 鍵,再輸入 enterpriseregistration.contoso.com 並按 Enter 鍵。
在輸入所有的 SAN 名稱後,在空白行上按 Enter 鍵。
當系統提示您將憑證安裝至受信任的根憑證授權單位存放區時,按下 Y 鍵。
AD FS 憑證必須是具有下列值的 SAN 憑證︰
AD FS service name.domain
enterpriseregistration.domain
AD FS server name.domain
在測驗範例中,這些值為︰
blueadfs.contoso.com
enterpriseregistration.contoso.com
2016-adfs.contoso.com
Workplace Join 需要 enterpriseregistration SAN。
設定伺服器 IP 位址
將伺服器 IP 位址變更為靜態 IP 位址。 針對測試範例,請使用 IP 類別 A,也就是 192.168.0.160/子網路遮罩: 255.255.0.0/預設閘道: 192.168.0.1/慣用 DNS: 192.168.0.150 (網域控制站) 的 IP 位址。
安裝 AD FS 角色服務
若要安裝,請依照下列步驟執行:
登入您打算安裝 AD FS 的實體或虛擬機器,開啟 \[伺服器管理員\],然後啟動 \[新增角色及功能精靈\]。
在 \[伺服器角色\] 頁面上,選取 \[Active Directory 同盟服務\],然後按 \[下一步\]。
在 \[Active Directory 同盟服務 (AD FS)\] 頁面上,您會看到一則訊息表示 Web 應用程式 Proxy 角色無法安裝在與 AD FS 同一部電腦上。 按 [下一步] 。
在確認頁面上,按一下 \[安裝\]。
若要透過 Windows PowerShell 完成相同安裝的 AD FS,請使用下列命令︰
Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools
設定 AD FS
接下來,使用伺服器管理員或 Windows PowerShell 設定 AD FS。
使用伺服器管理員設定 AD FS
若要使用伺服器管理員設定 AD FS,請依照下列步驟執行︰
開啟 [伺服器管理員]。
在 \[伺服器管理員\] 視窗上方,按一下 \[通知\] 旗標,然後按一下 \[設定此伺服器上的 Federation Service\].。
\[Active Directory 同盟服務設定精靈\] 隨即啟動。 在 \[連線到 AD DS\] 頁面上,輸入您想要用作 AD FS 帳戶的網域管理員帳戶,然後按 \[下一步\]。
在 \[指定服務內容\] 頁面上,輸入 SSL 憑證的主體名稱,以用於 AD FS 通訊。 在測驗範例中,這是 blueadfs.contoso.com。
輸入同盟服務名稱。 在測驗範例中,這是 blueadfs.contoso.com。 按一下 [下一步] 。
注意
同盟服務名稱不得使用環境中現有伺服器的名稱。 如果您使用現有伺服器的名稱,AD FS 安裝就會失敗且必須重新開始。
在 \[指定服務帳戶\] 頁面上,輸入您想要用於受管理服務帳戶的名稱。 對於測試範例,選取 \[建立群組受管理的服務帳戶\],並在 \[帳戶名稱\] 中輸入 ADFSService。 按 [下一步] 。
在 [指定設定資料庫] 頁面上,選取 [使用 Windows 內部資料庫在這部伺服器上建立資料庫],然後按[下一步]。
\[檢閱選項\] 頁面會顯示您所選擇的選項的概觀。 按 [下一步] 。
\[先決條件檢查\] 頁面會指出所有必要條件是否成功通過檢查。 如果沒有任何問題,請按一下 \[設定\]。
注意
如果您用了 AD FS 伺服器或同盟服務的任何其他現有電腦的名稱,則會顯示錯誤訊息。 您必須從頭開始安裝,然後選擇現有電腦名稱以外的名稱。
設定成功完成時,\[結果\] 頁面會確認 AD FS 已成功設定。
使用 PowerShell 設定 AD FS
若要透過 Windows PowerShell 完成 AD FS 的相等設定,請使用下列命令。
若要安裝 AD FS:
Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools
若要建立受管理服務帳戶︰
New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com
在您設定 AD FS 之後,您必須使用您在上一個步驟所建立的受管理服務帳戶,以及您在預先設定步驟中建立的憑證,設定 AD FS 陣列。
若要設定 AD FS 陣列︰
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop
後續步驟:搭配 AD FS 與 Web 應用程式 Proxy 部署工作資料夾︰步驟 2 AD FS 後續設定工作