使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾:步驟 3,設定工作資料夾
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
本主題描述使用 Active Directory 同盟服務 (AD FS) 和 Web 應用程式 Proxy 部署工作資料夾的第三個步驟。 您可以在下列主題中找到此程序中的其他步驟:
注意
本節涵蓋的指示適用於 Windows Server 2019 或 Windows Server 2016 環境。 如果您使用 Windows Server 2012 R2,請遵循 Windows Server 2012 R2 指示。
若要設定工作資料夾,請使用下列程序。
安裝前工作
若要安裝工作資料夾,您必須有已加入網域並執行 Windows Server 2016 的伺服器。 伺服器必須具有有效的網路設定。
針對測試範例,將要執行工作資料夾的電腦加入 Contoso 網域,並設定網路介面,如下列各節所述。
設定伺服器 IP 位址
將您的伺服器 IP 位址變更為靜態 IP 位址。 針對測試範例,請使用 IP 類別 A,也就是 192.168.0.170 / 子網路遮罩:255.255.0.0 / 預設閘道:192.168.0.1 / 慣用 DNS:192.168.0.150 (網域控制站的 IP 位址)。
建立工作資料夾的 CNAME 記錄
若要建立工作資料夾的 CNAME 記錄,請遵循下列步驟:
在網域控制站上開啟 [DNS 管理員]。
展開 [正向對應區域] 資料夾,以滑鼠右鍵按一下您的網域,然後按一下 [新增別名 (CNAME)]。
在 [新增資源記錄] 視窗中,於 [別名名稱] 欄位中輸入工作資料夾的別名。 在測試範例中,這是 workfolders。
在 [完整網域名稱] 欄位中,此值應該是 workfolders.contoso.com。
在 [目標主機的完整網域名稱] 欄位中,輸入工作資料夾伺服器的 FQDN。 在測試範例中,這是 2016-WF.contoso.com。
按一下 [確定]。
若要透過 Windows PowerShell 完成對等步驟,請使用下列命令。 命令必須在網域控制站上執行。
Add-DnsServerResourceRecord -ZoneName "contoso.com" -Name workfolders -CName -HostNameAlias 2016-wf.contoso.com
安裝 AD FS 憑證
使用下列步驟,將 AD FS 安裝期間建立的 AD FS 憑證安裝到本機電腦憑證存放區:
按一下 [開始],再按一下 [執行]。
輸入 MMC。
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [可用的嵌入式管理單元] 清單中,選取 [憑證],然後按一下 [新增]。 憑證嵌入式管理單元精靈隨即啟動。
選取 [電腦帳戶],然後按 [下一步]。
選取 [本機電腦 (正在執行此主控台的電腦)],然後按一下 [完成]。
按一下 [確定]。
展開資料夾 [主控台根目錄]\[憑證(本機電腦)]\[個人]\[憑證]。
使用滑鼠右鍵按一下 [憑證],按一下 [所有工作],然後按一下 [匯入]。
瀏覽至包含 AD FS 憑證的資料夾,並遵循精靈中的指示匯入檔案,並將它放在憑證存放區中。
展開資料夾 [主控台根目錄]\[憑證(本機電腦)]\[受信任的根憑證授權單位]\[憑證]。
使用滑鼠右鍵按一下 [憑證],按一下 [所有工作],然後按一下 [匯入]。
瀏覽至包含 AD FS 憑證的資料夾,遵循精靈中的指示匯入檔案,並將它放在受信任的根憑證授權單位憑證存放區中。
建立工作資料夾自我簽署憑證
若要建立工作資料夾自我簽署憑證,請遵循下列步驟:
下載使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾部落格文章中提供的指令碼,然後將檔案 makecert.ps1 複製到工作資料夾電腦。
使用系統管理員權限開啟 Windows PowerShell 視窗。
將執行原則設定為不受限制:
PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted變更至您複製指令碼的目錄。
執行 makeCert 指令碼:
PS C:\temp\scripts> .\makecert.ps1提示您變更主體憑證時,輸入主體的新值。 在此範例中,值為 workfolders.contoso.com。
提示您輸入主體別名 (SAN) 名稱時,請按 Y,然後輸入 SAN 名稱,一次一個。
在此範例中,輸入 workfolders.contoso.com,然後按 Enter。 然後輸入 2016-WF.contoso.com,並按 Enter。
輸入所有 SAN 名稱後,請在空白行上按 Enter。
提示您將憑證安裝至受信任的根憑證授權單位存放區時,請按 Y。
工作資料夾憑證必須是具有下列值的 SAN 憑證:
workfolders.domain
machine name.domain
在測試範例中,值為:
workfolders.contoso.com
2016-WF.contoso.com
安裝工作資料夾
若要安裝工作資料夾角色,請遵循下列步驟:
在伺服器管理員中,按一下 [新增角色及功能],然後按 [下一步]。
在 [安裝類型] 頁面上,選取 [角色型或功能型安裝],然後按 [下一步]。
在 [伺服器選取] 頁面上,選取目前的伺服器,然後按 [下一步]。
在 [伺服器角色] 頁面上,依序展開 [檔案和存放服務]、[檔案和 iSCSI 服務],然後選取 [工作資料夾]。
在 [新增角色和功能精靈] 頁面上,按一下 [新增功能],然後按 [下一步]。
在 [功能] 頁面上,按 [下一步]。
在 [確認] 頁面上,按一下 [安裝] 。
設定工作資料夾
若要設定工作資料夾,請遵循下列步驟:
開啟 [伺服器管理員] 。
選取 [檔案和存放服務],然後選取 [工作資料夾]。
在 [工作資料夾] 頁面上,啟動 [新增同步共用精靈],然後按 [下一步]。
在 [伺服器和路徑] 頁面上,選取將建立同步共用的伺服器,輸入將儲存工作資料夾資料的本機路徑,然後按 [下一步]。
如果該路徑不存在,將提示您建立路徑。 按一下 [確定]。
在 [使用者資料夾結構] 頁面上,選取 [使用者別名],然後按 [下一步]。
在 [同步共用名稱] 頁面上,輸入同步共用的名稱。 針對測試範例,這是 WorkFolders。 按一下 [下一步] 。
在 [同步存取] 頁面上,新增可存取新同步共用的使用者或群組。 針對測試範例,授與所有網域使用者的存取權。 按一下 [下一步] 。
在 [電腦安全性原則] 頁面上,選取 [加密工作資料夾] 和 [自動鎖定頁面,並要求輸入密碼]。 按一下 [下一步] 。
在 [確認] 頁面上,按一下 [建立] 以完成設定程序。
工作資料夾設定後工作
若要完成設定工作資料夾,請完成下列其他步驟:
將工作資料夾憑證繫結至 SSL 連接埠
設定工作資料夾以使用 AD FS 驗證
匯出工作資料夾憑證 (如果您使用自我簽署憑證)
繫結憑證
工作資料夾只會透過 SSL 進行通訊,而且必須將您稍早建立 (或您的憑證授權單位單位核發) 的自我簽署憑證繫結至連接埠。
有兩種方法可用來透過 Windows PowerShell 將憑證繫結至連接埠:IIS Cmdlet 和 netsh。
使用 netsh 繫結憑證
若要在 Windows PowerShell 中使用 netsh 命令列指令碼公用程式,您必須使用管線將命令傳送至 netsh。 下列範例指令碼會尋找具有主體 workfolders.contoso.com 的憑證,並使用 netsh 將其繫結至連接埠 443:
$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
" Error: unable to locate certificate for $($subject)"
Exit
}
使用 IIS Cmdlet 繫結憑證
您也可以使用 IIS 管理 Cmdlet 將憑證繫結至連接埠,如果您已安裝 IIS 管理工具和指令碼,Cmdlet 將可供使用。
注意
安裝 IIS 管理工具不會在工作資料夾電腦上啟用 Internet Information Services (IIS) 的完整版本;它只會啟用管理 Cmdlet。 此設定有一些可能的優點。 例如,如果您要尋找 Cmdlet 來提供您從 netsh 取得的功能。 當憑證透過 New-WebBinding Cmdlet 繫結至連接埠時,繫結不會以任何方式相依於 IIS。 執行繫結之後,您甚至可以移除 Web-Mgmt-Console 功能,而且憑證仍會繫結至連接埠。 您可以輸入 netsh http show sslcert,透過 netsh 驗證繫結。
下列範例會使用 New-WebBinding Cmdlet 尋找具有主體 workfolders.contoso.com 的憑證,並使用 netsh 將其繫結至連接埠 443:
$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
" Error: unable to locate certificate for $($subject)"
Exit
}
設定 AD FS 驗證
若要設定工作資料夾以使用 AD FS 進行驗證,請遵循下列步驟:
開啟 [伺服器管理員] 。
按一下 [伺服器],然後在清單中選取您的工作資料夾伺服器。
以滑鼠右鍵按一下伺服器名稱,然後按一下 [工作資料夾設定]。
在 [工作資料夾設定] 視窗中,選取 [Active Directory 同盟服務],然後輸入 同盟服務 URL。 按一下 套用。
在測試範例中,URL 為 https://blueadfs.contoso.com。
透過 Windows PowerShell 完成相同工作的 Cmdlet 為:
Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"
如果您使用自我簽署憑證來設定 AD FS,您可能會收到錯誤訊息,指出同盟服務 URL 不正確、無法連線,或尚未設定信賴憑證者信任。
如果未在工作資料夾伺服器上安裝 AD FS 憑證,或未正確設定 AD FS 的 CNAME,也可能會發生此錯誤。 您必須先修正這些問題,才能繼續。
匯出工作資料夾憑證
必須匯出自我簽署的工作資料夾憑證,以便稍後在測試環境中的下列電腦上安裝它:
用於 Web 應用程式 Proxy 的伺服器
已加入網域的 Windows 用戶端
未加入網域的 Windows 用戶端
若要匯出憑證,請遵循您先前用來匯出 AD FS 憑證的相同步驟,如使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾:步驟 2,AD FS 設定後工作,匯出 AD FS 憑證中所述。
下一個步驟:使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾:步驟 4,設定 Web 應用程式 Proxy