Implementación de Carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 1: Configuración de AD FS

En este tema se describe el primer paso para implementar Carpetas de trabajo con Servicios de federación de Active Directory (AD FS) y Proxy de aplicación web. Puede encontrar los otros pasos de este proceso en estos temas:

• Implementación de Carpetas de trabajo con AD FS y Proxy de aplicación web: Introducción

• Implementación de Carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 2: Trabajo posterior a la configuración de AD FS

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 3: Configurar carpetas de trabajo

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web, Paso 4: Configurar Proxy de aplicación web

• Implementar carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 5: Configurar clientes

Nota

Las instrucciones que se describen en esta sección son para un entorno de Windows Server 2019 o Windows Server 2016. Si usa Windows Server 2012 R2, siga las instrucciones de Windows Server 2012 R2.

Para configurar AD FS para su uso con Carpetas de trabajo, use los procedimientos siguientes.

Trabajo previo a la instalación

Si piensa convertir el entorno de prueba que está configurando con estas instrucciones en producción, hay dos cosas que puede que desee hacer antes de empezar:

• Configure una cuenta de administrador de dominio de Active Directory que se usará para ejecutar el servicio AD FS.

• Obtenga un certificado de nombre alternativo de sujeto (SAN) de Capa de sockets seguros (SSL) para la autenticación del servidor. Para el ejemplo de prueba, usará un certificado autofirmado, pero debe usar un certificado de confianza pública en producción.

La obtención de estos elementos puede llevar algún tiempo, en función de las directivas de su empresa, por lo que puede ser beneficioso iniciar el proceso de solicitud de los elementos antes de empezar a crear el entorno de prueba.

Hay muchas entidades de certificación (CA) comerciales de las que puede comprar el certificado. Puede encontrar una lista de las CA de confianza de Microsoft en el artículo de KB 931125. Otra alternativa es obtener un certificado de la entidad de certificación empresarial de su compañía.

En el entorno de prueba, usará un certificado autofirmado creado por uno de los scripts proporcionados.

Nota

AD FS no admite certificados Cryptography Next Generation (CNG), lo que significa que no se puede crear el certificado autofirmado mediante el cmdlet New-SelfSignedCertificate de Windows PowerShell. Sin embargo, puede usar el script makecert.ps1 incluido en la entrada de blog Deploying Work Folders with AD FS and Web Application Proxy (Implementación de Carpetas de trabajo con AD FS y Proxy de aplicación web). Este script crea un certificado autofirmado que funciona con AD FS y solicita los nombres de SAN necesarios para crear el certificado.

A continuación, realice el trabajo previo a la instalación adicional que se describe en las secciones siguientes.

Creación de un certificado autofirmado de AD FS

Para crear un certificado autofirmado de AD FS, siga estos pasos:

1. Descargue los scripts proporcionados en la entrada de blog Deploying Work Folders with AD FS and Web Application Proxy (Implementación de Carpetas de trabajo con AD FS y Proxy de aplicación web) y, a continuación, copie el archivo makecert.ps1 en la máquina de AD FS.

2. Abra la ventana de Windows PowerShell con privilegios de administrador.

3. Establezca la directiva de ejecución en “unrestricted” (sin restricciones):

   Set-ExecutionPolicy –ExecutionPolicy Unrestricted
   

4. Cambie al directorio en el que copió el script.

5. Ejecute el script makecert:

   .\makecert.ps1
   

6. Cuando se le pida que cambie el certificado del firmante, escriba el nuevo valor del firmante. En este ejemplo, el valor es blueadfs.contoso.com.

7. Cuando se le pida que escriba nombres alternativos del firmante (SAN), presione Y. A continuación, escriba los SAN uno por uno.

   En este ejemplo, escriba blueadfs.contoso.com y presione Entrar, después escriba 2016-adfs.contoso.com y presione Entrar, y después escriba enterpriseregistration.contoso.com y presione Entrar.

   Cuando se hayan especificado todos los SAN, presione Entrar en una línea vacía.

8. Cuando se le pida que instale los certificados en el almacén de entidades de certificación raíz de confianza, presione Y.

El certificado de AD FS debe ser un certificado SAN con los siguientes valores:

• nombre de dominio de AD FS.dominio

• registroempresa.dominio

• nombre de servidor de AD FS.dominio

En el ejemplo de prueba, los valores son:

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

• 2016-adfs.contoso.com

El SAN registroempresa es necesario en Workplace Join.

Establecimiento de la dirección IP del servidor

Cambie la dirección IP del servidor a una dirección IP estática. Para el ejemplo de prueba, use una IP de clase A, que es 192.168.0.160 / máscara de subred: 255.255.0.0 / puerta de enlace predeterminada: 192.168.0.1 / DNS preferido: 192.168.0.150 (la dirección IP del controlador de dominio).

Instalación del servicio de rol de AD FS

Para instalar AD FS, siga estos pasos:

1. Inicie sesión en la máquina física o virtual en la que planea instalar AD FS, abra Administrador del servidor e inicie el Asistente para agregar roles y características.

2. En la página Roles de servidor, seleccione el rol Servicios de federación de Active Directory y, a continuación, Siguiente.

3. En la página Servicios de federación de Active Directory (AD FS), verá un mensaje que indica que el rol Proxy de aplicación web no se puede instalar en el mismo equipo que AD FS. Haga clic en Next.

4. En la página de confirmación, haga clic en Instalar.

Para realizar la instalación equivalente de AD FS mediante Windows PowerShell, use estos comandos:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

Configurar AD FS

A continuación, configure AD FS mediante el Administrador del servidor o Windows PowerShell.

Configuración de AD FS mediante el Administrador del servidor

Para configurar AD FS mediante el Administrador del servidor, siga estos pasos:

1. Abra el Administrador del servidor.

2. Haga clic en la marca Notificaciones en la parte superior de la ventana del Administrador del servidor y, a continuación, haga clic en Configurar el servicio de federación en este servidor.

3. Se inicia el Asistente para configuración de Servicios de federación de Active Directory. En la página Conectar a AD DS, escriba la cuenta de administrador de dominio que desea usar como cuenta de AD FS y haga clic en Siguiente.

4. En la página Especificar propiedades del servicio, escriba el nombre del firmante del certificado SSL que se usará para la comunicación de AD FS. En el ejemplo de prueba, se trata de blueadfs.contoso.com.

5. Escriba el nombre del servicio de federación. En el ejemplo de prueba, se trata de blueadfs.contoso.com. Haga clic en Next.

   Nota

   El nombre del servicio de federación no debe usar el nombre de un servidor que ya exista en el entorno. Si usa el nombre de un servidor existente, se producirá un error en la instalación de AD FS y se debe reiniciar.

6. En la página Especificar cuenta de servicio, escriba el nombre que desea usar para la cuenta de servicio administrada. Para el ejemplo de prueba, seleccione Crear una cuenta de servicio administrada de grupo y, en Nombre de cuenta, escriba ADFSService. Haga clic en Next.

7. En la página Especificar base de datos de configuración, seleccione Crear una base de datos en este servidor que usa Windows Internal Databasey haga clic en Siguiente.

8. La página Opciones de revisión muestra una visión general de las opciones que ha seleccionado. Haga clic en Next.

9. La página Comprobaciones de requisitos previos indica si todas las comprobaciones de requisitos previos se han superado correctamente. Si no hay problemas, haga clic en Configurar.

   Nota

   Si usó el nombre del servidor de AD FS o cualquier otra máquina existente como nombre del Servicio de federación, se mostrará un mensaje de error. Debe iniciar la instalación y elegir un nombre distinto del nombre de una máquina existente.

10. Cuando la configuración se completa correctamente, la página Resultados confirma que AD FS se configuró correctamente.

Configuración de AD FS mediante PowerShell

Para realizar la configuración equivalente de AD FS a través de Windows PowerShell, use los siguientes comandos.

Para instalar AD FS:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

Para crear la cuenta de servicio administrada:

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

Después de configurar AD FS, debe configurar una granja de AD FS mediante la cuenta de servicio administrada que creó en el paso anterior y el certificado que creó en los pasos de configuración previa.

Para configurar una granja de servidores de AD FS:

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

Paso siguiente: Implementación de Carpetas de trabajo con AD FS y Proxy de aplicación web. Paso 2: Trabajo posterior a la configuración de AD FS

Vea también

Introducción a Carpetas de trabajo