Lesezeit
3 Minuten
Seite 2 - Active Directory-Verbunddienste und Workplace Join
ADFS als Serverrolle installieren
Haben Sie alle Vorbereitungen getroffen, installieren Sie ADFS als Serverrolle auf dem ADFS-Server. Dazu installieren Sie über "Verwalten / Rollen" und "Features hinzufügen" den Rollendienst "Active Directory-Verbunddienste". Während der Installation müssen Sie keine Einstellungen vornehmen. Sie installieren, wie bei den Active Directory-Domänendiensten, nur die Systemdateien. Nachdem die Installation abgeschlossen ist, richten Sie über das Benachrichtigungscenter des Server-Managers die Infrastruktur im Netzwerk ein:
Bild 2: Die Konfiguration der Diensteigenschaften von ADFS auf dem ADFS-Server
erfolgt nach der Installation der Serverrolle.
Geräteregistrierung konfigurieren
Sobald die ADFS-Infrastruktur konfiguriert ist, müssen Sie die Geräteregistrierung auf dem ADFS-Server einrichten. Dazu öffnen Sie eine PowerShell-Sitzung und geben den folgenden Befehl ein:
Bild 3: Die Aktivierung der Geräteregistrierung für ADFS ist für die Verwendung von Workplace Join notwendig.
Einrichten einer Beispiel-Webanwendung für ADFS
Um den Nutzen von ADFS und Workplace Join mit Windows 8.1 zu testen, eignet sich am besten eine Webanwendung auf einem Server mit IIS 8.5. Sie konfigurieren die Webanwendung so, dass Anwender mit Windows 8.1 auf die Webanwendung zugreifen können, auch ohne dass der entsprechende PC oder das Notebook Mitglied der Domäne ist.
Microsoft stellt eine solche Webanwendung über das Windows Identity Foundation SDK kostenlos zur Verfügung [1]. Außerdem benötigen Sie für die Installation der notwendigen Rollen die Windows Server 2012 R2-Installations-DVD.
Um den Server zu testen, müssen Sie zunächst auf einem anderen Server als den ADFS-Server die Serverrolle "Webserver" und "Webserver / Anwendungsentwicklung / ASP.NET 3.5" installieren. Lassen Sie auch die dazugehörigen Features installieren, die der Assistent vorschlägt.
Auf der Seite "Features auswählen" im Rahmen der Installation des Webservers müssen Sie noch das Serverfeature "Windows Identity Foundation 3.5" auswählen. Haben Sie alle Features festgelegt, geben Sie auf der letzten Seite noch den Speicherort der Installationsdateien an. Dazu klicken Sie auf den Link "Alternativen Quellpfad angeben" und wählen dann den Datenträger mit der Windows Server 2012 R2-Installations-DVD und das Unterverzeichnis "sources\sxs". Nach der Installation des Webservers spielen Sie als Nächstes das Windows Identity Foundation SDK auf. Danach installieren Sie auf dem Webserver ein SSL-Zertifikat für den Webserver. Das Zertifikat muss als CN den FQDN des Webservers aufweisen und von der internen Zertifizierungsstelle stammen.
Haben Sie alle Vorbereitungen des vorangegangenen Abschnittes durchgeführt, kopieren Sie die Beispielanwendung aus dem Installationsverzeichnis des Windows Identity Foundation SDK ("C:\program files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\ PassiveRedirectBasedClaimsAwareWebApp") in das Verzeichnis "c:\ inetpub\claimapp". Öffnen Sie danach die Datei Default.aspx.cs mit einem Editor.
Suchen Sie nach dem Eintrag "ExpectedClaims" und verwenden Sie die zweite gefundene Stelle. Sie müssen jetzt mit "//" die Zeilen in der Datei auskommentieren, die um die gefundene Stelle herum aufgeführt sind. Danach muss der Bereich wie folgt aussehen:
Öffnen Sie danach den IIS-Manager und navigieren zu "Anwendungspools". Klicken Sie mit der rechten Maustaste auf "DefaultAppPool" und wählen Sie "Erweiterte Einstellungen". Setzen Sie den Wert "Prozessmodell / Benutzerprofil laden" auf "True". Rufen Sie danach über das Kontextmenü die Grundeinstellungen auf und ändern Sie ".NET CLR Version" zu "NET CLR Version v2.0. 50727". Klicken Sie danach mit der rechten Maustaste auf "Default Web Site" und wählen Sie "Bindungen bearbeiten" aus. Fügen Sie dort eine HTTPS-Bindung zum Port 443 hinzu und verwenden Sie das SSL-Zertifikat, das Sie auf dem Server installiert haben.
Seite 1: Installation und Einrichtung
Seite 2: ADFS als Serverrolle installieren
Seite 3: Workplace Join mit Windows 8.1
ln/jp/Thomas Joos
[1] www.microsoft.com/de-de/download/details.aspx?id=4451
Haben Sie alle Vorbereitungen getroffen, installieren Sie ADFS als Serverrolle auf dem ADFS-Server. Dazu installieren Sie über "Verwalten / Rollen" und "Features hinzufügen" den Rollendienst "Active Directory-Verbunddienste". Während der Installation müssen Sie keine Einstellungen vornehmen. Sie installieren, wie bei den Active Directory-Domänendiensten, nur die Systemdateien. Nachdem die Installation abgeschlossen ist, richten Sie über das Benachrichtigungscenter des Server-Managers die Infrastruktur im Netzwerk ein:
- Bestätigen Sie die Startseite und geben Sie dann die Anmeldedaten eines Domänenadministrators ein.
- Wählen Sie auf der Seite "Diensteigenschaften bearbeiten" das von Ihnen installierte Zertifikat.
- Als "Anzeigenamen" können Sie einen beliebigen Namen verwenden.
Bild 2: Die Konfiguration der Diensteigenschaften von ADFS auf dem ADFS-Server
erfolgt nach der Installation der Serverrolle.
Geräteregistrierung konfigurieren
Sobald die ADFS-Infrastruktur konfiguriert ist, müssen Sie die Geräteregistrierung auf dem ADFS-Server einrichten. Dazu öffnen Sie eine PowerShell-Sitzung und geben den folgenden Befehl ein:
Initialize-ADDeviceRegistrationSie werden nach dem Dienstkonto gefragt. Hier geben Sie die Daten des verwalteten Dienstkontos ein, zum Beispiel "contoso\adfsgmsa$". Danach geben Sie den folgenden Befehl ein:
Enable-AdfsDeviceRegistrationÖffnen Sie auf dem ADFS-Server die ADFS-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf "Authentifizierungsrichtlinien" und dann in der Mitte des Fensters bei "Primäre Authentifizierung / Globale Einstellungen" auf "Bearbeiten". Hier setzen Sie nun im Fenster den Haken bei "Geräteauthentifizierung aktivieren".
Bild 3: Die Aktivierung der Geräteregistrierung für ADFS ist für die Verwendung von Workplace Join notwendig.
Einrichten einer Beispiel-Webanwendung für ADFS
Um den Nutzen von ADFS und Workplace Join mit Windows 8.1 zu testen, eignet sich am besten eine Webanwendung auf einem Server mit IIS 8.5. Sie konfigurieren die Webanwendung so, dass Anwender mit Windows 8.1 auf die Webanwendung zugreifen können, auch ohne dass der entsprechende PC oder das Notebook Mitglied der Domäne ist.
Microsoft stellt eine solche Webanwendung über das Windows Identity Foundation SDK kostenlos zur Verfügung [1]. Außerdem benötigen Sie für die Installation der notwendigen Rollen die Windows Server 2012 R2-Installations-DVD.
Um den Server zu testen, müssen Sie zunächst auf einem anderen Server als den ADFS-Server die Serverrolle "Webserver" und "Webserver / Anwendungsentwicklung / ASP.NET 3.5" installieren. Lassen Sie auch die dazugehörigen Features installieren, die der Assistent vorschlägt.
Auf der Seite "Features auswählen" im Rahmen der Installation des Webservers müssen Sie noch das Serverfeature "Windows Identity Foundation 3.5" auswählen. Haben Sie alle Features festgelegt, geben Sie auf der letzten Seite noch den Speicherort der Installationsdateien an. Dazu klicken Sie auf den Link "Alternativen Quellpfad angeben" und wählen dann den Datenträger mit der Windows Server 2012 R2-Installations-DVD und das Unterverzeichnis "sources\sxs". Nach der Installation des Webservers spielen Sie als Nächstes das Windows Identity Foundation SDK auf. Danach installieren Sie auf dem Webserver ein SSL-Zertifikat für den Webserver. Das Zertifikat muss als CN den FQDN des Webservers aufweisen und von der internen Zertifizierungsstelle stammen.
Haben Sie alle Vorbereitungen des vorangegangenen Abschnittes durchgeführt, kopieren Sie die Beispielanwendung aus dem Installationsverzeichnis des Windows Identity Foundation SDK ("C:\program files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\ PassiveRedirectBasedClaimsAwareWebApp") in das Verzeichnis "c:\ inetpub\claimapp". Öffnen Sie danach die Datei Default.aspx.cs mit einem Editor.
Suchen Sie nach dem Eintrag "ExpectedClaims" und verwenden Sie die zweite gefundene Stelle. Sie müssen jetzt mit "//" die Zeilen in der Datei auskommentieren, die um die gefundene Stelle herum aufgeführt sind. Danach muss der Bereich wie folgt aussehen:
Foreach (claim claim in claimsIdentity. Claims) { //Before showing the claims validate that this is an expected claim //If it is not in the expected claims list then don’t show it //if (ExpectedClaims.Contains( claim.ClaimType ) ) // { writeClaim( claim, table ); //} }Speichern Sie diese Datei und öffnen Sie nun web.config. Löschen Sie den Bereich von "<microsoft.identityModel>" bis "</microsoft.identityModel>". Anschließend speichern Sie auch diese Datei.
Öffnen Sie danach den IIS-Manager und navigieren zu "Anwendungspools". Klicken Sie mit der rechten Maustaste auf "DefaultAppPool" und wählen Sie "Erweiterte Einstellungen". Setzen Sie den Wert "Prozessmodell / Benutzerprofil laden" auf "True". Rufen Sie danach über das Kontextmenü die Grundeinstellungen auf und ändern Sie ".NET CLR Version" zu "NET CLR Version v2.0. 50727". Klicken Sie danach mit der rechten Maustaste auf "Default Web Site" und wählen Sie "Bindungen bearbeiten" aus. Fügen Sie dort eine HTTPS-Bindung zum Port 443 hinzu und verwenden Sie das SSL-Zertifikat, das Sie auf dem Server installiert haben.
Seite 1: Installation und Einrichtung
Seite 2: ADFS als Serverrolle installieren
Seite 3: Workplace Join mit Windows 8.1
<< Vorherige Seite | Seite 2 von 3 | Nächste Seite >> |
ln/jp/Thomas Joos
[1] www.microsoft.com/de-de/download/details.aspx?id=4451