Teil 28b: Active Directory Federation Services konfigurieren

Veröffentlicht am 7. März 2015 von Dietmar Haimann

In diesem Teil möchte ich die Active Directroy Federation Services konfigurieren. AD FS (Active Directory Verbunddienste) ist ein Feature des Windows Server-Betriebssystems, welches den Zugriff auf Webdienste und -anwendungen von außerhalb des Unternehmens (Firewall-Grenzen) mittels Single Sign-On erweitert.

Als Referenz verwende ich Deploy Work Folders with AD FS and Web Application Proxy.

Meine Server habe ich mittels MDT nach Teil 19c: Windows Server 2012 R2 mit MDT verteilen installiert:

DC1.intern.einfaches-netzwerk.at
- IP-Adresse: 192.168.150.1
EDGE1.intern.einfaches-netzwerk.at
- IP-Adresse intern: 192.168.150.254
- IP-Adresse extern: 131.107.0.3
ADFS1.intern.einfaches-netzwerk.at
- IP-Adresse: 192.168.150.3
WAP1 (non-domain-joined, nach dem Aufsetzen aus der Domäne entfernt)
- IP-Adresse intern: 192.168.150.4
- IP-Adresse extern: 131.107.0.4
APP1.intern.einfaches-netzwerk.at (SyncServer, WorkFolders)
- IP-Adresse: 192.168.150.2
CLIENT1.intern.einfaches-netzwerk.at (domain-joined)
- IP-Adresse: DHCP
CLIENT2 (non-domain-joined, nach dem Aufsetzen aus der Domäne entfernt)
- IP-Adresse: DHCP

Active Directory Federation Services konfigurieren – Schritte:

KDS-Rootkey erzeugen
Group Managed Service Account erstellen
ADServiceAccount auf ADFS1 installieren
SSL-Zertifikat für AD FS ausstellen
Die Server-Rolle AD FS installieren
Relying Party Trust für Arbeitsordner hinzufügen
Workplace Join aktivieren
Überprüfen, ob AD FS funktioniert

KDS-Rootkey erzeugen

Der KDS-RootKey (Microsoft Group Key Distribution Service) muss für die Verwendung von Group Managed Service Accounts nur einmal in Active Directory erzeugt werden. Nach Ausführen des Cmdlets muss man 10 Stunden warten, bis alle DCs repliziert sind. Also am Besten am Abend bevor man den ersten ADServiceAccount erstellen möchte. Es gibt zwar einen einfachen Workaround, der sollte aber nur in Testumgebungen verwendet werden:

Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))

Als Administrator an DC1 anmelden
PowerShell als Administrator starten
Mit folgendem Befehl den KDS-Rootkey erzeugen
```
Add-KDSRootKey -EffectiveImmediately
```
PowerShell-Cmdlet
Mit folgendem Befehl den KDS-RootKey abrufen…
```
Get-KDSRootKey
```
PowerShell-Cmdlet
…und testen
```
Test-KDSRootKey -KeyID <key-id>
```
PowerShell-Cmdlet

Gespeichert wird der KDS-RootKey in der Konfigurationspartition von Active Directory:

Server Manager > Tools > ADSI Edit
ADSI Edit rechts anklicken > Connect to…
Unter Connection Point den Naming Context auf Configuration ändern > OK
CN=Configuration\CN=Services\CN=Group Key Distribution Service erweitern
CN=Master Root Keys anklicken > im Detailbereich ist der KDS-RootKey zu finden
Fenster schließen

Group Managed Service Account erstellen

Als Dienstkonto für AD FS möchte ich die mit Windows Server 2012 eingeführten Group Managed Service Accounts nutzen. Damit wurde das Problem der Passwörter für Dienstkonten gelöst (siehe Group Managed Service Accounts Overview). Zuerst erstelle ich eine Sicherheitsgruppe mit dem Computerkonto von ADFS1 und berechtige diese Gruppe ein verwaltetes Passwort zu erhalten. Danach erst erstelle ich das Dienstkonto.

Auf DC1 > Server Manager > Tools > Active Directory Users and Computers
intern.einfaches-netzwerk.at\Einfaches-Netzwerk erweitern
In der OU Sicherheitsgruppen folgende globale Sicherheitsgruppe erstellen
1. Allow-gMSA-ADFS
  
  Weiterlesen →

Teil 28b: Active Directory Federation Services konfigurieren was last modified: März 8th, 2015 by Dietmar Haimann

Teil 28a: Arbeitsordner installieren und konfigurieren

Veröffentlicht am 9. März 2015 von Dietmar Haimann

Nachdem ich Split-DNS (Teil 28) eingerichtet habe, kann ich schon die Arbeitsordner installieren und konfigurieren. Den Anfang macht wieder einmal das SSL-Zertifikat (Teil 6j), gefolgt von der Server-Rolle WorkFolders. Danach können die Clients im Intranet die Arbeitsordner schon verwenden.

Arbeitsordner installieren und konfigurieren – Schritte:

SSL-Zertifikat für Arbeitsordner ausstellen
Zertifikat in IIS binden
Die Server-Rolle WorkFolders installieren
Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen
Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren
Arbeitsordner konfigurieren
Arbeitsordner am Client einrichten

SSL-Zertifikat für Arbeitsordner ausstellen

Als Administrator an APP1 anmelden
Eine MMC als Admin starten
Das Snap-in Certificates für das lokale Computerkonto hinzufügen
Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
Folgendes Web Server Zertifikat anfordern
1. Subject name
  1. Type: Common name
  2. Value: arbeitsordner.einfaches-netzwerk.at
2. Alternative name
  1. Type: DNS
  2. Value: arbeitsordner.einfaches-netzwerk.at
  3. Value: app1.intern.einfaches-netzwerk.at
3. Friendly name: Arbeitsordner SSL Certificate
4. WICHTIG: Private Key > Make private key exportable > OK
Das ausgestellte Zertifikat rechts anklicken > All Tasks > Export…
Das Zertifikat
1. mit Private Key
2. dem Passwort Password1
3. nach \\APP1\Sourcen\ADFS\arbeitsordner.pfx exportieren
Alle Fenster schließen

Zertifikat in IIS binden

Server Manager > Tools > IIS Manager
Default Web Site markieren
Auf der rechten Seite auf Bindings… klicken
Site Bindings > Add…
Add Site Binding
1. Type: https
2. SSL certificate: Arbeitsordner SSL Certificate > OK
Fenster schließen

Die Server-Rolle WorkFolders installieren

Server Manager > Add Roles and Features
Add Roles and Features Wizard
1. Before You Begin > Next
2. Installation Type: Role-based or feature-based installation > Next
3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
4. Server Roles: File and Storage Services\File and SCSI Services\Work Folders > Add Features > Next
5. Features > Next
6. Confirmation > Install
7. Results > Close
WICHTIG: Server auf jeden Fall neu starten!

Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen

Server Manager > Tools > Active Directory Users and Computers
OU Einfaches-Netzwerk erweitern
In der OU Sicherheitsgruppen folgende globale Sicherheitsgruppen erstellen
1. Sync Share Administrators
  1. Mitglieder: Domain Administrators
2. Sync Share Benutzer Linz
  1. Mitglieder: USER1, USER2

Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren

Mit diesem Recht kann ein Sync Share Administrator (hier in meinem Labor die Domain Admins, welche das Recht aber ohnehin haben) bei jedem Benutzer das Attribut msDS-SyncServerURL konfigurieren. Das ist praktisch, wenn mehrere Sync Server konfiguriert und die Benutzer automatisch zum richtigen Server geleitet werden sollen. In großen Umgebungen ist das nicht empfehlenswert. Das geht auch mittels Gruppenrichtlinien.

Weiterlesen →

Teil 28a: Arbeitsordner installieren und konfigurieren was last modified: März 15th, 2015 by Dietmar Haimann

Teil 28: Split-DNS für Active Directory Federation Services einrichten

Veröffentlicht am 8. März 2015 von Dietmar Haimann

Bei der Planung für die Konfiguration von Active Directory Federeation Services bin ich gleich auf ein Problem gestoßen: Der interne und externe DNS-Name des ADFS-Dienstes muss gleich sein. In meinem Fall adfs.einfaches-netzwerk.at. Damit in meinem einfachen Netzwerk der Name intern und extern aufgelöst werden kann, muss ich am internen DNS eine Forward Lookup Zone für einfaches-netzwerk.at anlegen. Das nennt sich dann Split-DNS oder Split-Brain-DNS.

Split-DNS für Active Directory Federation Services einrichten – Schritte:

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen
Host (A)- und Alias (CNAME)-Einträge erstellen
DNS-Client mittels Gruppenrichtlinien konfigurieren

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen

Als Administrator an DC1 anmelden
Server Manager > Tools > DNS
Forward Lookup Zones rechts anklicken > New Zone…
New Zone Wizard
1. Welcome > Next
2. Zone Type
  1. Primary Zone
  2. Store the zone in Active Directory deaktivieren
3. Zone Name: einfaches-netzwerk.at > Next
4. Zone File: Standard lassen > Next
5. Dynamic Update: Do not allow dynamic updates > Next
6. Completing the New Zone Wizard > Finish

Host (A)- und Alias (CNAME)-Einträge erstellen

In der Zone einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
1. Name: adfs
2. IP address: 192.168.150.3
In der Zone einfaches-netzwerk.at folgende Alias (CNAME)-Einträge erstellen
1. New Resource Record
  1. Alias name: enterpriseregistration
  2. Fully qualified domain name: enterpriseregistration.einfaches-netzwerk.at
  3. Fully qualified domain name for target host: adfs1.intern.einfaches-netzwerk.at
2. New Resource Record
  1. Alias name: arbeitsordner
  2. Fully qualified domain name: arbeitsordner.einfaches-netzwerk.at
  3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at

DNS-Client mittels Gruppenrichtlinien konfigurieren

Server Manager > Tools > Group Policy Management
Group Policy Objects anklicken
GPO Standard Settings for Workstations zum Bearbeiten öffnen
Computer Configuration\Policies\Administrative Templates\Network\DNS Client erweitern
Folgende Einstellungen vornehmen
1. Allow DNS suffix appending to unqualified multi-label name queries > Enabled
2. Connection-specific DNS suffix > Enabled
  1. DNS suffix: intern.einfaches-netzwerk.at
3. DNS suffix search list > Enabled
  1. DNS Suffixes: intern.einfaches-netzwerk.at,einfaches-netzwerk.at
4. Primary DNS suffix > Enabled
  1. Primary DNS suffix: intern.einfaches-netzwerk.at
Group Policy Management Editor schließen
Group Policy Management schließen
Auf CLIENT1 mit gpupdate /force die Einstellungen sofort übernehmen
adfs anpingen

Teil 28: Split-DNS für Active Directory Federation Services einrichten was last modified: März 9th, 2015 by Dietmar Haimann

Ein einfaches Netzwerk

Dietmar's Blog (Noch so ein IT-Blog)

Archiv der Kategorie: Ein einfaches Netzwerk

Teil 28a: Arbeitsordner installieren und konfigurieren

Arbeitsordner installieren und konfigurieren – Schritte:

SSL-Zertifikat für Arbeitsordner ausstellen

Zertifikat in IIS binden

Die Server-Rolle WorkFolders installieren

Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen

Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren

Teil 28: Split-DNS für Active Directory Federation Services einrichten

Split-DNS für Active Directory Federation Services einrichten – Schritte:

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen

Host (A)- und Alias (CNAME)-Einträge erstellen

DNS-Client mittels Gruppenrichtlinien konfigurieren

Active Directory Federation Services konfigurieren – Schritte:

KDS-Rootkey erzeugen

Group Managed Service Account erstellen

Share the knowlegde!

Arbeitsordner installieren und konfigurieren – Schritte:

SSL-Zertifikat für Arbeitsordner ausstellen

Zertifikat in IIS binden

Die Server-Rolle WorkFolders installieren

Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen

Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren

Share the knowlegde!

Split-DNS für Active Directory Federation Services einrichten – Schritte:

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen

Host (A)- und Alias (CNAME)-Einträge erstellen

DNS-Client mittels Gruppenrichtlinien konfigurieren

Share the knowlegde!