Schlagwort-Archive: Arbeitsordner

Teil 28c: Web Application Proxy installieren und konfigurieren

Veröffentlicht am von
Antworten

Damit die Arbeitsordner im Internet verwendet werden können, fehlt noch der Reverse Proxy. Ich verwende den in Windows verfügbaren Web Application Proxy. Installieren werde ich den Web Application Proxy am Server WAP1, der über zwei Netzwerkkarten (einmal im Intra- und einmal im Internet) verfügt und nicht zur Domäne hinzugefügt wurde.

Web Application Proxy installieren und konfigurieren – Schritte:

  • Server-Rolle Remote Access installieren
  • Web Application Proxy konfigurieren
  • Arbeitsordner veröffentlichen
  • AuthO aktivieren und update Deviceregistration
  • Mit der Hosts-Datei die internen IP-Adressen für AD FS und Arbeitsordner erzwingen
  • Die Arbeitsordner für die Authentifizierung mittels ADFS konfigurieren

Server-Rolle Remote Access installieren

  1. Als lokaler Administrator an WAP1 anmelden
  2. Die SSL-Zertifikate (adfs.pfx und arbeitsordner.pfx) von \\APP1\Sourcen\ADFS in den Personal Store des Computerkontos importieren
    WAP_001
  3. Server Manager > Manage > Add Roles and Features
  4. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: WAP1 > Next
    4. Server Roles: Remote Access > Next
      WAP_002
    5. Features > Next
    6. Remote Access > Next
      1. Role Services: Web Application Proxy > Next > Add Features > Next
        WAP_003
    7. Confirmation > Install
    8. Results > Finish

Web Application Proxy konfigurieren

  1. Server Manager > Notifications > Open the Web Application Proxy Wizard
    WAP_004
  2. Web Application Proxy Configuration Wizard
    1. Welcome > Next
    2. Federation Server
      1. Federation service name: adfs.einfaches-netzwerk.at
      2. User name: Administrator (lokaler Administrator auf ADFS1!)
      3. Password: Password1 > Next
        WAP_005
    3. AD FS Proxy Certificate: adfs1.intern.einfaches-netzwerk.at > Next
      WAP_006
    4. Confirmation > PublishWAP_013
    5. Results > Close
      WAP_014

Arbeitsordner veröffentlichen

  1. Server Manager > Tools > Remote Access Management
  2. Auf der linken Seite auf Configuration\Web Application Proxy klicken
  3. Auf der rechten Seite auf Publish klicken
    WAP_009
    Weiterlesen

Teil 28a: Arbeitsordner installieren und konfigurieren

Veröffentlicht am von
3

Nachdem ich Split-DNS (Teil 28) eingerichtet habe, kann ich schon die Arbeitsordner installieren und konfigurieren. Den Anfang macht wieder einmal das SSL-Zertifikat (Teil 6j), gefolgt von der Server-Rolle WorkFolders. Danach können die Clients im Intranet die Arbeitsordner schon verwenden.

Arbeitsordner installieren und konfigurieren – Schritte:

  • SSL-Zertifikat für Arbeitsordner ausstellen
  • Zertifikat in IIS binden
  • Die Server-Rolle WorkFolders installieren
  • Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen
  • Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren
  • Arbeitsordner konfigurieren
  • Arbeitsordner am Client einrichten

SSL-Zertifikat für Arbeitsordner ausstellen

  1. Als Administrator an APP1 anmelden
  2. Eine MMC als Admin starten
  3. Das Snap-in Certificates für das lokale Computerkonto hinzufügen
  4. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  5. Folgendes Web Server Zertifikat anfordern
    1. Subject name
      1. Type: Common name
      2. Value: arbeitsordner.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: arbeitsordner.einfaches-netzwerk.at
      3. Value: app1.intern.einfaches-netzwerk.at
        WORKFOLDER-001
    3. Friendly name: Arbeitsordner SSL Certificate
      WORKFOLDER-002
    4. WICHTIG: Private Key > Make private key exportable > OK
      WORKFOLDER-003
  6. Das ausgestellte Zertifikat rechts anklicken > All Tasks > Export…
  7. Das Zertifikat
    1. mit Private Key
    2. dem Passwort Password1
    3. nach \\APP1\Sourcen\ADFS\arbeitsordner.pfx exportieren
  8. Alle Fenster schließen

Zertifikat in IIS binden

  1. Server Manager > Tools > IIS Manager
  2. Default Web Site markieren
  3. Auf der rechten Seite auf Bindings… klicken
  4. Site Bindings > Add…
  5. Add Site Binding
    1. Type: https
    2. SSL certificate: Arbeitsordner SSL Certificate > OK
      WORKFOLDER-004
  6. Fenster schließen

 Die Server-Rolle WorkFolders installieren

  1. Server Manager > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: File and Storage Services\File and SCSI Services\Work Folders > Add Features > Next
      ADFS-051
    5. Features > Next
    6. Confirmation > Install
    7. Results > Close
  3. WICHTIG: Server auf jeden Fall neu starten!

Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen

  1. Server Manager > Tools > Active Directory Users and Computers
  2. OU Einfaches-Netzwerk erweitern
  3. In der OU Sicherheitsgruppen folgende globale Sicherheitsgruppen erstellen
    1. Sync Share Administrators
      1. Mitglieder: Domain Administrators
    2. Sync Share Benutzer Linz
      1. Mitglieder: USER1, USER2
        WORKFOLDER-029

Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren

Mit diesem Recht kann ein Sync Share Administrator (hier in meinem Labor die Domain Admins, welche das Recht aber ohnehin haben) bei jedem Benutzer das Attribut msDS-SyncServerURL konfigurieren. Das ist praktisch, wenn mehrere Sync Server konfiguriert und die Benutzer automatisch zum richtigen Server geleitet werden sollen. In großen Umgebungen ist das nicht empfehlenswert. Das geht auch mittels Gruppenrichtlinien.
WORKFOLDER-012

Weiterlesen

Teil 28: Split-DNS für Active Directory Federation Services einrichten

Veröffentlicht am von
1

Bei der Planung für die Konfiguration von Active Directory Federeation Services bin ich gleich auf ein Problem gestoßen: Der interne und externe DNS-Name des ADFS-Dienstes muss gleich sein. In meinem Fall adfs.einfaches-netzwerk.at. Damit in meinem einfachen Netzwerk der Name intern und extern aufgelöst werden kann, muss ich am internen DNS eine Forward Lookup Zone für einfaches-netzwerk.at anlegen. Das nennt sich dann Split-DNS oder Split-Brain-DNS.

Split-DNS für Active Directory Federation Services einrichten – Schritte:

  • Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen
  • Host (A)- und Alias (CNAME)-Einträge erstellen
  • DNS-Client mittels Gruppenrichtlinien konfigurieren

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > DNS
  3. Forward Lookup Zones rechts anklicken > New Zone…
  4. New Zone Wizard
    1. Welcome > Next
    2. Zone Type
      1. Primary Zone
      2. Store the zone in Active Directory deaktivieren
        ADFS-012
    3. Zone Name: einfaches-netzwerk.at > Next
      ADFS-013
    4. Zone File: Standard lassen > Next
      ADFS-014
    5. Dynamic Update: Do not allow dynamic updates > Next
      ADFS-015
    6. Completing the New Zone Wizard > Finish
      ADFS-016

Host (A)- und Alias (CNAME)-Einträge erstellen

  1. In der Zone einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
    1. Name: adfs
    2. IP address: 192.168.150.3
      ADFS-017
  2. In der Zone einfaches-netzwerk.at folgende Alias (CNAME)-Einträge erstellen
    1. New Resource Record
      1. Alias name: enterpriseregistration
      2. Fully qualified domain name:  enterpriseregistration.einfaches-netzwerk.at
      3. Fully qualified domain name for target host: adfs1.intern.einfaches-netzwerk.at
        ADFS-018
    2. New Resource Record
      1. Alias name: arbeitsordner
      2. Fully qualified domain name:  arbeitsordner.einfaches-netzwerk.at
      3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at
        ADFS-019

DNS-Client mittels Gruppenrichtlinien konfigurieren

  1. Server Manager > Tools > Group Policy Management
  2. Group Policy Objects anklicken
  3. GPO Standard Settings for Workstations zum Bearbeiten öffnen
  4. Computer Configuration\Policies\Administrative Templates\Network\DNS Client erweitern
  5. Folgende Einstellungen vornehmen
    1. Allow DNS suffix appending to unqualified multi-label name queries > Enabled
    2. Connection-specific DNS suffix > Enabled
      1. DNS suffix: intern.einfaches-netzwerk.at
    3. DNS suffix search list > Enabled
      1. DNS Suffixes: intern.einfaches-netzwerk.at,einfaches-netzwerk.at
        SPLIT_DNS-001
    4. Primary DNS suffix > Enabled
      1. Primary DNS suffix: intern.einfaches-netzwerk.at
        SPLIT_DNS-002
  6. Group Policy Management Editor schließen
    SPLIT_DNS-003
  7. Group Policy Management schließen
    SPLIT_DNS-006
  8. Auf CLIENT1 mit gpupdate /force die Einstellungen sofort übernehmen
    SPLIT_DNS-004
  9. adfs anpingen
    SPLIT_DNS-005