Damit die Arbeitsordner im Internet verwendet werden können, fehlt noch der Reverse Proxy. Ich verwende den in Windows verfügbaren Web Application Proxy. Installieren werde ich den Web Application Proxy am Server WAP1, der über zwei Netzwerkkarten (einmal im Intra- und einmal im Internet) verfügt und nicht zur Domäne hinzugefügt wurde.

Web Application Proxy installieren und konfigurieren – Schritte:

• Server-Rolle Remote Access installieren
• Web Application Proxy konfigurieren
• Arbeitsordner veröffentlichen
• AuthO aktivieren und update Deviceregistration
• Mit der Hosts-Datei die internen IP-Adressen für AD FS und Arbeitsordner erzwingen
• Die Arbeitsordner für die Authentifizierung mittels ADFS konfigurieren

Server-Rolle Remote Access installieren

1. Als lokaler Administrator an WAP1 anmelden
2. Die SSL-Zertifikate (adfs.pfx und arbeitsordner.pfx) von \\APP1\Sourcen\ADFS in den Personal Store des Computerkontos importieren
   
3. Server Manager > Manage > Add Roles and Features
4. Add Roles and Features Wizard
   1. Before You Begin > Next
   2. Installation Type: Role-based or feature-based installation > Next
   3. Server Selection: WAP1 > Next
   4. Server Roles: Remote Access > Next
      
   5. Features > Next
   6. Remote Access > Next
      1. Role Services: Web Application Proxy > Next > Add Features > Next
         
   7. Confirmation > Install
   8. Results > Finish

Web Application Proxy konfigurieren

1. Server Manager > Notifications > Open the Web Application Proxy Wizard
   
2. Web Application Proxy Configuration Wizard
   1. Welcome > Next
   2. Federation Server
      1. Federation service name: adfs.einfaches-netzwerk.at
      2. User name: Administrator (lokaler Administrator auf ADFS1!)
      3. Password: Password1 > Next
         
   3. AD FS Proxy Certificate: adfs1.intern.einfaches-netzwerk.at > Next
      
   4. Confirmation > Publish
   5. Results > Close
      

Arbeitsordner veröffentlichen

1. Server Manager > Tools > Remote Access Management
2. Auf der linken Seite auf Configuration\Web Application Proxy klicken
3. Auf der rechten Seite auf Publish klicken
   
   
4. Publish New Application Wizard
   1. Welcome > Next
   2. Preauthentication: AD FS > Next
      
   3. Relying Party: Arbeitsordner > Next
      
   4. Publishing Settings
      1. Name: Arbeitsordner
      2. External URL: https://arbeitsordner.einfaches-netzwerk.at
      3. External certificate: arbeitsordner.einfaches-netzwerk.at
      4. Backend server URL: https://arbeitsordner.einfaches-netzwerk.at > Next
         
   5. Confirmation > Publish
      
   6. Results > Close

AuthO aktivieren und update Deviceregistration

1. PowerShell als Administrator starten
2. Mit folgendem Befehl AuthO aktivieren

   Get-WebApplicationProxyApplication -Name Arbeitsordner | `
       Set-WebApplicationProxyApplication -UseOAuthAuthentication

3. PowerShell-Cmdlet
   
4. Mit folgendem Befehl die Deviceregistration updaten

   Update-WebApplicationProxyDeviceRegistration

5. Anmeldeinformationen eingeben
   

Mit der Hosts-Datei die internen IP-Adressen für AD FS und Arbeitsordner erzwingen

1. Notepad als Administartor starten
2. Die Datei C:\Windows\System32\drivers\etc\hosts öffnen
3. Folgende Einträge erstellen
   1. 192.168.150.3    adfs.einfaches-netzwerk.at
   2. 192.168.150.3    enterpriseregistration.einfaches-netzwerk.at
   3. 192.168.150.2    arbeitsordner.einfaches-netzwerk.at
      

Die Arbeitsordner für die Authentifizierung mittels ADFS konfigurieren

1. Als Administrator an APP1 anmelden
2. Server Manager > File and Storage Services > Servers
3. APP1 rechts anklicken > WorkFolders Settings
   
4. WorkFolders Settings
   1. Authentication
      1. Active Directory Federation Services
      2. Federation Services URL: https://adfs.einfaches-netzerk.at
         
   2. Support Email: helpdesk@einfaches-netzwerk.at
      
   3. Fenster mit OK schließen

Ab sofort kann ein Rechner außerhalb des Unternehmens im Internet den Arbeitsordner verwenden. 🙂