Teil 2 Online–Externer Zugriff über ADFS und WAP
Installation des ADFS Dienstes
Der Active Directory Federation Server wird als Rolle auf den Windows Server 2016 / 2016 installiert. Um die Breitstellung vorzunehmen, öffnen Sie den Server Manager. Klicken Sie auf „Verwalten“ und wählen Sie im Kontextmenü den Eintrag „Rolle und Feature hinzufügen“.
Belassen Sie bei den Abfragen „Vorbereitung“, „Installationstyp“ und „Serverrolle“ die Standardoptionen und klicken Sie auf „Weiter“. Wählen Sie bei den „Serverrollen“ die Option „Active Directory-Verbunddienste“ und klicken Sie auf Weiter.
Die Abfragen „Features“ und „AD FS“ können Sie im Standard belassen. Bei der letzten Abfrage „Bestätigungen“ markieren Sie die Option „Zielserver bei Bedarf automatisch neu starten“ und klicken Sie dann unten auf „Installieren“.
Nach der erfolgreichen Bereitstellung wird Ihnen im oberen Bereich des Server-Manager der Hinweis angezeigt, dass der AD-FS eingerichtet werden kann. Bevor wir die Konfiguration durchführen, müssen wir allerdings das Zertifikat für den Server erstellen.
Zertifikate bereitstellen
Um das Zertifikat auf dem ADFS-Server anzufordern, gehen wir wie folgt vor.
Nachtrag: Bitte beachten Sie, da wir in diesem Beispiel eine eigene Zertifizierungsstelle nutzen, dazu muss auch das Root-Zertifikate auf jedem Computer bekannt sein. Aus diesem Grund sollten Sie das Zertifikate über eine über die entsprechende GPO verteilen. Um dies vorzunehmen, gehen Sie wie folgt vor.
Exportieren Sie als Erstes das Root-Zertifikat. Öffnen Sie das Snap-In Ihrer Zertifizierungsstelle. Klicken Sie auf die Lupe neben dem Start-Button und geben Sie „Zertifizierungsstelle“ ein. Öffnen Sie das Snap-In. Klicken Sie mit der rechten Maustaste auf den Namen Ihrer Zertifizierungsstelle und wählen Sie im Kontext-Menü „Eigenschaften“. Markieren Sie das entsprechende Zertifikate und klicken Sie dann auf den Button „Zertifikat anzeigen“. Klicken Sie dann auf die Registerkarte „Details“ und dort auf den Button „In Datei kopieren“.
Folgen Sie nun dem Assistenten. Geben Sie als exportierende Format „.p7B“ ein und speichern Sie das Zertifikate auf dem Desktop.Öffnen Sie danach die Snap-In des Gruppenrichtlinien-Editors. Öffnen Sie die entsprechende Policy. Und Öffnen Sie den Pfad „Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Öffentlichen Schlüssel“. Klicken Sie mit der rechten Maustaste auf der rechten Seite in die leere Fläche und wählen Sie im Kontextmenü den Eintrag „Importieren“. Folgen Sie dem Assistenten. Wählen Sie das zuvor gespeicherte Zertifikate der Root-CA aus und schließen Sie den Assistenten ab. Die Ansicht müsste nun wie folgt aussehen.