Wissensdatenbank
Buehl, Kevin
13 Februar 2017
2.147

Wissensdatenbank

Installation von Active Directory Federation Services unter Microsoft Windows Server 2016

Vorwort

Damit Skype for Business extern erreichbar ist, sollte ein Reverse Proxy eingerichtet werden. Der Microsoft Windows Web Application Proxy (WAP) ist hierfür sehr gut geeignet, allerdings setzt dieser Active Directory Federation Services voraus.

Ich erkläre hier, wie man unter Microsoft Windows Server 2016 die Active Directory Federation Services installiert und konfiguriert.

Vorbereitung

PowerShellPowerShell

PowerShell

add-kdsrootkey –effectivetime ((get-date).addhours(-10))
Guid
----
b5ec6687-accf-3916-42ff-f6c41ab293ec





Installation

ServerrollenServerrollen

Serverrollen

Öffnen Sie den Server-Manager, wählen Sie oben rechts den Punkt Verwalten und anschliessend den Menüpunkt Rollen und Features hinzufügen.

Klicken Sie auf Weiter bis Sie die Serverrollen auswählen können. Wählen Sie hier Active Directory-Verbunddienste und klicken Sie auf Weiter.





BestätigungBestätigung

Bestätigung


Klicken Sie auf Installieren um die Active Directory-Verbunddienste zu installieren.









Konfiguration

MMCMMC

MMC


Starten Sie die Microsoft Management Console (Windows Suche mmc).
Wählen Sie Datei und danach Snap-In hinzufügen/entfernen.
Markieren Sie Zertifikate und klicken Sie anschliessend auf Hinzufügen.

Darauf werden Sie gefragt Dieses Snap-in verwaltet die Zertifikate für: wählen Sie hier Computerkonto und bestätigen Sie Ihre Auswahl mit Fertig stellen.


Computer auswählenComputer auswählen

Computer auswählen


Anschliessend werden Sie gefragt auf welchen Computer das Snap-In angewendet werden soll. Wählen Sie hier Lokalen Computer und Fertig stellen.







Snap-In verwaltungSnap-In verwaltung

Snap-In verwaltung


Wenn Sie rechts bei ausgewählte Snap-Ins das Zertifikat Snap-In sehen, klicken Sie auf OK. Andernfalls wiederholen Sie die vorherigen Schritte.






Eigene ZertifikateEigene Zertifikate

Eigene Zertifikate


Öffnen Sie den Konsolenstamm und rechts klicken Sie auf Eigene Zertifikate, unter Ansicht wählen Sie den Menüpunkt Optionen.






AnsichtoptionenAnsichtoptionen

Ansichtoptionen


Nun öffnet sich ein Fenster, wählen Sie Zertifikatzweck bei Ansichtsmodus folgendermassen organisieren und klicken Sie auf OK.









Neues Zertifikat anfordernNeues Zertifikat anfordern

Neues Zertifikat anfordern


Rechts klicken Sie erneut auf Eigene Zertifikate, unter Alle Aufgaben, wählen Sie Neues Zertifikat anfordern.







ZertifikatregistrierungZertifikatregistrierung

Zertifikatregistrierung


Darauf öffnet sich der Zertifikatregistrierung-Assistent, klicken Sie Weiter, um die Zertifikatregistrierungsrichtlinie auszuwählen.








ZertifikatregistrierungZertifikatregistrierung

Zertifikatregistrierung


Mithilfe der Zertifikatregistrierungsrichtline können Zertifikat basierend auf vordefinierten Zertifikatvorlage registriert werde. Die Zertifikatregistrierungsrichtline ist möglicherweise bereits für Sie konfiguriert.

Wählen Sie Actie Directory-Registrierungsrichtline und klicken Sie auf Weiter.





Zertifikate anfordernZertifikate anfordern

Zertifikate anfordern


Wählen Sie das ADFS SSL Certificate aus und klicken Sie auf Weiter.









InstallationsergebnisseInstallationsergebnisse

Installationsergebnisse


Folgende Zertifikate wurden registriert und auf dem Computer installiert.
Klicken Sie auf Fertig stellen um den Assistent zu schliessen.








InstallationsergebnisseInstallationsergebnisse

Installationsergebnisse


Wechseln Sie zurück zum Server-Manager, klicken Sie auf das gelbe Dreieck mit dem Ausrufezeichen, um die Meldungen zu öffnen. Wählen Sie Konfigurieren Sie den Verbunddienst auf diesem Server.










Konfiguration AD FSKonfiguration AD FS

Konfiguration AD FS


Wählen Sie die Option Erstellt den ersten Verbundserver in einer Verbundserverfarm aus und klicken Sie Weiter.









Mit AD DS verbindenMit AD DS verbinden

Mit AD DS verbinden


Geben Sie ein Konto mit den Berechtigungen eines Active Directory-Domänenadmnistrators zur Verbunddienstkonfiguration an, sofern Sie nicht mit einem Domänenadministrator angemeldet sind.
Klicken Sie danach auf Weiter.







Dienstkonto angebenDienstkonto angeben

Dienstkonto angeben


Erstellen Sie ein neuen Benutzer mit dem Namen svc_adfs im Active Direcotry. Wechseln Sie anschliessend zurück zum Konfigurationsassistent und wählen Sie Verwenden Sie ein Domänenbenutzerkonto oder ein gruppenverwaltetes Dienstkonto, klicken Sie auf Auswählen und suchen Sie nach dem Benutzer svc_adfs, wählen Sie diesen aus und klicken Sie danach auf Weiter.






KonfigrationsdatenbankKonfigrationsdatenbank

Konfigrationsdatenbank


Sollten Sie einen SQL Server haben, können Sie diesen hier angeben. Klicken Sie danach auf Weiter.









Optionen prüfenOptionen prüfen

Optionen prüfen


Überprüfen Sie die Optionen, sind alle Einstellungen korrekt, klicken Sie auf Weiter.









VoraussetzungsprüfungenVoraussetzungsprüfungen

Voraussetzungsprüfungen


Vor dem Konfigurieren der Active Directory-Verbunddienste (AD FS) auf diesem Computer müssen die Voraussetzungen überprüft werden.

Klicken Sie auf Konfigurieren, um die Installation zu starten.






ErgebnisseErgebnisse

Ergebnisse


Überprüfen Sie nach der Installation die Ergebnisse und klicken Sie danach auf Schliessen.










Die Installation von Active Directory Federation Services ist nun abgeschlossen.