Windows

Teil 2 Online–Externer Zugriff über ADFS und WAP

Installation des ADFS Dienstes Der Active Directory Federation Server wird als Rolle auf den Windows Server 2016 / 2016 installiert. Um die Breitstellung vorzunehmen, öffnen Sie den Server Manager. Klicken Sie auf „Verwalten“ und wählen Sie im Kontex…

Veröffentlicht am 24.05.2021

Installation der Active Directory Federation Services (AD FS)

Die Active Directory Federation Services (AD FS) werden unter Windows Server als Serverrolle installiert. In diesem Beispiel erfolgt die Einrichtung unter Windows Server 2016 bzw. Windows Server 2019.

Öffnen Sie zunächst den Server-Manager, klicken Sie auf Verwalten und wählen Sie anschließend Rollen und Features hinzufügen.

Belassen Sie bei den Seiten Vorbereitung, Installationstyp und Zielserver auswählen die Standardeinstellungen und klicken Sie jeweils auf Weiter.

Wählen Sie anschließend bei den Serverrollen Active Directory-Verbunddienste (AD FS) aus.

Active Directory-Verbunddienste als Serverrolle installieren

Die Seiten Features auswählen sowie Active Directory-Verbunddienste können Sie ebenfalls mit den Standardeinstellungen übernehmen.

Aktivieren Sie auf der Seite Bestätigung die Option Zielserver bei Bedarf automatisch neu starten und starten Sie die Installation mit einem Klick auf Installieren.

Installation der Active Directory Federation Services

Nach erfolgreicher Installation erscheint im Server-Manager eine Benachrichtigung, dass der AD FS-Dienst nun konfiguriert werden kann.

Bevor die eigentliche Konfiguration beginnt, sollte jedoch zunächst das erforderliche SSL-Zertifikat bereitgestellt werden.

SSL-Zertifikat bereitstellen

Für den Betrieb von AD FS wird ein gültiges SSL-Zertifikat benötigt. In diesem Beispiel wird das Zertifikat über eine unternehmenseigene Active Directory-Zertifizierungsstelle (AD CS) bereitgestellt.

Wird eine interne Zertifizierungsstelle verwendet, muss das Root-Zertifikat auf allen Clients als vertrauenswürdig installiert sein. Die Verteilung sollte idealerweise über eine Gruppenrichtlinie (GPO) erfolgen.

Root-Zertifikat exportieren

Öffnen Sie die Konsole Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf den Namen Ihrer Zertifizierungsstelle.
Wählen Sie Eigenschaften.
Markieren Sie das Zertifikat Ihrer Root-CA.
Klicken Sie auf Zertifikat anzeigen.
Wechseln Sie zur Registerkarte Details.
Klicken Sie auf In Datei kopieren….
Exportieren Sie das Zertifikat im Format .p7b.
Speichern Sie die Datei beispielsweise auf dem Desktop.

Root-Zertifikat per Gruppenrichtlinie verteilen

Damit alle Domänencomputer der Zertifizierungsstelle vertrauen, sollte das Root-Zertifikat per Gruppenrichtlinie verteilt werden.

Öffnen Sie die Gruppenrichtlinienverwaltung (GPMC).
Bearbeiten Sie die gewünschte Gruppenrichtlinie.
Navigieren Sie zu:

Computerkonfiguration
 └─ Windows-Einstellungen
     └─ Sicherheitseinstellungen
         └─ Richtlinien für öffentliche Schlüssel
             └─ Vertrauenswürdige Stammzertifizierungsstellen

Klicken Sie mit der rechten Maustaste in den rechten Bereich und wählen Sie Importieren.
Wählen Sie das zuvor exportierte Root-Zertifikat aus.
Schließen Sie den Import-Assistenten ab.

Nach erfolgreichem Import wird das Root-Zertifikat in der Gruppenrichtlinie angezeigt und bei der nächsten Gruppenrichtlinienaktualisierung automatisch auf die Domänencomputer verteilt.

Nach der Verteilung des Root-Zertifikats kann die eigentliche Konfiguration des AD FS-Servers durchgeführt werden.

← Älterer Artikel Teil 1 Online–Externer Zugriff über ADFS und WAP Neuerer Artikel → Teil 3 Online–Externer Zugriff über ADFS und WAP

Eigenes IT-Problem?

Nicht jeder Fall passt in einen Tipp

Wenn es bei Ihnen komplizierter wird, übernehmen wir das gerne direkt für Sie.

Support kontaktieren Zu allen Tipps