« Rendez les choses aussi simples que possible, mais pas plus simples. »
.png)
Les systèmes d'exploitation OS Serveurs Windows Serveur 2016 Rôles 2016 ADFS +WAP
L'objectif de ce tuto est de mettre en place l'accès distant à différentes applications web comme un site web interne, un serveur TSWeb, un serveur Exchange.
L'infrastructure réseau est composé de:
Tous les ordinateurs disposent d’une connectivité Internet.
Se connecter à la machine virtuelle WEBPROXY avec vos informations d’identification suivantes :
Lancez Windows PowerShell ISE en tant qu’Administrateur.
Dans la fenêtre Administrateur : Windows PowerShell ISE, créez un partage de fichier nommé « certdata » et accorder les autorisations « contrôle total » sur le dossier de certdata pour le compte d’ordinateur DC1:
New-Item -Path c:\certdata –ItemType Directory
New-SMBShare –Name certdata –Path ‘c:\certdata’ –ChangeAccess ‘FORMATION\DC1$’
Grant-SmbShareAccess -Name certdata -AccessRight Change -AccountName 'Administrateurs' -Force
$acl = Get-Acl ‘c:\certdata’
$car = New-Object System.Security.AccessControl.FileSystemAccessRule("FORMATION\DC1$", "FullControl", "Allow")
$acl.SetAccessRule($car)
Set-Acl ‘c:\certdata’ $acl
Cliquez sur Démarrer, puis cliquez sur Gestionnaire de serveur.
Cliquez sur gérer et, dans le menu déroulant, cliquez sur Ajouter des rôles et fonctionnalités.
Si l’avant vous commencez page s’affiche, cochez la case ignorer cette page par défaut et puis cliquez sur suivant.
Sur la page type d’installation choisir, vérifiez que l’option d’installation basée sur les rôles ou axée sur la fonctionnalité est activée, puis cliquez sur suivant.
Sur la page serveur de destination, assurez-vous que WEBPROXY est sélectionné et cliquez sur suivant.
Sur la page de rôles de serveurs, développez l’entrée de Serveur Web (IIS), puis cliquez sur la case à cocher Serveur Web (IIS) . Lorsque vous y êtes invité, s’il convient d’ajouter les fonctionnalités requises pour le serveur Web (IIS), cliquez sur Ajouter des composants et puis cliquez sur suivant.
Dans la page sélection de fonctionnalités, cliquez sur suivant.
Sur la page du rôle de serveur Web (IIS), cliquez sur suivant.
Sur la page services de rôle Select, acceptez les paramètres par défaut et cliquez sur suivant.
Sur la page Confirmer les sélections pour l’installation, cochez la case redémarrer le serveur de destination automatiquement si nécessaire, lorsque vous êtes invité à confirmer, cliquez sur Oui, puis cliquez sur installer.
Attendez que l’installation se terminer et, sur la page de progression d’Installation, cliquez sur Fermer.
Dans WEBPROXY cliquez sur Démarrer, dans le menu Démarrer, cliquez sur Outils d’administration Windows , puis cliquez sur Gestionnaire des Services Internet (IIS).
Dans la console Gestionnaire des Services Internet (IIS), développez le dossier Sites, faites un clic droit sur Site Web par défaut et, dans le menu contextuel, cliquez sur Ajouter un répertoire virtuel.
Dans la boîte de dialogue Ajouter un répertoire virtuel, dans le champ Alias, renseignez certdata et le chemin d’accès physique à C:\certdata, puis cliquez sur OK.
Se connecter à la machine virtuelle de DC1 avec vos informations d’identification suivantes :
Cliquez sur Démarrer, puis cliquez sur Gestionnaire de serveur.
Dans le gestionnaire de serveur, cliquez sur Outils et puis cliquez sur DNS.
Dans la console Gestionnaire DNS, accédez à la zone de Formation.local .
Cliquez Formation.local , puis, dans le menu contextuel, cliquez sur Nouvel hôte (A ou AAAA).
Dans la boîte de dialogue Nouvel hôte, tapez la commande suivante, puis cliquez sur OK:
Dans la boîte de dialogue Nouvel hôte, tapez la commande suivante, puis cliquez sur OK:
Dans la boîte de dialogue DNS, cliquez sur OK.
Dans la boîte de dialogue DNS, cliquez sur OK.
Dans la boîte de dialogue Nouvel hôte, tapez la commande suivante, puis cliquez sur OK :
Dans la boîte de dialogue DNS, cliquez sur OK.
Dans la boîte de dialogue Nouvel hôte, cliquez sur terminé.
Dans la machine virtuelle DC1, dans le gestionnaire de serveur, dans le menu gérer, cliquez sur Ajouter des rôles et fonctionnalités.
Sur la page type d’installation choisir, vérifiez que l’option d’installation basée sur les rôles ou axée sur la fonctionnalité est activée, puis cliquez sur suivant.
Sur la page serveur de destination, assurez-vous que DC1 est sélectionné et cliquez sur suivant.
Sur la page de rôles de serveurs, sélectionnez la case à cocher Services de certificats Active Directory. Lorsque vous êtes invité s’il convient d’ajouter les fonctionnalités requises pour les Services de certificats Active Directory, cliquez sur Ajouter des fonctionnalités et puis cliquez sur suivant.
Dans la page Sélectionner des fonctionnalités, cliquez sur suivant.
Dans la page Services de certificats Active Directory, cliquez sur suivant.
Sur la page services de rôle de sélection, assurez-vous que la case à cocher Autorité de Certification est sélectionnée et puis cliquez sur suivant. 
Sur la page Confirmer les sélections d'installation, cliquez sur installer.
Une fois l’installation terminée, cliquez sur Configurer les services de certificats Active Directory sur le serveur de destination.
Sur la page Informations d’identification, cliquez sur suivant.
Sur la page « sélectionnez les Services de rôle à configurer », sélectionnez la case à cocher Autorité de Certification, puis cliquez sur suivant.
Spécifier le type de CA, faire en sorte qu’Autorité de certification racine soit sélectionné et puis cliquez sur suivant.
Sur la page « spécifier le type de la clé privé », faire en sorte que l’option créer une nouvelle clé privée est sélectionné et puis cliquez sur suivant.
Sur la page « spécifier les options de chiffrement », la longueur de la clé la valeur 4096, acceptez les paramètres restants avec leurs valeurs par défaut et cliquez sur suivant.
La spécifier le nom de la page CA, spécifiez les paramètres suivants, puis cliquez sur suivant :
Sur la page « période de validité », accepter la période de validité par défaut et cliquez sur suivant.
Sur la page « emplacements de base de données, acceptez l’emplacement par défaut de la base de données de certificat et de son journal, puis cliquez sur suivant.
Sur la page de Confirmation, cliquez sur configurer. 
Attendre jusqu'à la fin de la configuration, cliquez sur Fermer.
Retour sur la progression de l’Installation de l’Assistant de fonctionnalités et d’ajouter des rôles, cliquez sur Fermer.
Dans le gestionnaire de serveur, dans le menu Outils, démarrez la console Autorité de Certification.
Dans la console autorité de Certification, cliquez sur le nœud Racine-formation-CA et, dans le menu clic-droit, cliquez sur Propriétés. 
Dans la boîte de dialogue Propriétés, affichez l’onglet Extensions, assurez-vous que l’entrée de Point de Distribution CRL (CDP) apparaît dans la liste déroulante Sélectionnez l’extension et cliquez sur Ajouter. 
Dans la boîte de dialogue Ajouter un emplacement, dans la zone de texte emplacement, spécifiez le suivant http://cdp.formation.local/certdata/"NomAutoritéCertification""SuffixeNomListeRévocationCertificats""ListeRévocationCertificatsDeltaAutorisée".crl et cliquez sur OK. 
Retour sur l’onglet "Extensions", avec l’entrée CDP nouvellement ajoutée sélectionnée, sélectionnez inclure dans les extensions CDP des certificats émis et Inclure dans les listes de révocation de certificats afin de pouvoir rechercher les listes de révocation des certificats delta.
Assurez-vous que l’entrée de Point de Distribution CRL (CDP) apparaît dans la liste déroulante Sélectionnez l’extension et cliquez sur Ajouter.
Dans la boîte de dialogue Ajouter un emplacement, dans la zone de texte emplacement, spécifiez les options suivantes : file://cdp.formation.local/certdata/"NomAutoritéCertification""SuffixeNomListeRévocationCertificats""ListeRévocationCertificatsDeltaAutorisée".crl , puis cliquez sur OK. 
Retour sur l’onglet "Extensions", avec l’entrée CDP nouvellement ajoutée sélectionnée, cochez les cases Publient des listes de révocation à cet endroit et Publier la CRL Delta à cet endroit.
Dans la sélectionner l’extension, liste déroulante, cliquez sur l’entrée d’Accès informations l’autorité (AIA) et cliquez sur Ajouter 
Dans la boîte de dialogue Ajouter un emplacement, dans la zone de texte emplacement, spécifiez http://cdp.formation.local/certdata/"Nom du serveur DNS""NomAutoritéCertification".crt et cliquez sur OK. 
Retour sur l’onglet "Extensions", avec l’entrée CDP nouvellement ajoutée sélectionnée, cochez la case inclure dans les extensions AIA des certificats émis, puis cliquez sur OK. 
Lorsque vous êtes invité à redémarrer les Services de certificats Active Directory, cliquez sur Oui.
Retour dans la console autorité de Certification, développez le nœud Racine-formation-CA, cliquez droit sur le dossier Certificats révoqués, cliquez sur Toutes les tâches et cliquez sur publier.
Dans la boîte de dialogue publier CRL, cliquez sur OK. 
Sur le serveur WebProxy doit apparaître dans le répertoire c:\certdata 2 fichiers:
Vous allez créer un modèle de certificat que vous utiliserez ultérieurement sur lequel vous installez l’application web.
Dans la console autorité de Certification, développez le nœud Racine-formation-CA, cliquez sur Modèles de certificats et, dans le menu contextuel, cliquez sur gérer. Ceci ouvrira la console modèles de certificats. 
Dans la console modèles de certificats, cliquez sur le modèle de Serveur Web, puis sélectionnez Modèle dupliqué. 
Dans la fenêtre de propriétés du nouveau modèle, sous l’onglet compatibilité, dans la section paramètres de compatibilité, à l’autorité de Certification liste déroulante, cliquez sur Windows Server 2016. Lorsque vous y êtes invité, dans la boîte de dialogue modifications résultant, cliquez sur OK.
Dans la fenêtre de propriétés du nouveau modèle, sous l’onglet compatibilité, dans la section paramètres de compatibilité, dans la liste déroulante destinataire du certificat, cliquez sur 10 Windows / Windows serveur 2016. Lorsque vous y êtes invité, dans la boîte de dialogue modifications résultant, cliquez sur OK. 
Basculez vers l’onglet sécurité, cliquez sur Ajouter.
Dans la zone Entrez l’objet de noms pour sélectionner zone de texte, tapez Ordinateurs du domaine et cliquez sur OK.
Les ordinateurs du domaine sélectionné, vérifiez les autorisations lecture, inscrire et inscription automatique.
Sur l’onglet traitement de demande, cochez la case de l’autoriser à exporter la clé privée. 
Sous l’onglet général, remplacez le nom d’affichage modèle Formation Web Server.
Cliquez sur OK pour enregistrer le nouveau modèle.
Revenir à la console Autorité de Certification, cliquez droit sur le dossier modèles de certificats, cliquez sur nouveau et puis cliquez sur Modèle de certificat à délivrer.
Dans la boîte de dialogue Activer les modèles de certificat, cliquez sur Formation Web Server et cliquez sur OK.
Connectez-vous à l’ordinateur Windows serveur 2016 ADFS avec les informations d’identification suivantes :
Nom d’utilisateur : FORMATION\Administrateur
Mot de passe : Pa$$word
Alors qu’il est connecté à ADFS comme FORMATION\Administrateur, cliquez sur Démarrer, cliquez droit sur Windows PowerShell, cliquez sur plus et puis cliquez sur exécuter en tant qu’Administrateur.
Dans la fenêtre Administrateur : Windows PowerShell, tapez la commande suivante et appuyez sur entrée :
gpupdate /force
certlm
Ceci ouvrira la Console de gestion Microsoft (MMC) avec le snap-in certificats - ordinateur Local chargé.
Développez le nœud de niveau supérieur de certificats-ordinateur Local, cliquez droit sur le dossier personnel, cliquez sur Toutes les tâches et cliquez sur Demander un nouveau certificat. Cela démarre l’Assistant Inscription de certificat.
Sur la page Avant de commencer, cliquez sur suivant. 
Dans la page Sélectionnez stratégie d’inscription certificat, vérifiez que la Stratégie d’inscription Active Directory est sélectionnée, puis cliquez sur suivant. 
Dans la page Demander des certificats, sélectionnez la case en regard de l’attestation de Formation Web Server, cliquez sur Détails pour afficher les propriétés du certificat et cliquez sur Propriétés. 
Dans la fenêtre Propriétés du certificat, sous l’onglet général, dans la zone de texte de l’article de nom convivial, tapez Formation AD FS SSL.
Dans la fenêtre Propriétés du certificat, cliquez sur l’onglet objet. Dans l’onglet objet, dans la section nom de sujet, dans la liste déroulante Type, cliquez sur nom commun, dans la zone de texte valeur, type *. formation.local, puis cliquez sur Ajouter.
Dans la section nom alternatif, dans la liste déroulante Type, cliquez sur DNS et, ajoutez les noms suivants en tapant dans la zone de texte valeur et en cliquant sur Ajouter chaque fois :
Cliquez sur l'onglet Général
Cliquez sur l’onglet de la Clé privée.
Sous options de clé, assurez-vous que l’option rendre clé privée exportable est cochée, puis cliquez sur OK. 
Dans la page résultats de l’Installation certificat, cliquez Inscription puis sur Terminer.
Retour dans les certificats de la console, développez le dossier Autorités de Certification racines de confiance, puis cliquez sur certificats.
Faites un clic droit entrée Formation-racine-CA, dans le menu contextuel, cliquez sur Toutes les tâches et puis cliquez sur Exporter. Cela va démarrer l’Assistant exportation de certificat.
Dans la page Bienvenue dans l’Assistant exportation de certificat, cliquez sur suivant.
Dans la page format de fichier exporter, cliquez sur suivant. 
Sur la page fichier à exporter, dans la zone de texte nom de fichier, tapez C:\cert\formation-root-CA.cer, puis cliquez sur suivant.
Fin l’Assistant exportation de certificat page, cliquez sur Terminer.
Dans la boîte de dialogue Assistant exportation de certificat, cliquez sur OK.
Loguez vous sur DC1, cliquez sur Démarrer, dans le menu Démarrer, cliquez droit sur Windows PowerShell, dans le menu contextuel, cliquez sur plus et cliquez sur exécuter en tant qu’Administrateur.
Dans la fenêtre Administrateur : Windows PowerShell, créez la clé Key Distribution Services KDS racine en exécutant ce qui suit :
ADD-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
Cela vous permettra d’utiliser un compte de Service géré lors du déploiement des services AD FS.
Revenez à ADFS,
Cliquez sur Démarrer et puis cliquez Server Manager.
Dans le menu gérer dans le Gestionnaire de serveur, sélectionnez Ajouter des rôles et fonctionnalités. Ceci lancera Ajouter des rôles et fonctionnalités Assistant.
Sur la page avant de commencer, cliquez sur suivant
Sur la page Sélectionner le type d’installation, assurez-vous que l’installation basée sur les rôles ou à partir d’option est sélectionnée, puis cliquez sur prochain.
Sur la page Sélectionner le serveur de destination, vérifiez que le serveur local est sélectionné, puis cliquez sur prochain.
Sur la page Rôles du serveur, activez la case à cocher Active Directory Federation Services et cliquez sur suivant 
Dans la page Sélectionner des fonctionnalités, cliquez sur prochain.
Dans la page Services de fédération Active Directory, cliquez sur suivant
Sur la page Confirmer installation sélections, sélectionnez la case à cocher redémarrer le serveur de destination automatiquement si nécessaire, cliquez sur Oui lorsque vous êtes invité pour confirmation et cliquez sur installer. Attendre la fin de l’installation.
Une fois l’installation terminée, sur la page de progression d’Installation, cliquez sur configurer le service de Fédération sur ce serveur. Cela démarrera l’Assistant Configuration de Active Directory Federation Services. 
Sur la page d’Accueil, vérifiez que l’option créer le premier serveur de Fédération dans une batterie de serveurs de Fédération est sélectionnée et cliquez sur suivant. 
Sur la page de connexion aux services AD DS, acceptez les paramètres par défaut et cliquez sur suivant. 
Dans la page spécifier des propriétés de Service, dans le menu de certificat SSL déroulant, cliquez sur
*.formation.local. Dans la liste déroulante nom de Service de Fédération, sélectionnez adfs.formation.local. Dans le nom complet Service de Fédération, tapez Service de Fédération de la Formation et cliquez sur suivant. 
Dans la page Spécifier le compte de Service, cliquez sur l’option créer un compte de Service géré par groupe, dans la zone de texte Nom du compte, tapez « adfs-gmsvc » et puis cliquez sur suivant. 
Ceci est rendu possible grâce à la commande PowerShell ADD-KdsRootKey rentrée précédemment.
Dans la page Spécifier la base de données de Configuration, vérifiez que l’option créer une base de données sur ce serveur en utilisant la base de données interne Windows est sélectionnée et puis cliquez sur suivant. 
Dans la page Revoir les Options, cliquez sur suivant. 
Dans la page de Vérifications des conditions préalables, vérifiez que toutes les conditions préalables sont remplies et cliquez sur configurer. 
Attendre jusqu'à la fin de la configuration, dresser un bilan détaillé d’exploitation et cliquez sur Fermer.
Retour sur la progression de l’Installation de l’Assistant de fonctionnalités et d’ajouter des rôles, cliquez sur Fermer.
Redémarrez le serveur ADFS.
Tester le bon fonctionnement de votre serveur ADFS en tapant cette URL:
https://"nom de votre serveur ADFS"/FederationMetadata/2007-06/FederationMetadata.xml
Se connecter à la machine virtuelle de SVRIIS Windows 2016 avec les informations d’identification suivantes :
Alors qu’il est connecté à SVRIIS comme FORMATION\Administrateur, cliquez sur Démarrer, dans le menu Démarrer, faites un clic droit Windows PowerShell, dans le menu contextuel, cliquez sur plus et cliquez sur exécuter en tant qu’Administrateur.
Dans la fenêtre Administrateur : Windows PowerShell, tapez la commande suivante et appuyez sur entrée :
gpupdate /force
certlm
Développez le nœud de niveau supérieur de certificats-ordinateur Local, cliquez droit sur le dossier personnel, cliquez sur Toutes les tâches et cliquez sur Demander un nouveau certificat. Cela démarre l’Assistant Inscription de certificat.
Sur la page Avant de commencer, cliquez sur suivant.
Dans la page Sélectionnez stratégie d’inscription certificat, vérifiez que la Stratégie d’inscription Active Directory est sélectionnée, puis cliquez sur suivant.
Dans la page Demander des certificats, sélectionnez la case en regard de l’attestation de Formation Web Server, cliquez sur Détails pour afficher les propriétés du certificat et cliquez sur Propriétés.
Dans la fenêtre Propriétés du certificat, sous l’onglet général, dans la zone de texte de l’article de nom convivial, tapez Application Web de Formation SSL. 
Dans la fenêtre de propriétés de certificat, sous l’onglet objet, dans la section nom de sujet, dans la liste déroulante Type, cliquez sur nom commun, dans la zone de texte valeur, tapez webapp.formation.local et cliquez sur Ajouter.
Dans la section nom alternatif, dans la liste déroulante Type, cliquez sur DNS et, ajoutez les noms suivants en tapant dans la zone de texte valeur et en cliquant sur Ajouter chaque fois :
Cliquez sur l’onglet de la Clé privée.
Sous options de clé, assurez-vous que l’option rendre clé privée exportable est cochée, puis cliquez sur OK.
Retour sur la page de l’Assistant demande de certificats, assurez-vous que la case à cocher pour le modèle est cochée et cliquez sur inscription. 
Dans la page résultats de l’Installation certificat, cliquez sur Terminer.
Dans la fenêtre Administrateur : Windows PowerShell, tapez la commande suivante et appuyez sur entrée :
Install-WindowsFeature –Name Web-Server, Web-App-Dev, Web-Net-Ext45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Mgmt-Console, NET-Framework-45-Features, NET-Framework-45-Core, NET-Framework-45-ASPNET, RSAT-AD-PowerShell -Restart
Ceci installe tous les services de rôle et fonctionnalités requises par l’exemple d’application et, si nécessaire, redémarrez le système d’exploitation. 
Si le serveur SVRIIS a redémarré, authentifiez-vous avec le compte d’utilisateur de FORMATION\Administrateur, démarrez Windows PowerShell comme Administrateur et Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :
New-ADUser -Name Svc_AppPool -AccountPassword (ConvertTo-SecureString -AsPlainText “Pa$$word” -Force) -Company Formation -Description “Compte App Pool” -DisplayName Svc_AppPool -Enabled $true -PasswordNeverExpires $true -SamAccountName Svc_AppPool -UserPrincipalName Svc_AppPool@formation.local
Cette opération crée un nouvel utilisateur de domaine qui sera utilisé pour fournir le contexte de sécurité pour le AppPool dans lequel notre exemple d’application s’exécutera.
La fenêtre Administrateur : Windows PowerShell ISE, exécutez ce qui suit :
Add-LocalGroupMember –Group IIS_IUSRS –Member FORMATION\Svc_AppPool
Cela ajoute le nouvel utilisateur au groupe IIS_IUSRS sur le serveur local.
Démarrez Internet Explorer et télécharger l’exemple d’application de https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/telligent.evolution.components.attachments/01/8598/00/00/03/64/54/88/SampApp%20and%20Rules.zip
Extraire le dossier SampleApp de l’archive téléchargée (SampApp et Rules.zip\SampApp et Rules\SampApp.zip\SampApp) et copier le dossier, y compris son contenu, dans le dossier C:\inetpub\wwwroot. 
Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :
Invoke-Command –ComputerName ADFS –ScriptBlock {Get-AdfsCertificate -CertificateType Token-Signing | Select-Object -ExpandProperty Thumbprint}
Cette option affiche l’empreinte numérique du certificat de signature jeton ADFS.
Copier le résultat vers le presse-papiers.
Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :
Notepad C:\inetpub\wwwroot\SampApp\Web.config
Recherchez le mot thumbprint dans le bloc-notes. Il y aura trois résultats. Remplacez la valeur entre guillemets doubles immédiatement après thumbprint= avec le contenu du presse-papiers. (3 en tout)
Recherchez toutes les occurrences app1.contoso.com dans le bloc-notes (2 en tout) et les remplacer par webapp.formation.local
Recherchez toutes les occurrences de sts.contoso.com et les remplacer par adfs.formation.local (9 en tout).
Enregistrez vos modifications et fermez le bloc-notes.
Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :
Notepad C:\inetpub\wwwroot\SampApp\FederationMetadata\2007-06\FederationMetadata.Xml
Recherchez toutes les occurrences app1.contoso.com dans le bloc-notes et le remplacer par webapp.formation.local (il y aura quatre).
Enregistrez vos modifications et fermez le bloc-notes.
Démarrez la console Gestionnaire des Services Internet (IIS) .
Dans la console, cliquez sur le nœud Pools d’applications, ensuite, faites un clic droit DefaultAppPool et cliquez sur Paramètres avancés. 
Dans la boîte de dialogue Paramètres avancés, sélectionnez identité, cliquez sur le bouton de sélection (...) à droite de ApplicationPoolIdentity. Dans la boîte de dialogue ApplicationPoolIdentity , cliquez sur compte personnalisé , puis définir... 
Dans la boîte de dialogue Définir les informations d’identification, spécifiez les options suivantes et cliquez sur OK à deux reprises :
Dans la boîte de dialogue Paramètres avancés, affectez la valeur True à Charger un profil utilisateur, puis cliquez sur OK. 
Retour dans la console, développez le dossier Sites, développez le nœud Site Web par défaut, cliquez-droit sur SampApp, cliquez sur Convertir en Application. 
Dans la boîte de dialogue Ajouter une Application, acceptez les paramètres par défaut et cliquez sur OK.
Retour dans la console, sous connexions, cliquez sur Default Site Web et puis cliquez sur Modifier les liaisons dans le volet Actions.
Dans la boîte de dialogue Liaisons de Site, cliquez sur Ajouter...
Dans la boîte de dialogue Ajouter des liaisons de Site, la valeur Type https, définissez le nom d’hôte à webapp.formation.local, cliquez sur Sélectionner... à côté de la liste déroulante certificat SSL , sélectionnez le certificat de Formation exemple d’application Web , puis cliquez sur OK. 
Si l’invite de confirmation, cliquez sur Oui.
Dans la boîte de dialogue Liaisons de Site, cliquez sur Fermer.
Cliquez sur Site Web par défaut et puis cliquez sur redémarrer dans le volet Actions.
Loguez-vous à nouveau sur ADFS avec vos informations d’identification suivantes :
Démarrez Internet Explorer et télécharger l’exemple d’application de https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/telligent.evolution.components.attachments/01/8598/00/00/03/64/54/88/SampApp%20and%20Rules.zip
Extraire le sous-dossier SampleApp et règles de l’archive téléchargée, IssuanceAuthorizationRules.txt et IssuanceTransformRules.txt et copiez-le dans C:\ (Notez que vous pourriez avoir besoin d’extraire les SampAppRules.zip de SampApp et Rules.zip). 
Cliquez sur Démarrer, puis cliquez sur Windows PowerShell.
Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :
Add-AdfsRelyingPartyTrust -Name “Exemple de revendication pour l'Application Aware” -IssuanceAuthorizationRulesFile C:\IssuanceAuthorizationRules.txt -IssuanceTransformRulesFile C:\IssuanceTransformRules.txt -MetadataUrl https://webapp.formation.local/sampapp/federationmetadata/2007-06/federationmetadata.xml
Cela crée une partie utilisatrice qui représente notre exemple d’application. 
Cliquez sur Démarrer, puis cliquez sur Gestionnaire de serveur.
Dans la fenêtre Gestionnaire de serveur, cliquez sur Outils et, dans le menu déroulant, cliquez sur AD FS gestion.
Dans la console AD FS gestion, cliquez sur le dossier « Approbations de partie de confiance » et vérifier que la partie utilisatrice nommée Exemple de revendication pour l'Application Aware a été créée avec succès.
Tout d’abord, vous exporterez le certificat AD FS SSL du serveur AD FS (ADFS)
Connecté à ADFS comme FORMATION\Administrateur, cliquez sur Démarrer, cliquez droit sur Windows PowerShell, cliquez sur plus et puis cliquez sur exécuter en tant qu’Administrateur.
Dans la console Powershell en tant qu’administrateur, tapez la commande suivante et appuyez sur entrée :
certlm
Ceci ouvrira la Console de gestion Microsoft (MMC) avec le snap-in certificats - ordinateur Local chargé.
Dans la console, accédez au dossier Personnel\Certificats, cliquez avec le *. formation.local certificat, dans le menu contextuel, cliquez sur Toutes les tâches et puis cliquez sur Exporter. Cela démarre l’Assistant exportation de certificat. 
Dans la page Bienvenue dans l’Assistant exportation de certificat, cliquez sur suivant 
Dans la page Exportation de clé privée, cliquez sur l’option Oui, exporter la clé privée, puis cliquez sur suivant.
Dans la page Format de fichier exporter, cliquez sur suivant.
Dans la page sécurité, cliquez sur la case de mot de passe et puis tapez dans Pa$$word dans les zones de texte mot de passe et Confirmer mot de passe. 
Dans la page fichier à exporter, tapez C:\cert\adfs.formation.local.pfx, puis cliquez sur suivant. 
Dans la page fin de l’Assistant exportation de certificat, cliquez sur Terminer. 
Dans la boîte de dialogue Assistant exportation de certificat, cliquez sur OK.
Ensuite, vous allez importer le certificat AD FS sur le serveur WAP (WEBPROXY)
Passer à la machine virtuelle de WEBPROXY où vous êtes connecté tant que FORMATION\Administrateur.
Cliquez sur Démarrer et, dans le menu contextuel, cliquez sur invite de commandes (Admin)
Dans la console Powershell en tant qu’administrateur, exécutez ce qui suit :
Robocopy \\172.16.0.11\c$\cert c:\cert
Dans la fenêtre invite de commandes (administrateur), exécutez ce qui suit :
certlm
Développez le nœud de niveau supérieur de certificats-ordinateur Local, cliquez-droit sur le dossier personnel, cliquez sur Toutes les tâches et cliquez sur Importer. Cela démarre l’Assistant importation de certificat. 
Dans la page Bienvenue dans l’Assistant importation de certificat, cliquez sur suivant 
Dans la page fichier à importer, cliquez sur Parcourir...
Dans la boîte de dialogue ouvrir, changer le filtre à l’Échange d’informations personnelles (*.pfx), accédez à la racine de C : cliquez sur adfs.formation.local.pfx et cliquez sur ouvrir.
Retour sur la page fichier à importer, cliquez sur suivant.
Sur la page de protection des clés privées, dans la zone de texte mot de passe, tapez Pa$$word, puis cliquez sur suivant. 
Dans la page Magasin de certificats, acceptez le paramètre par défaut et cliquez sur suivant.
Dans la page fin de l’Assistant importation de certificat, cliquez sur Terminer.
Dans la boîte de dialogue Assistant importation de certificat, cliquez sur OK.
Dans un premier temps, vous exporterez le certificat Web App à partir du serveur Web App (SVRIIS)
Passer à la session de console pour SVRIIS Windows Server 2016 lab virtuel, où vous êtes connecté tant que FORMATION\Administrateur.
Loguez-vous sur SVRIIS, cliquez sur Démarrer, cliquez droit sur Windows PowerShell, cliquez sur plus et puis cliquez sur exécuter en tant qu’Administrateur.
Dans la console Powershell en tant qu’administrateur, tapez la commande suivante et appuyez sur entrée :
certlm
Ceci ouvrira la Console de gestion Microsoft (MMC) avec le snap-in certificats - ordinateur Local chargé.
Dans la console, accédez au dossier Personnel\Certificats, cliquez-droit sur le certificat de webapp.formation.local , dans le menu contextuel, cliquez sur Toutes les tâches et puis cliquez sur Exporter. Cela démarre l’Assistant exportation de certificat.
Dans la page Bienvenue dans l’Assistant exportation de certificat, cliquez sur suivant
Dans la page Exportation de clé privée, cliquez sur l’option Oui, exporter la clé privée, puis cliquez sur suivant.
Dans la page Format de fichier exporter, cliquez sur suivant.
Dans la page sécurité, cliquez sur la case de mot de passe et puis tapez dans Pa$$word dans les zones de texte mot de passe et Confirmer mot de passe.
Dans la page fichier à exporter, tapez C:\cert\webapp.formation.local.pfx, puis cliquez sur suivant.
Dans le page fin de l’Assistant exportation de certificat, cliquez sur Terminer.
Dans la boîte de dialogue Assistant exportation de certificat, cliquez sur OK.
Ensuite, vous allez importer le certificat de Web App SSL sur le serveur WAP (WEBPROXY)
Passer à la session de console sur WEBPROXY Windows serveur 2016 lab virtuel, où vous êtes connecté tant qu’Administrateur.
Dans la console Powershell en tant qu’administrateur, exécutez ce qui suit :
Robocopy \\172.16.0.13\c$\cert c:\cert\webapp.formation.local.pfx
Logué sur la machine virtuelle de WEBPROXY, passer sur la console certificats-ordinateur Local.
Développez le nœud de niveau supérieur de certificats-ordinateur Local, cliquez-droit sur le dossier personnel, cliquez sur Toutes les tâches et cliquez sur Importer. Cela démarre l’Assistant importation de certificat.
Dans la page Bienvenue dans l’Assistant importation de certificat, cliquez sur suivant
Dans la page fichier à importer, cliquez sur Parcourir...
Dans la boîte de dialogue ouvrir, changer le filtre à l’Échange d’informations personnelles (*.pfx), accédez à la racine de C:, cliquez sur webapp.formation.local.pfx et cliquez sur ouvrir.
Retour sur la page fichier à importer, cliquez sur suivant.
Sur la page de protection des clés privées, dans la zone de texte mot de passe, tapez Pa$$word , puis cliquez sur suivant.
Dans la page Magasin de certificats, acceptez le paramètre par défaut et cliquez sur suivant.
Dans la page fin de l’Assistant importation de certificat, cliquez sur Terminer.
Dans la boîte de dialogue Assistant importation de certificat, cliquez sur OK.
Sur WEBPROXY, cliquez sur Démarrer et puis cliquez sur Gestionnaire de serveur.
Cliquez sur gérer et, dans le menu déroulant, cliquez sur Ajouter des rôles et fonctionnalités.
Si l’avant vous commencez page s’affiche, cochez la case ignorer cette page par défaut et puis cliquez sur suivant
Sur la page type d’installation choisir, vérifiez que l’option d’installation basée sur les rôles ou axée sur la fonctionnalité est activée, puis cliquez sur suivant.
Serveur de destination sur le serveur page, assurez-vous que WEBPROXY est sélectionné et cliquez sur suivant.
Sur le sélectionnez des rôles de serveur de page, sélectionnez la case à cocher Accès distant et puis cliquez sur suivant.
Dans la page Sélectionner des fonctionnalités, cliquez sur suivant.
Sur la page d’Accès à distance, cliquez sur suivant.
Dans la page Sélectionner les services de rôle, cliquez sur Proxy d’Application Web. Ceci affichera une boîte de dialogue supplémentaire vous invitant à ajouter les fonctionnalités requises pour le Proxy d’Application Web. Cliquez sur Ajouter des composants et puis cliquez sur suivant. 
Sur la page Confirmer les sélections pour installation, sélectionnez la case à cocher redémarrer le serveur de destination automatiquement si nécessaire, cliquez sur Oui lorsque vous êtes invité pour confirmation et cliquez sur installer. Attendre terminer l’installation.
Une fois l’installation terminée, sur la page de progression d’Installation, cliquez sur ouvrir l’Assistant Application de Proxy Web. Cela va démarrer l’Assistant de Configuration de Proxy Web Application.
Dans la page Bienvenue, cliquez sur suivant.
Sur la page de Serveur de Fédération, spécifiez les paramètres suivants :
Dans la page Certificat de procuration AD FS , sélectionner un certificat qui servira dans la liste déroulante de ADFS proxy, cliquez sur *. formation.local et cliquez sur suivant.
Sur la page de Confirmation, cliquez sur configurer. 
Attendre jusqu'à la fin de la configuration, dresser un bilan détaillé de fonctionnement et cliquez sur Fermer. 
Ceci ouvrira automatiquement la console de Gestion de l’accès distant.
Dans WEBPROXY, dans la console de Gestion de l’accès distant cliquez sur publier dans le volet de tâches. 
Cela démarre l’Assistant Publication d’une nouvelle Application.
Dans la page Bienvenue, cliquez sur suivant
Sur la page de la pré-authentification, changer pour Pass-through et cliquez sur suivant. 
Dans la page Paramètres de publication, définissez le nom « Exemple de revendication d’application »
URL externe pour https://webapp.formation.local/SampApp/, acceptez le paramètre par défaut pour l’URL du serveur back-end (correspondant à l’URL externe), dans le menu de liste déroulante certificat externe, sélectionnez le certificat de WebApp.formation.local , et cliquez sur suivant. 
Sur la page de Confirmation, cliquez sur publier 
Sur la page de résultats, cliquez sur Fermer.
Maintenant que vous avez déployé le service de rôle Proxy d’Application Web, vous devez vérifier que les utilisateurs externes peuvent accéder à l’application interne via le proxy. Les principales tâches de cet exercice sont les suivantes :
Accès aux applications de test d’un client interne
Tester l’accès de la demande d’un client interne
Connectez-vous à l’ordinateur virtuel de laboratoire CL1 Windows 10 en utilisant les informations d’identification suivantes :
Nom d’utilisateur : FORMATION\Administrateur
Mot de passe : Pa$$word
Alors qu’il est connecté à ADFS comme FORMATION\Administrateur, cliquez sur Démarrer, dans le menu Démarrer, développez le dossier de Windows PowerShell, cliquez-droit sur Windows PowerShell, cliquez sur plus et puis cliquez sur exécuter en tant qu’Administrateur.
Dans la console Powershell en tant qu’administrateur, tapez la commande suivante et appuyez sur entrée :
gpupdate /force
Dans la console Powershell en tant qu’administrateur, tapez la commande suivante et appuyez sur entrée :
certlm
Ceci ouvrira la Console de gestion Microsoft (MMC) avec le snap-in certificats - ordinateur Local chargé.
Développez le nœud de niveau supérieur de certificats-ordinateur Local , développez le dossier Autorités de Certification racines de confiance et cliquez sur son sous-dossier de certificats . Notez qu’il comprend le certificat auto-émis Formation-racine-CA .
Démarrez Internet Explorer.
Ensuite, accédez à https://webapp.formation.local/SampApp/ et lorsque vous êtes invité fournissez les informations d’identification Administrateur et Pa$$word . 
Vérifiez que la page affiche la liste des revendications de l’utilisateur actuel.
Accès aux applications de test d’un client externe
Pour pouvoir tester le client externe, vous allez devoir créer un serveur DNS simulant les serveur DNS de votre FAI.
Vous y créerez la zone formation.local avec les enregistrements hôtes suivants pointant sur l’adresse IP publique du routeur:
Il sera nécessaire que soit importé sur le poste se connectant de l’extérieur le certificat de l’autorité de certification root dans le magasin des autorités de certifications de confiance.
Ceci fait, lancer votre navigateur et renseignez l’url https://webapp.formation.local/sampapp
Vous serez alors automatiquement redirigé vers la page d’authentification d’ADFS.
