Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2

Se aplica a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

En este tema se describen los pasos para configurar un entorno de prueba que se puede usar para completar los tutoriales en las siguientes guías de recorrido.

Nota:

No se recomienda instalar el servidor web y el servidor de federación en el mismo equipo.

Para configurar este entorno de prueba, complete los pasos siguientes:

Paso 1: Configurar el controlador de dominio (DC1)

Para los fines de este entorno de prueba, puede llamar al dominio raíz de Active Directory contoso.com y especificar pass@word1 como contraseña de administrador.

Instale el servicio de rol de AD DS e instale Active Directory Domain Services (AD DS) para que el equipo sea un controlador de dominio en Windows Server 2012 R2 . Esta acción actualiza el esquema de AD DS como parte de la creación del controlador de dominio. Para obtener más información e instrucciones paso a paso, veahttps://technet.microsoft.com/library/hh472162.aspx.

Creación de cuentas de Active Directory de prueba

Después de que el controlador de dominio sea funcional, puede crear un grupo de prueba y probar cuentas de usuario en este dominio y agregar la cuenta de usuario a la cuenta de grupo. Utilizarás estas cuentas para completar los tutoriales de las guías mencionadas anteriormente en este tema.

Crea las cuentas siguientes:

Usuario: Robert Hatley con las siguientes credenciales: Nombre de usuario: RobertH y contraseña: P@ssword
Grupo: Finanzas

Para obtener información sobre cómo crear cuentas de usuario y de grupo en Active Directory (AD), consulte https://technet.microsoft.com/library/cc783323%28v.aspx.

Agregue la cuenta de Robert Hatley al grupo Finance . Para obtener información sobre cómo agregar un usuario a un grupo en Active Directory, consulte https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Creación de una cuenta de GMSA

La cuenta de cuenta de servicio administrada (GMSA) de grupo es necesaria durante la instalación y configuración de los Servicios de federación de Active Directory (AD FS).

Para crear una cuenta de GMSA

Abra una ventana de comandos de Windows PowerShell y escriba:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

Paso 2: Configurar el servidor de federación (ADFS1) mediante el servicio de registro de dispositivos

Para configurar otra máquina virtual, instale Windows Server 2012 R2 y conéctelo al dominio contoso.com. Configure el equipo después de haberlo unido al dominio y, a continuación, continúe con la instalación y configuración del rol de AD FS.

Para ver un vídeo, consulte Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: instalar una granja de servidores de AD FS.

Instalación de un certificado SSL de servidor

Debes instalar un certificado de Capa de sockets seguros (SSL) de servidor en el servidor ADFS1 en el almacén del equipo local. El certificado DEBE tener los siguientes atributos:

Nombre del sujeto (CN): adfs1.contoso.com
Nombre Alternativo del Sujeto (DNS): adfs1.contoso.com
Nombre Alternativo del Sujeto (DNS): enterpriseregistration.contoso.com

Para obtener más información sobre cómo configurar certificados SSL, consulte Configuración de SSL/TLS en un sitio web en el dominio con una ENTIDAD de certificación empresarial.

Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: actualizar certificados.

Instalación del rol de servidor de AD FS

Cómo instalar el servicio de rol de servicio de federación

Inicie sesión en el servidor mediante la cuenta de administrador de dominio administrator@contoso.com.
Inicie el Administrador del servidor. Para iniciar el Administrador del servidor, haga clic en Administrador del servidor en la pantalla Inicio de Windows o haga clic en Administrador del servidor en la barra de tareas de Windows en el escritorio de Windows. En la pestaña Inicio rápido del mosaico Bienvenida de la página Panel de control, haga clic en Agregar roles y funciones. Como alternativa, puede hacer clic en Agregar roles y características en el menú Administrar .
En la página Antes de comenzar , haga clic en Siguiente.
En la página Seleccionar tipo de instalación , haga clic en Instalación basada en roles o basada en características y, a continuación, haga clic en Siguiente.
En la página Seleccionar servidor de destino , haga clic en Seleccionar un servidor del grupo de servidores, compruebe que el equipo de destino está seleccionado y, a continuación, haga clic en Siguiente.
En la página Seleccionar roles de servidor , haga clic en Servicios de federación de Active Directory y, a continuación, haga clic en Siguiente.
En la página Seleccionar características , haga clic en Siguiente.
En la página Servicio de federación de Active Directory (AD FS), haga clic en Siguiente.
Después de comprobar la información de la página Confirmar selecciones de instalación , active la casilla Reiniciar el servidor de destino automáticamente si es necesario y, a continuación, haga clic en Instalar.
En la página Progreso de la instalación , compruebe que todo está instalado correctamente y, a continuación, haga clic en Cerrar.

Configuración del servidor de federación

El siguiente paso es configurar el servidor de federación.

Para configurar el servidor de federación

En la página Panel del Administrador del servidor, haga clic en la marca Notificaciones y, a continuación, haga clic en Configurar el servicio de federación en el servidor.

Se abre el asistente de configuración del servicio de federación de Active Directory .
En la página principal , seleccione Crear el primer servidor de federación en una granja de servidores de federación y, a continuación, haga clic en Siguiente.
En la página Conectar a AD DS , especifique una cuenta con derechos de administrador de dominio para el dominio de Active Directory contoso.com al que está unido este equipo y, a continuación, haga clic en Siguiente.
En la página Especificar propiedades del servicio , haga lo siguiente y, a continuación, haga clic en Siguiente:
- Importe el certificado SSL que obtuvo anteriormente. Este certificado es el certificado de autenticación de servicio necesario. Navegue hasta la ubicación de su certificado SSL.
- Para proporcionar un nombre para el servicio de federación, escriba adfs1.contoso.com. Este valor es el mismo que proporcionó al inscribir un certificado SSL en Servicios de certificados de Active Directory (AD CS).
- Para proporcionar un nombre visible para el servicio de federación, escriba Contoso Corporation.
En la página Especificar cuenta de servicio , seleccione Usar una cuenta de usuario de dominio existente o una cuenta de servicio administrada de grupo y, a continuación, especifique la cuenta de GMSA fsgmsa que creó al crear el controlador de dominio.
En la página Especificar base de datos de configuración , seleccione Crear una base de datos en este servidor con Windows Internal Database y, a continuación, haga clic en Siguiente.
En la página Opciones de revisión , compruebe las selecciones de configuración y, a continuación, haga clic en Siguiente.
En la página Comprobaciones de requisitos previos , compruebe que todas las comprobaciones de requisitos previos se completaron correctamente y, a continuación, haga clic en Configurar.
En la página Resultados , revise los resultados, compruebe si la configuración se ha completado correctamente y, a continuación, haga clic en Pasos siguientes necesarios para completar la implementación del servicio de federación.

Configuración del servicio de registro de dispositivos

El siguiente paso es configurar el servicio de registro de dispositivos en el servidor ADFS1. Para ver un vídeo, consulte Serie de vídeos prácticos sobre los Servicios de federación de Active Directory (AD FS): habilitar el Servicio de registro de dispositivos.

Para configurar el servicio de registro de dispositivos para Windows Server 2012 RTM

Importante

El paso siguiente se aplica a la compilación de Windows Server 2012 R2 RTM.

Abra una ventana de comandos de Windows PowerShell y escriba:
```
Initialize-ADDeviceRegistration
```
Cuando se le solicite una cuenta de servicio, escriba contoso\fsgmsa$.

Ahora ejecute el cmdlet de Windows PowerShell.
```
Enable-AdfsDeviceRegistration
```
En el servidor ADFS1, en la consola de administración de AD FS , vaya a Directivas de autenticación. Seleccione Editar autenticación principal global. Active la casilla situada junto a Habilitar autenticación de dispositivos y, a continuación, haga clic en Aceptar.

Agregar registros de recursos host (A) y alias (CNAME) a DNS

En DC1, debe asegurarse de que se crean los siguientes registros del sistema de nombres de dominio (DNS) para el servicio de registro de dispositivos.

Entrada	Tipo	Dirección
adfs1	Anfitrión (A)	Dirección IP del servidor de AD FS
registro de empresa	Alias (CNAME)	adfs1.contoso.com

Puedes usar el siguiente procedimiento para agregar un registro de recursos de host (A) a los servidores de nombres DNS corporativos para el servidor de federación y el Servicio de registro de dispositivos.

La pertenencia al grupo Administradores o un equivalente es el requisito mínimo para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en el HIPERVÍNCULO "https://go.microsoft.com/fwlink/?LinkId=83477" Grupos predeterminados de dominio y locales (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Cómo agregar registros de recursos de host (A) y alias (CNAME) a DNS para el servidor de federación

En DC1, en el Administrador del servidor, en el menú Herramientas , haga clic en DNS para abrir el complemento DNS.
En el árbol de consola, despliegue DC1, despliegue Zonas de búsqueda directa, haga clic con el botón derecho sobre contoso.com y, a continuación, haga clic en Nuevo host (A o AAAA).
En Nombre, escriba el nombre que desea usar para la granja de AD FS. Para este tutorial, escriba adfs1.
En Dirección IP, escriba la dirección IP del servidor ADFS1. Haga clic en Agregar host.
Haga clic con el botón derecho en contoso.com y, a continuación, haga clic en Nuevo alias (CNAME).
En el cuadro de diálogo Nuevo registro de recursos, escriba enterpriseregistration en el cuadro Nombre de alias.
En el nombre de dominio completo (FQDN) del cuadro host de destino, escriba adfs1.contoso.com y, a continuación, haga clic en Aceptar.

Importante

En una implementación real, si su empresa tiene varios sufijos de nombre principal de usuario (UPN), debe crear varios registros CNAME, uno para cada uno de esos sufijos UPN en DNS.

Paso 3: Configurar el servidor web (WebServ1) y una aplicación basada en declaraciones de ejemplo

Configure una máquina virtual (WebServ1) instalando el sistema operativo Windows Server 2012 R2 y conéctelo al dominio contoso.com. Una vez unido al dominio, puede continuar con la instalación y configuración del rol servidor web.

Para completar los tutoriales a los que se hace referencia anteriormente en este tema, debe tener una aplicación de ejemplo protegida por el servidor de federación (ADFS1).

Debe completar los pasos siguientes para configurar un servidor web con esta aplicación de ejemplo basada en reclamaciones.

Nota:

Estos pasos se han probado en un servidor web que ejecuta el sistema operativo Windows Server 2012 R2.

Instalación del rol servidor web y Windows Identity Foundation

Nota:

Debe tener acceso a los medios de instalación de Windows Server 2012 R2.

Inicie sesión en WebServ1 mediante administrator@contoso.com y la contraseña pass@word1.
En el Administrador del servidor, en la pestaña Inicio rápido del icono de bienvenida de la página Panel , haga clic en Agregar roles y características. Como alternativa, puede hacer clic en Agregar roles y características en el menú Administrar .
En la página Antes de comenzar , haga clic en Siguiente.
En la página Seleccionar tipo de instalación , haga clic en Instalación basada en roles o basada en características y, a continuación, haga clic en Siguiente.
En la página Seleccionar servidor de destino , haga clic en Seleccionar un servidor del grupo de servidores, compruebe que el equipo de destino está seleccionado y, a continuación, haga clic en Siguiente.
En la página Seleccionar roles de servidor , active la casilla situada junto a Servidor web (IIS), haga clic en Agregar características y, a continuación, haga clic en Siguiente.
En la página Seleccionar características , seleccione Windows Identity Foundation 3.5 y, a continuación, haga clic en Siguiente.
En la página Rol de servidor web (IIS), haga clic en Siguiente.
En la página Seleccionar servicios de rol , seleccione y expanda Desarrollo de aplicaciones. Seleccione ASP.NET 3.5, haga clic en Agregar características y, a continuación, haga clic en Siguiente.
En la página Confirmar selecciones de instalación , haga clic en Especificar una ruta de acceso de origen alternativa. Escriba la ruta de acceso al directorio Sxs que se encuentra en los medios de instalación de Windows Server 2012 R2. Por ejemplo, D:\Sources\Sxs. Haga clic en Aceptary, a continuación, haga clic en Instalar.

Instalación del SDK de Windows Identity Foundation

Ejecute WindowsIdentityFoundation-SDK-3.5.msi para instalar Windows Identity Foundation SDK 3.5. Elija todas las opciones predeterminadas.

Configurar la aplicación de demandas sencilla en IIS

Instale un certificado SSL válido en el almacén de certificados del equipo. El certificado debe contener el nombre del servidor web, webserv1.contoso.com.
Copie el contenido de C:\Archivos de programa (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp a C:\Inetpub\Claimapp.
Edite el archivo Default.aspx.cs para que no se produzca ningún filtrado de declaraciones. Este paso se realiza para asegurarse de que la aplicación de ejemplo muestre todas las reclamaciones emitidas por el servidor de federación. Haga lo siguiente:
1. Abra Default.aspx.cs en un editor de texto.
2. Busque el archivo para la segunda instancia de ExpectedClaims.
3. Convierta en comentario todo el argumento IF y el contenido de las llaves. Indique comentarios escribiendo "//" (sin comillas) al principio de una línea.
4. La instrucción FOREACH debería tener ahora un aspecto similar al de este ejemplo de código.
```
Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}
```
5. Guarde y cierre Default.aspx.cs.
6. Abra web.config en un editor de texto.
7. Quite toda la sección <microsoft.identityModel>. Elimine todo desde including <microsoft.identityModel> hasta </microsoft.identityModel>incluido.
8. Guarde y cierre web.config.
Configuración del Administrador de IIS
1. Abra el Administrador de Internet Information Services (IIS).
2. Vaya a Grupos de aplicaciones, haga clic con el botón derecho en DefaultAppPool para seleccionar Configuración avanzada. Establezca Cargar perfil de usuario en True y, a continuación, haga clic en Aceptar.
3. Haga clic con el botón derecho en DefaultAppPool para seleccionar Configuración básica. Cambie la versión de .NET CLR a .NET CLR versión v2.0.50727.
4. Haga clic con el botón derecho en Sitio web predeterminado para seleccionar Editar enlaces.
5. Agregue un enlace HTTPS al puerto 443 con el certificado SSL que ha instalado.
6. Haga clic con el botón derecho en Sitio web predeterminado para seleccionar Agregar aplicación.
7. Establezca el alias en claimapp y la ruta de acceso física en c:\inetpub\claimapp.
Para configurar claimapp para que funcione con el servidor de federación, haga lo siguiente:
1. Ejecute FedUtil.exe, que se encuentra en C:\Archivos de programa (x86)\Windows Identity Foundation SDK\v3.5.
2. Establezca la ubicación de configuración de la aplicación enC:\inetpub\claimapp\web.config y establezca el URI de la aplicación en la dirección URL del sitio, https://webserv1.contoso.com /claimapp/. Haga clic en Siguiente.
3. Seleccione Usar un STS existente y vaya a la dirección URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xmlde metadatos del servidor de AD FS. Haga clic en Siguiente.
4. Seleccione Deshabilitar validación de la cadena de certificados y, a continuación, haga clic en Siguiente.
5. Seleccione Sin cifrado y, a continuación, haga clic en Siguiente. En la página Notificaciones ofrecidas , haga clic en Siguiente.
6. Seleccione la casilla situada junto a Programar una tarea para realizar actualizaciones diarias de metadatos WS-Federation. Haga clic en Finalizar.
7. La aplicación de ejemplo ya está configurada. Si prueba la dirección URL de la aplicación https://webserv1.contoso.com/claimapp, debe redirigirle al servidor de federación. El servidor de federación debería mostrar una página de error, ya que todavía no has configurado la relación de confianza para usuario autenticado. En otras palabras, esta aplicación de prueba no está protegida por AD FS.

Ahora debe proteger la aplicación de ejemplo que se ejecuta en el servidor web con AD FS. Para ello, agregue una relación de confianza con un tercero confiable en el servidor de federación (ADFS1). Para ver un vídeo, consulte Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: agregar una relación de confianza para usuario autenticado.

Crear una relación de confianza para usuario autenticado en el servidor de federación

En el servidor de federación (ADFS1), en la consola de administración de AD FS, vaya a Confianzas de usuario autenticado y, a continuación, haga clic en Agregar confianza de usuario autenticado.
En la página Seleccionar origen de datos, seleccione Importar los datos acerca del usuario autenticado publicados en línea o en una red local, escriba la dirección URL de los metadatos para claimapp, y haga clic en Siguiente. La ejecución de FedUtil.exe creó un archivo de metadatos .xml. Se encuentra en https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.
En la página Especificar nombre para mostrar, especifique el nombre para mostrar de la relación de confianza para usuario autenticado, claimapp, y haga clic en Siguiente.
En la página ¿Configurar autenticación multifactor ahora?, seleccione No quiero especificar la configuración de autenticación multifactor para esta relación de confianza de la parte que confía en este momento y, a continuación, haga clic en Siguiente.
En la página Elegir reglas de autorización de emisión, seleccione Permitir que todos los usuarios accedan a esta parte confiable y, a continuación, haga clic en Siguiente.
En la página Listo para agregar confianza , haga clic en Siguiente.
En el cuadro de diálogo Editar reglas de reclamación, haga clic en Agregar regla.
En la página Elegir tipo de regla , seleccione Enviar notificaciones mediante una regla personalizada y, a continuación, haga clic en Siguiente.
En la página Configurar regla de notificación , en el cuadro Nombre de la regla de notificación, escriba Todas las notificaciones. En el cuadro Regla personalizada, escriba la siguiente regla de reclamación.
```
c:[ ]
=> issue(claim = c);
```
Haga clic en Finalizary, a continuación, haga clic en Aceptar.

Paso 4: Configurar el equipo cliente (Client1)

Configure otra máquina virtual e instale Windows 8.1. Esta máquina virtual debe estar en la misma red virtual que las otras máquinas. Esta máquina NO debe unirse al dominio Contoso.

El cliente DEBE confiar en el certificado SSL que se usa para el servidor de federación (ADFS1), que configuró en el paso 2: Configurar el servidor de federación (ADFS1) con el servicio de registro de dispositivos. También debe poder validar la información de revocación de certificados para dicho certificado.

También debe configurar y usar una cuenta Microsoft para iniciar sesión en Client1.

Véase también

Serie de vídeos de Servicios de federación de Active Directory How-To: Instalación de una granja de servidores de AD FS
Serie de vídeos de Servicios de federación de Active Directory How-To: Actualización de certificados
Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: agregar una relación de confianza para usuario autenticado
Servicios de federación de Active Directory How-To Serie de vídeos: Habilitación del servicio de registro de dispositivos
Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: instalar el servidor proxy de la aplicación web

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-08-15