TP 

: Installation et configuration de l’ADFS

La société NEXTINFO souhaite implémenter les services de fédération Microsoft, afin de
travailler avec son nouveau partenaire OXYFILM.

Afin de répondre à ce besoin, on vous demande de mettre en place la technologie AD FS afin

d’étendre les fonctionnalités des composants AD RMS internes ainsi qu’obtenir un accès web
SSO pour les services web de la société.

Pour réaliser les TP ci-dessous, vous aurez besoin de mettre en place les machines virtuelles
suivantes qui hébergeront les rôles ci-dessous :

 DC-01 : Contrôleur du domaine Nextinfo.priv, serveur DNS

 Adresse IP : 192.168.0.100
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254

 CS-03 : Autorité de certification émettrice (CA d’entreprise), Nextinfo.priv

 Adresse IP : 192.168.0.120
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254
 Partitions : C:\ D:\, E:\

 FILES-01 : Serveur de fichiers, AD RMS, AD FS, Nextinfo.priv

 Adresse IP : 192.168.0.109
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254
 Partitions : C:\, E:\ (50 Go)

 FS-01 : Serveur de fichiers, proxy AD FS, Nextinfo.priv

 Adresse IP : 192.168.0.121
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254

 CLIENT1 : Client DNS & DHCP, Pack Office 2010, Nextinfo.priv

 Adresse IP : 192.168.0.104
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254

 DC-05 : Contrôleur du domaine oxyfilm.local, serveur DNS, AD CS (CA d’entreprise

émettrice)

 Adresse IP : 192.168.0.118
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254
TP 1 : Préparer le déploiement d’AD FS
Ce TP permet de préparer l’installation du rôle de serveur AD FS.

 Étape 1 : ouvrez une session sur le serveur DC-01 avec des identifiants d’administration du
domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur Outils, puis sur
DNS.

 Étape 2 : développez l’arborescence de la console, faites un clic droit sur Redirecteurs

conditionnels, puis cliquez sur Nouveau redirecteur conditionnel.

 Étape 3 : tapez oxyfilm.local dans le champ Domaine DNS, puis tapez 192.168.0.118 dans
le champ Adresses IP des serveurs maîtres. Cliquez ensuite sur OK.

 Étape 4 : ouvrez une session sur le serveur DC-05 avec des identifiants d’administration du
domaine Oxyfilm.local, puis dans le Gestionnaire de serveur, cliquez sur Outils, puis sur
DNS.

 Étape 5 : développez l’arborescence de la console, faites un clic droit sur Redirecteurs

conditionnels, puis cliquez sur Nouveau redirecteur conditionnel.

 Étape 6 : dans la fenêtre Nouveau redirecteur conditionnel, tapez nextinfo.priv dans le

champ Domaine DNS, puis tapez 192.168.0.100 dans le champ Adresses IP des serveurs
maîtres. Cliquez ensuite sur OK.

 Étape 7 : vérifiez la synchronisation horaire sur les deux contrôleurs de domaine et les
ordinateurs membres du domaine. L’ensemble des machines de l’infrastructure doivent être
parfaitement synchronisées. 

 Étape 8 : basculez sur le serveur FILES-01, et, depuis le Gestionnaire de serveur, cliquez sur
Outils puis sur Gestionnaire des services Internet (IIS).

 Étape 9 : dans l’arborescence de la console, cliquez sur le nom du serveur, puis dans la partie
centrale, double cliquez sur Certificats de serveur.

 Étape 10 : dans la partie droite, cliquez sur Créer un certificat de domaine.

 Étape 11 : tapez les informations suivantes, puis cliquez sur Suivant :

 Nom commun : FILES-01.nextinfo.priv

 Organisation : NEXTINFO
 Unité d’organisation : AD FS
 Ville : Paris
 Département/région : Ile de France
 Pays/région : FR

 Étape 12 : à l’écran Autorité de certification en ligne, cliquez sur Sélectionner pour

indiquer l’autorité de certification Nextinfo-Root-CA (hébergée sur le serveur CS-03, à
installer et configurer en prérequis du TP). Tapez FILES-01.nextinfo.priv dans le champ Nom
convivial et cliquez sur Terminer :
 Étape 13 : dans la console Gestionnaire des services Internet (IIS), développez
l’arborescence de la console afin de sélectionner le site Default Web Site. Dans la partie
droite, cliquez sur Liaisons.

 Étape 14 : dans la fenêtre Liaisons de sites, cliquez sur Ajouter.

 Étape 15 : dans la fenêtre Ajouter la liaison de site, indiquez les informations suivantes et
cliquez sur OK :

 Type : https
 Adresse IP : Toutes non attribuées
 Port : 443
 Nom de l’hôte : FILES-01.infonovice.priv
 Certificat SSL : FILES-01.infonovice.priv

 Étape 16 : dans la fenêtre Liaisons de sites, cliquez sur Fermer et fermez la fenêtre du
Gestionnaire des services Internet (IIS).

 Étape 17 : basculez sur le serveur DC-01 et naviguez dans le répertoire \\DC-

05.oxyfilm.local\CertEnroll. Copiez ensuite le fichier DC-05.oxyfilm.local_Oxyfilm-Root-
CA.crt sur le bureau Windows.

 Étape 18 : démarrez le Gestionnaire de serveur, cliquez sur Outils puis sur Gestion des
stratégies de groupe.

 Étape 19 : développez l’arborescence de la console afin d’éditer l’objet de stratégie de

groupe Default Domain Policy.

 Étape 20 : dans la fenêtre Éditeur de gestion des stratégies de groupe, développez

l’arborescence de la console afin de sélectionner le conteneur suivant :

Configuration Ordinateur - Stratégies - Paramètres Windows - Paramètres de sécurité -

Stratégies de clé publique - Autorités de certification racines de confiance

 Étape 21 : faites un clic droit sur le conteneur Autorités de certification racines de

confiance puis cliquez sur Import.

 Étape 22 : dans la fenêtre Assistant importation du certificat, cliquez sur Suivant à l’étape
de Bienvenue.

 Étape 23 : dans l’étape Sélectionner le fichier à importer, cliquez sur Parcourir afin de
spécifier le fichier DC-05.oxyfilm.local_Oxyfilm-Root-CA.crt, et cliquez sur Suivant.

 Étape 24 : dans l’étape Magasin de certification, cliquez sur Suivant.

 Étape 25 : dans l’étape Fin de l’Assistant Importation du certificat, cliquez sur Terminer.

 Étape 26 : basculez sur le serveur DC-05 et naviguez dans le répertoire \\CS-

03.nextinfo.priv\CertEnroll. Copiez ensuite le fichier CS-03.nextinfo.priv_Nextinfo-Root-
CA.crt sur le bureau Windows.

 Étape 27 : démarrez le Gestionnaire de serveur, cliquez sur Outils puis sur Gestion des
stratégies de groupe.
 Étape 28 : développez l’arborescence de la console afin d’éditer l’objet de stratégie de
groupe Default Domain Policy.

 Étape 29 : dans la fenêtre Éditeur de gestion des stratégies de groupe, développez

l’arborescence de la console afin de sélectionner le conteneur suivant :

Configuration Ordinateur - Stratégies - Paramètres Windows - Paramètres de sécurité -

Stratégies de clé publique - Autorités de certification racines de confiance

 Étape 30 : faites un clic droit sur le conteneur Autorités de certification racines de

confiance puis cliquez sur Import.

 Étape 31 : dans la fenêtre Assistant importation du certificat, cliquez sur Suivant à l’étape
de Bienvenue.

 Étape 32 : à l’écran Sélectionner le fichier à importer, cliquez sur Parcourir afin de

spécifier le fichier CS-03.nextinfo.priv_Nextinfo-Root-CA.crt, et cliquez sur Suivant.

 Étape 33 : dans la fenêtre Magasin de certification, cliquez sur Suivant.

 Étape 34 : une fois arrivé à la fin de l’assistant, cliquez sur Terminer.

 Étape 35 : basculez sur le serveur FILES-01, téléchargez et installez le fichier Windows

Identity Foundation SDK - Français (WindowsIdentityFoundation-SDK-3.5.msi).
TP 2 : Installer les serveurs AD FS
Ce TP permet de préparer l’installation du rôle de serveur AD FS sur les serveurs respectifs
des domaines Nextinfo.priv et oxyfilm.local.

 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, et cliquez sur Ajouter des
rôles et fonctionnalités.

 Étape 2 : cliquez sur Suivant pour passer les pages Avant de commencer, Sélectionner le
type d’installation et Sélectionner le serveur de destination.

 Étape 3 : dans l’étape Sélectionner des rôles de serveurs, cochez la case correspondant au
rôle Services AD FS (Active Directory Federation Services), puis cliquez sur le bouton
Ajouter des fonctionnalités. Cliquez ensuite sur Suivant :

L’installation des services AD FS ajoute également le rôle Serveur Web IIS.

 Étape 4 : cliquez sur Suivant jusqu’à l’écran Confirmer les sélections d’installation, puis
cliquez sur Installer.

 Étape 5 : dans la fenêtre Progression de l’installation, cliquez sur Exécuter le composant

logiciel enfichable Gestion AD FS.

 Étape 6 : dans le centre de la console de Gestion AD FS, cliquez sur le lien Assistant
Configuration du serveur de fédération AD FS :

 Étape 7 : dans la fenêtre Assistant Configuration du serveur de fédération AD FS, à

l’étape de bienvenue, cochez la case Créer un service de fédération et cliquez sur Suivant.

 Étape 8 : à l’écran Sélectionner le type de déploiement, cochez la case Serveur de

fédération autonome et cliquez sur Suivant.

 Étape 9 : dans la fenêtre Nom du service de fédération, assurez-vous que le certificat SSL
sélectionné est bien FILES-01.nextinfo.priv et cliquez sur Suivant plusieurs fois jusqu’à
atteindre la fin de l’assistant.

 Étape 10 : ouvrez une session sur le poste CLIENT1 avec les identifiants de l’utilisateur
Jean DUPONT (Login : jdupont et mot de passe : P@ssw0rd). Démarrez Internet Explorer et
validez l’installation en affichant l’URL suivante :

https://FILES-01.nextinfo.priv/federationmetadata/2007-06/federationmetadata.xml

Étape 11 : répétez les étapes 1 à 9 sur le serveur FS-02 dans le domaine oxyfilm.local.
TP 3. Configurer la signature de jetons
Ce TP permet de configurer le rôle de serveur AD FS pour la signature des jetons de sécurité.

 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis démarrez une invite de commande PowerShell.

 Étape 2 : tapez la commande suivante :

set-ADFSProperties -AutoCertificateRollover $False

 Étape 3 : démarrez ensuite le Gestionnaire de serveur, cliquez sur Outils puis sur Gestion
AD FS.

 Étape 4 : développez l’arborescence de la console et faites un clic droit sur ADFS \ Service \
Certificats, et cliquez sur Ajouter un certificat de signature de jetons.

 Étape 5 : dans la fenêtre Sécurité de Windows, sélectionnez le certificat nommé FILES-

01.nextinfo.priv et cliquez sur OK.

 Étape 6 : dans la fenêtre Gestion AD FS, cliquez sur Oui puis sur OK pour ignorer les
messages d’information.

 Étape 7 : dans la section des signatures de jetons, faites un clic droit sur le certificat ayant le
nom d’objet CN=FILES-01.nextinfo.priv, puis cliquez sur Définir en tant que certificat
principal.

 Étape 8 : dans la fenêtre Gestion AD DS, cliquez sur Oui pour ignorer le message
d’information.

 Étape 9 : supprimez ensuite le second certificat de la section Signature de jetons.

TP 4 : Configurer les revendications
Ce TP permet de configurer les règles de revendications pour AD FS.

 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis démarrez le Gestionnaire de serveur. Cliquez sur Outils puis
sur Gestion AD FS.

 Étape 2 : développez l’arborescence de la console afin de sélectionner le conteneur AD FS \

Relation d’approbation \ Approbation de fournisseur de revendications. Dans la partie
centrale, faites un clic droit sur Active Directory et cliquez sur Modifier les règles de
revendications.

 Étape 3 : dans la fenêtre Modifier les règles de revendications, cliquez sur Ajouter une
règle.

 Étape 4 : ensuite, dans la liste déroulante, sélectionnez Envoyer les attributs LDAP en tant
que revendications et cliquez sur Suivant.

 Étape 5 : à l’écran Configurer la règle, renseignez les éléments suivants et cliquez sur
Terminer puis OK :

 Nom de la règle : Transmettre l’ensemble des attributs LDAP configurés

 Magasin d’attributs : Active Directory
 Mappage des attributs LDAP :

 User-Principal-Name : UPN
 E-Mail-Adresses : Adresse de messagerie
 Display-Name : Nom
TP 5 : Installer les proxy AD FS
Ce TP permet d’installer les proxy de serveur AD FS sur le serveur FS-01.

 Étape 1 : ouvrez une session sur le serveur FS-01 avec des identifiants d’administration du
domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur Ajouter des rôles
et des fonctionnalités. 

 Étape 2 : cliquez sur Suivant pour passer les pages Avant de commencer, Sélectionner le
type d’installation et Sélectionner le serveur de destination.

 Étape 3 : à l’écran Sélectionner des rôles de serveurs, cochez la case correspondant au rôle
Services AD FS (Active Directory Federation Services), puis cliquez sur le bouton Ajouter
des fonctionnalités. Cliquez ensuite sur Suivant.

L’installation des services AD FS ajoute également le rôle Serveur Web IIS.

 Étape 4 : passez les fenêtres en cliquant sur Suivant jusqu’à Sélectionner des services de
rôles, où vous cocherez uniquement la case proxy FSP. Puis cliquez sur Suivant.

 Étape 5 : laissez les autres étapes par défaut en cliquant sur Suivant, puis cliquez sur
Installer.