Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2

2025-07-14
Se aplica a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

En este tema se describen los pasos para configurar un entorno de prueba que se puede usar para completar los tutoriales en las siguientes guías de recorrido.

Note

No se recomienda instalar el servidor web y el servidor de federación en el mismo equipo.

Para configurar este entorno de prueba, complete los pasos siguientes:

Paso 1: Configurar el controlador de dominio (DC1)

For the purposes of this test environment, you can call your root Active Directory ___domain contoso.com and specify pass@word1 as the administrator password.

Instale el servicio de rol de AD DS e instale Active Directory Domain Services (AD DS) para que el equipo sea un controlador de dominio en Windows Server 2012 R2 . Esta acción actualiza el esquema de AD DS como parte de la creación del controlador de dominio. Para obtener más información e instrucciones paso a paso, veahttps://technet.microsoft.com/library/hh472162.aspx.

Creación de cuentas de Active Directory de prueba

Después de que el controlador de dominio sea funcional, puede crear un grupo de prueba y probar cuentas de usuario en este dominio y agregar la cuenta de usuario a la cuenta de grupo. Utilizarás estas cuentas para completar los tutoriales de las guías mencionadas anteriormente en este tema.

Crea las cuentas siguientes:

User: Robert Hatley with the following credentials: User name: RobertH and password: P@ssword
Group: Finance

Para obtener información sobre cómo crear cuentas de usuario y de grupo en Active Directory (AD), consulte https://technet.microsoft.com/library/cc783323%28v.aspx.

Add the Robert Hatley account to the Finance group. Para obtener información sobre cómo agregar un usuario a un grupo en Active Directory, consulte https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Creación de una cuenta de GMSA

La cuenta de cuenta de servicio administrada (GMSA) de grupo es necesaria durante la instalación y configuración de los Servicios de federación de Active Directory (AD FS).

Para crear una cuenta de GMSA

Abra una ventana de comandos de Windows PowerShell y escriba:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

Paso 2: Configurar el servidor de federación (ADFS1) mediante el servicio de registro de dispositivos

To set up another virtual machine, install Windows Server 2012 R2 and connect it to the ___domain contoso.com. Configure el equipo después de haberlo unido al dominio y, a continuación, continúe con la instalación y configuración del rol de AD FS.

Para ver un vídeo, consulte Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: instalar una granja de servidores de AD FS.

Instalación de un certificado SSL de servidor

Debes instalar un certificado de Capa de sockets seguros (SSL) de servidor en el servidor ADFS1 en el almacén del equipo local. El certificado DEBE tener los siguientes atributos:

Nombre del sujeto (CN): adfs1.contoso.com
Nombre Alternativo del Sujeto (DNS): adfs1.contoso.com
Nombre Alternativo del Sujeto (DNS): enterpriseregistration.contoso.com

Para obtener más información sobre cómo configurar certificados SSL, consulte Configuración de SSL/TLS en un sitio web en el dominio con una ENTIDAD de certificación empresarial.

Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: actualizar certificados.

Instalación del rol de servidor de AD FS

Cómo instalar el servicio de rol de servicio de federación

Inicie sesión en el servidor mediante la cuenta de administrador de dominio administrator@contoso.com.
Inicie el Administrador del servidor. To start Server Manager, click Server Manager on the Windows Start screen, or click Server Manager on the Windows taskbar on the Windows desktop. On the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. Como alternativa, puede hacer clic en Agregar roles y características en el menú Administrar .
En la página Antes de comenzar , haga clic en Siguiente.
En la página Seleccionar tipo de instalación , haga clic en Instalación basada en roles o basada en características y, a continuación, haga clic en Siguiente.
En la página Seleccionar servidor de destino , haga clic en Seleccionar un servidor del grupo de servidores, compruebe que el equipo de destino está seleccionado y, a continuación, haga clic en Siguiente.
En la página Seleccionar roles de servidor , haga clic en Servicios de federación de Active Directory y, a continuación, haga clic en Siguiente.
On the Select features page, click Next.
En la página Servicio de federación de Active Directory (AD FS), haga clic en Siguiente.
Después de comprobar la información de la página Confirmar selecciones de instalación , active la casilla Reiniciar el servidor de destino automáticamente si es necesario y, a continuación, haga clic en Instalar.
On the Installation progress page, verify that everything installed correctly, and then click Close.

Configuración del servidor de federación

El siguiente paso es configurar el servidor de federación.

Para configurar el servidor de federación

On the Server Manager Dashboard page, click the Notifications flag, and then click Configure the federation service on the server.

Se abre el asistente de configuración del servicio de federación de Active Directory .
On the Welcome page, select Create the first federation server in a federation server farm, and then click Next.
En la página Conectar a AD DS , especifique una cuenta con derechos de administrador de dominio para el dominio de Active Directory contoso.com al que está unido este equipo y, a continuación, haga clic en Siguiente.
En la página Especificar propiedades del servicio , haga lo siguiente y, a continuación, haga clic en Siguiente:
- Importe el certificado SSL que obtuvo anteriormente. Este certificado es el certificado de autenticación de servicio necesario. Navegue hasta la ubicación de su certificado SSL.
- To provide a name for your federation service, type adfs1.contoso.com. Este valor es el mismo que proporcionó al inscribir un certificado SSL en Servicios de certificados de Active Directory (AD CS).
- To provide a display name for your federation service, type Contoso Corporation.
En la página Especificar cuenta de servicio , seleccione Usar una cuenta de usuario de dominio existente o una cuenta de servicio administrada de grupo y, a continuación, especifique la cuenta de GMSA fsgmsa que creó al crear el controlador de dominio.
En la página Especificar base de datos de configuración , seleccione Crear una base de datos en este servidor con Windows Internal Database y, a continuación, haga clic en Siguiente.
On the Review Options page, verify your configuration selections, and then click Next.
On the Pre-requisite Checks page, verify that all prerequisite checks were successfully completed, and then click Configure.
On the Results page, review the results, check whether the configuration has completed successfully, and then click Next steps required for completing your federation service deployment.

Configuración del servicio de registro de dispositivos

El siguiente paso es configurar el servicio de registro de dispositivos en el servidor ADFS1. Para ver un vídeo, consulte Serie de vídeos prácticos sobre los Servicios de federación de Active Directory (AD FS): habilitar el Servicio de registro de dispositivos.

Para configurar el servicio de registro de dispositivos para Windows Server 2012 RTM

Important

El paso siguiente se aplica a la compilación de Windows Server 2012 R2 RTM.

Abra una ventana de comandos de Windows PowerShell y escriba:
```
Initialize-ADDeviceRegistration
```
When you are prompted for a service account, type contoso\fsgmsa$.

Ahora ejecute el cmdlet de Windows PowerShell.
```
Enable-AdfsDeviceRegistration
```
En el servidor ADFS1, en la consola de administración de AD FS , vaya a Directivas de autenticación. Seleccione Editar autenticación principal global. Active la casilla situada junto a Habilitar autenticación de dispositivos y, a continuación, haga clic en Aceptar.

Agregar registros de recursos host (A) y alias (CNAME) a DNS

En DC1, debe asegurarse de que se crean los siguientes registros del sistema de nombres de dominio (DNS) para el servicio de registro de dispositivos.

Entry	Type	Address
adfs1	Host (A)	Dirección IP del servidor de AD FS
enterpriseregistration	Alias (CNAME)	adfs1.contoso.com

Puedes usar el siguiente procedimiento para agregar un registro de recursos de host (A) a los servidores de nombres DNS corporativos para el servidor de federación y el Servicio de registro de dispositivos.

La pertenencia al grupo Administradores o un equivalente es el requisito mínimo para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en el HIPERVÍNCULO "https://go.microsoft.com/fwlink/?LinkId=83477" Grupos predeterminados de dominio y locales (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Cómo agregar registros de recursos de host (A) y alias (CNAME) a DNS para el servidor de federación

On DC1, from Server Manager, on the Tools menu, click DNS to open the DNS snap-in.
En el árbol de consola, despliegue DC1, despliegue Zonas de búsqueda directa, haga clic con el botón derecho sobre contoso.com y, a continuación, haga clic en Nuevo host (A o AAAA).
In Name, type the name you want to use for your AD FS farm. For this walkthrough, type adfs1.
In IP address, type the IP address of the ADFS1 server. Click Add Host.
Right-click contoso.com, and then click New Alias (CNAME).
En el cuadro de diálogo Nuevo registro de recursos, escriba enterpriseregistration en el cuadro Nombre de alias.
In the Fully Qualified Domain Name (FQDN) of the target host box, type adfs1.contoso.com, and then click OK.

Important

En una implementación real, si su empresa tiene varios sufijos de nombre principal de usuario (UPN), debe crear varios registros CNAME, uno para cada uno de esos sufijos UPN en DNS.

Paso 3: Configurar el servidor web (WebServ1) y una aplicación basada en declaraciones de ejemplo

Set up a virtual machine (WebServ1) by installing the Windows Server 2012 R2 operating system and connect it to the ___domain contoso.com. Una vez unido al dominio, puede continuar con la instalación y configuración del rol servidor web.

Para completar los tutoriales a los que se hace referencia anteriormente en este tema, debe tener una aplicación de ejemplo protegida por el servidor de federación (ADFS1).

Debe completar los pasos siguientes para configurar un servidor web con esta aplicación de ejemplo basada en reclamaciones.

Note

Estos pasos se han probado en un servidor web que ejecuta el sistema operativo Windows Server 2012 R2.

Instalación del rol servidor web y Windows Identity Foundation

Note

Debe tener acceso a los medios de instalación de Windows Server 2012 R2.

Log on to WebServ1 by using administrator@contoso.com and the password pass@word1.
From Server Manager, on the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. Como alternativa, puede hacer clic en Agregar roles y características en el menú Administrar .
En la página Antes de comenzar , haga clic en Siguiente.
En la página Seleccionar tipo de instalación , haga clic en Instalación basada en roles o basada en características y, a continuación, haga clic en Siguiente.
En la página Seleccionar servidor de destino , haga clic en Seleccionar un servidor del grupo de servidores, compruebe que el equipo de destino está seleccionado y, a continuación, haga clic en Siguiente.
En la página Seleccionar roles de servidor , active la casilla situada junto a Servidor web (IIS), haga clic en Agregar características y, a continuación, haga clic en Siguiente.
On the Select features page, select Windows Identity Foundation 3.5, and then click Next.
En la página Rol de servidor web (IIS), haga clic en Siguiente.
En la página Seleccionar servicios de rol , seleccione y expanda Desarrollo de aplicaciones. Select ASP.NET 3.5, click Add Features, and then click Next.
En la página Confirmar selecciones de instalación , haga clic en Especificar una ruta de acceso de origen alternativa. Escriba la ruta de acceso al directorio Sxs que se encuentra en los medios de instalación de Windows Server 2012 R2. Por ejemplo, D:\Sources\Sxs. Click OK, and then click Install.

Instalación del SDK de Windows Identity Foundation

Ejecute WindowsIdentityFoundation-SDK-3.5.msi para instalar Windows Identity Foundation SDK 3.5. Elija todas las opciones predeterminadas.

Configurar la aplicación de demandas sencilla en IIS

Instale un certificado SSL válido en el almacén de certificados del equipo. The certificate should contain the name of your web server, webserv1.contoso.com.
Copie el contenido de C:\Archivos de programa (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp a C:\Inetpub\Claimapp.
Edit the Default.aspx.cs file so that no claim filtering takes place. Este paso se realiza para asegurarse de que la aplicación de ejemplo muestre todas las reclamaciones emitidas por el servidor de federación. Haga lo siguiente:
1. Open Default.aspx.cs in a text editor.
2. Busque el archivo para la segunda instancia de ExpectedClaims.
3. Convierta en comentario todo el argumento IF y el contenido de las llaves. Indique comentarios escribiendo "//" (sin comillas) al principio de una línea.
4. La instrucción FOREACH debería tener ahora un aspecto similar al de este ejemplo de código.
```
Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}
```
5. Save and close Default.aspx.cs.
6. Open web.config in a text editor.
7. Quite toda la sección <microsoft.identityModel>. Elimine todo desde including <microsoft.identityModel> hasta </microsoft.identityModel>incluido.
8. Save and close web.config.
Configuración del Administrador de IIS
1. Abra el Administrador de Internet Information Services (IIS).
2. Go to Application Pools, right-click DefaultAppPool to select Advanced Settings. Establezca Cargar perfil de usuario en True y, a continuación, haga clic en Aceptar.
3. Right-click DefaultAppPool to select Basic Settings. Cambie la versión de .NET CLR a .NET CLR versión v2.0.50727.
4. Haga clic con el botón derecho en Sitio web predeterminado para seleccionar Editar enlaces.
5. Add an HTTPS binding to port 443 with the SSL certificate that you have installed.
6. Haga clic con el botón derecho en Sitio web predeterminado para seleccionar Agregar aplicación.
7. Set the alias to claimapp and the physical path to c:\inetpub\claimapp.
To configure claimapp to work with your federation server, do the following:
1. Ejecute FedUtil.exe, que se encuentra en C:\Archivos de programa (x86)\Windows Identity Foundation SDK\v3.5.
2. Set the application configuration ___location to C:\inetpub\claimapp\web.config and set the application URI to the URL for your site, https://webserv1.contoso.com /claimapp/. Click Next.
3. Seleccione Usar un STS existente y vaya a la dirección URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xmlde metadatos del servidor de AD FS. Click Next.
4. Seleccione Deshabilitar validación de la cadena de certificados y, a continuación, haga clic en Siguiente.
5. Select No encryption, and then click Next. On the Offered claims page, click Next.
6. Seleccione la casilla situada junto a Programar una tarea para realizar actualizaciones diarias de metadatos WS-Federation. Click Finish.
7. La aplicación de ejemplo ya está configurada. Si prueba la dirección URL de la aplicación https://webserv1.contoso.com/claimapp, debe redirigirle al servidor de federación. El servidor de federación debería mostrar una página de error, ya que todavía no has configurado la relación de confianza para usuario autenticado. En otras palabras, esta aplicación de prueba no está protegida por AD FS.

Ahora debe proteger la aplicación de ejemplo que se ejecuta en el servidor web con AD FS. Para ello, agregue una relación de confianza con un tercero confiable en el servidor de federación (ADFS1). Para ver un vídeo, consulte Serie de vídeos prácticos sobre los Servicios de federación de Active Directory: agregar una relación de confianza para usuario autenticado.

Crear una relación de confianza para usuario autenticado en el servidor de federación

En el servidor de federación (ADFS1), en la consola de administración de AD FS, vaya a Confianzas de usuario autenticado y, a continuación, haga clic en Agregar confianza de usuario autenticado.
En la página Seleccionar origen de datos, seleccione Importar los datos acerca del usuario autenticado publicados en línea o en una red local, escriba la dirección URL de los metadatos para claimapp, y haga clic en Siguiente. La ejecución de FedUtil.exe creó un archivo de metadatos .xml. Se encuentra en https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.
En la página Especificar nombre para mostrar, especifique el nombre para mostrar de la relación de confianza para usuario autenticado, claimapp, y haga clic en Siguiente.
En la página ¿Configurar autenticación multifactor ahora?, seleccione No quiero especificar la configuración de autenticación multifactor para esta relación de confianza de la parte que confía en este momento y, a continuación, haga clic en Siguiente.
En la página Elegir reglas de autorización de emisión, seleccione Permitir que todos los usuarios accedan a esta parte confiable y, a continuación, haga clic en Siguiente.
En la página Listo para agregar confianza , haga clic en Siguiente.
En el cuadro de diálogo Editar reglas de reclamación, haga clic en Agregar regla.
En la página Elegir tipo de regla , seleccione Enviar notificaciones mediante una regla personalizada y, a continuación, haga clic en Siguiente.
En la página Configurar regla de notificación , en el cuadro Nombre de la regla de notificación, escriba Todas las notificaciones. In the Custom rule box, type the following claim rule.
```
c:[ ]
=> issue(claim = c);
```
Click Finish, and then click OK.

Paso 4: Configurar el equipo cliente (Client1)

Configure otra máquina virtual e instale Windows 8.1. Esta máquina virtual debe estar en la misma red virtual que las otras máquinas. Esta máquina NO debe unirse al dominio Contoso.

El cliente DEBE confiar en el certificado SSL que se usa para el servidor de federación (ADFS1), que configuró en el paso 2: Configurar el servidor de federación (ADFS1) con el servicio de registro de dispositivos. También debe poder validar la información de revocación de certificados para dicho certificado.

También debe configurar y usar una cuenta Microsoft para iniciar sesión en Client1.