Ir al contenido principal

Probando Workplace join en Windows Server 2012 R2

Buen día,

La idea del día de hoy es hacer un laboratorio de prueba para probar la característica Workplace join de Windows Server 2012 R2.

La función de esta característica es poder realizar Single-Sign-On desde dispositivos IOs y Android para consumir datos y servicios en nuestra red corporativa, dado que estos dispositivos no pueden ser incluidos como objetos en nuestro Active Directory.

Para poder realizar este laboratorio vamos a necesitar tener un dominio de Active Directory, también necesitaremos implementar Active Directory Federation Services y Active Directory Certification Services, este ultimo para emitir certificados internamente en nuestra organización.

En mi caso ya tengo un laboratorio con un dominio creado y el controlador de dominio correspondiente, también eh implementado el rol de Active Directory Certificate Services para los certificados. El foco principal que quiero abordar aquí son los pasos correspondientes a la implementación de la característica Workplace join.

No tengo en mi blog una guía para instalar un dominio o el rol de certificados, pero los animo a buscar por Internet alguna guía paso a paso, hay una gran cantidad disponibles en la web.

Luego de tener nuestro dominio, nos vendrá bien crear una cuenta de usuario de prueba con privilegios normales.


Creamos una group Managed Service Account (GMSA) que luego vamos a utilizar durante la instalación y configuración del rol Active Directory Federation Services

Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)



New-ADServiceAccount FsGmsa -DNSHostName fed.cds.local -ServicePrincipalNames http/fed.cds.local

En mi caso el nombre del servidor con el rol de Active Directory Federation Services es "FED" y nuestro dominio es "CDS.LOCAL"





Debemos instalar un certificado en la carpeta de certificados Personales a nivel de Computadora en el store local de certificados de nuestro  servidor con el rol de Federation Services. El tipo de Certificado que necesitamos es "Web Server" y necesitamos definir los siguientes atributos:


  • Subject Name (Common Name): fed.cds.local
  • Subject Alternative Name (DNS): fed.cds.local
  • Subject Alternative Name (DNS): enterpriseregistration.cds.local


Durante la configuración del rol de Active Directory Federation Services vamos a seleccionar el certificado instalado anteriormente como certificado para autenticación y como nombre del servicio de federación vamos a configurar el mismo que el subject name del certificado.

Luego vamos a correr los siguientes comandos en una consola de powershell en el servidor con el rol de Active Directory Federation Services.

Initialize-ADDeviceRegistration

Cuando nos pida la cuenta de servicio escribiremos la que generamos antes, en nuestro caso "cds\fsgmsa$"





En el paso siguiente habilitaremos el registro de Dispositivos con el siguiente comando:

Enable-ADFSDeviceRegistration

Luego de ejecutar el anterior comando debemos habilitar una configuración a nivel de interfaz gráfica.
Abrir la consola de administración de servicios de federación (AD FS Management)
Editar la configuración "Global Primary Authentication"

Habilitar el checkbox "Enable device authentication"



Entradas más populares de este blog

Crear servidor Ansible

Servidor Ansible Comenzamos instalando un sistema operativo CentOS 7 minimal, podemos hacerlo sobre una maquina virtual Hyper-V, Vmware o en la nube. En Centos 7 instalación mínima por defecto no se tiene conexión a la red dado que las interfaces ethernet no vienen habilitadas de forma predeterminada. Ejecutar comando " nmcli d " para un listado rápido de las interfaces de red instaladas en el equipo. Ejecutar el comando " nmtui " para abrir el Network manager Editar las interfaces y configurar en automático IPv4 y marcar la opción "Conectar de forma automática"  para obtener dirección IP desde un servidor DHCP. Ejecutar " Service Network Restart " Instalar el repositorio EPEL para Centos 7 Ejecutar " yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm " Instalar ansible Ejecutar " yum install ansible " Ejecutar " yum install python-pip " Ejecutar " pip inst...

Solución de Problemas en la Migración del DataCollector de MMA a Azure ARC

  Síntomas Observados Error al Ejecutar Comandos: Al intentar ejecutar los comandos: Import-Module "C:\ODA\Binaries\bin\Microsoft.PowerShell.Oms.Assessments\Microsoft.PowerShell.Oms.Assessments" .\run.cmd Se obtiene el mensaje de error: "ExecPkg not found. File WindowsServerAssessment.execpkg". Ubicación Incorrecta del Archivo WindowsServerAssessment.execpkg: El archivo necesario se encuentra en una ubicación diferente a la esperada: C:\Packages\Plugins\Microsoft.ServicesHub.WindowsServerAssessment\1.7\bin Falta de Estructura de Carpeta Esperada: La carpeta esperada,  C:\ODA\Packages , no existe en el sistema. Errores Registrados en los Logs: En los registros (logs) del sistema se reporta el error: "Missing Mandatory file OmsAssessment.exe". Pasos para Solucionar los Problemas 1. Desinstalación del Microsoft Monitoring Agent (MMA) y Eliminación de Variables de Entorno Desinstala completamente el MMA asegurándote de eliminar todo el software relacionado. Ve...

Utilizar Ansible para implementar sobre Azure

Bien, ya tenemos nuestro servidor Ansible on-premises o en la nube. Ahora vamos a comenzar a usarlo para desplegar algo en Azure. Credenciales Lo primero que debemos hacer es crear las credenciales para poder  comunicar Ansible con nuestra subscripcion de Azure. Para eso vamos a usar la opción application registration del modulo de Active Directory de Azure. o mucho mas fácil ejecutando el siguiente comando desde la interfaz de comandos web de Azure.' az ad sp create-for-rbac --query '{"client_id": appId, "secret": password, "tenant": tenant}' La salida se vera parecida a lo siguiente: {   "client_id": "eexx6xxa-9xx8-4xx6-8xx7-0xx3xx5xx0d5",   "secret": "53xxcxxa-3xxf-4xx8-9xxb-48xxcxx5xx3f",   "tenant": "72xx8xxf-8xx1-4xxf-9xxb-2dxxd0xxdb47" } lo anotamos y luego vamos por la identificación de la subscripcion con el siguiente comando: az account show --query "{ ...