ADFS的部署 1 前期部署准备 1.1 以上)
至少准备三台Windows Server (使用Windows Server 2008 R2 或
一台作为AD DC
一台作为ADFS Server
一台作为ADFS Proxy. 1.2
生产环境需要准备一个公网认证的签名证书,并将adfs.domain.com这
个域名作为签名。 1.3
三个内网IP地址以及一个公网IP地址,其中一个分配给Proxy的IP地
址需要开放80(DirSync使用)和443(ADFS使用),并且保证内网客户机能够Ping通这三台Servers。 1.4
在外部DNS服务器中,添加一条A记录,将公网IP地址指向
adfs.domain.com。 1.5
建议做端口映射NAT,将外部IP地址转为为内网IP地址,并指向
Proxy Sever的80和443端口。 2 安装DC 2.1 2.2
配置更改计算机的IP,DNS以及计算机名
在Server Manger中添加Role and Feature,选择AD Domain
Services> .net framework 3.5(之后部署Dirsync必须安装此工具,但是此时必须放入Server
的安装载体;或者之后单独下载该软件的安装包)>此时会安装DNS service>然后根据提示完成安装。 2.3 2.4
安装完成后,重启计算机并以管理员身份登陆该域。
在管理员工具下的AD 用户和计算机中创建OU来对权限进行归档(或者
可以单独创建用户),并且在相应OU中添加相应权限的Users. 在此以创建admin@domain.com为例,并将 enterprise admin, schema admin, domain admin 这些权限分配给此用户。
3 以上部署完成后,开始安装ADFS角色服务器(ADFS服务器配置完成IP后,后期不能进行改动) 3.1
为domain.com以及adfs.domain.com申请证书(免费证书可以去网
址:https://buy.wosign.com/free/FreeSSL.html) 3.2
配置更改ADFS Server的IP,DNS以及计算机名(此处必须是ADFS)
并将其加入域。 3.3
全部完成后在Server Manger中添加功能和角色>添加Active
Directory Federation Service>根据向导安装完成。 3.4 3.5
安装完成后,点击右上角Flag图标,开始进行ADFS的配置。
使用刚才添加的admin账户admin@domain.com连接到AD>将申请
的证书添加至SSL证书,确保联合身份验证服务器为 adfs.domain.com 3.6
点击下一步后可能会有warning,此时需要在DC上使用Windows
PowerShell执行以下命令:
Add-kdsRootKey –EffectiveTime(Get-Date).Addhours(-10) 3.7
执行完成后,回到ADFS Server再次进行配置,此时警告将会消失。选
择使用现有的域名账户或组托管服务账户,然后使用之前添加的管理员admin@domain.com作为service的管理员。 3.8
如果没有本地的SQL服务,可以选择使用Windows自带的database
作为ADFS的数据库。
3.9 之后进行配置检查,无误后进行安装完成配置向导。
4 进行ADFS的验证。 4.1
打开IE浏览器,输入以下地址:
https://adfs.domain.com/federationmetadata/2007-06/federationmetadata.xml 或
https://sts.domain.com/federationmetadata/2007-06/federationmetadata.xml 如果显示以下类似网页,则表示成功:
4.2
输入以下地址来验证登陆界面是否正常:
https://adfs.domain.com/adfs/ls/idpinitiatedsignon.htm 或
https://sts.domain.com/adfs/ls/idpinitiatedsignon.htm 如果显示以下页面则说明正确:
5 添加域名至Office 365。 5.1
使用Office 365管理员账号登陆Office 365 管理控制台>点击左侧工具
栏中的域。 5.2
点击添加域>点击我们开始吧>将域名填入点击下一步>将Office 365提
供的TXT记录添加至该域名的外部DNS系统>等待片刻后点击验证来验证你对该域名的所有权。
注意:该过程可能需要等待15分钟-72小时,一般只需等待一会即可。 5.3
验证通过后,如果暂时不需要使用Office 365的服务,可以退出向导,
开始步骤6;否则需要添加所需服务的DNS记录到外部DNS系统。 6 安装部署DirSync
6.1 6.2
选择内网中一台Server安装DirSync(可以安装在原有的DC上)。 使用Office 365管理员账号登陆Office 365 管理控制台>点击左侧用户
按钮>活动用户> 点击页面上方 Active Directory 同步旁的管理。 6.3 6.4 6.5
点击激活Active Directory同步
点击第五步下的下载按钮,下载Directory同步工具。 确保安装完成.net framework 3.5工具后,以管理员身份打开
Directory同步工具。 6.6
更具向导完成安装,当提示是否开始配置向导时,请先点击否,或者暂时
不进行任何操作,因为此时需要进行一步额外的操作。 6.7
进入域控管理服务器,点击管理工具>Active Directory 用户和电脑>找
到之前创建的管理员 admin@domain.com,并双击>点击隶属于>点击添加>高级>查找>找到管理员组FIMSyncAdmins,并将其分配给该管理员。 6.8
完成后返回Dirsync配置向导>输入Office 365的Global
Administrator的账号信息>输入本地域具备相应权限的账号信息(此处即为calvin@domain.com)>点击下一步开始进行同步。
注意:再此之前建议将该Server的防火墙临时关闭,否则可能会导致同步失
败。 6.9
同步成功后,可以进入Office 365的活动用户中查看。如果显示以下状
态,则表示同步成功。
6.10 可以在Windows PowerShell中运行以下命令来立即进行同步: 7 配置联合域名 7.1
切换至ADFS服务器,至以下网址下载安装Windows Azure Active
Directory Powershell:
https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx#bkmk_installmodule
注意:安装之前需要安装Microsoft Online Services Sign-In Assistant,安装地址为:https://www.microsoft.com/en-us/download/details.aspx?id=41950,并且建议此操作在ADFS服务器上
完成。 7.2
安装完成后,需要做以下准备工作。
使用Office 365 Global Administrator账号进入Office 365管理控制台添加一个以Office 365默认域名为后缀的用户,比如
admin@contoso.onmicrosoft.com并赋予该用户Global Administrator权限。(该用户的用户名后缀必须不能与做federation的域名相同。)
使用Windows自带的Windows PowerShell在ADFS Server上运行以下命令来开启Remote PowerShell。 Enable-PSRemotng
7.3
用管理员身份打开之前安装的Windows Azure Active Directory
PowerShell,使用以下命令连接至Office 365 Connect-MsolService
7.4 在弹出的对话框中输入之前创建的以onmicrosoft.com结尾的Office
365管理员账号以及密码。 7.5
验证完成后,使用以下命令将Office 365中的自定义域名转换成
Federated状态。如果提示更新成功,则表示正常
Convert-MsolDomainToFederated -DomainName domain.com 注意:如遇到错误,可以尝试运行一下命令:
Set-MsolADFSContext -Computer adfs.domain.com 7.6
在在内网任意机器的浏览器中输入https://portal.office.com 进入
Office 365登陆界面>输入已做Federation域名后缀的用户账号,如果页面显示正在跳转,并且成功跳转至ADFS页面,则表示配置正确。如果无法访问,可能是由于DNS解析问题,请登录DNS Server,打开DNS管理界面,将ADFS Server添加至正向解析中,如下图,并在cmd 中运行 ipconfig /flushdns:
至此ADFS服务器基本算是配置完成。 8 配置ADFS服务器。 8.1
配置更改ADFS Proxy Server的IP,DNS以及计算机名(此处必须是
ADFS) 8.2
全部完成后在Server Manger中添加功能和角色>添加Remote
Access以及Web Server(IIS)>根据向导完成安装。 8.3
安装完成后,将ADFS申请的证书拷贝到Proxy Server上,并将以下记
录添加至本机的Hosts文件 (c:\\windows\\system32\\drivers\\etc\\) ADFS IP Address adfs.domain.com Note:需要本地管理员权限 8.4
在搜索界面输入IIS,打开IIS控制台,点击 Server Certificate,点击
导入,将申请的证书导入。 8.5
在搜索界面输入MMC,打开控制台,点击左上角文件>Add/Remove
Snap-in>Certificate>Add>Computer Account>Local Computer>Finish>OK。
8.6 点击Certificate>Personal>右击选择All Tasks>Import>Next>选择
证书>输入证书密码>其他默认,然后点击Next>选择Place all certificates in the following store>Certificate store “Personal”>Next> Finish。 8.7 8.8
关闭控制台并将其保存。
打开Remote Access Management>Web Application Proxy>Run
the Web Application Proxy Configuration Wizard。 8.9
点击Next>输入ADFS Service name, ADFS管理员账号密码。
8.10 选择之前导入的ADFS 证书>点击Next>Configure>等待配置完成后关
闭配置界面。
8.11 返回Remote Access Management并点击Proxy>在页面右侧点击Publish>Next>选择Pass-through>填入Name, External URL, External Certificate, Backend Server URL。如下图:
8.12 点击下一步并确认配置信息后进行配置。
8.13 配置完成后,在外部网络使用以下地址来验证是否成功: https://adfs.domain.com/adfs/ls/IdpInitiatedSignon.aspx 如显示下图则说明配置成功:
