继续我们的实验,前面的步骤可以返回到
第一篇:http://gshao.blog.51cto.com/3512873/1788027
第二篇:http://gshao.blog.51cto.com/3512873/1788038
第三篇:http://gshao.blog.51cto.com/3512873/1788048
----------------------------------我是略污的中折线-------------------------------------
大概的思路步骤如下:
1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)
2.申请证书(公网)
3.安装AD FS服务
4.内部DNS服务器新建正向区域解析
5.添加外网dns记录,配置443端口映射出去
6.在office 365添加自定义域名,配置相关外网记录
7.将自定义域名转换成联盟域
8.在office 365激活目录同步,安装AAD
9.配置目录同步和AD FS
10.验证用户的登陆状态
----------------------------------我是略污的中折线-------------------------------------
配置目录同步和AD FS
1.在用户登录,选择使用AD FS进行联合身份验证,点击下一步;
2.在连接到Azure AD ,输入账号和密码,点击下一步;
3.在连接目录,输入账号和密码,点击下一步;
4.点击下一步;
5.选择要同步的ou,点击下一步;
6.在唯一标识用户,点击下一步;(这个动作的意思是类似SID的概念,就是你要定义一个标识,而这个标识是不能更改的,就是SID号的概念)
7.点击下一步;(这个玩意主要是为了后面的MDM\Sway\Intune服务)
8.在可选功能,点击下一步;
9.在AD FS场,浏览到AD FS服务器,点击下一步;
(友情提示:其实这一步可以不用在AAD Connect操作的,你在AAD powershell输入Set-MsolADFSContext -computer adfsServerfqdn)
10.输入域管理员凭据,点击下一步;(其实到这一步,大家都可以发现AAD Connect 远程计算机安装AD FS服务)
11.在AD FS服务账号,点击下一步;
12.在Azure AD域,点击下一步;
13. 点击下一步;
14. 出现这种情况的错误,检查一下目录同步状态是否已激活;
15. 步骤14问题排查后,出现这个情况,是因为没开启WINRM远程管理;
16.安装完成,点击验证;(下面出现的错误是解析问题)
验证用户的登陆状态
17.在office 365管理界面,可以看到本地目录同步到office 365的用户账号信息了;
18.给本地用户分配许可证;
19.用域内用户登录域内计算机,打开Exchange Online(outlook.office.com);
20.输入对外域名后缀的邮箱地址,会自动跳转到AD FS验证;
21.可以看到成功跳转到ad fs服务器做验证,输入账号和密码,并记住我的凭据;
22.可以看到正常访问到Exchange Online OWA界面;
23.用Skype for Business 客户端登陆;
24.Skype for Business Online也可以正常登陆。
结束话:
本次实验环境大概就这样实现,因为我这次是简单的搭建,其实少了TMG或者WAP服务器做反向代理(对于做过TMG的反向代理的工程师,这个步骤不复杂),而且我们在证书申请的时候预先配置好可以导出私钥。如果大型环境就要考虑多台AD FS服务器配置NLB,组建AD FS服务器场。如果我这几篇文章有什么遗漏或者什么地方不对的,可以留言给我,也欢迎各位大神多多拍砖支持。