继续我们的实验,前面的步骤可以返回到第一篇:http://gshao.blog.51cto.com/3512873/1788027
----------------------------------我是略污的中折线-------------------------------------
大概的思路步骤如下:
1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)
2.申请证书(公网)
3.安装AD FS服务
4.内部DNS服务器新建正向区域解析
5.添加外网dns记录,配置443端口映射出去
6.在office 365添加自定义域名,配置相关外网记录
7.将自定义域名转换成联盟域
8.在office 365激活目录同步,安装AAD
9.配置目录同步和AD FS
10.验证用户的登陆状态
----------------------------------我是略污的中折线-------------------------------------
安装AD FS服务
1.在添加角色和功能向导,点击下一步;
2.在选择安装类型,点击下一步;
3.在选择目标服务器,点击下一步;
4.在选择服务器角色,勾选Active Directory Federation Services,点击下一步;
5.在选择功能,点击下一步;
6.在Active Directory联合身份验证服务(AD FS),点击下一步;
7.在确认安装所选内容,点击安装;
8.在安装进度,点击在此服务器上配置联合身份验证服务;
9.在欢迎界面,选择在联合服务器场中创建第一个联合服务器,点击下一步;
10.在连接到Active Directory域服务,指定账号,点击下一步;
11.在指定服务属性,选择申请的公网证书,填写联合身份验证服务显示名称,点击下一步;
12.在指定服务账号,出现警告;
13.在powershell输入Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
14.在指定服务账号,填写账号和密码,点击下一步;
15.在指定配置数据库,选择在此服务器上使用windows内部数据库创建数据库,点击下一步;
16.在查看选项,确保内容无误后,点击下一步;
17.在先决条件检查,点击配置;
18.在结果,点击关闭;
内部DNS服务器新建正向区域解析
19.在DNS服务器,在正向查找区域,右键新建区域(Z);
20.在新建区域向导,点击下一步;
21.在区域类型,选择主要区域,点击下一步;
22.在Active Directory区域传送作用域,选择至此域中域控制器上运行的所有DNS服务器(D):gshinternel.com,点击下一步;
23.在区域名称,输入adfs.gshcloud.com(对外ADFS的FQDN),点击下一步;
24.在动态更新,点击下一步;
25.在正在完成新建区域向导,点击完成;
26.在新建的区域,右键新建主机(A或AAAA)(S);
27.在新建主机,名称为空,IP地址指向AD FS的内部IP,点击添加主机(H);
28.确保主机记录添加成功;
29.在域内验证AD FS url是否正常(
https://adfsname.domain.com/adfs/ls/IdpInitiatedSignon.aspx
)
30.在Internet选项-安全-本地Intranet,添加ADFS地址;
31.重新打开 AD FSurl,就可以看到登陆成功;
添加外网dns记录,配置443端口映射出去
32.在万网添加别名记录,指向到云服务器地址(提示:我这边是在云上搭建的环境,如果在本地企业部署的话,就指向到外网IP地址)
33.确保能正常解析到
34.在adfs0604服务器上添加终结点(提示:如果在本地部署,就在防火墙做映射端口);
35.添加443端口;
36.确保添加成功,以及外网能够正常telnet 443端口;
