ADFS-部署文档.docxVIP

ADFS的部署前期部署准备至少准备三台Windows Server (使用Windows Server 2008 R2 或以上)一台作为AD DC一台作为ADFS Server一台作为ADFS Proxy.生产环境需要准备一个公网认证的签名证书，并将这个域名作为签名。三个内网IP地址以及一个公网IP地址，其中一个分配给Proxy的IP地址需要开放80(DirSync使用)和443（ADFS使用），并且保证内网客户机能够Ping通这三台Servers。在外部DNS服务器中，添加一条A记录，将公网IP地址指向。建议做端口映射NAT，将外部IP地址转为为内网IP地址，并指向Proxy Sever的80和443端口。安装DC配置更改计算机的IP，DNS以及计算机名在Server Manger中添加Role and Feature，选择AD Domain Services .net framework 3.5（之后部署Dirsync必须安装此工具，但是此时必须放入Server的安装载体；或者之后单独下载该软件的独立安装包）此时会安装DNS service然后根据提示完成安装。安装完成后，重启计算机并以管理员身份登陆该域。在管理员工具下的AD 用户和计算机中创建OU来对权限进行归档（或者可以单独创建用户），并且在相应OU中添加相应权限的Users. 在此以创建admin@为例，并将 enterprise admin, schema admin, domain admin 这些权限分配给此用户。以上部署完成后，开始安装ADFS角色服务器（ADFS服务器配置完成IP后，后期不能进行改动）为以及申请证书（免费证书可以去网址：/free/FreeSSL.html/free/FreeSSL.html）配置更改ADFS Server的IP，DNS以及计算机名（此处必须是ADFS）并将其加入域。全部完成后在Server Manger中添加功能和角色添加Active Directory Federation Service根据向导安装完成。安装完成后，点击右上角Flag图标，开始进行ADFS的配置。使用刚才添加的admin账户admin@连接到AD将申请的证书添加至SSL证书，确保联合身份验证服务器为 点击下一步后可能会有warning，此时需要在DC上使用Windows PowerShell执行以下命令：Add-kdsRootKey –EffectiveTime(Get-Date).Addhours(-10)执行完成后，回到ADFS Server再次进行配置，此时警告将会消失。选择使用现有的域名账户或组托管服务账户，然后使用之前添加的管理员admin@作为service的管理员。如果没有本地的SQL服务，可以选择使用Windows自带的database作为ADFS的数据库。之后进行配置检查，无误后进行安装完成配置向导。进行ADFS的验证。打开IE浏览器，输入以下地址：/federationmetadata/2007-06/federationmetadata.xml或/federationmetadata/2007-06/federationmetadata.xml/federationmetadata/2007-06/federationmetadata.xml如果显示以下类似网页，则表示成功：输入以下地址来验证登陆界面是否正常：/adfs/ls/idpinitiatedsignon.htm或/adfs/ls/idpinitiatedsignon.htm如果显示以下页面则说明正确：添加域名至Office 365。使用Office 365管理员账号登陆Office 365 管理控制台点击左侧工具栏中的域。点击添加域点击我们开始吧将域名填入点击下一步将Office 365提供的TXT记录添加至该域名的外部DNS系统等待片刻后点击验证来验证你对该域名的所有权。注意：该过程可能需要等待15分钟-72小时，一般只需等待一会即可。验证通过后，如果暂时不需要使用Office 365的服务，可以退出向导，开始步骤6；否则需要添加所需服务的DNS记录到外部DNS系统。安装部署DirSync选择内网中一台Server安装DirSync（可以安装在原有的DC上）。使用Office 365管理员账号登陆Office 365 管理控制台点击左侧用户按钮活动用户 点击页面上方 Active Directory 同步旁的管理。点击激活Active Directory同步点击第五步下的下载按钮，下载Directory同步工具。确保安装完成.net framework 3.5工具后，以管理员身份打开Directory同步工具。更具向导完成安装，当提示是否开始配置向导时，请先点击否，或