Azure上搭建AD RMS环境系列三 -- ADFS搭建及域外公网测试

Azure上搭建AD RMS环境系列三

--ADFS搭建及域外公网测试

    到目前为止,我们已经完成了ADRMS环境的搭建,接下来我们要将Azure AD与本地的AD域做同步,来给本地用户分配office 365的使用权。

因此,我们需要使用微软提供的同步工具Microsoft Azure Active Directory Connect来进行同步:
https://www.microsoft.com/en-us/download/details.aspx?id=47594

我们使用同步工具会采取第一次全部同步以及之后采取循环增量同步的方式来运转,因此建议在生产环境中选择周末或者晚上来进行大批量的同步工作,并且根据同步工作量的不同来启用不同数量的虚机来进行同步工作。在测试环境中,我将会在域控服务器上安装并启用此功能,但在生产环境中,推荐大家在非域控服务器上安装此工具来进行同步,接下来我们开始同步工作:

首先将工具安装到虚机中,并打开:

选择Use expresssettings,输入office 365测试账号的管理员用户名和密码:

输入DC域控的用户名和密码:

点击安装:

同步后,可以到office365的管理中心中,查看同步上来的用户,并为这些用户分配许可证:

接下来我们就需要部署ADFS来让用户在域内可以实现单点登录。同样的,我们首先需要将需要用到的证书导入到服务器中,导入方式请参考上一篇博文,之后就可以安装ADFS角色并进行配置:

安装完成后,需要对ADFS服务器进行配置:

导入服务对应的证书:

设置服务账号:

ADFS部署数据库,这边可以选择之前部署的SQL数据库,在此次的测试环境中,使用内置的数据库作为支撑:

之后一路往下,进行安装:

安装完成后,我们使用以下链接进行测试,即“联合身份验证服务名称”+adfs/ls/idpinitiatedsignon.htm,验证是否可以显示:

之后在托管域名的第三方添加A记录(测试环境中由office 365门户托管域名):

接着,需要用PowerShell命令将Office365的自定义域从标准认证域变更为联盟认证域,在此之前,需要下载一些辅助工具来帮助完成域名的转换,下载链接及安装步骤请查看以下链接:

http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185

之后我们打开安装好的包含AzureAD模块的Powershell,并且输入以下命令:

“Connect-MsolService-AzureEnvironment AzureChinaCloud”用于登录世纪互联版本的Office 365的管理员账号;

“Convert-MsolDomainToFederated-Domain Name您的自定义域名来将本地AD域对应的域名转换成联盟域(前提当时已经把该域名添加到Office 365中);

“Get-MsolDomain”来查看自定义域名的状态是否转换成功。

接着就可以通过外网进行验证,我们到世纪互联版的Office 365门户网站,用AD域内账号进行登录就会自动跳转到ADFS的登录界面:

现在我们可以保证网页端相关Office 365的应用,进一步为了启用客户端的登录方式,我们需要在托管域名的机构添加一条cname记录:

并且要将登录方式改为表单的登录方式:在ADFS管理中心中点击Authentication Policies,修改Global Authentication Policy中的内网登录方式,默认为WindowsAuthentication,将其改为Forms Authentication

在设置完ADFS服务器之后,给域内的测试用户李群和于斌分配Office 365许可证,并将由用户ADRMSADMIN创建的测试文件设置对应的权限:

通过邮件发送给两位测试用户:

测试账号之一,李群在门户主页下载了office 2016 pro plus。接着打开测试账号ADRMSADMIN发送的test文档:

之后通过远程桌面查看在外网且非加域的客户端对于斌的账号进行测试,打开文档时会提醒用户将会访问rms群集中配置的url

点击确定,打开文档,要求输入用户名和密码,由于现在在非域内,外网的客户端,因此需要提供域名及用户名,才能打开该文档:

打开后,由于文档的限制,远程用户无法看到文档,因此请远程的同事查看了于斌对应的test文档的权限:

以上就是整个AD RMS结合ADFS的搭建过程。

 

例行文末彩蛋:

在域名托管的DNS处设置完ADFS的公网指向后,发现域内用户无法登录:

输入密码后进入http 404 notfound的报错,但外网登录没有问题,内网的问题就只能猜测存在于登录介质的问题或者DNS指向的问题,因此在内网的DNS控制台,添加公网的A记录指向:

并根据上文提到的,在ADFS管理界面里修改了内网的登录方式,之后就顺利解决了这个BUG


鸣谢:

整个搭建过程中,十分感谢Ray,马林以及Hefeng的答疑解惑,能够让AD RMS借助Azure的环境实现快速部署,紧跟Office 365即开即用的步伐。为企业的敏捷开发和高效协作打下坚实的安全后盾。

没有更多推荐了,返回首页

私密
私密原因:
请选择设置私密原因
  • 广告
  • 抄袭
  • 版权
  • 政治
  • 色情
  • 无意义
  • 其他
其他原因:
120
出错啦
系统繁忙,请稍后再试