承接上文,下边来重点介绍下ADFS以及Proxy的部署,注意配置前因为Proxy没有加域,如果是本地AD签发的证书,最好提前导入到Proxy中最好证书的信任


    1.在AAD Connect向导里,首先我们需要创建一个新的ADFS的FARM,然后提供ADFS使用的证书图像 016.png



    2.选择好使用的证书

图像 017.png



    3.将ADFS服务器加入到FARM里图像 018.png



    4.之后部署ADFS Proxy,因为Proxy不加域,首先在Proxy上添加DNS后缀,在DNS上添加Proxy的DNS记录

    图像 019.png



    5.在Proxy Servers这里添加Proxy这台服务器图像 020.png



    6.这里有个小坑,你可能会发现下边会报出WIN RM无法连接的错图像 021.png


    7.要解决这个问题其实也不难,需要手动配置下服务器,因为本身部署ADFS或者Proxy也是通过WIN RM来远程执行PowerShell,如果是加域的话可以走kerberos认证,把WINRM服务开启后,端口正常监听,防火墙没问题就可以通过了,但是如果是不加域的机器,就需要通过设置白名单的方式来实现远程PowerShell了,首先开启WINRM服务

    通过命令Enable-PSRemoting -Force

    图像 022.png


    8.可以看到服务已经正常开启了

图像 023.png



    9.服务开启后注意还需要添加白名单,步骤按照图里的执行即可

图像 024.png


    10.最后还需要注意你的网卡类型,这个搞不好也会坑到你,完成后再次执行向导,可以看到已经能正常连接了

图像 026.png



    11.之后输入你的Domain admin的密码,他会被用来执行一些脚本配置等图像 027.png



    12.这里配置Service Account,需要输入你的enterprise account

图像 028.png



    13.接下来选择需要做联盟的域,点击next图像 029.png



    14.开始配置,等待结束即可图像 030.png



    15.部署完成后,可以看到账户已经被同步到O365中(O365需要提前开启AD同步,可以手动在portal配置,也可以通过Set-MsolDirSyncEnabled -EnableDirSync $true实现,过程不演示了,比较简单)

图像 039.png



    16.之后可以测试下,登陆O365 Portal,输入域账号登陆

QQ截图20180213145853.png



    17.可以看到已经在重定向了

QQ截图20180213145938.png



    18.这里可以看到如果是本地AD颁发的证书,这里是会报信任错误的图像 042.png



    19.成功跳转到ADFS Proxy,输入本地AD的账号密码

    图像 043.png



    20.登陆成功!

    图像 044.png



    21.同时如果是登陆失败的,在ADFS的Log也是可以看到的,ADFS的审核Log有些是需要手动开启的,这里暂时不说了

    图像 045.png


    基本的配置就是这样了,对比以前的部署过程,现在已经可以算是省去了绝大部分时间了!后边会介绍如何使用ADFS实现我们限制用户登录行为的目标