继续我们的实验,前面的步骤可以返回到
第一篇:http://gshao.blog.51cto.com/3512873/1788027
第二篇:http://gshao.blog.51cto.com/3512873/1788038
第三篇:http://gshao.blog.51cto.com/3512873/1788048
----------------------------------我是略污的中折线-------------------------------------
大概的思路步骤如下:
1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)
2.申请证书(公网)
3.安装AD FS服务
4.内部DNS服务器新建正向区域解析
5.添加外网dns记录,配置443端口映射出去
6.在office 365添加自定义域名,配置相关外网记录
7.将自定义域名转换成联盟域
8.在office 365激活目录同步,安装AAD
9.配置目录同步和AD FS
10.验证用户的登陆状态
----------------------------------我是略污的中折线-------------------------------------
配置目录同步和AD FS
1.在用户登录,选择使用AD FS进行联合身份验证,点击下一步;
![p_w_picpath_thumb[41]](https://s3.51cto.com/wyfs02/M02/82/96/wKioL1dcPPHjjf4IAAEgEyTn6q4323.png "p_w_picpath_thumb[41]")
2.在连接到Azure AD ,输入账号和密码,点击下一步;
![p_w_picpath_thumb[42]](https://s3.51cto.com/wyfs02/M02/82/96/wKioL1dcPPKTDf0uAAC1Gi9E3lU342.png "p_w_picpath_thumb[42]")
3.在连接目录,输入账号和密码,点击下一步;
![p_w_picpath_thumb[43]](https://s3.51cto.com/wyfs02/M00/82/97/wKioL1dcPPOyCBk_AADWE0-D1F8119.png "p_w_picpath_thumb[43]")
4.点击下一步;
![p_w_picpath_thumb[44]](https://s3.51cto.com/wyfs02/M00/82/97/wKioL1dcPPShQV5TAAFtgEShIAw250.png "p_w_picpath_thumb[44]")
5.选择要同步的ou,点击下一步;
![p_w_picpath_thumb[45]](https://s3.51cto.com/wyfs02/M01/82/97/wKioL1dcPPWQ5WVyAAEBUCOJEzY288.png "p_w_picpath_thumb[45]")
6.在唯一标识用户,点击下一步;(这个动作的意思是类似SID的概念,就是你要定义一个标识,而这个标识是不能更改的,就是SID号的概念)
![p_w_picpath_thumb[46]](https://s3.51cto.com/wyfs02/M01/82/97/wKioL1dcPPXyymV_AAEJs5uV7Oc483.png "p_w_picpath_thumb[46]")
7.点击下一步;(这个玩意主要是为了后面的MDM\Sway\Intune服务)
![p_w_picpath_thumb[47]](https://s3.51cto.com/wyfs02/M02/82/97/wKioL1dcPPbS4z7OAADG8uKfip8603.png "p_w_picpath_thumb[47]")
8.在可选功能,点击下一步;
![p_w_picpath_thumb[48]](https://s3.51cto.com/wyfs02/M00/82/98/wKiom1dcO-nBBeJsAADdG6u62YA471.png "p_w_picpath_thumb[48]")
9.在AD FS场,浏览到AD FS服务器,点击下一步;
(友情提示:其实这一步可以不用在AAD Connect操作的,你在AAD powershell输入Set-MsolADFSContext -computer adfsServerfqdn)
![p_w_picpath_thumb[49]](https://s3.51cto.com/wyfs02/M00/82/97/wKioL1dcPPixoh1sAADk-Sh4HLY443.png "p_w_picpath_thumb[49]")
10.输入域管理员凭据,点击下一步;(其实到这一步,大家都可以发现AAD Connect 远程计算机安装AD FS服务)
![p_w_picpath_thumb[50]](https://s3.51cto.com/wyfs02/M01/82/98/wKiom1dcO-uCQvGdAADgFsFqoJA231.png "p_w_picpath_thumb[50]")
11.在AD FS服务账号,点击下一步;
![p_w_picpath_thumb[51]](https://s3.51cto.com/wyfs02/M01/82/98/wKiom1dcO-zxgQglAADGvY9ulg0108.png "p_w_picpath_thumb[51]")
12.在Azure AD域,点击下一步;
![p_w_picpath_thumb[52]](https://s3.51cto.com/wyfs02/M02/82/98/wKiom1dcO-2z-IyUAACvHP8vMI4797.png "p_w_picpath_thumb[52]")
13. 点击下一步;
14. 出现这种情况的错误,检查一下目录同步状态是否已激活;
15. 步骤14问题排查后,出现这个情况,是因为没开启WINRM远程管理;
16.安装完成,点击验证;(下面出现的错误是解析问题)
验证用户的登陆状态
17.在office 365管理界面,可以看到本地目录同步到office 365的用户账号信息了;
18.给本地用户分配许可证;
19.用域内用户登录域内计算机,打开Exchange Online(outlook.office.com);
20.输入对外域名后缀的邮箱地址,会自动跳转到AD FS验证;
21.可以看到成功跳转到ad fs服务器做验证,输入账号和密码,并记住我的凭据;
22.可以看到正常访问到Exchange Online OWA界面;
23.用Skype for Business 客户端登陆;
24.Skype for Business Online也可以正常登陆。
结束话:
本次实验环境大概就这样实现,因为我这次是简单的搭建,其实少了TMG或者WAP服务器做反向代理(对于做过TMG的反向代理的工程师,这个步骤不复杂),而且我们在证书申请的时候预先配置好可以导出私钥。如果大型环境就要考虑多台AD FS服务器配置NLB,组建AD FS服务器场。如果我这几篇文章有什么遗漏或者什么地方不对的,可以留言给我,也欢迎各位大神多多拍砖支持。
转载于:https://blog.51cto.com/gshao/1788055
4071
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
