当我创建2台虚拟机之后想分别担当adfs的role来实现联合认证,但是阅读了technet最佳实践白皮书之后发现在同一台服务器同时包含ADDS ADFS ADCS IIS RMS等等所有功能会引起某些不必要的role冲突,为了确保能够遵守文档,我还是重新创建了两台虚拟作为不同的角色存放在这个实验环境中。说白了,老子就是不怎么放心预览版里面的bug。
IP | server name | role | DNS 配置 |
10.0.0.10 | DC01.cba.com.au | ADDS ADCS DNS ADFS AD RMS | 10.0.0.10 10.0.0.100 |
10.0.0.11 | DC02.cba.com.au | 10.0.0.10 | |
10.0.0.100 | DC03.commonbank.com.cn | ADDS ADCS DNS ADFS | 10.0.0.100 10.0.0.10 |
10.0.0.100 | DC04.commonbank.com.cn | 10.0.0.100 |
确保vm之间能够互相ping通,其实确保在一个vnet上并且关闭防火墙就可以了
都ping通了
为了能够验证某一个域森林中的用户组能够访问到另外一个组织中,先在cba的域里创建账号吧
role account | account name | comment |
ADFS | ADF***v | |
ADRMS | ADRM***v | RMS要加到domain admin组里 |
USER Account | hao.yu | |
Global security group | BothAdmins | 把我的个人账户加到这个双向认证组. |
然后轮到了村镇银行的域
role account | account name | comment |
ADFS | ADF***v | |
User Account | Charlie | |
User Account | Billy | |
Global security group | BothAudit | 加一下查理把,billy是PM不用权限达 |