关于Exchenge Server,当我们添加不同的功能的时候,最好每一个功能一个服务器,这样的话,坑会少,错误会少一点。比如你计划有AD DS, AD FS, AD Sync,最好分三个服务器来操作,防止出现影响。
而且在操作的时候,一般使用Domain User, 而不是创建好服务器时的administrator账号。
首先做的应该时AD DS,这里先创建一个主服务器,我们叫它DC1。 我这里的前提是在windows Server 2012 R2上部署域服务并将windows 10 添加到域中,我当时是看的这个博客学习的:http://blog.postcha.com/read/80
然后创建新的服务器DC3_ADFS, 然后开始安装ADFS。在安装ADFS的时候,我们会涉及到IIS证书,所以我们需要再建一个服务器来作为我们安装下载证书的服务器DC4_IIS。
这里先讲解IIS的下载使用。
在主操作面板Add Roles and Features Wizard中,选择添加IIS,成功后,进入Internet Information Services Manager中,在右侧选择Create Self-Signed Certificate. 创建好后,就会再列表中展现,右键导出,再局域网中共享,在DC3_ADFS中下载使用。
注意:你的IIS域名必须和电脑名不同。因为电脑名会和你的IIS在注册的时候,抢SPN的注册。如果你的电脑名是DC4_IIS,直接用这个名字创建就行。因为已经和ADFS的电脑名不同。如果相同的情况下就会出现ADFS出现情况不能成功。这也是为什么不同功能要分开服务器的原因之一。如果你安装在一个服务器中,只能是先修改电脑名,创建IIS,然后再改回原先的电脑名,或者反过来操作创建了IIS后,更改电脑名。
下面开始正式安装AD FS:
同样在主操作面板Add Roles and Features Wizard中,选择添加ADFS。按照默认下一步,直到出现server roles。 点击安装Active Directory Federation Services。继续所有默认选项,直到安装结束。
然后就会出现让你配置Configure the federation service on this server. (可以直接点击这里配置,也可以关闭,之后再界面右上角的小旗子找到。)
点击配置后,
1. Conncet to AD DS - 他会默认当前用户登录,一般不用更改用户,下一步
2. 导入之前准备好的 IIS证书,输入之前导出设置的密码。
3.Specify Service Account - 选择默认选项(第二个),输入当前用户帐号密码。
4. Specify database - 保持默认选项,下一步,如果提示已经有数据库,选择覆盖重新创建。(第一次不会有,如果卸载了重现装的AD FS就会有)
5. 一直默认,点击 next,直到配置成功。
到这里就安装完成了。下面是来验证。
在浏览器中进入一下连接:
https://<internalcrm>.<domain>.com/adfs/ls/idpinitiatedsignon.xml
https://<internalcrm>.<domain>.com/federationmetadata/2007-06/federationmetadata.xml
https://<internalcrm>.<domain>.com/adfs/services/trust/mex
例如:https://DC3_ADFS.domain.com//adfs/ls/idpinitiatedsignon.xml
一般情况下,如果安装有问题,第一个连接时打开失败的。一般是503错误。这种情况就是之前提到的SPN可能出现了问题。如果不是第一次安装,需要通过cmdlet清除缓存。
如果以上都没有问题,我们就可以在Office Admin Center中配置我们自己的domain,而不是使用onmicrosoft。
这个看官方文档就有具体操作,前提是有自己的域名。配置完成后,在用DC1中的用户找到你的domain user, 选择Account,改变后缀。
其实到这里还差最后一步, 在AD Sync服务器中,打开AAD Connect, 然后选择 configure the Change User Sign-in, 然后选择 Federation Service。
配置成功后,我们就可以用浏览器进入 portal.office.com 然后用你的本地用户名登录,比如adsync@domain.com,如果成功,一说明你的同步成功了,二说明你的AD FS成功了。