开篇简单介绍了我们要做的事,和需要准备的东西,相信基本上还是可以看的明白的,下边进入主题,我们来看一下如何部署ADFS


    首先来讲一下ADFS大概的架构,一般来说在生产环境,我们是推荐将ADFS部署成FARM的,也就是通过多台ADFS共同承载流量,ADFS本身是要面向公网的,身份验证的请求会从AAD转到ADFS,这样就会产生ADFS直接暴露在公网的问题,所以在生产环境我们还会推荐部署ADFS Proxy,将Proxy放在ADFS前承载流量,这样可以把后端整个ADFS和AD环境保护起来。一般推荐的部署方式如下表所示

    

角色推荐部署方式推荐部署位置
DC推荐>1域控,部署在内网
ADFS推荐>1加域,部署在内网
ADFS Proxy推荐>1 一般不加域,部署在DMZ

    

    总体来说需要部署的角色其实并不多,也不会太过复杂,本次环境中使用部署方式如下表所示,因为并非生产环境,只是做Poc,所以部署的都是单点的


    

角色OS部署方式部署位置
DCWindows Server 2012 R21台域控,部署在内网
ADFS
Windows Server 2012 R21台加域,部署在内网
ADFS ProxyWindows Server 2012 R21台不加域,部署在DMZ



    ADFS的部署其实之前的blog里已经介绍过了,那个时候部署ADFS感觉步骤非常多,还非常容易出错,但是过去这么久之后微软推出了一种新的部署方式,将ADFS的部署过程大大地简化了,称之为傻瓜式部署也不为过,基本上点点鼠标就能搞定了,下边来介绍下如何部署


    现在部署ADFS时我们已经可以通过AAD Connect来实现,ADFS以及Proxy的部署都已经整合到了AAD Connect中作为一个选项来提供(实际上只是提供了通过各种脚本快速部署的方式,如果想单独部署ADFS,依然可以通过Windows Server里的向导实现)


    AAD Connect的作用不过多介绍了,之前用过Dir sync的基本都知道,以前的博客里也介绍过Dir sync,可以理解AAD Connect就是将本地AD与AAD集成的一种工具,AAD Connect一般不推荐部署到DC上,推荐部署到一台加域的服务器中即可,如果用户规模不大的话可以考虑单点


    AAD Connect 介绍

    https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory-aadconnect 

 

    AAD Connect 1.1.647.0 下载

    https://www.microsoft.com/en-us/download/details.aspx?id=47594


    1.下载AAD Connect之后双击打开,下一步

    图像 001.png



    2.同意条款

    图像 002.png


    3. 这里选择自定义的配置,因为我们需要部署很多组件

图像 003.png



    4.直接点击安装,直接使用默认的SQL Express数据库即可,一般情况下还不会用到其他版本的SQL Server图像 004.png



    5.安装中

    图像 005.png


    6.这里选择与ADFS做联盟

    图像 007.png



    7.这里会连接到你的AAD中,所以要输入你的O365 Global Admin账号

    图像 008.png



    8.添加需要的域

    图像 009.png



    9.输入本地AD管理员的信息,连接到本地AD

图像 010.png



    10.添加完成图像 011.png



    11.这里可以选择筛选要同步的OU,默认是所有的OU都会被同步,如果有一些信息是不想或者不需要同步到AAD的,那么可以在这里进行筛选图像 012.png


    12.这里选择标识用户的方法,source anchor是AAD Connect里很重要的一个概念,一般来说这里推荐使用默认的配置

图像 013.png



    13.这里选择要筛选的用户图像 014.png



    14.之后在可选的功能这里,可以设置密码同步,这样用户的密码也可以被同步到AAD中图像 015.png



    到这里AAD Connect的安装就差不多了,如果没部署ADFS的话点击下一步差不多就会自动安装AAD Connect,然后开始进行同步了

    但是因为我们要部署ADFS,所以这还不算完!后边重点来介绍ADFS以及Proxy的部署