Azure 配置管理系列 AD Connect(PART1)
Exchange混合部署
Exchange混合部署功能通过将一组特定的属性从Azure AD同步回您自己的Active Directory,从而允许Exchange邮箱在本地和Azure中共存。
密码重写
如果密码在Azure AD中发生更改,它将被写回到您自己的Active Directory中。
用户写回
如果在Azure AD中创建用户,它将被写回到您自己的Active Directory中。
Azure AD应用程序和属性筛选
组重写
设备同步
目录扩展名属性同步
选择以下两个选项,如下所示,我们可以在本地Active Directory中配置写回位置。
附加选项
接下来,您需要配置一个新的AD FS服务器场Windows Server 2012 R2。指定用于保护客户端和AD FS之间的通信的SSL证书。证书文件应位于pfx中。
由于ADFS利用SSL,因此我们需要具有SSL证书。您可以尝试三种选择,但只有一种可行:
自签名证书
内部PKI颁发的证书
来自第三方公共CA的证书
Office 365需要在ADFS基础结构上看到有效的服务通信证书,因此您将不得不从公共CA购买证书。Office 365将不信任自签名的或来自内部CA的服务通信证书。对于令牌解密和令牌签名证书,我们可以使用自签名证书。这些与服务通信证书是分开的。
请遵循所选CA的文档以请求,安装并完成证书。所需的步骤因供应商而异,并且随时间而变化。确保您没有丢失任何更新的中间证书!
我们将部署初始的ADFS服务器,并在将来添加另一个ADFS服务器以实现冗余。
添加联合身份验证服务器在Windows Server 2012 R2上,指定安装AD FS服务的位置
添加代理服务器在Windows Server 2012 R2上,指定安装Web应用程序代理服务器的位置
接下来,指定代理信任凭证。Web应用程序代理需要凭据才能从联合服务器请求证书。
可以将GMSA用作ADFS服务帐户。GMSA将自动更新服务帐户的凭据,管理员也将忽略其密码。
在这种情况下,将使用标准服务帐户。
选择Azure AD域以与本地目录联合。企业域转换为联合域
真正出色的向导中的最后一步是安装和配置同步服务,AD FS和WAP服务器
完成配置
目前,请确保您已创建DNS记录,以使客户端可以从内部和外部解析您的联合身份验证服务。
附加步骤
本主题介绍在安装第一个联合身份验证服务器之后配置AD FS的其他步骤,包括:
有关如何部署AD FS的详细信息,请参阅如何在Windows Server 2012 R2中部署AD FS。