Azure 配置管理系列 AD Connect(PART1)
Exchange混合部署
Exchange混合部署功能通过将一组特定的属性从Azure AD同步回您自己的Active Directory,从而允许Exchange邮箱在本地和Azure中共存。
密码重写
如果密码在Azure AD中发生更改,它将被写回到您自己的Active Directory中。
用户写回
如果在Azure AD中创建用户,它将被写回到您自己的Active Directory中。
Azure AD应用程序和属性筛选
组重写
设备同步
目录扩展名属性同步
扫描二维码关注公众号,回复: 9554982 查看本文章
选择以下两个选项,如下所示,我们可以在本地Active Directory中配置写回位置。
附加选项
接下来,您需要配置一个新的AD FS服务器场Windows Server 2012 R2。指定用于保护客户端和AD FS之间的通信的SSL证书。证书文件应位于pfx中。
由于ADFS利用SSL,因此我们需要具有SSL证书。您可以尝试三种选择,但只有一种可行:
自签名证书
内部PKI颁发的证书
来自第三方公共CA的证书
Office 365需要在ADFS基础结构上看到有效的服务通信证书,因此您将不得不从公共CA购买证书。Office 365将不信任自签名的或来自内部CA的服务通信证书。对于令牌解密和令牌签名证书,我们可以使用自签名证书。这些与服务通信证书是分开的。
请遵循所选CA的文档以请求,安装并完成证书。所需的步骤因供应商而异,并且随时间而变化。确保您没有丢失任何更新的中间证书!
我们将部署初始的ADFS服务器,并在将来添加另一个ADFS服务器以实现冗余。
添加联合身份验证服务器在Windows Server 2012 R2上,指定安装AD FS服务的位置
添加代理服务器在Windows Server 2012 R2上,指定安装Web应用程序代理服务器的位置
接下来,指定代理信任凭证。Web应用程序代理需要凭据才能从联合服务器请求证书。
可以将GMSA用作ADFS服务帐户。GMSA将自动更新服务帐户的凭据,管理员也将忽略其密码。
在这种情况下,将使用标准服务帐户。
选择Azure AD域以与本地目录联合。企业域转换为联合域
真正出色的向导中的最后一步是安装和配置同步服务,AD FS和WAP服务器
完成配置
目前,请确保您已创建DNS记录,以使客户端可以从内部和外部解析您的联合身份验证服务。
附加步骤
本主题介绍在安装第一个联合身份验证服务器之后配置AD FS的其他步骤,包括:
有关如何部署AD FS的详细信息,请参阅如何在Windows Server 2012 R2中部署AD FS。