Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 4)

Опубликовано: 12 Марта, 2023

  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 3)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 5)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 6)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 7)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 8)

  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 9)

  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 11)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 12)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 13)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 14)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 15)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 16)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 17)

Введение

В части 3 этой серии статей, состоящей из нескольких частей, посвященной миграции на основе гибридного развертывания Exchange 2013 в новый Office 365 или, точнее, в Exchange Online, я объяснил, что такое федерация удостоверений в отношении нового Office 365. Кроме того, мы настроили два сервера ADFS в кластере Windows Network Load Balancing (WNLB) для балансировки нагрузки входящих сеансов проверки подлинности.

В этой части 4 мы продолжим с того места, на котором остановились в части 3. То есть мы установим и настроим службу федерации Active Directory (ADFS) 2.1 на двух серверах ADFS во внутренней сети. После того, как мы настроим серверы, мы проверим, что они работают должным образом.

Импорт сертификата аутентификации сервера в IIS

Поскольку вся проверка подлинности клиента в ADFS происходит через SSL, нам необходимо импортировать сертификат проверки подлинности сервера на каждый сервер ADFS. Поскольку все клиенты должны доверять этому сертификату, рекомендуется импортировать сертификат от стороннего поставщика сертификатов. Хотя в этой серии статей мы используем подстановочный сертификат, достаточно SSL-сертификата с одним именем. Если вы используете сертификат с одним именем, включенное полное доменное имя должно совпадать с полным доменным именем, которое мы настроили в предыдущей статье (в этом примере sts.clouduser.dk).

Чтобы импортировать сертификат, сначала установите роль Windows Server 2012 «Веб-сервер (IIS)». Вы можете сделать это так же, как вы ранее установили компонент «Балансировка сетевой нагрузки». То есть, открыв диспетчер сервера> нажмите «Управление»> «Добавить роли и функции», а затем отметьте роль веб-сервера (IIS) в мастере.

Изображение 3253
Рисунок 1: Выбор роли веб-сервера (IIS)

Чтобы импортировать сертификат проверки подлинности сервера, откройте диспетчер IIS и выберите объект веб-сервера, а затем откройте « Сертификаты сервера » в средней панели.

Изображение 3254
Рисунок 2: Запуск диспетчера IIS

Изображение 3255
 Рисунок 3: Выбор сертификатов сервера в диспетчере IIS

В разделе «Сертификаты сервера» нажмите « Импорт » на панели действий, как показано на рис. 4.

Изображение 3256
 Рисунок 4. Нажмите «Импорт» в разделе «Сертификаты сервера» в диспетчере IIS.

Укажите на сертификат, который вы хотите импортировать, а затем укажите пароль, затем нажмите « ОК ».

Изображение 3257
Рисунок 5: Указание на сертификат, который мы хотим импортировать

Как видно на рис. 6, теперь сертификат импортирован в IIS.

Изображение 3258
Рисунок 6: Сертификат импортирован

Следующим шагом является привязка сертификата к « веб-сайту по умолчанию ». Для этого разверните « Сайты », затем выберите « Веб-сайт по умолчанию » и нажмите ссылку « Привязки » в « Панель действий ».

Изображение 3259
 Рис. 7. Щелчок «Привязки» в разделе «Сайты» в IIS Manager

В разделе « Привязки сайта » нажмите « Добавить ». В « Добавить привязки сайта » выберите « HTTPS » в раскрывающемся списке « Тип », а затем укажите импортированный сертификат в разделе « Сертификат SSL ».

Изображение 3260
Рисунок 8: Добавление новой привязки сайта для HTTPS

Нажмите « ОК » дважды.

Повторите описанные выше шаги на вторичном сервере ADFS.

Установка и настройка фермы ADFS

После настройки двух серверов ADFS в кластере WNLB и импорта необходимого сертификата пришло время установить и настроить роль службы Windows Server 2012 Active Directory Federation (AD FS) на обоих серверах.

Важный:
 Для серверов на базе Windows Server 2008 R2 нам пришлось использовать отдельный пакет ADFS 2.0 RTW, который можно загрузить здесь. Однако в Windows Server 2012 мы используем собственную роль ADFS (ADFS 2.1).

Чтобы установить роль ADFS, откройте «Диспетчер сервера» и нажмите «Добавить роли и компоненты», запустите « AdfsSetup.exe », а затем примите лицензионное соглашение.

Изображение 3261
 Рисунок 9: Установка роли ADFS 2.

После установки роли ADFS нажмите «Запустить оснастку управления AD FS», чтобы выполнить остальную часть настройки после развертывания.

Изображение 3262
Рисунок 10: Запуск консоли управления ADFS

Открыв консоль управления AD FS, нажмите «Мастер настройки сервера федерации AD FS».

Изображение 3263
Рисунок 11: Запуск мастера настройки сервера федерации AD FS

На странице « Добро пожаловать » нам нужно указать, что нужно настроить. Поскольку это два внутренних сервера ADFS, мы хотим настроить « службу федерации », поэтому выберите ее и нажмите « Далее ».

Изображение 3264
Рисунок 12: Выбор «Federation Server» в мастере установки ADFS

На странице « Выбор типа развертывания » выберите «Новая ферма серверов федерации».

Изображение 3265
Рисунок 13: Страница типа развертывания ADFS

Теперь нам нужно указать имя службы федерации, в данном случае « sts.clouduser.dk ». Что ж, на самом деле на основе общего имени в сертификате мастер сделает это автоматически, но, поскольку в этой серии статей мы используем групповой сертификат, мастер не может определить имя, поэтому нам нужно указать его вручную.

Изображение 3266
 Рис. 14. Мастер не может определить имя службы федерации, так как используется групповой сертификат

Замените « * » на « sts » в имени службы федерации и нажмите « Далее ».

Изображение 3267
 Рис. 15. Замена «*» на «sts» в имени службы федерации

На следующей странице нам нужно указать учетную запись службы, которая должна использоваться для фермы серверов федерации. Эта учетная запись должна использоваться на всех серверах федерации в соответствующей ферме.

Указанная учетная запись службы должна быть просто учетной записью пользователя Active Directory с разрешениями «пользователя домена».

Важный:
Убедитесь, что учетная запись создана со следующими настройками: « Пользователь не может изменить пароль » и « Срок действия пароля не ограничен ».

Изображение 3268
Рисунок 16: Создание служебной учетной записи для фермы серверов федерации

После создания учетной записи введите имя пользователя и пароль и нажмите « Далее ».

Изображение 3269
 Рисунок 17: Указание имени пользователя и пароля для учетной записи службы фермы серверов федерации

На появившейся странице мы можем увидеть список параметров, которые будут настроены для AD FS 2.0 ( рисунок 18 ).

Нажмите « Далее ».

Изображение 3270
 Рисунок 18: Параметры, которые будут настроены для ADFS

Когда мастер успешно настроит каждый компонент, нажмите « Закрыть », чтобы выйти из мастера.

Изображение 3271
 Рис. 19. Каждый компонент настроен успешно

Как мы видим в консоли AD FS, нам нужно добавить доверенную проверяющую сторону, чтобы управлять единым входом для наших пользователей Office 365. На самом деле мы сделаем это с помощью PowerShell, но сначала мы хотим добавить другой сервер ADFS в ферму серверов федерации.

Изображение 3272
 Рисунок 20: Консоль AD FS

Поэтому переключитесь на другой сервер ADFS и установите роль ADFS, а затем запустите мастер настройки сервера федерации ADFS.

В окне « Добро пожаловать в мастер настройки сервера федерации AD FS » выберите « Добавить сервер федерации в существующую службу федерации » и нажмите « Далее ».

Изображение 3273
Рисунок 21: Добавление сервера к существующей службе федерации

На странице « Укажите основной сервер федерации и учетную запись службы » введите « adfs1.clouduser.dk » (или другое полное доменное имя сервера для основного сервера ADFS в вашей среде), а затем введите учетные данные для фермы серверов федерации. сервисной учетной записи с последующим нажатием « Далее ».

Изображение 3274
 Рисунок 22. Указание полного доменного имени фермы серверов федерации, а также учетных данных служебной учетной записи

Убедитесь, что выбран сертификат сервера и настроено правильное полное доменное имя службы федерации, а затем нажмите « Далее ».

Изображение 3275 Рисунок 23: Сертификат сервера и имя службы федерации

Теперь мы снова готовы применить настройки, поэтому нажмите « Далее ».

Изображение 3276
 Рис. 24. Готово к применению настроек

На странице результатов настройки нажмите « Закрыть », когда все компоненты будут успешно настроены.

Изображение 3277
 Рисунок 25: Результаты конфигурации

Теперь вы увидите в консоли управления AD FS, что этот сервер не является основным сервером федерации в ферме и что вы должны внести изменения в конфигурацию на основном сервере ADFS.

Изображение 3278
 Рисунок 26: Консоль управления AD FS на втором сервере федерации

Теперь мы настроили ферму серверов федерации.

Проверка правильности работы фермы серверов федерации

Настроив ферму серверов федерации, давайте проверим, что она ведет себя должным образом. Сначала давайте попробуем посмотреть, сможем ли мы добраться до XML с документом описания службы. Для этого откройте браузер на клиенте, расположенном в том же лесу AD, что и сервер ADFS, и введите (замените полное доменное имя сервера ADFS на имя в вашей среде):

https://ADFS1.clouduser.dk/FederationMetadata/2007-06/FederationMetadata.xml

Если все работает должным образом, вы должны увидеть что-то похожее на рис. 27.

Изображение 3279
 Рис. 27. Доступ к документу описания службы XML через браузер из внутреннего клиента с использованием полного доменного имени сервера ADFS

Повторите этот шаг, но укажите на другой сервер ADFS.

Наконец, попробуйте получить доступ к документу описания службы XML, используя полное доменное имя службы федерации (в данном случае sts.clouduser.dk).

Изображение 3280
Рис. 28. Доступ к документу описания службы XML через браузер из внутреннего клиента с использованием полного доменного имени службы федерации

Кроме того, откройте журнал администратора AD FS и найдите событие 100. Если вы видите событие 100, это означает, что службе федерации удалось связаться со службой федерации.

Изображение 3281
 Рисунок 29: Событие 100 в журнале администратора ADFS

На этом завершается часть 4 этой статьи, состоящей из нескольких частей, в которой я объясняю, как настроить гибридное развертывание Exchange 2013 с последующим переходом на новый Office 365 (Exchange Online).

  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 3)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 5)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 6)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 7)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 8)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 9)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 11)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 12)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 13)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 14)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 15)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 16)
  • Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 17)
Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023