Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 6)

• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 3)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 4)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 5)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 7)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 8)

• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 9)

• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 11)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 12)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 13)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 14)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 15)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 16)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 17)

Введение

В пятой части этой серии статей, посвященной миграции на основе гибридного развертывания Exchange 2013 в новый Office 365 или, точнее, в Exchange Online, мы развернули прокси-серверы Active Directory Federation Proxy (ADFS), необходимые для внешней федерации удостоверений с Office 365. В частности, мы развернули и настроили два прокси-сервера ADFS. Для обеспечения высокой доступности прокси-серверы ADFS были сбалансированы по нагрузке с помощью балансировки сетевой нагрузки Windows (WNLB).

В этой части 6 мы продолжим с того места, на котором остановились в части 5. То есть мы установим и настроим службу федерации Active Directory (ADFS) 2.1 на двух прокси-серверах ADFS в сети периметра. После того, как мы настроим серверы, мы проверим, что они работают должным образом.

Давайте идти…

Импорт сертификата аутентификации сервера в IIS

Поскольку все взаимодействие клиентов с ADFS происходит через SSL, а прокси-серверы ADFS взаимодействуют с серверами ADFS во внутренней сети через SSL, нам необходимо импортировать сертификат проверки подлинности сервера на каждый прокси-сервер ADFS. Поскольку все клиенты (и серверы ADFS во внутренней сети) должны доверять этому сертификату, рекомендуется импортировать сертификат от стороннего поставщика сертификатов. Хотя в этой серии статей мы используем подстановочный сертификат, достаточно SSL-сертификата с одним именем. Если вы используете сертификат с одним именем, включенное полное доменное имя должно совпадать с полным доменным именем, которое мы настроили в предыдущей статье (в этом примере sts.clouduser.dk).

Чтобы импортировать сертификат, сначала установите роль Windows Server 2012 «Веб-сервер (IIS)». Вы можете сделать это так же, как вы ранее установили компонент «Балансировка сетевой нагрузки». То есть, открыв диспетчер сервера> нажмите «Управление»> «Добавить роли и функции», а затем отметьте роль веб-сервера (IIS) в мастере.

Рисунок 1: Выбор роли веб-сервера (IIS)

Чтобы импортировать сертификат проверки подлинности сервера, откройте диспетчер IIS и выберите объект веб-сервера, а затем откройте « Сертификаты сервера » в средней панели.

Рисунок 2: Запуск диспетчера IIS

Рисунок 3: Выбор сертификатов сервера в диспетчере IIS

В разделе «Сертификаты сервера» нажмите « Импорт » на панели действий, как показано на рис. 4.

Рисунок 4. Нажмите «Импорт» в разделе «Сертификаты сервера» в диспетчере IIS.

Укажите на сертификат, который вы хотите импортировать, а затем укажите пароль, затем нажмите « ОК ».

Рисунок 5: Указание на сертификат, который мы хотим импортировать

Как видно на рис. 6, теперь сертификат импортирован в IIS.

Рисунок 6: Сертификат импортирован

Следующим шагом является привязка сертификата к « веб-сайту по умолчанию ». Для этого разверните « Сайты », затем выберите « Веб-сайт по умолчанию » и нажмите ссылку « Привязки » в « Панель действий ».

Рис. 7. Щелчок «Привязки» в разделе «Сайты» в IIS Manager

В разделе « Привязки сайта » нажмите « Добавить ». В « Добавить привязки сайта » выберите « HTTPS » в раскрывающемся списке « Тип », а затем укажите импортированный сертификат в разделе « Сертификат SSL ».

Рисунок 8: Добавление новой привязки сайта для HTTPS

Нажмите « ОК » дважды.

Повторите описанные выше шаги на вторичном сервере ADFS.

Установка и настройка параметров прокси-сервера ADFS

После настройки двух прокси-серверов ADFS в кластере WNLB и импортированного необходимого сертификата пришло время установить и настроить роль службы федерации Active Directory Windows Server 2012 (AD FS) на обоих серверах.

Важный:
Для серверов на базе Windows Server 2008 R2 нам пришлось использовать отдельный пакет ADFS 2.0 RTW, который можно загрузить здесь. Однако в Windows Server 2012 мы используем собственную роль ADFS (ADFS 2.1).

Чтобы установить роль ADFS, откройте «Диспетчер серверов» и нажмите «Добавить роли и компоненты» > «Далее» > «Прокси-сервер ADFS».

Рисунок 9: Установка роли ADFS

Отметьте «Federation Service Proxy» и нажмите «Далее».

Рисунок 10: Выбор прокси службы федерации

После установки роли ADFS нажмите «Запустить оснастку управления AD FS», чтобы выполнить остальную часть настройки после развертывания.

Рисунок 11: Запуск консоли управления прокси-сервером ADFS

На странице «Добро пожаловать» в «Мастере настройки прокси-сервера федерации AD FS» нажмите «Далее».

Рисунок 12: Запуск мастера настройки прокси-сервера федерации AD FS

Введите имя службы федерации, на которую прокси-сервер ADFS будет перенаправлять запросы клиентов (в данном случае это « sts.clouduser.dk »), а затем нажмите « Проверить подключение ».

Рисунок 13: Указание имени службы федерации, на которую прокси-сервер ADFS будет перенаправлять запросы клиентов

Если все настроено правильно и у вас есть доступ к службе федерации через порт 443, вы увидите диалоговое окно, показанное на рисунке 14.

Рисунок 14:

Связь со службой федерации успешно установлена

Нажмите « ОК », а затем « Далее ». Вам будет предложено ввести учетные данные, которые имеют разрешения для установления доверительных отношений между прокси-сервером ADFS и серверами ADFS во внутренней сети.

Сделайте это и нажмите « ОК ».

Примечание:
Вы можете использовать учетную запись службы ADFS, которая используется для серверов ADFS во внутренней сети. Имейте в виду, что вы должны указать их только один раз и что они не настроены для службы на прокси-серверах ADFS.


Рисунок 15: Ввод учетных данных с разрешениями для установления доверительных отношений с серверами ADFS

Нажмите "Далее".

Рисунок 16: Параметры, которые будут настроены для ADFS 2.1

Когда мастер успешно настроит каждый компонент, нажмите « Закрыть », чтобы выйти из мастера.

Рис. 17. Каждый компонент настроен успешно

Повторите вышеуказанные шаги на другом прокси-сервере ADFS.

Прокси-серверы ADFS завершили необходимые действия по настройке прокси-серверов ADFS.

Проверка правильности настройки прокси-серверов ADFS

Чтобы убедиться, что прокси-серверы ADFS работают должным образом, мы можем открыть журнал AD FS и найти событие с идентификатором 198. Если вы видите этот идентификатор события, прокси-сервер ADFS настроен правильно.

Рисунок 18: Идентификатор события в журнале администратора AD FS

На этом завершается часть 6 этой статьи, состоящей из нескольких частей, в которой я объясняю, как настроить гибридное развертывание Exchange 2013 с последующим переходом на Office 365 (Exchange Online).

• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 3)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 4)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 5)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 7)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 8)

• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 9)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 11)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 12)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 13)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 14)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 15)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 16)
• Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 17)