Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 3)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 5)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 6)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 8)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 10)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 11)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 13)
Введение
Во второй части этой серии статей, посвященной миграции на основе гибридного развертывания Exchange в Office 365 или, точнее, в Exchange Online, мы настроили два сервера ADFS в кластере балансировки сетевой нагрузки Windows (WNLB) для балансировки нагрузки входящих сеансов проверки подлинности..
В этой части 3 мы продолжим с того места, на котором остановились в части 2. То есть мы установим и настроим службу федерации Active Directory (ADFS) 2.0 на двух серверах ADFS во внутренней сети. После того, как мы настроим серверы, мы проверим, что они работают должным образом.
Давайте идти…
Импорт сертификата аутентификации сервера в IIS
Поскольку вся проверка подлинности клиента в ADFS происходит через SSL, нам необходимо импортировать сертификат проверки подлинности сервера на каждый сервер ADFS. Поскольку все клиенты должны доверять этому сертификату, рекомендуется импортировать сертификат от стороннего поставщика сертификатов. Хотя в этой серии статей мы используем подстановочный сертификат, достаточно SSL-сертификата с одним именем. Если вы используете сертификат с одним именем, включенное полное доменное имя должно совпадать с полным доменным именем, которое мы настроили в предыдущей статье (в этом примере sts.office365labs.dk).
Чтобы импортировать сертификат, откройте диспетчер IIS и выберите объект веб-сервера, а затем откройте « Сертификаты сервера » в средней панели.
Рисунок 1: Выбор сертификатов сервера в диспетчере IIS
В разделе «Сертификаты сервера» нажмите « Импорт » на панели действий, как показано на рис. 2.
Рис. 2. Нажмите «Импорт» в разделе «Сертификаты сервера» в диспетчере IIS.
Укажите на сертификат, который вы хотите импортировать, а затем укажите пароль, затем нажмите « ОК ».
Рисунок 3: Указание на сертификат, который мы хотим импортировать
Как видно на рис. 4, теперь сертификат импортирован в IIS.
Рисунок 4: Сертификат импортирован
Следующим шагом является привязка сертификата к « веб-сайту по умолчанию ». Для этого разверните « Сайты », затем выберите « Веб-сайт по умолчанию » и нажмите ссылку « Привязки » в « Панель действий ».
Рис. 5. Щелчок «Привязки» в разделе «Сайты» в диспетчере IIS
В разделе « Привязки сайта » нажмите « Добавить ». В « Добавить привязки сайта » выберите « HTTPS » в раскрывающемся списке « Тип », а затем укажите импортированный сертификат в разделе « Сертификат SSL ».
Рисунок 6: Добавление новой привязки сайта для HTTPS
Нажмите « ОК » дважды.
Повторите вышеуказанные шаги на втором сервере ADFS.
Установка и настройка фермы ADFS
С двумя серверами ADFS, настроенными в кластере WNLB и импортированным необходимым сертификатом, пришло время установить и настроить компонент ADFS 2.0 RTW на обоих серверах.
Важный:
Нам нужно установить не компонент ADFS, входящий в состав Windows Server 2008 R2. Нам нужно скачать отдельный пакет из интернета. ADFS 2.0 RTW можно скачать здесь. И пока мы это делаем, нам также необходимо загрузить последнее обновление для ADFS 2.0 RTW, которое в настоящее время является обновлением 2.
Хорошо, запустите « AdfsSetup.exe », а затем примите лицензионное соглашение.
Рисунок 7: Лицензионное соглашение ADFS 2.0
На странице « Роль сервера » нам нужно указать, что нужно настроить. Поскольку это два внутренних сервера ADFS, мы хотим настроить « Сервер федерации », поэтому выберите его и нажмите « Далее ».
Рисунок 8: Выбор «Federation Server» в мастере установки ADFS
На странице « Добро пожаловать в мастер установки AD FS 2.0 » нажмите « Далее ».
Рисунок 9: Начальная страница мастера установки ADFS 2.0
Как вы можете видеть на следующей странице, мастер теперь установит на сервер несколько необходимых компонентов. Нажмите « Далее ».
Рис. 10. Предварительные требования AD FS 2.0, которые будут установлены
Через минуту или около того мастер завершится успешно, и теперь мы можем нажать « Готово ». Обязательно снимите флажок «Запустить оснастку управления AD FS 2.0, когда этот мастер закроется», так как мы хотим установить обновление 2 для AD FS 2.0, прежде чем продолжить.
Рисунок 11: Завершение работы мастера установки AD FS 2.0.
После применения обновления запустите консоль управления AD FS 2.0, выбрав « Пуск » > « Инструменты администрирования » и выбрав здесь « Управление AD FS 2.0 ». В консоли управления AD FS 2.0 нажмите « Мастер настройки сервера федерации AD FS 2.0 ».
Рис. 12. Запуск мастера настройки сервера федерации AD FS 2.0
В окне « Добро пожаловать в мастер настройки сервера федерации AD FS 2.0 » выберите « Создать новую службу федерации » и нажмите « Далее ».
Рисунок 13. Выбор создания службы федерации
В разделе « Выбор автономного развертывания или развертывания фермы » выберите « Новая ферма серверов федерации » и нажмите « Далее ».
Рисунок 14: Выбор создания новой фермы серверов федерации
Теперь нам нужно указать имя службы федерации, в данном случае « sts.office365lab.dk ». Что ж, на самом деле на основе общего имени в сертификате мастер сделает это автоматически, но, поскольку в этой серии статей мы используем групповой сертификат, мастер не может определить имя, поэтому нам нужно указать его вручную.
Рис. 15. Мастер не может определить имя службы федерации, так как используется групповой сертификат
Замените « * » на « sts » в имени службы федерации и нажмите « Далее ».
Рис. 16. Замена «*» на «sts» в имени службы федерации
На следующей странице нам нужно указать учетную запись службы, которая должна использоваться для фермы серверов федерации. Эта учетная запись должна использоваться на всех серверах федерации в соответствующей ферме.
Указанная учетная запись службы должна быть просто учетной записью пользователя Active Directory с разрешениями «пользователя домена».
Важный:
Убедитесь, что учетная запись создана со следующими настройками: « Пользователь не может изменить пароль » и « Срок действия пароля не ограничен ».
Рисунок 17: Создание служебной учетной записи для фермы серверов федерации
После создания учетной записи введите имя пользователя и пароль и нажмите « Далее ».
Рисунок 18: Указание имени пользователя и пароля для учетной записи службы фермы серверов федерации
На появившейся странице мы можем увидеть список параметров, которые будут настроены для AD FS 2.0 ( рисунок 19 ).
Нажмите « Далее ».
Рисунок 19: Параметры, которые будут настроены для ADFS 2.0
Когда мастер успешно настроит каждый компонент, нажмите « Закрыть », чтобы выйти из мастера.
Рисунок 20: Каждый компонент настроен успешно
Как мы видим в консоли AD FS 2.0, нам нужно добавить доверенную проверяющую сторону, чтобы управлять единым входом для наших пользователей Office 365. На самом деле мы сделаем это с помощью PowerShell, но сначала мы хотим добавить другой сервер ADFS в ферму серверов федерации.
Рисунок 21: Консоль AD FS 2.0
Поэтому переключитесь на другой сервер ADFS и установите ADFS 2.0 RTW плюс обновление 2, а затем запустите мастер установки ADFS 2.0.
Выберите в мастере те же параметры, что и для основного сервера ADFS, а затем откройте «Управление AD FS 2.0 ». В консоли управления AD FS 2.0 нажмите « Мастер настройки сервера федерации AD FS 2.0 ».
В окне « Добро пожаловать в мастер настройки сервера федерации AD FS 2.0 » выберите « Добавить сервер федерации в существующую службу федерации » и нажмите « Далее ».
Рисунок 22: Добавление сервера к существующей службе федерации
На странице « Укажите основной сервер федерации и учетную запись службы » введите « adfs01.office365lab.dk » (или другое полное доменное имя сервера для основного сервера ADFS в вашей среде), а затем введите учетные данные для фермы серверов федерации. сервисной учетной записи с последующим нажатием « Далее ».
Рисунок 23. Указание полного доменного имени фермы серверов федерации, а также учетных данных служебной учетной записи
Убедитесь, что выбран сертификат сервера и настроено правильное полное доменное имя службы федерации, а затем нажмите « Далее ».
Рисунок 24: Сертификат сервера и имя службы федерации
Теперь мы снова готовы применить настройки, поэтому нажмите « Далее ».
Рис. 25. Готово к применению настроек
На странице результатов настройки нажмите « Закрыть », когда все компоненты будут успешно настроены.
Рисунок 26: Результаты конфигурации
Теперь в консоли управления AD FS 2.0 вы увидите, что этот сервер не является основным сервером федерации в ферме и что вы должны внести изменения в конфигурацию на основном сервере ADFS.
Рисунок 27: Консоль управления AD FS 2.0 на втором сервере федерации
Теперь мы настроили ферму серверов федерации.
Проверка правильности работы фермы серверов федерации
Настроив ферму серверов федерации, давайте проверим, что она ведет себя должным образом. Сначала давайте попробуем посмотреть, сможем ли мы добраться до XML с документом описания службы. Для этого откройте браузер на клиенте, расположенном в том же лесу AD, что и сервер ADFS, и введите (замените полное доменное имя сервера ADFS на имя в вашей среде):
https://ADFS01.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml
Если все работает должным образом, вы должны увидеть что-то похожее на рис. 28.
Рис. 28. Доступ к XML-документу с описанием службы через браузер из внутреннего клиента с использованием полного доменного имени сервера ADFS
Повторите этот шаг, но укажите на другой сервер ADFS.
Наконец, попробуйте получить доступ к XML-документу описания службы, используя полное доменное имя службы федерации (в данном случае sts.office365lab.dk).
Рис. 29. Доступ к документу описания службы XML через браузер из внутреннего клиента с использованием полного доменного имени службы федерации
Также откройте журнал администратора AD FS 2.0 и найдите событие 100. Если вы видите событие 100, это означает, что служба федерации смогла связаться со службой федерации.
Рисунок 30: Событие 100 в журнале администратора ADFS 2.0
На этом завершается третья часть этой статьи, состоящей из нескольких частей, в которой я объясняю, как настроить гибридное развертывание Exchange с последующим переходом на Office 365 (Exchange Online).
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 4)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 5)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 6)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 10)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 11)
- Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 13)