Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 3)

Опубликовано: 13 Марта, 2023

  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 5)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 6)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 8)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 10)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 11)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 13)

Введение

Во второй части этой серии статей, посвященной миграции на основе гибридного развертывания Exchange в Office 365 или, точнее, в Exchange Online, мы настроили два сервера ADFS в кластере балансировки сетевой нагрузки Windows (WNLB) для балансировки нагрузки входящих сеансов проверки подлинности..

В этой части 3 мы продолжим с того места, на котором остановились в части 2. То есть мы установим и настроим службу федерации Active Directory (ADFS) 2.0 на двух серверах ADFS во внутренней сети. После того, как мы настроим серверы, мы проверим, что они работают должным образом.

Давайте идти…

Импорт сертификата аутентификации сервера в IIS

Поскольку вся проверка подлинности клиента в ADFS происходит через SSL, нам необходимо импортировать сертификат проверки подлинности сервера на каждый сервер ADFS. Поскольку все клиенты должны доверять этому сертификату, рекомендуется импортировать сертификат от стороннего поставщика сертификатов. Хотя в этой серии статей мы используем подстановочный сертификат, достаточно SSL-сертификата с одним именем. Если вы используете сертификат с одним именем, включенное полное доменное имя должно совпадать с полным доменным именем, которое мы настроили в предыдущей статье (в этом примере sts.office365labs.dk).

Чтобы импортировать сертификат, откройте диспетчер IIS и выберите объект веб-сервера, а затем откройте « Сертификаты сервера » в средней панели.

Изображение 18316
Рисунок 1:
Выбор сертификатов сервера в диспетчере IIS

В разделе «Сертификаты сервера» нажмите « Импорт » на панели действий, как показано на рис. 2.

Изображение 18317
Рис. 2.
Нажмите «Импорт» в разделе «Сертификаты сервера» в диспетчере IIS.

Укажите на сертификат, который вы хотите импортировать, а затем укажите пароль, затем нажмите « ОК ».

Изображение 18318
Рисунок 3: Указание на сертификат, который мы хотим импортировать

Как видно на рис. 4, теперь сертификат импортирован в IIS.

Изображение 18319
Рисунок 4: Сертификат импортирован

Следующим шагом является привязка сертификата к « веб-сайту по умолчанию ». Для этого разверните « Сайты », затем выберите « Веб-сайт по умолчанию » и нажмите ссылку « Привязки » в « Панель действий ».

Изображение 18320
Рис. 5.
Щелчок «Привязки» в разделе «Сайты» в диспетчере IIS

В разделе « Привязки сайта » нажмите « Добавить ». В « Добавить привязки сайта » выберите « HTTPS » в раскрывающемся списке « Тип », а затем укажите импортированный сертификат в разделе « Сертификат SSL ».

Изображение 18321
Рисунок 6: Добавление новой привязки сайта для HTTPS

Нажмите « ОК » дважды.

Повторите вышеуказанные шаги на втором сервере ADFS.

Установка и настройка фермы ADFS

С двумя серверами ADFS, настроенными в кластере WNLB и импортированным необходимым сертификатом, пришло время установить и настроить компонент ADFS 2.0 RTW на обоих серверах.

Важный:
Нам нужно установить не компонент ADFS, входящий в состав Windows Server 2008 R2. Нам нужно скачать отдельный пакет из интернета. ADFS 2.0 RTW можно скачать здесь. И пока мы это делаем, нам также необходимо загрузить последнее обновление для ADFS 2.0 RTW, которое в настоящее время является обновлением 2.

Хорошо, запустите « AdfsSetup.exe », а затем примите лицензионное соглашение.

Изображение 18322
Рисунок 7:
Лицензионное соглашение ADFS 2.0

На странице « Роль сервера » нам нужно указать, что нужно настроить. Поскольку это два внутренних сервера ADFS, мы хотим настроить « Сервер федерации », поэтому выберите его и нажмите « Далее ».

Изображение 18323
Рисунок 8: Выбор «Federation Server» в мастере установки ADFS

На странице « Добро пожаловать в мастер установки AD FS 2.0 » нажмите « Далее ».

Изображение 18324
Рисунок 9: Начальная страница мастера установки ADFS 2.0

Как вы можете видеть на следующей странице, мастер теперь установит на сервер несколько необходимых компонентов. Нажмите « Далее ».

Изображение 18325
Рис. 10.
Предварительные требования AD FS 2.0, которые будут установлены

Через минуту или около того мастер завершится успешно, и теперь мы можем нажать « Готово ». Обязательно снимите флажок «Запустить оснастку управления AD FS 2.0, когда этот мастер закроется», так как мы хотим установить обновление 2 для AD FS 2.0, прежде чем продолжить.

Изображение 18326
Рисунок 11:
Завершение работы мастера установки AD FS 2.0.

После применения обновления запустите консоль управления AD FS 2.0, выбрав « Пуск » > « Инструменты администрирования » и выбрав здесь « Управление AD FS 2.0 ». В консоли управления AD FS 2.0 нажмите « Мастер настройки сервера федерации AD FS 2.0 ».

Изображение 18327
Рис. 12.
Запуск мастера настройки сервера федерации AD FS 2.0

В окне « Добро пожаловать в мастер настройки сервера федерации AD FS 2.0 » выберите « Создать новую службу федерации » и нажмите « Далее ».

Изображение 18328
Рисунок 13.
Выбор создания службы федерации

В разделе « Выбор автономного развертывания или развертывания фермы » выберите « Новая ферма серверов федерации » и нажмите « Далее ».

Изображение 18329
Рисунок 14:
Выбор создания новой фермы серверов федерации

Теперь нам нужно указать имя службы федерации, в данном случае « sts.office365lab.dk ». Что ж, на самом деле на основе общего имени в сертификате мастер сделает это автоматически, но, поскольку в этой серии статей мы используем групповой сертификат, мастер не может определить имя, поэтому нам нужно указать его вручную.

Изображение 18330
Рис. 15.
Мастер не может определить имя службы федерации, так как используется групповой сертификат

Замените « * » на « sts » в имени службы федерации и нажмите « Далее ».

Изображение 18331
Рис. 16.
Замена «*» на «sts» в имени службы федерации

На следующей странице нам нужно указать учетную запись службы, которая должна использоваться для фермы серверов федерации. Эта учетная запись должна использоваться на всех серверах федерации в соответствующей ферме.

Указанная учетная запись службы должна быть просто учетной записью пользователя Active Directory с разрешениями «пользователя домена».

Важный:
Убедитесь, что учетная запись создана со следующими настройками: « Пользователь не может изменить пароль » и « Срок действия пароля не ограничен ».

 

Изображение 18332
Рисунок 17:
Создание служебной учетной записи для фермы серверов федерации

После создания учетной записи введите имя пользователя и пароль и нажмите « Далее ».

 

Изображение 18333
Рисунок 18:
Указание имени пользователя и пароля для учетной записи службы фермы серверов федерации

На появившейся странице мы можем увидеть список параметров, которые будут настроены для AD FS 2.0 ( рисунок 19 ).

Нажмите « Далее ».

 

Изображение 18334
Рисунок 19:
Параметры, которые будут настроены для ADFS 2.0

Когда мастер успешно настроит каждый компонент, нажмите « Закрыть », чтобы выйти из мастера.

 

Изображение 18335
Рисунок 20:
Каждый компонент настроен успешно

Как мы видим в консоли AD FS 2.0, нам нужно добавить доверенную проверяющую сторону, чтобы управлять единым входом для наших пользователей Office 365. На самом деле мы сделаем это с помощью PowerShell, но сначала мы хотим добавить другой сервер ADFS в ферму серверов федерации.

 

Изображение 18336
Рисунок 21:
Консоль AD FS 2.0

Поэтому переключитесь на другой сервер ADFS и установите ADFS 2.0 RTW плюс обновление 2, а затем запустите мастер установки ADFS 2.0.

Выберите в мастере те же параметры, что и для основного сервера ADFS, а затем откройте «Управление AD FS 2.0 ». В консоли управления AD FS 2.0 нажмите « Мастер настройки сервера федерации AD FS 2.0 ».

В окне « Добро пожаловать в мастер настройки сервера федерации AD FS 2.0 » выберите « Добавить сервер федерации в существующую службу федерации » и нажмите « Далее ».

Изображение 18337
Рисунок 22: Добавление сервера к существующей службе федерации

На странице « Укажите основной сервер федерации и учетную запись службы » введите « adfs01.office365lab.dk » (или другое полное доменное имя сервера для основного сервера ADFS в вашей среде), а затем введите учетные данные для фермы серверов федерации. сервисной учетной записи с последующим нажатием « Далее ».

 

Изображение 18338
Рисунок 23.
Указание полного доменного имени фермы серверов федерации, а также учетных данных служебной учетной записи

Убедитесь, что выбран сертификат сервера и настроено правильное полное доменное имя службы федерации, а затем нажмите « Далее ».

 

Изображение 18339
Рисунок 24:
Сертификат сервера и имя службы федерации

Теперь мы снова готовы применить настройки, поэтому нажмите « Далее ».

 

Изображение 18340
Рис. 25.
Готово к применению настроек

На странице результатов настройки нажмите « Закрыть », когда все компоненты будут успешно настроены.

 

Изображение 18341
Рисунок 26:
Результаты конфигурации

Теперь в консоли управления AD FS 2.0 вы увидите, что этот сервер не является основным сервером федерации в ферме и что вы должны внести изменения в конфигурацию на основном сервере ADFS.

 

Изображение 18342
Рисунок 27:
Консоль управления AD FS 2.0 на втором сервере федерации

Теперь мы настроили ферму серверов федерации.

Проверка правильности работы фермы серверов федерации

Настроив ферму серверов федерации, давайте проверим, что она ведет себя должным образом. Сначала давайте попробуем посмотреть, сможем ли мы добраться до XML с документом описания службы. Для этого откройте браузер на клиенте, расположенном в том же лесу AD, что и сервер ADFS, и введите (замените полное доменное имя сервера ADFS на имя в вашей среде):

https://ADFS01.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

Если все работает должным образом, вы должны увидеть что-то похожее на рис. 28.

 

Изображение 18343
Рис. 28.
Доступ к XML-документу с описанием службы через браузер из внутреннего клиента с использованием полного доменного имени сервера ADFS

Повторите этот шаг, но укажите на другой сервер ADFS.

Наконец, попробуйте получить доступ к XML-документу описания службы, используя полное доменное имя службы федерации (в данном случае sts.office365lab.dk).

 

Изображение 18344
Рис. 29.
Доступ к документу описания службы XML через браузер из внутреннего клиента с использованием полного доменного имени службы федерации

Также откройте журнал администратора AD FS 2.0 и найдите событие 100. Если вы видите событие 100, это означает, что служба федерации смогла связаться со службой федерации.

 

Изображение 18345
Рисунок 30:
Событие 100 в журнале администратора ADFS 2.0

На этом завершается третья часть этой статьи, состоящей из нескольких частей, в которой я объясняю, как настроить гибридное развертывание Exchange с последующим переходом на Office 365 (Exchange Online).

  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 4)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 5)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 6)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 10)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 11)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 13)