Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 5)

• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 8)
• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 10)
• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 11)
• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 13)

Введение

В части 4 этой серии статей, посвященной миграции на основе гибридного развертывания Exchange в Office 365 или, точнее, в Exchange Online, мы установили и настроили службу федерации Active Directory (ADFS) 2.0 на двух серверах ADFS во внутренней сети. После того, как мы настроили серверы, мы убедились, что они работают должным образом.

В этой части 5 мы продолжим с того места, на котором остановились в части 4. То есть мы установим и настроим службу федерации Active Directory (ADFS) 2.0 на двух прокси-серверах ADFS в сети периметра. После того, как мы настроим серверы, мы проверим, что они работают должным образом.

Давайте идти…

Импорт сертификата аутентификации сервера в IIS

Поскольку все проверки подлинности клиентов в ADFS происходят через SSL, нам необходимо импортировать сертификат проверки подлинности сервера на каждый прокси-сервер ADFS. Поскольку все клиенты должны доверять этому сертификату, рекомендуется импортировать сертификат от стороннего поставщика сертификатов. Хотя в этой серии статей мы используем подстановочный сертификат, достаточно SSL-сертификата с одним именем. Если вы используете сертификат с одним именем, включенное полное доменное имя должно совпадать с полным доменным именем, которое мы настроили в предыдущей статье (в этом примере sts.office365labs.dk).

Чтобы импортировать сертификат, откройте диспетчер IIS и выберите объект веб-сервера, а затем откройте « Сертификаты сервера » в средней панели.

Рисунок 1: Выбор сертификатов сервера в диспетчере IIS

В разделе «Сертификаты сервера» нажмите « Импорт » на панели действий, как показано на рис. 2.

Рис. 2. Нажмите «Импорт» в разделе «Сертификаты сервера» в диспетчере IIS.

Укажите на сертификат, который вы хотите импортировать, а затем укажите пароль, затем нажмите « ОК ».

Рисунок 3: Указание на сертификат, который мы хотим импортировать

Как видно на рис. 4, теперь сертификат импортирован в IIS.

Рисунок 4: Сертификат импортирован

Следующим шагом является привязка сертификата к « веб-сайту по умолчанию ». Для этого разверните « Сайты », затем выберите « Веб-сайт по умолчанию » и нажмите ссылку « Привязки » в « Панель действий ».

Рис. 5. Щелчок «Привязки» в разделе «Сайты» в диспетчере IIS

В разделе « Привязки сайта » нажмите « Добавить ». В « Добавить привязки сайта » выберите « HTTPS » в раскрывающемся списке « Тип », а затем укажите импортированный сертификат в разделе « Сертификат SSL ».

Рисунок 6: Добавление новой привязки сайта для HTTPS

Нажмите « ОК » дважды.

Повторите вышеуказанные шаги на втором прокси-сервере ADFS.

Установка и настройка параметров прокси-сервера ADFS

После настройки двух прокси-серверов ADFS в кластере WNLB и импорта необходимого сертификата пришло время установить и настроить компонент ADFS 2.0 RTW на обоих серверах.

Важный:
Нам нужно установить не компонент ADFS, входящий в состав Windows Server 2008 R2. Нам нужно скачать отдельный пакет из интернета. ADFS 2.0 RTW можно скачать здесь. И пока мы это делаем, нам также необходимо загрузить последнее обновление для ADFS 2.0 RTW, которое в настоящее время является обновлением 2.

Хорошо, запустите « AdfsSetup.exe », а затем примите лицензионное соглашение.

Рисунок 7: Лицензионное соглашение ADFS 2.0

На странице « Роль сервера » нам нужно указать, какой тип серверов федерации мы хотим настроить. Поскольку это два внешних прокси-сервера ADFS, мы хотим настроить « прокси-сервер федерации », поэтому выберите его и нажмите « Далее ».

Рисунок 8: Выбор «Federation Server» в мастере установки ADFS

На странице « Добро пожаловать в мастер установки AD FS 2.0 » нажмите « Далее ».

Рисунок 9: Начальная страница мастера установки ADFS 2.0

Как вы можете видеть на следующей странице, мастер теперь установит на сервер несколько необходимых компонентов. Нажмите « Далее ».

Рис. 10. Предварительные требования AD FS 2.0, которые будут установлены

Примерно через минуту мастер завершится успешно, и теперь мы можем нажать « Готово ». Обязательно снимите флажок «Запустить оснастку управления AD FS 2.0, когда этот мастер закроется», так как мы хотим установить обновление 2 для AD FS 2.0, прежде чем продолжить.

Рисунок 11: Завершение работы мастера установки AD FS 2.0.

Когда обновление будет применено, запустите « Мастер настройки прокси-сервера AD FS 2.0 Federation Server ».

Рис. 12. Запуск мастера настройки прокси-сервера AD FS 2.0 Federation Server

Введите имя службы федерации, на которую прокси-сервер ADFS будет перенаправлять запросы клиентов (в данном случае это « sts.office365lab.dk »), а затем нажмите « Проверить соединение ».

Рисунок 13: Указание имени службы федерации, на которую прокси-сервер ADFS будет перенаправлять запросы клиентов

Если все настроено правильно и у вас есть доступ к службе федерации через порт 443, вы увидите диалоговое окно, показанное на рисунке 14.

Рисунок 14. Связь со службой федерации успешно установлена

Нажмите « ОК », а затем « Далее ». Вам будет предложено ввести учетные данные, которые имеют разрешения для установления доверительных отношений между прокси-сервером ADFS и серверами ADFS во внутренней сети.

Сделайте это и нажмите « ОК ».

Примечание:
Вы можете использовать учетную запись службы ADFS, используемую для серверов ADFS во внутренней сети. Имейте в виду, что вы должны указать их только один раз и что они не настроены для службы на прокси-серверах ADFS.

Рис. 15. Ввод учетных данных с разрешениями для установления доверительных отношений с серверами ADFS

Нажмите "Далее".

Рисунок 16: Параметры, которые будут настроены для ADFS 2.0

Когда мастер успешно настроит каждый компонент, нажмите « Закрыть », чтобы выйти из мастера.

Рис. 17. Каждый компонент настроен успешно

Повторите вышеуказанные шаги на другом прокси-сервере ADFS.

Прокси-серверы ADFS завершили необходимые действия по настройке прокси-серверов ADFS.

Проверка правильности настройки прокси-серверов ADFS

Чтобы убедиться, что прокси-серверы ADFS работают должным образом, мы можем открыть журнал AD FS 2.0 и найти событие с идентификатором 198. Если вы видите этот идентификатор события, прокси-сервер ADFS настроен правильно.

Рисунок 18: Идентификатор события в журнале администратора AD FS 2.0

На этом завершается пятая часть этой статьи, состоящей из нескольких частей, в которой я объясняю, как настроить гибридное развертывание Exchange с последующим переходом на Office 365 (Exchange Online).