标签:qq截图 erb 网卡 脚本 失败 force dir img 执行
承接上文,下边来重点介绍下ADFS以及Proxy的部署,注意配置前因为Proxy没有加域,如果是本地AD签发的证书,最好提前导入到Proxy中最好证书的信任 1.在AAD Connect向导里,首先我们需要创建一个新的ADFS的FARM,然后提供ADFS使用的证书
2.选择好使用的证书
3.将ADFS服务器加入到FARM里
4.之后部署ADFS Proxy,因为Proxy不加域,首先在Proxy上添加DNS后缀,在DNS上添加Proxy的DNS记录
5.在Proxy Servers这里添加Proxy这台服务器
6.这里有个小坑,你可能会发现下边会报出WIN RM无法连接的错
7.要解决这个问题其实也不难,需要手动配置下服务器,因为本身部署ADFS或者Proxy也是通过WIN RM来远程执行PowerShell,如果是加域的话可以走kerberos认证,把WINRM服务开启后,端口正常监听,防火墙没问题就可以通过了,但是如果是不加域的机器,就需要通过设置白名单的方式来实现远程PowerShell了,首先开启WINRM服务
通过命令Enable-PSRemoting -Force
8.可以看到服务已经正常开启了
9.服务开启后注意还需要添加白名单,步骤按照图里的执行即可
10.最后还需要注意你的网卡类型,这个搞不好也会坑到你,完成后再次执行向导,可以看到已经能正常连接了
11.之后输入你的Domain admin的密码,他会被用来执行一些脚本配置等
12.这里配置Service Account,需要输入你的enterprise account
13.接下来选择需要做联盟的域,点击next
14.开始配置,等待结束即可
15.部署完成后,可以看到账户已经被同步到O365中(O365需要提前开启AD同步,可以手动在portal配置,也可以通过Set-MsolDirSyncEnabled -EnableDirSync $true实现,过程不演示了,比较简单)
16.之后可以测试下,登陆O365 Portal,输入域账号登陆
17.可以看到已经在重定向了
18.这里可以看到如果是本地AD颁发的证书,这里是会报信任错误的
19.成功跳转到ADFS Proxy,输入本地AD的账号密码
20.登陆成功!
21.同时如果是登陆失败的,在ADFS的Log也是可以看到的,ADFS的审核Log有些是需要手动开启的,这里暂时不说了
基本的配置就是这样了,对比以前的部署过程,现在已经可以算是省去了绝大部分时间了!后边会介绍如何使用ADFS实现我们限制用户登录行为的目标
O365结合ADFS限制用户登录地址 (三) - 部署ADFS及Proxy
标签:qq截图 erb 网卡 脚本 失败 force dir img 执行
原文地址:http://blog.51cto.com/mxyit/2071516
