Office 365之AD FS 3.0实现SSO（二）

继续我们的实验，前面的步骤可以返回到第一篇：http://gshao.blog.51cto.com/3512873/1788027

----------------------------------我是略污的中折线-------------------------------------

大概的思路步骤如下：

1.添加UPN，配置用户的UPN后缀（这个跟你内外域名是否一致有关系，如果一致直接错过这步骤）  
2.申请证书（公网）    
3.安装AD FS服务    
4.内部DNS服务器新建正向区域解析    
5.添加外网dns记录，配置443端口映射出去    
6.在office 365添加自定义域名，配置相关外网记录    
7.将自定义域名转换成联盟域    
8.在office 365激活目录同步，安装AAD    
9.配置目录同步和AD FS    
10.验证用户的登陆状态

----------------------------------我是略污的中折线-------------------------------------

安装AD FS服务

1.在添加角色和功能向导，点击下一步；

2.在选择安装类型，点击下一步；

3.在选择目标服务器，点击下一步；

4.在选择服务器角色，勾选Active Directory Federation Services，点击下一步；

5.在选择功能，点击下一步；

6.在Active Directory联合身份验证服务（AD FS），点击下一步；

7.在确认安装所选内容，点击安装；

8.在安装进度，点击在此服务器上配置联合身份验证服务；

9.在欢迎界面，选择在联合服务器场中创建第一个联合服务器，点击下一步；

10.在连接到Active Directory域服务，指定账号，点击下一步；

11.在指定服务属性，选择申请的公网证书，填写联合身份验证服务显示名称，点击下一步；

12.在指定服务账号，出现警告；

13.在powershell输入Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

14.在指定服务账号，填写账号和密码，点击下一步；

15.在指定配置数据库，选择在此服务器上使用windows内部数据库创建数据库，点击下一步；

16.在查看选项，确保内容无误后，点击下一步；

17.在先决条件检查，点击配置；

18.在结果，点击关闭；

内部DNS服务器新建正向区域解析

19.在DNS服务器，在正向查找区域，右键新建区域（Z）;

20.在新建区域向导，点击下一步；

21.在区域类型，选择主要区域，点击下一步；

22.在Active Directory区域传送作用域，选择至此域中域控制器上运行的所有DNS服务器（D）：gshinternel.com，点击下一步；

23.在区域名称，输入adfs.gshcloud.com(对外ADFS的FQDN)，点击下一步；

24.在动态更新，点击下一步；

25.在正在完成新建区域向导，点击完成；

26.在新建的区域，右键新建主机（A或AAAA）(S)；

27.在新建主机，名称为空，IP地址指向AD FS的内部IP，点击添加主机（H）；

28.确保主机记录添加成功；

29.在域内验证AD FS url是否正常（

https://adfsname.domain.com/adfs/ls/IdpInitiatedSignon.aspx

）

30.在Internet选项-安全-本地Intranet，添加ADFS地址；

31.重新打开 AD FSurl，就可以看到登陆成功；

添加外网dns记录，配置443端口映射出去 

32.在万网添加别名记录，指向到云服务器地址（提示：我这边是在云上搭建的环境，如果在本地企业部署的话，就指向到外网IP地址）

33.确保能正常解析到

34.在adfs0604服务器上添加终结点（提示：如果在本地部署，就在防火墙做映射端口）；

35.添加443端口；

36.确保添加成功，以及外网能够正常telnet 443端口；