步骤:
1. 添加域和更改权限
2. 安装和配置AD同步
3. 安装和配置ADFS
4. 安装和配置ADFS代理
5. 配置ADFS单点登录
6. 配置本地Lync和LyncOnline联盟
7. 将用户迁移到online,并测试本地和online呼叫
1. 添加域和更改权限
在O365上绑定公司自己的域名。
我们可以看到默认域名,mydomain.onmicrosoft.com,点击添加域名
添加域名
根据提示添加DNS记录
2. 安装和配置AD同步
选择“用户和组”,点击“设置”
点击“激活”来激活目录同步,下载目录同步工具,拷贝到AD域控中。
安装Online登陆助手(msoidcli_64.msi)和Microsoft Online Services 目录同步工具(dirsync.exe)
配置O365管理员账号信息。
配置本地AD域管理员信息。
同步密码
下一步
开始目录同步
完成以后,我们再次登录O365,可以看到增加了一些用户,这些用户就是从本地AD同步过来的。
3. 安装和配置ADFS
首先安装windows server2012系统,计算机名改为adfs.ucssi.com。
然后申请证书:在DC上通过IIS完成创建一个证书请求,通过名称也为adfs.ucssi.com,然后购买一个公共SSL证书,包含的名称为adfs.ucssi.cn。申请后导入到IIS中。
然后加入域。
然后再安装ADFS:
只选择ADFS
安装完成以后,开始ADFS Federation Server Configuration Wizard
点击: Create a new Federation Service
下面我们只创建一个单独的联合服务器,暂时不考虑联合服务器场。
选择对应的证书和CN名称
配置完成以后,可通过以下链接验证服务。
https://adfs.ucssi.cn/adfs/fs/federationserverservice.asmx
4. 安装和配置ADFS代理
代理服务器部署在外围网络中,所以不能和ADFS服务器集成。安装windows server 2012 ,不加入域,两块网卡,一个内网卡一个外网卡。外网卡映射到公网,公网DNS添加记录。
然后安装ADFS代理角色。
默认安装,然后用私钥从ADFS上导出证书,再通过IIS导入到ADFS代理。
导入成功后如下:
然后将证书绑定到https 服务,点击IIS主页右侧的“绑定”
然后开始ADFS代理的配置向导
然后输入ADFS服务器名称,点击“测试连接”来测试通信是否正常。我们还需要确定代理服务器能够解析adfs.ucssi.cn
然后我们在ADFS和ADFS代理之间做信任。需要管理员账号密码
然后准备应用设置
5. 配置ADFS单点登录
配置完ADFS和ADFS代理。我们开始配置本地AD和O365 AD单点登录
我们首先下载并在ADFS上安装 MicrosoftAzure Active Directory Module for Windows PowerShell,安装好以后执行以下命令建立信任联合域
$cred =get-Credential //在弹出的窗口输入O365管理员凭据
Connect-MsolService-Credential $cred
Convert-MsolDomainToFederated-DomainName ucssi.cn
Get-MsolFederationProperty -DomainName ucssi.cn // 用来验证是否安装成功
要测试单点登录链接,我们可以用微软远程连接分析器。(前提是先做好联盟)点击O365标签,点击单点登录,然后下一步,如下图:该分析仪验证您登录到您公司的凭据云服务能力,这也验证了一些基本的AD FS 2配置
https://testconnectivity.microsoft.com/
6. 配置本地Lync和LyncOnline联盟
在Lync命令行管理器中输入以下命令,设置一些属性。
6.1
Set-CSAccessEdgeConfiguration -AllowOutsideUsers 1 -AllowFederatedUsers 1 �CUseDnsSrvRouting -EnablePartnerDiscovery $True
6.2
Remove-CsHostingProvider -IdentityLyncOnline //删除默认的Lync在线托管服务提供商
6.3
New-CSHostingProvider -Identity LyncOnline-ProxyFqdn "sipfed.online.lync.com" -Enabled $true -EnabledSharedAddressSpace$true -HostsOCSUsers $true -VerificationLevel UseSourceVerification�CIsLocal $false -AutodiscoverUrl https://webdir.online.lync.com/Autodiscover/AutodiscoverService.svc/root
在将本地Lync迁移到O365上之前,我们要O365与本地部署共享的SIP地址空间。
否则会报错,如下:
Move-CsUser : HostedMigration fault: Error=(510),Description=(This user’s tenant is not enabled for shared sip addressspace.)
要分配共享空间,如下命令:如图中所示
先建立远程连接:Import-ModuleLyncOnlineConnector
$cred = Get-Credential
输入O365管理员账号密码
$CSSession =New-CsOnlineSession �CCredential $cred
配置共享空间
Set-CsTenantFederationConfiguration-SharedSipAddressSpace $true
7. 将用户迁移到online,并测试本地和online呼叫
将本地Lync迁移到Online,命令如下:
Move-CsUser -Identity <user's AD UPN>-Target sipfed.online.lync.com -Credential $cred -HostedMigrationOverrideUrl<Hosted migration override URL for your tenant>
迁移成功后,在O365上就可以看到了。
在本地控制面板上可以看到状态homed online
然后测试内网本地Lync和外网OnlineLync音视频互通。