其他分享
首页 > 其他分享> > ADFS配置

ADFS配置

作者:互联网

1.登录DC,执行如下命令:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) #命令成功,则返回 GUID 值
#为名为 FSgMSA 的联合身份验证服务创建一个名为 FSgMSA 的新 gMSA adfs.contoso.com
New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
新建A记录: adfs.contoso.com 1.1.1.

2.登录ADFS服务器:
安装并配置adfs,使用域管理员权限配置,组托管账户使用前面新加的FSgMSA账号,使用内部数据库

3.访问https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml,测试是否配置成功

4.为owa和ecp分别添加信赖方信任
选择声明感知,手动输入有关信赖方的数据,注释输入 https://mail.contoso.com/owa/,跳过证书配置
选择"启用对被动WS-Federation的支持",在"信赖方WS-Federation 被动协议 URL"中,输入: https://mail.contoso.com/owa/
访问控制策略,确认默认选择“允许所有人”,下一步完成为止

添加声明转换规则:
选择经历或筛选传入声明,规则名称UPN,传入声明类型UPN,传递所有,完成即可

5.Exchange配置:
先在ADFS服务器上运行以下命令,获取Thumpprint:
Import-Module
(Get-AdfsCertificate -CertificateType Token-Signing).Thumbprint
在Exchange服务器上运行如下:

Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"


Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

#对所有服务器的owa和ecp虚拟目录启用adfs认证
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

iisreset


访问 https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml ,将下载下来的文件重命名为sp.xml

 

 

#WID 场中的 AD FS 服务器从辅助服务器更改为主服务器
Set-AdfsSyncProperties -Role "PrimaryComputer"

#将 WID 场中的主 AD FS 服务器更改为辅助服务器。 必须指定主服务器的完全限定域名。 这样做可能并非所有辅助 AD FS 服务器都正确同步。 注意:主服务器必须可通过从辅助服务器的端口 80 上的 HTTP 访问
Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"

 参考:https://docs.microsoft.com/zh-cn/windows-server/identity/ad-fs/technical-reference/the-role-of-the-ad-fs-configuration-database

 

标签:false,配置,ADFS,contoso,adfs,https,服务器,com
来源: https://www.cnblogs.com/dreamer-fish/p/16579629.html