ADFS配置

2022-08-12 14:03:18 阅读：132 来源： 互联网

标签：false 配置 ADFS contoso adfs https 服务器 com

1.登录DC，执行如下命令：
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) #命令成功，则返回 GUID 值
#为名为 FSgMSA 的联合身份验证服务创建一个名为 FSgMSA 的新 gMSA adfs.contoso.com
New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
新建A记录： adfs.contoso.com 1.1.1.

2.登录ADFS服务器：
安装并配置adfs，使用域管理员权限配置，组托管账户使用前面新加的FSgMSA账号，使用内部数据库

3.访问https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml，测试是否配置成功

4.为owa和ecp分别添加信赖方信任
选择声明感知，手动输入有关信赖方的数据，注释输入 https://mail.contoso.com/owa/，跳过证书配置
选择"启用对被动WS-Federation的支持"，在"信赖方WS-Federation 被动协议 URL"中，输入： https://mail.contoso.com/owa/
访问控制策略，确认默认选择“允许所有人”，下一步完成为止

添加声明转换规则：
选择经历或筛选传入声明，规则名称UPN，传入声明类型UPN，传递所有，完成即可

5.Exchange配置：
先在ADFS服务器上运行以下命令，获取Thumpprint：
Import-Module
(Get-AdfsCertificate -CertificateType Token-Signing).Thumbprint
在Exchange服务器上运行如下：

Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

#对所有服务器的owa和ecp虚拟目录启用adfs认证
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

iisreset

访问 https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml ，将下载下来的文件重命名为sp.xml

#WID 场中的 AD FS 服务器从辅助服务器更改为主服务器
Set-AdfsSyncProperties -Role "PrimaryComputer"

#将 WID 场中的主 AD FS 服务器更改为辅助服务器。必须指定主服务器的完全限定域名。这样做可能并非所有辅助 AD FS 服务器都正确同步。注意：主服务器必须可通过从辅助服务器的端口 80 上的 HTTP 访问
Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"

参考：https://docs.microsoft.com/zh-cn/windows-server/identity/ad-fs/technical-reference/the-role-of-the-ad-fs-configuration-database

标签：false,配置,ADFS,contoso,adfs,https,服务器,com
来源： https://www.cnblogs.com/dreamer-fish/p/16579629.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

ICode9

ADFS配置