O365結合ADFS限制用戶登陸地址 (二) - 安裝AAD Connect

    開篇簡單介紹了咱們要作的事，和須要準備的東西，相信基本上仍是能夠看的明白的，下邊進入主題，咱們來看一下如何部署ADFS

    首先來說一下ADFS大概的架構，通常來講在生產環境，咱們是推薦將ADFS部署成FARM的，也就是經過多臺ADFS共同承載流量，ADFS自己是要面向公網的，身份驗證的請求會從AAD轉到ADFS，這樣就會產生ADFS直接暴露在公網的問題，因此在生產環境咱們還會推薦部署ADFS Proxy，將Proxy放在ADFS前承載流量，這樣能夠把後端整個ADFS和AD環境保護起來。通常推薦的部署方式以下表所示

    

角色	推薦部署方式	推薦部署位置
DC	推薦>1	域控，部署在內網
ADFS	推薦>1	加域，部署在內網
ADFS Proxy	推薦>1	通常不加域，部署在DMZ

    

    整體來講須要部署的角色其實並很少，也不會太過複雜，本次環境中使用部署方式以下表所示，由於並不是生產環境，只是作Poc，因此部署的都是單點的

    

角色	OS	部署方式	部署位置
DC	Windows Server 2012 R2	1臺	域控，部署在內網
ADFS	Windows Server 2012 R2	1臺	加域，部署在內網
ADFS Proxy	Windows Server 2012 R2	1臺	不加域，部署在DMZ

    ADFS的部署其實以前的blog裏已經介紹過了，那個時候部署ADFS感受步驟很是多，還很是容易出錯，可是過去這麼久以後微軟推出了一種新的部署方式，將ADFS的部署過程大大地簡化了，稱之爲傻瓜式部署也不爲過，基本上點點鼠標就能搞定了，下邊來介紹下如何部署

    如今部署ADFS時咱們已經能夠經過AAD Connect來實現，ADFS以及Proxy的部署都已經整合到了AAD Connect中做爲一個選項來提供（實際上只是提供了經過各類腳本快速部署的方式，若是想單獨部署ADFS，依然能夠經過Windows Server裏的嚮導實現）

    AAD Connect的做用不過多介紹了，以前用過Dir sync的基本都知道，之前的博客裏也介紹過Dir sync，能夠理解AAD Connect就是將本地AD與AAD集成的一種工具，AAD Connect通常不推薦部署到DC上，推薦部署到一臺加域的服務器中便可，若是用戶規模不大的話能夠考慮單點

    AAD Connect 介紹

    https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory-aadconnect 

 

    AAD Connect 1.1.647.0 下載

    https://www.microsoft.com/en-us/download/details.aspx?id=47594

    1.下載AAD Connect以後雙擊打開，下一步

    

    2.贊成條款

    

    3. 這裏選擇自定義的配置，由於咱們須要部署不少組件

    4.直接點擊安裝，直接使用默認的SQL Express數據庫便可，通常狀況下還不會用到其餘版本的SQL Server

    5.安裝中

    

    6.這裏選擇與ADFS作聯盟

    

    7.這裏會鏈接到你的AAD中，因此要輸入你的O365 Global Admin帳號

    

    8.添加須要的域

    

    9.輸入本地AD管理員的信息，鏈接到本地AD

    10.添加完成

    11.這裏能夠選擇篩選要同步的OU，默認是全部的OU都會被同步，若是有一些信息是不想或者不須要同步到AAD的，那麼能夠在這裏進行篩選

    12.這裏選擇標識用戶的方法，source anchor是AAD Connect裏很重要的一個概念，通常來講這裏推薦使用默認的配置

    13.這裏選擇要篩選的用戶

    14.以後在可選的功能這裏，能夠設置密碼同步，這樣用戶的密碼也能夠被同步到AAD中

    到這裏AAD Connect的安裝就差很少了，若是沒部署ADFS的話點擊下一步差很少就會自動安裝AAD Connect，而後開始進行同步了

    可是由於咱們要部署ADFS，因此這還不算完！後邊重點來介紹ADFS以及Proxy的部署