如何在Azure中搭建虚拟机并配置域控服务器:详细步骤指南
搭建环境1.搭建虚拟机
在Azure中创建虚拟机,选择合适的大小,并配置相应的参数。
2.配置域控服务器
创建虚拟机后,进入虚拟机的服务器管理界面,点击“添加角色并”进行安装。
安装完成后,配置相应参数。由于我们正在模拟一个全新的环境,因此我们选择添加一个新的
的森林。
设置目录服务恢复模式(Mode)密码。
配置成功。
配置完成后,这将作为我们的域控制服务器。我们可以
在本地服务器上添加用户、组和其他信息。
3.添加本地用户和组的账户信息
在右上角的“工具”工具中,单击“用户”,然后
执行操作。
单击“”下的“新建”以添加新计算机、组、用户或其他角色。
添加相应的用户和组后,我们的本地域环境就基本完成了。接下来我们将安装Azure工具来同步本地和云端的帐户信息。
安装和配置 Azure AD
1. 前提条件
由于很多客户已经拥有本地域环境,因此在安装Azure AD之前需要做好准备
适合以下物品:
-
这里重点演示如何使用ID Fix来确认本地AD信息的合规性。在同步任务之前修复错误
节省时间并且通常可以更顺利地过渡到云。
2.安装Azure AD
下载 Azure AD 并安装 Azure AD
我们可以选择快速安装选项,只需要连接Azure AD和AD DS即可完成Azure AD
配置。
连接Azure AD,输入365管理员Azure AD账号和密码,点击“下一步”。
同样的方法,输入AD DS管理员的帐号和密码。
检查配置并单击“”安装 Azure AD。
使用AADC同步本地和云端用户
安装完Azure AD后,我们就可以开始同步本地和云端的用户账号和密码了。
选择” ”。
输入365管理员的Azure AD帐号和密码。
连接目录。
选择要同步的目录和范围。
根据组织的要求选择附加功能。
选择后,同步本地账户和云账户。同步完成后,我们就可以使用O365的“活动用户”了
从本地用户同步过来的用户需要分配产品权限。
用户只能在一定限制内使用O365的功能。
安装 AD FS 服务器
联合身份验证服务 (AD FS) 提供 Web 单点登录 (Sign-On) 技术,以便
可以在单个在线会话的有效期内对用户对多个相关Web应用的访问进行认证。
验证。
接下来我们构建 AD FS 服务器。在另一台虚拟机上(作为我们的联合服务 AD FS 服务
服务器),将虚拟机添加到同一资源组和同一虚拟网络,配置AD FS服务器和域控制器
服务器在一个域下。
https://img1.baidu.com/it/u=2496072985,1099690628&fm=253&fmt=JPEG&app=138&f=JPEG?w=756&h=500
输入域控制服务器管理员的名称和密码以连接到域控制服务器。
每个联合服务器都需要服务器身份验证证书和令牌签名证书才能参与
AD FS 通信。每个联合服务器代理使用联合身份验证服务的 SSL 客户端身份验证证书
认证。导入 SSL 证书并输入联合服务器名称。
指定服务的帐户。
如果AD数量小于5万,可以选择内置内部数据库,否则建议选择SQL。
系统检查是否满足安装条件,满足则点击“”。
安装成功。
使用ADFS完成单点登录(SSO)
1.安装同步工具
安装说明及安装包下载:
=59185
安装以使用 AD FS 实现单点登录。
2.添加DNS记录
在O365管理界面绑定域名。具体步骤见附件5。
3. 在 AD FS 和 Azure AD 之间建立信任
打开 Azure AD,输入 - 连接到 Azure AD。
这会将您连接到云服务。输入 O365 管理员帐户和密码以连接到 Azure AD。
输入Get-查看当前绑定的域名。
运行集- - ,其中
> 是主 AD FS 服务器的内部 FQDN 名称。这将创建一个将您连接到 AD FS 的上下文。如果您已在主 AD FS 服务器上安装 Azure 模型
块,您不需要运行它。
运行 -d – ,其中,
是要转换的域,即这会将域从标准身份验证更改为单点登录。
这里注意:如果全局管理员账户已经是一个,则无法转换,需要使用一个
365默认全局管理员帐号。
键入 get- 以验证我们是否已转换为联合域。
在AD DC服务器的DNS中配置A记录,并输入AD FS对应的内网IP地址。
输入/adfs/ls/.aspx测试是否可以登录,如果
是的,这意味着AD FS配置成功。比如我们这里访问的是
。
使用本地AD登录365,会出现如下界面,提示您重新定位到组织的登录界面。
面条。
由于我们是从外网访问,所以需要输入域控服务器和域控服务器(本地AD)的用户名和密码
建立联系。
输入用户密码后,成功登录365。
附录 1. 在 AD DS 中为企业用户配置私有 UPN 后缀
在和信任中,右键单击根目录,选择“属性”,添加UPN
后缀。
添加UPN后缀,例如员工使用的域名是,那么只需要为员工创建一个域名即可
他原来的用户名具有相同的后缀就可以了。
创建新用户时,可以选择对应的UPN后缀。
附录 2. 将两台服务器加入一个域
这里我们演示将AD FS添加到与AD DS相同的域的方法。
输入AD DS域控服务器的内网IP。
修改后,远程连接将中断。这时需要在Azure管理界面上重新部署虚拟机。
重新部署虚拟机后,重新启动虚拟机。将AD F和域控服务器放在同一个域中。
输入管理员用户名和密码以连接到域。
系统显示域已成功加入。
https://img1.baidu.com/it/u=3264212606,2072490765&fm=253&fmt=JPEG&app=138&f=JPEG?w=667&h=500
重启后,我们就完成了AD FS和AD DC统一在一个域的工作。
附录3.修改SSL证书
运行命令提示符并输入 mmc 命令行。
转到根目录,单击“文件”,选择“添加”、“管理单元”。
选择并单击“添加”以插入。
选择管理证书的计算机并单击。
在AD FS管理界面中,单击
选择需要修改的证书,单击“设置”,选择需要修改的证书,单击“确定”,即可立即完成SSL证书的修改。
修改证书后,需要重新启动AD FS服务。
附录4. 365域名绑定
以万网域名为例,展示365绑定万网域名需要完成的设置。
绑定域名分为四个阶段:添加域名、验证域名、设置在线服务和更新 DNS 记录。
1.添加域名
在365管理界面,点击“安装”,选择“域名”,可以看到365默认域名,点击
“添加域名”绑定现有域名。
输入要添加的域名,然后单击“下一步”。
在万网界面,在“产品与服务”下拉框下找到“云解析DNS”。
点击您要绑定的域名处的“解析”。
2. 验证域名
我们需要验证添加的域名是否为我们所有。有两种可选的验证方法,通过验证 TXT 记录或
MX 记录。如果用户使用的是国外域名提供商提供的域名,则可以选择相应的DNS主机。
查看添加 TXT 记录或 MX 记录的分步说明。这里我们演示通过TXT记录进行域名验证。
点击解析后,进入如下界面,点击“添加解析”,更改365验证域名界面下的TXT名称。
输入主机记录、记录值和相应的 TTL,然后单击“保存”。系统提示将等待
5-10分钟后生效。
5-10分钟后,我们在365验证域名界面点击“验证”,显示已经进入第三阶段:设置您的域名
在线服务。
3. 设置您的在线服务
通常,我们选择“为我设置在线服务”来更新 DNS 记录,并授予 O365 为我设置在线服务的权限。
设置在线服务的其余部分;如果您选择“我将管理自己的 DNS 记录”,则需要手动配置
从管道提供商处添加域的单独记录。这里我们选择推荐的“为我设置在线服务”。
如果用户已有网站,可以添加相应的网站记录;如果没有,他可以直接单击“下一步”。
4.添加DNS记录
复制 DNS 记录并将其添加到域的 DNS 记录中。域名将在48小时内生效。一般来说,
验证成功仅需一小时。
点击“验证”,系统提示添加成功,我们就完成了域名绑定。我们可以直接绑定
如果将该域名设置为默认域名,则以后创建的用户或群组的电子邮件将默认使用该默认域名作为登录名。
记录后缀。
附录 5. 那些陷阱
1.由于ADFS服务器是2016年,因此运行Set on
– $True命令行可以配置成功。
单点登录。
2. 使用Azure AD连接Azure AD时,没有
您可以直接输入 - (将连接到 O365),而不应该使用
- 中国
页:
[1]