- PVSM.RU - https://www.pvsm.ru -
Добрый день, хотелось бы поделиться с Вами нажитыми знаниями в этой области.
Эта статья вряд ли пригодится опытным администраторам или инженерам, во всем этом можно разобраться с помощью бинга гугла и терпения, но бывает что сроки поджимают, тема не интересна или какие-то другие обстоятельства вмешиваются в рабочий процесс. Кроме того у меня нет возможности сделать скриншоты всего и вся, потому частично они будут натыканы с веба, но процесс установки большинства компонентов сводится к тыканью кнопки далее до умопомраченья.
Нулевые, синхронизация односторонняя, в случае если начальству не понравилосьничего не заработалоне выделили денегвсе сломалось — останавливаем DirSync и AD FS, Удаляем DirSync, удаляем MSOL_AD_Sync аккаунт в AD DS, удаляем синхронизированные аккаунты из Office 365. Если почта переехала можно настроить форвардинг обратно.
Сервер для AD FS, Windows Server 2008 или выше, член домена, не домен контроллер
Сервер для DirSync'А (утилита от Microsoft для синхронизации AD DS и Office 365), Windows Server 2003 или выше, член домена, не домен контроллер, NET Framework 3.0 или 3.5 и Powershell
AD DS 2003 mixednative mode или выше, из одного леса. Учетная запись enterprise администратора в домене. Она используется только для создания MSOL_AD_Sync, логинпароль не сохраняются нигде в DirSync'e. Аккаунту выдаются права на чтение и синхронизацию изменений в AD DS.
Учетная запись администратора для Office 365, домен верифицированный в Office 365 [1]. Доменное имя может не совпадать с верифицированным доменом, в этом случае нужно просто добавить UPN суффикс домена [2] и привязать пользователей к этому суффиксу.
Сертификат для публикации AD FS (для тестирования сойдет любой, хоть самоподписанный)
Примечание: DirSync работает по портам 80 и 443, не умеет авторизоваться на прокси серверах, для него нужно будет делать отдельную «дырку» в прокси сервере. Для синхронизации более чем 50.000 пользователей потребуется устанавливать полноценный SQL сервер.
Вначале нужно активировать синхронизацию с AD DS, этот шаг удобно делать первым, так как включение синхронизации займет до 24 часов (на практике меньше), этого времени более чем достаточно чтобы настроить и подготовить остальные компоненты участвующие в синхронизации.
1. Заходим на портал Office 365, в раздел пользователи.
2. Ищем «Active Directory Synchronization» и жмем кнопку «Set up»
3. В открывшемся окне под пунктом номер 3 включаем синхронизацию нажав на «Activate»
4. В пункте 4 качаем DirSync.
Перед установкой AD FS, нужно импортировать [3] или сгенерировать доменный [4] или самозаверенный [5] сертификат) сертификат, который будет использоваться для публикации AD FS, в IIS.
Качаем [6] AD FS 2.0, устанавливаем, нам нужен именно AD FS Server, не AD FS Server Proxy. После установки AD FS 2.0 идем в IIS и привязываем сайт AD FS к 443 порту и сертификату.
Примечание: Рекомендуется убрать привязку к 80 порту и в настройках сайта включить «Require SSL». Все это делается интуитивно через интерфейс IIS Management.
Далее заходим в AD FS 2.0 Management Console и запускаем AD FS 2.0 Server Configuration Wizard или C:Program FilesActive Directory Federation Services 2.0FsConfigWizard.exe. Собственно далее-далее-далее-далее… Устанавливать необходимо ферму, сервис аккаунт для AD FS желателен, минимальные дополнительные разрешения необходимые для его работы — право «write» на OU «Program Data».
Проверить можно пройдя по ссылке _https://adfs_server_name/adfs/ls/idpinitiatedsignon.aspx
Процесс очень простой, далее-далее-далее-завершить. После установки откроется конфигурейшн визард. Опять же, довольно тривиальный, на втором пункте нужно указать учетную запись администратора Office 365 (синхронизация с AD DS должна быть включена на этот момент), на третьем пункте указать учетную запись энтерпрайз администратора. В четвертом пункте Вам предложат включить «Rich Coexistance», но его в рамках этой статьи я рассматривать не буду. После инсталляции можно убрать галочку «Synchronize directories now», это позволит не проводить синхронизацию сейчас, но синхронизация производится по расписанию каждые 3 часа.
Теперь немного «магии»
C:Program FilesMicrosoft Online Directory SyncSYNCBUSSynchronization ServiceUIShellmiisclient.exe по этому пути лежит спрятанный GUI для DirSync (на деле является обычным Fim Synchronization Service'ом). Если Ваших знаний достаточно Вы можете «поиграться» с настройками, но изменение настроек через GUI не поддерживается Microsoft'ом, если что-то необходимо изменить Microsoft предлагает заново пройти «Configuration wizard». Если Вас не пускает в DirSync GUI нужно просто перелогиниться, Ваш аккаунт был добавлен в Fim Synch Service группу.
Принудительную синхронизацию можно осуществить через DirSync GUI или через powershell:
1. Запускаем повершелл
2. cd C:Program FilesMicrosoft Online Directory Sync
3. .DirSyncConfigShell.psc1
4. В новом окне Start-OnlineCoexistenceSync
результаты можно посмотреть через Event Log иили на портале Office 365.
Для тестового запуска можно выбрать какие OU будут синхронизированы. Для этого заходим в GUI, дважды кликаем в SourceAD менеджмент агент, в пункте «Connect to Active Directory forest» кликаем «Containers» и выбираем нужные контенеры. Если у Вас несколько доменов, то выбираем нужный домен из списка и кликаем «Containers». Повторяем с каждым доменом.
Примечание: Если Вы не сделаете этого в Office 365 «уйдут» все аккаунты из всех OU. Включая сервисные аккаунты и «built-in» аккаунты.
Качаем [7] и устанавливаем Sign-in Assistant и powershell модуль для работы с Office 365 на сервер AD FS. В меню пуск и на рабочем столе появится новый ярлык, powershell для работы с Office 365 (можно использовать «обычный» powershell предварительно сделав import-module MSOnline).
Делаем домен федеративным:
1. $cred=Get-Credential — в появившемся окне вбиваем логинпароль административной учетной записи Office 365.
2. Connect-MsolService –Credential $cred — подключаемся к Office 365.
3. Set-MsolADFSContext –Computer <AD FS 2.0 server name> — опциональный шаг, нужен только если Вы запускаете powershell не с компьютера на котором установлен AD FS Server.
4. Convert-MSOLDomainToFederated – domainname <domain.com> — указывать нужно имя «корневого» домена, если скажем Вам нужно конвертировать office365.domain.com, у Вас должен быть верифицированы домены office365.domain.com и domain.com. Но при конвертации домена нужно указывать domain.com, а не office365.domain.com. Сконвертируется домен и все поддомены.
Примечание: После этой операции пользователи НЕ смогут пользоваться Office 365 если связка AD FS — Office 365 не настроена или настроена не правильно, тк домен уже стал федеративным.
5. Update-MSOLFederatedDomain –domainname <domain.com>
Если все проделано правильно зайдя на страницу логина Office 365 Вы увидите что поле пароля более не доступно.
Публикуется как обычный веб сайт, но есть пара нюансов:
1. Block high-bit characters и verify normalization в свойствах протокола https должны быть выключены.
2. Link Translation должен быть выключен.
3. В настройках правила должна стоять галочка «request appear to come from the ISA server computer'»
4. В настройках прослушивателя нужно обязательно добавить сертификат который Вы импортировали в IIS при установке AD FS.
После публикации можно проверить работу через портал Office 365 [8] или страницу outlook.com [9]. Отличный сайт [10] для траблшутинга SSO.
Примечание: Чтобы пользователи работали им нужно назначить лицензии, для тестового пользователя лицензию можно назначить «руками». Для массового добавления лицензий пользователям можно использовать powershell [11].
В итоге получается рабочая инфраструктура где пользователи могут логиниться в Office 365 используя свой почтовый ящик и пароль от «компьютера». Все пароли хранятся в Вашем AD DS. Пароли не синхронизируются (для того и нужен AD FS). Все изменения сведений о пользователях делаются в Вашем родном AD DS и реплицируются в Office 365 автоматически.
Надеюсь статья кому-то пригодится.
Опыт был получен как «побочный» при работе с FIM 2010, жаль что у нас нету коммунити вокруг этой программы, я планирую в дальнейшем написать про FIM.
Автор: 4c74356b41
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/microsoft/15254
Ссылки в тексте:
[1] домен верифицированный в Office 365: http://onlinehelp.microsoft.com/ru-ru/office365-enterprises/gg584188.aspx
[2] добавить UPN суффикс домена: http://technet.microsoft.com/en-us/library/cc756018.aspx
[3] импортировать: http://technet.microsoft.com/ru-ru/library/cc732785(v=ws.10).aspx
[4] доменный: http://technet.microsoft.com/ru-ru/library/cc731014(v=ws.10).aspx
[5] самозаверенный: http://technet.microsoft.com/ru-ru/library/cc753127(v=ws.10)
[6] Качаем: http://www.microsoft.com/en-us/download/details.aspx?id=10909
[7] Качаем: http://onlinehelp.microsoft.com/ru-RU/Office365-enterprises/hh124998.aspx#BKMK_install
[8] портал Office 365: https://portal.microsoftonline.com
[9] outlook.com: https://outlook.com/your.domain.name.com
[10] сайт: https://www.testexchangeconnectivity.com/
[11] powershell: http://community.office365.com/en-us/wikis/sso/how-to-use-powershell-to-automatically-assign-licenses-to-your-office365-users.aspx
Нажмите здесь для печати.