配置Office 365单点登录过程中的一些注意事项
这些天一直在整O365单点登录的问题,其中涉及到了很多知识点,其中以ADFS,CA为主吧,IIS为辅。下面我就把这些天积累的一些经验写下来备用。
1. 申请证书不一定要通过“证书颁发机构Web注册”,直接在mmc控制台即可进行,解决办法见《使用非Web方式从CA申请证书》。
2. CA服务器安装完后,默认只有部分证书模板处于可用状态,解决办法见《使用非Web方式从CA申请证书》。
3. 如果通过http://server/certsrv的方式申请证书,则需要启用HTTPS,否则会报下面的错误。但是实验过程中遇到没启用照样可以申请的事情,不清楚原因,但是申请证书本身就是一件对安全性要求较高的事情,所以不管如何还是启用HTTPS吧。同时,网上还有一种解决办法是修改IIS里的应用程序池->高级设置->进程模型->标识->NetworkService,但是我发现即使不是这个值错误也不会100%出现。
4. CA安装完后,IIS里的CertEnroll和CertSrv不会出现,必须通过CA向导“配置”之后才会出现,有次实验中忽略了这点,很纳闷。
5. 配置ADFS过程中,发现即使在IIS或者证书控制台存在证书,但是ADFS也无法获得证书列表。调查发现是因为证书的CN属性命名不规范造成的,建议签发证书时严格按照CN=ADFS.VBDOMAIN.LOCAL这样的形式。(回头去看了下之前看过的那些博客,原来他们下图右上角的“目标服务器”与“SSL证书”的主机名还真是不一致的!)
6. 安装完ADFS,在配置过程中会出现下列告警信息,世纪互联工程师说这是由于证书的CN属性与ADFS服务器的Hostname一致造成的,于是我修改证书的CN属性,问题得以解决。如上图中的adfs2diff.vbdomain2.local即为正确的CN属性。
https://blogs.technet.microsoft.com/chinatechnet/2014/09/15/ad-fs-web-wap/
7. 配置AADC的最后会验证网站是否能被解析,这里需要在DNS服务器上手动添加一条A记录,才能验证成功。
参考:
https://blogs.technet.microsoft.com/rmilne/2014/04/28/how-to-install-adfs-2012-r2-for-office-365/