安装文档参考:
1、安装Active Directory
https://medium.com/@dinika.15/installing-active-directory-on-windows-server-2012-r2-e9e614770588
2、创建Active Directory测试账号和组
创建账号
创建测试组
将账号加入组
3、创建GMSA账号
https://www.jorgebernhardt.com/how-to-create-a-group-managed-service-accounts-gmsa/
https://www.kevinfatkin.net/windows-managed-service-accounts-msa/
Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10))
New-ADServiceAccount –Name adfsGmsa01 –DNSHostname adfs1.591wifi.com –PrincipalsAllowedToRetrieveManagedPassword Users -Enabled $True -ManagedPasswordIntervalInDays 30 –Passthru
Install-ADServiceAccount –Identity adfsGmsa01
Test-ADServiceAccount –Identity adfsGmsa01
4、安装企业证书服务
5、使用企业证书模板生成CA证书
http://everything-virtual.com/installing-the-home-lab/creating-the-vmware-ssl-cert-template/
使用组策略分发证书
6、IIS站点里面里面添加刚才颁发的证书
7、安装adfs服务
https://blogs.technet.microsoft.com/rmilne/2014/04/28/how-to-install-adfs-2012-r2-for-office-365/
这里需要指定之前创建的gmsa账号 adfsGmsa01
8、配置设备注册服务
打开 Windows PowerShell 命令窗口并键入:
Initialize-ADDeviceRegistration
当系统提示你输入服务帐户时,键入 adfs1.591wifi.com\adfsGmsa01$ ,其中adfs1.591wifi.com是域名,adfsGmsa01是gmsa账号
现在,运行 Windows PowerShell cmdlet。
Enable-AdfsDeviceRegistration
在 ADFS1 服务器上,在“AD FS 管理”控制台中,导航到“身份验证策略”。 选择“编辑全局主要身份验证”。 选中“启用设备身份验证”旁边的复选框,然后单击“确定”。
9、将主机 (A) 和别名 (CNAME) 资源记录添加到 DNS
从“服务器管理器”中,在“工具” 菜单上,单击“DNS” 以打开 DNS 管理单元。
在控制台树中,依次展开 DC1、“正向查找区域”,右键单击“adfs1.591wifi.com”,然后单击“新建主机 (A 或 AAAA)”。
在“名称” 中,键入你希望用于 AD FS 场的名称。 对于此操作实例,则键入 adfs1
添加别名
10、部署实例
