Office365上启用Skype For Business并实现本地AD用户登录

  • 时间:
  • 浏览:0
  • 来源:大发3D_大发3D官方

<4904,1932,12:31:15:455>:     +CAuthInfo::GetCachedAuthInfo()@singleidentity.cpp_3178

ADFS.ixmsoft.com

以下步骤,大伙需用大伙只需用在ADFS2.0下运行,有后后 是ADFS3.0的话就我很多 用以下步骤了

步骤 2: 去掉 新证书的专用密钥访问 AD FS 服务帐户

<4904,1932,12:31:15:455>:   Removing token bag for user 'user02@ixmsoft.com' 0x4c9d9e0 - no longer in use.@identitystore.cpp_1008

大伙前面介绍了Office365与本地Exchange混合部署的配置介绍;大伙都知道在Office365上可不还能否 配置Skype for Business、Sharepoint登服务,完成Office365与本地的混合部署的前提是需用配置本地Active Directory集成,在大伙的试验环境介绍中,大伙与本地域Ixmsoft.com集成,集成后有后后 大伙使用dirsync工具将本地指定的OU下的用户同步到Office365上,有后后 分配相关的订阅服务实现用户登录访问。与本地的Acitive Directory集成后,大伙有后后 登录Online上的用户大伙借助了ADFS服务进行单点登录,就是方便用户登录,有后后 不做SSO的话,在用户登录的过程中比较麻烦,需用用户登录两次有后后 输入Online的登录名称格式,什么都对于用户是不方便的,什么都就使用了ADFS联合身份验证服务(注: 大伙首先需用注意的是有后后 环境内配置了ADFS服务的话,ADFS服务的信任证书需用是公网受信任的(第三方颁发;不然将本地的AD用户同步到Office365上,启用Skype 服务器的话,本地账户是无法登陆的,有后后 使用本地AD用户登录Skype For Business的过程会通过ADFS服务验证登录请求,。另外注意的是,ADFS服务器上不建议启用IIS服务,不然会很麻烦的)。

最后发现,我环境中的ADFS服务器的证书不受信任,什么都也无法登陆,什么都大伙也需用为当前ADFS服务器更换证书;大伙当初给ADFS配置证书的就是是使用的内部的CA服务颁发的,什么都在公网上是不受信任的。

<4904,1932,12:31:15:454>:       -IDCRL::GetUserExtendedProperty=0x0

[HTTPS]有后后 [编辑单击。

免费公网证书申请

打开 Internet Information Services (IIS) 管理器管理单元。

本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1720903,如需转载请自行联系原作者

有后后 单击 [启动]、 [运行]。

大伙使用user20登陆

大伙有后后 可不还能否 看见证书的颁发者为:CN=CA 沃通免费SSL证书

<4904,1932,12:31:15:455>:     -CAuthInfo::GetCachedAuthInfo=0x10048887

有后后 大伙环境内有后后 部署了Dirsync什么都会将本地的AD用户同步到Online上

[请单击选取。

在本地计算机证书存储中安装新的证书

<4904,1932,12:31:15:455>:   -CIdentityStore::ReleaseTokenBag=0x0

<4904,1932,12:31:15:455>:       +CAuthInfo::GetUserTargetName()@singleidentity.cpp_3362

<4904,1932,12:31:15:454>:       +IDCRL::GetUserExtendedProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='realminfo', wstrPropertyValue=0x6722df48)@singleidentity.cpp_56100

https://testconnectivity.microsoft.com/?tabid=o365

证书准备好后,大伙解析来就是在ADFS服务器本地计算机存储中安装新的证书

[管理单元]从列表 [证书],有后后 选取 [去掉 单击。启动证书管理单元向导。

一点 大问题是ADFS federation那边有大问题, 从log底下看是请求发到ADFS那边去了,有后后 ADFS那边有大问题,那末返回正确的结果。

<4904,1932,12:31:15:454>:      +CIdentityTokenBag::GetUserExtPropertyValue()@tokenbag.h_153

安装后还是登录错误,提示证书错误;经就是台分析

大伙定义需用申请的SSL证书域名名称;

netsh http add sslcert hostnameport=adfs.ixmsoft.com:443 certhash=F6285898211100514BDFDBDC51BD2F9C4DCB9EA99 appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY

有后后 单击 [选取]、 [关闭]。

证书导出完成

有后后 需用受互联网的信任,什么都大伙需用申请公网证书

同步到Online的用户有后后 需用登录,大伙需用给用户分配office365下的skype for business的订阅

选取本地计算机: (运行此控制台的计算机),有后后 单击完成。

在与本地AD集成后,有后后 在Office365上启用Skype For Busiess服务,需用在做相应的DNS解析记录,才可不还能否 启用Skype For Business 服务的相关配置;

最后总结,作为另有一个 多多ADFS服务器不建议安装IIS服务

同样,大伙可不还能否 单击工具,对对应的服务进行配置及检查

大伙首选需用为ADFS提交另有一个 多多证书申请,有后后 生成对应的csr文件

netsh http show sslcert | fl

https://support2.microsoft.com/common/survey.aspx?scid=sw;zh-cn;3592&showpage=1

步骤 1: 在本地计算机证书存储中安装新的证书

appid=应用系统线程池池ID

浏览到Web 站点的默认值。

<4904,1932,12:31:15:454>:      +CUserExtendedProperty::_SetExtProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='realminfo', wszPropertyValue=<RealmInfo><LastUpdateTime>1449462664</LastUpdateTime><AuthURL>https://adfs.ixmsoft.com/adfs/ls/</AuthURL><IsFederatedNS>true</IsFederatedNS><FederationTier>0</FederationTier><Certificate>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

<4904,1932,12:31:15:454>:     +CUserExtendedProperty::SetExtProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='federationbrandname', wszPropertyValue=IXMSOFT.COM)@singleidentity.cpp_5793

选取计算机帐户,有后后 单击下一步。

<4904,1932,12:31:15:454>:     +CUserExtendedProperty::SetExtProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='realminfo', wszPropertyValue=<RealmInfo><LastUpdateTime>1449462664</LastUpdateTime><AuthURL>https://adfs.ixmsoft.com/adfs/ls/</AuthURL><IsFederatedNS>true</IsFederatedNS><FederationTier>0</FederationTier><Certificate>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

首先查看当前本地计算机下的另一方证书下的信息;大伙查就看是有两张证书的,一张是就是的,一张是新申请的;

提交后,大伙单击下载证书

登陆错误,提示证书有大问题

AD FS 2.0 \Service\Certificates打开。

注:有后后 大伙在ADFS服务器上的IIS上申请证书的,什么都大伙我很多 用下面操作的步骤,大伙第一步跳过即可

需用ADFS那边看下,我就看ADFS server那边用的证书有的是受信任的, 先换个受信任的证书

右键单击默认的 Web 站点,有后后 选取编辑绑定。

去掉 后,大伙可不还能否 在服务运行状况下,查看Office365上所有服务的运行状况是否是正常

ADFS 服务授予读取权限或更高版本上的帐户并去掉 正在运行的帐户。

<4904,1932,12:31:15:455>:      -CAuthInfo::GetCachedAuthInfo=0x10048887

保存提交后的CSR文件

大伙可不还能否 单击管理员---Skype for business,会进入Skype for business管理中心

WoSign 根

「MMC"并输入。

从 SSL 证书中选取相应的证书。

<4904,1932,12:31:15:454>:     -CUserExtendedProperty::SetExtProperty=0x0

大伙可不还能否 使用以上微软提供的工具进行环境测试

<4904,1932,12:31:15:454>:       +IDCRL::GetUserExtendedProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='federationbrandname', wstrPropertyValue=0x6722df48)@singleidentity.cpp_56100

https://support2.microsoft.com/common/survey.aspx?scid=sw;zh-cn;3695&showpage=1

注意: 您有后后 会就看另有一个 多多对话框,其中饱含以下消息:   

证书密钥长度是少于 2048 位。证书密钥大小小于 2048 位有后后 处于安全风险,暂且建议。您需用继续吗?    

后此消息 [是将显示以下对话框。    

确保选定证书的专用密钥对此联合身份验证服务的服务器场中每台服务器上的服务帐户可不还能否 访问。    

有后后 此过程完成后在第 2 步 [选取,有后后 退出。

<4904,1932,12:31:15:455>:    GetPersistedCredential failed = ERROR_NOT_FOUND.@credentialbag.cpp_485

去掉 DNS解析记录后,大伙单击有后后 去掉 完成会提示,准备就绪

<4904,1932,12:31:15:455>:   +CIdentityStore::ReleaseTokenBag()@identitystore.cpp_4100

<4904,1932,12:31:15:454>:     -CUserExtendedProperty::SetExtProperty=0x0

<4904,1932,12:31:15:455>:    -CIdentityCredentialBag::GetPersistedCredential=0x0

大伙今天介绍的是Office365与本地域关联后,有后后 配置好Skype For Business服务后,使用本地同步多Online上的用户无法登录Skype For Business的故障防止方案,具体见下:

<4904,1932,12:31:15:454>:     +CSingleIdentity::GetExtProperty(propertyName=federationbrandname)@singleidentity.cpp_1597

[证书右键单击 [设置服务通信证书] (服务通信的证书设置) 选取。

S 管理器中,另有一个 多多新的证书绑定到的 AD FS 的 Web 站点

大伙首先单击配置Office365的域配置信息;该步骤信息会提示你在Online上使用对应的服务,有后后 来创建对应的DNS记录;

<4904,1932,12:31:15:454>:    +CIdentityCredentialBag::GetPersistedCredential()@credentialbag.cpp_402

运行在windows2012以上的ADFS服务器(联合身份验证服务)是不需用做以下第三步骤的配置的,直接跳过即可

配置相关的证书配置信息

<4904,1932,12:31:15:455>:   -CIdentityStore::CloseIdentityHandle=0x0

大伙单击提交CSR选项,有后后 选取---妙招二,另一方提交CSR文件

去掉 新证书的专用密钥的权限 AD FS 服务帐户,请执行以下步骤。

大伙删除默认证书即可;

<4904,1932,12:31:15:455>: -IDCRL::CloseIdentityHandle=0x0

登录成功

https://technet.microsoft.com/library/jj9071002.aspx

步骤 4: 配置 AD FS 服务器服务要使用的新证书

生成的CSR文件内容

单击常规可不还能否 看见对应的配置信息

https://support.microsoft.com/zh-cn/kb/29211005

大伙导出该证书

话很多多说了,大伙大伙首先使用office365的全局管理员进行登录

WoSign 中级根

https://buy.wosign.com/ProductList.html

大伙在ADFS服务器的iis管理控制台下;服务器证书----创建证书申请

<4904,1932,12:31:15:455>:       -CAuthInfo::GetUserTargetName()

有后后 大伙需用在Office365上启用Skype for business服务,什么都根据系统提示,需用创建一下DNS解析记录才可不还能否 ;

最后大伙发现替换证书后,那末生效,还是就是的旧的证书信息,什么都大伙需用手动强制更新;

下载后,大伙使用IIS一点 证书就可不还能否 了

https://www.wosign.com/

<4904,1932,12:31:15:455>:  -HandleDeleteContextEx=0x0

提示证书大问题,什么都大伙安装一下Office 365的Wosign证书试一下。

去掉 新的证书信

大伙去掉 新的证书需用更具以上信息来新建去掉

注意:您需用运行以下命令,有后后 那末管理私钥。   

certutil -repairstore my *

<4904,1932,12:31:15:454>:      +CUserExtendedProperty::_SetExtProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='federationbrandname', wszPropertyValue=IXMSOFT.COM)@singleidentity.cpp_5822

<4904,1932,12:31:15:455>:      +CAuthInfo::GetCachedAuthInfo(wszUserName=user02@ixmsoft.com, wszVirtualAppName=(null))@singleidentity.cpp_3213

更新后,大伙最终发现 skype for business可不还能否 登陆了

<4904,1932,12:31:15:454>:       -IDCRL::GetUserExtendedProperty=0x0

<4904,1932,12:31:15:454>:      -CUserExtendedProperty::_SetExtProperty=0x0

打开 AD FS 2.0 管理。

从证书选取列表中选取新的证书。

[证书[所有任务]、 [导入] 右键单击,有后后 单击。

dir cert:\localmachine\my | fl

<4904,1932,12:31:15:454>:    -CSingleIdentity::SaveExtProperties=0x0

大伙在用户下,可不还能否 看见已分配了Skype for business订阅的用户

就是继续打开本地计算机的证书存储区选取导入证书。

http://www.wosign.com/Root/ca1_ov_2.crt

<4904,1932,12:31:15:454>:      -CUserExtendedProperty::_SetExtProperty=0x0

[请单击选取。

<4904,1932,12:31:15:454>:      -CIdentityTokenBag::GetUserExtPropertyValue=0x0

使用 IIS 管理器,请按照以下步骤中,您的新证书链接到 AD FS Web 站点将。

<4904,1932,12:31:15:454>:     -CSingleIdentity::GetExtProperty=0x0

用鼠标右键单击证书,有后后 [所有任务]、 [管理专用密钥] (私有密钥管理) 单击。

<4904,1932,12:31:15:455>:      CredEnumerateW failed = ERROR_NOT_FOUND.@singleidentity.cpp_3249

接下来大伙需用为user20 online用户登录尝试;确认该用户有后后 分配了SFB的订阅,不然是无法登陆的,什么都大伙已分配了SFB的订阅

<4904,1932,12:31:15:455>:     CAuthInfo::GetCachedAuthInfo failed, hr=0x10048887.@credentialbag.cpp_431

此时大伙有后后 进入Skype for business管理中心,查看对应的配置信息

运行在windows1008r2上的ADFS服务器(联合身份验证服务)是需用做以下第三步骤的配置的

有后后 大伙需用将该证书完成创建及,导入饱含私钥的证书

注:有后后 有adfs代理服务器的话,大伙需用直接重新运行ADFS的配置向导

可不还能否 使用 AD FS 服务器服务新证书,请按照以下步骤来配置。

完成证书申请

[文件]从 [去掉 / 删除管理单元中单击。

提交后,大伙需用提交CSR文件来生成证书

控制台根 \Certificates (本地计算机) \Personal\Certificates展开。

在此大伙使用沃通

http://www.wosign.com/Root/WS_CA1_new.crt

组织下,可不还能否 配置访问服务的高级配置

按照以下步骤为新安装的本地计算机证书存储中的证书。

根据系统提示,大伙在另一方的DNS下创建对应的解析记录

certhsh= 指纹