Archive for May 2011

Office 365 med ADFS 2.0 – Part 4

Jeg har installeret og konfigureret ADFS og ADFS proxy serverne. Inden jeg installerer DirSync serveren, skal jeg tilføje et såkaldt UPN suffix i mit Active Directory.
UPN suffix sammenkobler AD brugeren med Office 365 (Microsoft Online Services). Det gøres på følgende måde.
Under “Administrative Tools”, start her “Active Directory Domains and Trusts”. Højre mustetast på “Active Directory Domains and Trusts” og vælg properties.
Indsæt det eksterne domæne (jravn.dk), som jeg tidligere registrede i Office 365 portalen.

For de brugere der skal benytte Office 365 services (Outlook,Lync,Sharepoint), indsæt her det nye UPN suffix.

Aktiver herefter “AD Sync” inde fra Office 365 portalen.

Jeg er nu klar til at installere og konfigurere DirSync serveren. DirSync Applikationen er kun supporteret på en 32-bit platform.
Så jeg valgte at installere en Windows 2008 SP2 member server (WIN-DIRSYNC-001) i mit eksisterende domæne.

Opret en enterprise admin bruger i det interne AD, som skal benyttes til DirSync konfiguration. Denne bruger skal have enterprise admin rettigheder på domænet.

Download “Directory Synchronization tool” inde fra Office 365 portalen. For mere info til dette, se nedenstående link.
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff652545.aspx

Kør herefter “dirsync.exe” på WIN-DIRSYNC-001.

Efter installationen, start “Directory Sync Configuration”. Angiv admin bruger til Office 365 portalen + password.

Angiv den føroprettede enterprise admin account (domainusername) + password.

Jeg fravælger i dette eksempel “rich coexistence”.

Ved afslutning vælger jeg at synkronisere de interne AD brugere op til Office 365.

Nedenstående besked fremkommer. Jeg logger herefter ind i Office 365 portalen og tjekker min egen account.

Nedenstående billede viser at min AD account er synkroniseret til Office 365. Alle ændringer skal foregå i mit lokale AD on-premise.

DirSync serveren synkronisere default AD ændringer til Office 365 hver 3 time. Denne sync kan dog forces manuelt med nedenstående powershell cmdlet.
Start her “DirSyncConfigShell.psc1” under “C:Program FilesMicrosoft Online Directory Sync” og kør nedenstående kommando.

Start-OnlineCoexistenceSync

Tjek eventloggen og se at synkroniseringen kører.

Sidste step er at aktiverer min synkroniserede AD account med Office 365 services (Outlook,Lync,Sharepoint) og teste single sign-on.
Jeg aktiverer min account inde fra Office 365.


Jeg er nu klar til at logge på Office 365 portalen med min AD account. Læg her mærke til at password feltet bliver nedtonet, når jeg skrive mit UPN navn.
Jeg skal her klikke på linket “Log på Jravn.dk”.

Linket aktiverer login til min ADFS farm. Jeg skal her angive mit UPN brugernavn jra@jravn.dk + AD password.
Jeg kan også vælge at angive mit brugernavn som domainusername.

Jeg får herefter adgang til Office 365 portalen med min egen synkroniseret AD account.
Single sign-on vil også virke for Office applikationer som Outlook, Sharepoint Workspace og Lync.

Office 365 og SSO er nu opsat og konfigureret.
Næste logiske step er at lave “Exchange Online Rich Coexistence”.
http://technet.microsoft.com/da-dk/exdeploy2010/default(en-us).aspx

Reference til ovenstående.
Microsoft Office 365 Beta Deployment Guide for Enterprises.
http://community.office365.com/en-us/f/183/p/1541/5095.aspx#5095

Denne blog-post serie omkring Office 365 og ADFS er nu afsluttet.

Office 365 med ADFS 2.0 – Part 3

Vi har nu lavet vores basis installation af den interne ADFS farm. Næste forberedelse af Office 365 single sign-on (SSO) er at installere “Microsoft Online Services Sign-In Assistant”, som kan hentes og afvikles inde fra “Microsoft Online Services Portalen”. Denne installerede jeg på begge de interne ADFS servere i farmen (WIN-ADFS-001/002).

Jeg installere herefter “Microsoft Online Services Module” (AdministrationConfig-en.msi) på den interne ADFS server WIN-ADFS-001.
Den kan downloades fra nedenstående link i en 32 eller 64-bit udgave.
http://onlinehelp.microsoft.com/Office365-enterprises/ff652560.aspx

Jeg afvikler herefter nedenstående powershell kommandoer via den før installerede “Online Services Module”.

Set-ExecutionPolicy unrestricted
$cred=Get-Credential
Indtast her Office 365 admin bruger og password.

Set-MSOLContextCredential –MSOLAdminCredentials $cred
Convert-MSOLDomainToFederated –domainname jravn.dk

Update-MSOLFederatedDomain –domainname jravn.dk

Via Office 365 portalen kan man nu at mit domæne jravn.dk er konfigureret til SSO.

Ligeledes kan man via “AD FS 2.0 Management” på WIN-ADFS-001 se, at der nu automatisk er konfigureret “Relying Party Trusts”.

Jeg er nu klar til at installere og konfigurere ADFS proxy serverne i DMZ, som modtager klient login til den interne ADFS farm.
Jeg har forinden klargjort dem som følger.
Opsat 2 Windows 2008 R2 standalone servere i DMZ og konfigureret dem i et NLB cluster.
Importeret public Godaddy certifikat (fs.jravn.dk) til begge ADFS proxy servere.
Konfigureret firewalls policy som følger:
Port 443 fra WAN-DMZ (ADFS Proxy NLB Cluster IP) – Port 443 fra DMZ-LAN (ADFS Proxy servere til den intern ADFS farm cluster IP).
Konfigureret host-fil for begge ADFS proxy servere, som vist på nedenstående billede.
Jeg angiver her ipadresse og FQDN for den interne ADFS farm, samt de 2 ADFS proxy server i DMZ.

På WIN-ADFSPROXY1 kører jeg den samme fil “AdfsSetup.exe”, som jeg tidligere afviklede på de interne ADFS servere.
Jeg vælger her rollen “Federation server proxy”.

Jeg bliver her præsenteret for welcome info.

Jeg angiver “Federation Service Name”, som peger ind på min interne ADFS farm via host-filen”.
Klik herefter på knappen “test Connection”.

Angiv domainusername + password, og benyt her den tidligere ADFS domain service account vi oprettede Part 1.

Vi kan kontakte vores interne ADFS farm fra ADFS Proxy serverne.

Apply settings.

Konfigurationen afsluttes.

Tjek eventlog på WIN-ADFSPROXY1, for at se at servicen er startet og ADFS proxy rollen er konfigureret korrekt.

Udfør samme øvelse på WIN-ADFSPROXY2.
Næste blog-post vil omhandle installation og konfiguration af DirSync serveren, samt test af single sign-on (SSO).

Office 365 med ADFS 2.0 – Part 2

Jeg vil i denne blog-post installere og konfigurere ADFS farmen internt på LAN.
Forinden har jeg meldt dem i  domæne, importeret SSL certificat, Oprettet A-record (fs.jravn.dk) og sat dem i et NLB cluster.
Jeg starter her med at downloade og køre AdfsSetup.exe på WIN-ADFS-001.
Active Directory Federation Services 2.0 RTW:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=118c3588-9070-426a-b655-6cec0a92c10b&displaylang=en

Jeg vælger her “Federation Server.

Nedenstående komponenter bliver installeret.

Jeg fravælger her at starte ADFS management. Jeg vil forinden installere certifikatet fs.jravn.dk i den førinstallere IIS.

Jeg starter IIS manageren og binder certifikatet under default web site.

Næste step, er nu at starte ADFS  2.0 Management og vælge “ADFS 2.0 Federation Server Configuration Wizard“ for at konfigurere ADFS farmen.
Vælg “Create a new Federation Service”.

Vælg “New federation server farm”.

Vælg det førinstallere public certifikat – fs.jravn.dk. Name bliver automatisk udfyldt.

Angiv ADFS domæne account og password, som jeg oprettede i Part 1.

ADFS farmen konfigureres.

Første server i ADFS farmen er nu konfigureret.

Turen er nu kommet til min anden server (WIN-ADFS-002). Jeg udfører fulstændig den samme installationsprocedure.
Jeg starter her AdfsSetup.exe, fravælger at starte ADFS management og konfigurere certifikat fs.jravn.dk i IIS’en.
Starter herefter ADFS management, samt federation wizard og vælger her som vist på nedenstående billede.

Jeg angiver her den første server i ADFS farmen, samt ADFS domæne acount.

Vælg public certifikat.

Installation og konfiguration af den anden server i ADFS farmen afsluttes.

Nedenstående billede viser at WIN-ADFS-002 er sekundær server i farmen.

Ved at kigge efter event ID 100 på WIN-ADFS-001/002 kan vi se om basis konfigurationen af den interne ADFS farm er opsat korrekt.

Næste blog-post Part 3, vil omhandle installation og konfiguration af “Microsoft Online Services Module” (tidligere “Identity Federation Management Tool”), samt installation og konfiguration af ADFS proxy i DMZ.

Office 365 med ADFS 2.0 – Part 1

Active Directory Federation Services (ADFS)  giver mulighed for “single sign-on”(SSO) i Office 365.
Brugerne angiver her deres Active Directory username og password, som herefter giver adgang til alle Office 365 services.
Mit interne ADFS setup kommer til at bestå af følgende komponter, som vist på nedenstående billede.

2x ADFS servere i en farm med NLB (LAN)
2x ADFS proxy servere med NLB (DMZ)
1x Directory Synchronization server (LAN)

Følgende bliver gennemgået og opsat i denne blog-post serie.

1. Domain Redelegation (tilføj det ønskede domæne til Office 365).
2. Konfiguration af ADFS farm på LAN.
3. Konfiguration af ADFS proxy i DMZ med NLB.
4. Directory synchronization (synkronisering af AD brugere og grupper til Office 365).
5. Test af single sign-on (SSO) op mod Office 365

Første step er at downloade og køre “Microsoft Office 365 Deployment Readiness Tool beta”.
http://community.office365.com/en-us/f/183/t/2285.aspx

Dette tool giver en samlet rapport over ens nuværende infrastruktur og analyserer om man mangler noget i forhold til implementering af Office 365.
Nedenstående billeder viser et lille udsnit af rapporten.

Næste step er at få godkendt og tilføjet sit eget domæne til Office 365. Det gøres på følgende måde.
Log på Office 365 portalen med den første admin bruger du oprettede. Gå til “Domains” og vælg “Add a domain”.


Indtast og tjek dit domæne.

Følg vejledningen og indsæt dit unikke Alias som en CNAME record hos din DNS udbyder.

Hos min DNS udbyder, kan jeg oprette CNAME recorden via et web interface, som vist på nedenstående billede.

Efter ca. 20-30 min. kunne jeg i mit tilfælde klikke verify og mit domæne blev herefter godkendt.

Mit domæne (jravn.dk) er således blevet aktivt i Office 365. Det påvirker ikke driften af de services jeg har on-site i form af Exchange, Web servere mfl. 
Jeg har nemlig ikke flyttet nogle DNS pegepinde endnu, som feks. kunne være en A, MX eller en SRV record.
 
Jeg er nu klar til at opsætte og konfiguere ADFS farmen internt på LAN.
ADFS og ADFS proxy benytter et FQDN som skal være public tilgængeligt via internettet. FQDN til ADFS og ADFS Proxy er således vores endpoint til bruger validering.
Jeg opretter her en public DNS A-record med navnet fs.jravn.dk (fs = federation service).
Jeg bestiller ligeledes et SSL certifikat fra GoDaddy med commen name = fs.jravn.dk. Hvis man i forvejen har et wildcard certifikat, vil dette også kunne bruges.
Impoter SSL certifikatet til de 2 domain joined ADFS servere (2008 R2).

Næste punkt er at sætte de 2 ADFS servere op i en farm med NLB, som vist på nedenstående billede.
Jeg har angivet cluster navnet til fs.jravn.dk, som er mit “Federation Service name” (ADFS) og som jeg har også har med i mit SSL certifikat.

Guide til opsætning af NLB, kan ses via nedenstående link. Best pratice er her et setup med unicast i et seperat VLAN.
http://winser2003.wordpress.com/2010/10/29/how-to-setup-windows-2008-r2-network-load-balancing-nlb/

Det er vigtigt at man sætter ADFS og ADFS Proxy op i et NLB cluster, idet brugerne ikke kan logge på diverse Office 365 services, hvis ikke disse servere er online.
Det samme gælder for Forefront UAG, som kan benyttes til 2 faktor validering og som erstatter ADFS Proxy serverne i DMZ.
I denne blog-post serie har jeg valgt kun at benytte ADFS proxy uden 2 faktor.

Jeg opretter herefter en ADFS service account som er almindelig domain user. Denne skal benyttes under konfigurationen af ADFS farmen. 
Jeg er således klar til at installere og konfigurere min ADFS farm på det interne LAN. Dette gennemgår jeg i Part 2.

Reference til ovenstående:

Understanding Identity Federation.
http://technet.microsoft.com/en-us/library/gg507578.aspx?t=exchgf1

Prepare for single sign-on.
http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652540.aspx