Exchange与ADFS单点登录 PART 1：先决条件准备

hteesa

最近在学习Windows Server 2012 R2的一些功能，发现一些非常有意思的东西，可以与我们的Exchange结合使用，那么在这里就以这个Exchange与ADFS结合实现SSO的系列分享给大家，希望对大家有用：）

今天要分享的内容是Windows Server 2012 R2中的ADFS，说实话在2012 R2以前我并没有太多的去接触或学习ADFS，但在我接触之后，发现在2012 R2这个版本及以后，ADFS将变得意义重大。
ADFS的全称为活动目录联合服务，通过ADFS技术可以跨林扩展Web服务的身份验证，并为我们的Exchange 等Web应用程序实现SSO即单点身份认证。

在2012 R2中我们将更加容易的实现通过ADFS在统一的Web登录页面使用多种身份验证方式，访问和使用内网中的多种资源，并且很多微软自家的软件也已经做了与ADFS更紧密的集成，比如Exchange、Lync以及Sharepoint等等。

这一篇文章将做ADFS的基础准备，首先，我们建立一台虚拟机，可以名为ADFS或者STS，由于我的虚拟机名为ADFS（本来想搭建ADFS群集），为了更好的识别，我还是单独的在DNS中建立了STS主机记录。

然后我们事先准备好ADFS服务器所需要的证书：

从本地计算机的证书管理单元-个人中申请新的证书。


在申请过程中我们选择Active Directory注册策略，从而直接从我们的内部CA申请证书（CA的部署这里就不再重复了，可以参考之前的文章）。单击“注册此证书需要详细信息，单击这里以配置设置。”

在证书属性里面配置详细信息，在使用者名称位置设置sts.contoso.com（不一定需要与服务器名称相同，但建议为STS）。在备用名称中添加sts.contoso.com和enterpriseregistration.contoso.com。

然后在常规选项卡中设置证书的友好名称。

设置完成后单击确定，然后确保我们的证书前面的复选框处于选中状态，单击注册。

稍等片刻，当证书状态显示为“成功”时，单击完成。

完成之后，我们需要建立ADFS的管理员账号，但这不并不是必须的，在测试环境也可以使用默认的administrator账户，如果是在生产环境中还是建议建立专门的ADFS管理员账户。

首先我们打开管理员身份的PowerShell，然后执行：
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

之后我们就可以创建ADFS的全局服务账户了，执行以下命令来创建：
New-ADServiceAccount Gmsa -DNSHostName sts.reindemo.com -ServicePrincipalNames http/sts.reindemo.com

然后我们在ADFS服务器上，输入以下命令来为ADFS全局托管服务账户设置SPN：

到这里ADFS的先决条件就已经准备就绪了，内容比较简单，但也是部署ADFS之前我们必须做的事情。