Office365上启用Skype For Business并实现本地AD用户登录

  • 时间:
  • 浏览:0
  • 来源:大发5分3D_大发5分3D官方

注意: 您之时会看得人有两个对话框,其蕴藏高以下消息:   

证书密钥长度是少于 2048 位。证书密钥大小小于 2048 位本来处于安全风险,暂且建议。您需要继续吗?    

后此消息 [是将显示以下对话框。    

确保选定证书的专用密钥对此联合身份验证服务的服务器场中每台服务器上的服务帐户上能访问。    

本来此过程完成后在第 2 步 [取舍,或者退出。

dir cert:\localmachine\my | fl

<4904,1932,12:31:15:455>:       -CAuthInfo::GetUserTargetName()

<4904,1932,12:31:15:455>:     CAuthInfo::GetCachedAuthInfo failed, hr=0x115048887.@credentialbag.cpp_431

<4904,1932,12:31:15:454>:     -CUserExtendedProperty::SetExtProperty=0x0

亲们 儿删除默认证书即可;

单击常规上能看见对应的配置信息

<4904,1932,12:31:15:454>:      -CUserExtendedProperty::_SetExtProperty=0x0

注:本来有adfs代理服务器搞笑的话,亲们 儿需要直接重新运行ADFS的配置向导

[请单击取舍。

亲们 儿今天介绍的是Office365与本地域关联后,或者配置好Skype For Business服务后,使用本地同步多Online上的用户无法登录Skype For Business的故障处理方案,具体见下:

<4904,1932,12:31:15:454>:       -IDCRL::GetUserExtendedProperty=0x0

更新后,亲们 儿最终发现 skype for business上能登陆了

最后总结,作为有两个ADFS服务器不建议安装IIS服务

<4904,1932,12:31:15:454>:      +CIdentityTokenBag::GetUserExtPropertyValue()@tokenbag.h_153

亲们 儿上能单击管理员---Skype for business,会进入Skype for business管理中心

加在DNS解析记录后,亲们 儿单击本来加在完成会提示,准备就绪

<4904,1932,12:31:15:455>:    -CIdentityCredentialBag::GetPersistedCredential=0x0

这名间题图片是ADFS federation那边有间题图片, 从log顶端看是请求发到ADFS那边去了,或者ADFS那边有间题图片,这麼返回正确的结果。

https://support2.microsoft.com/common/survey.aspx?scid=sw;zh-cn;3695&showpage=1

免费公网证书申请

S 管理器中,有两个新的证书绑定到的 AD FS 的 Web 站点

最后发现,我环境中的ADFS服务器的证书不受信任,全都有也无法登陆,全都有亲们 儿也需要为当前ADFS服务器更换证书;亲们 儿当初给ADFS配置证书的本来是使用的内控 的CA服务颁发的,全都有在公网上是不受信任的。

本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1720903,如需转载请自行联系原作者

或者单击 [启动]、 [运行]。

<4904,1932,12:31:15:454>:      -CUserExtendedProperty::_SetExtProperty=0x0

<4904,1932,12:31:15:454>:    +CIdentityCredentialBag::GetPersistedCredential()@credentialbag.cpp_402

在本地计算机证书存储中安装新的证书

亲们 儿定义需要申请的SSL证书域名名称;

[管理单元]从列表 [证书],或者取舍 [加在单击。启动证书管理单元向导。

<4904,1932,12:31:15:455>:   -CIdentityStore::ReleaseTokenBag=0x0

或者单击 [取舍]、 [关闭]。

WoSign 根

<4904,1932,12:31:15:454>:     +CUserExtendedProperty::SetExtProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='federationbrandname', wszPropertyValue=IXMSOFT.COM)@singleidentity.cpp_5793

取舍本地计算机: (运行此控制台的计算机),或者单击完成。

假使 继续打开本地计算机的证书存储区取舍导入证书。

<4904,1932,12:31:15:455>:       +CAuthInfo::GetUserTargetName()@singleidentity.cpp_3362

WoSign 中级根

步骤 1: 在本地计算机证书存储中安装新的证书

此时亲们 儿本来进入Skype for business管理中心,查看对应的配置信息

步骤 4: 配置 AD FS 服务器服务要使用的新证书

https://support.microsoft.com/zh-cn/kb/29211505

<4904,1932,12:31:15:454>:      -CIdentityTokenBag::GetUserExtPropertyValue=0x0

appid=守护进程运行运行ID

亲们 儿上能使用以上微软提供的工具进行环境测试

加在新证书的专用密钥的权限 AD FS 服务帐户,请执行以下步骤。

https://testconnectivity.microsoft.com/?tabid=o365

<4904,1932,12:31:15:455>:   +CIdentityStore::ReleaseTokenBag()@identitystore.cpp_4150

<4904,1932,12:31:15:454>:    -CSingleIdentity::SaveExtProperties=0x0

[证书[所有任务]、 [导入] 右键单击,或者单击。

http://www.wosign.com/Root/ca1_ov_2.crt

安装后还是登录错误,提示证书错误;经本来台分析

<4904,1932,12:31:15:454>:       +IDCRL::GetUserExtendedProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='realminfo', wstrPropertyValue=0x6722df48)@singleidentity.cpp_56150

亲们 儿在用户下,上能看见已分配了Skype for business订阅的用户

登陆错误,提示证书有间题图片

<4904,1932,12:31:15:455>:     -CAuthInfo::GetCachedAuthInfo=0x115048887

亲们 儿在ADFS服务器的iis管理控制台下;服务器证书----创建证书申请

亲们 儿导出该证书

在与本地AD集成后,本来在Office365上启用Skype For Busiess服务,需要在做相应的DNS解析记录,上上能启用Skype For Business 服务的相关配置;

提交后,亲们 儿需要提交CSR文件来生成证书

需要ADFS那边看下,我看得人ADFS server那边用的证书也有受信任的, 先换个受信任的证书

首先查看当前本地计算机下的当事人证书下的信息;亲们 儿查看得人是有两张证书的,一张是这麼 的,一张是新申请的;

netsh http add sslcert hostnameport=adfs.ixmsoft.com:443 certhash=F6285898211150514BDFDBDC51BD2F9C4DCB9EA99 appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY

右键单击默认的 Web 站点,或者取舍编辑绑定。

AD FS 2.0 \Service\Certificates打开。

netsh http show sslcert | fl

ADFS 服务授予读取权限或更高版本上的帐户并加在正在运行的帐户。

证书准备好后,亲们 儿解析来假使 在ADFS服务器本地计算机存储中安装新的证书

在此亲们 儿使用沃通

ADFS.ixmsoft.com

本来亲们 儿环境内本来部署了Dirsync全都有会将本地的AD用户同步到Online上

运行在windows2012以上的ADFS服务器(联合身份验证服务)是需要做以下第三步骤的配置的,直接跳过即可

<4904,1932,12:31:15:454>:     -CUserExtendedProperty::SetExtProperty=0x0

同步到Online的用户本来需要登录,亲们 儿需要给用户分配office365下的skype for business的订阅

或者亲们 儿需要将该证书完成创建及,导入蕴藏私钥的证书

最后亲们 儿发现替换证书后,这麼生效,还是这麼 的旧的证书信息,全都有亲们 儿需要手动强制更新;

运行在windows1508r2上的ADFS服务器(联合身份验证服务)是需要做以下第三步骤的配置的

加在后,亲们 儿上能在服务运行情況下,查看Office365上所有服务的运行情況是算是正常

提示证书间题图片,全都有亲们 儿安装一下Office 365的Wosign证书试一下。

https://support2.microsoft.com/common/survey.aspx?scid=sw;zh-cn;3592&showpage=1

https://www.wosign.com/

<4904,1932,12:31:15:454>:     +CUserExtendedProperty::SetExtProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='realminfo', wszPropertyValue=<RealmInfo><LastUpdateTime>1449462664</LastUpdateTime><AuthURL>https://adfs.ixmsoft.com/adfs/ls/</AuthURL><IsFederatedNS>true</IsFederatedNS><FederationTier>0</FederationTier><Certificate>MIIC3DCCAcSgAwIBAgIQL3R/dArAGqdJp3mvFSEVEDANBgkqhkiG9w0BAQsFADAqMSgwJgYDVQQDEx9BREZTIFNpZ25pbmcgLSBBREZTLml4bXNvZnQuY29tMB4XDTE1MTEyMTAzMzgxNFoXDTE2MTEyMDAzMzgxNFowKjEoMCYGA1UEAxMfQURGUyBTaWduaW5nIC0gQURGUy5peG1zb2Z0LmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALiEnQSatrJj3J94+IPLGW0wraSmugWi7RZB+C9DMgn8N4cVSpw02ZZAfV7xNGpMuz38GV2JuHnwwe6qaCyNC/s9sIrx543F0WKEKnHTM4dKDSwaRjIoks2UMYeqcYqzpn6HnQwDwqRSKY18Yh+Y3wuw6xGLzD2W/zB9jxkCHs2lgnf1Ta7ZsVK6FiscnmTBo/0Jau27no71a2X5pR2yxbD+Zs3peJ23Z1O1FY5TZRthE4KtoXpim1KZ8jftCKyLAznoRuzvnelNNymPpkA5iLj6DrVddKylmPUo1Z0iLM1yqmUfwiXf1c94QH8ExMVRVIV0RKzRZa+CnlUuL1tz41sCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAdmUAIgtzJTOdYRVIstDf68akssH7/Aayio7/yrpy6q1MKyR

<4904,1932,12:31:15:455>:      +CAuthInfo::GetCachedAuthInfo(wszUserName=user02@ixmsoft.com, wszVirtualAppName=(null))@singleidentity.cpp_3213

certhsh= 指纹

http://www.wosign.com/Root/WS_CA1_new.crt

<4904,1932,12:31:15:455>:      -CAuthInfo::GetCachedAuthInfo=0x115048887

<4904,1932,12:31:15:454>:     +CSingleIdentity::GetExtProperty(propertyName=federationbrandname)@singleidentity.cpp_1597

<4904,1932,12:31:15:455>:     +CAuthInfo::GetCachedAuthInfo()@singleidentity.cpp_3178

加在新的证书信

<4904,1932,12:31:15:455>:  -HandleDeleteContextEx=0x0

亲们 儿加在新的证书需要更具以上信息来新建加在

<4904,1932,12:31:15:455>:   Removing token bag for user 'user02@ixmsoft.com' 0x4c9d9e0 - no longer in use.@identitystore.cpp_1508

[HTTPS]或者 [编辑单击。

根据系统提示,亲们 儿在当事人的DNS下创建对应的解析记录

步骤 2: 加在新证书的专用密钥访问 AD FS 服务帐户

注意:您需要运行以下命令,本来这麼管理私钥。   

certutil -repairstore my *

提交后,亲们 儿单击下载证书

[文件]从 [加在 / 删除管理单元中单击。

「MMC"并输入。

本来亲们 儿需要在Office365上启用Skype for business服务,全都有根据系统提示,需要创建一下DNS解析记录上上能;

话越多多说了,亲们 儿亲们 儿首先使用office365的全局管理员进行登录

打开 Internet Information Services (IIS) 管理器管理单元。

<4904,1932,12:31:15:454>:       +IDCRL::GetUserExtendedProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='federationbrandname', wstrPropertyValue=0x6722df48)@singleidentity.cpp_56150

控制台根 \Certificates (本地计算机) \Personal\Certificates展开。

注:本来亲们 儿在ADFS服务器上的IIS上申请证书的,全都有亲们 儿不用要下面操作的步骤,亲们 儿第一步跳过即可

<4904,1932,12:31:15:455>:   -CIdentityStore::CloseIdentityHandle=0x0

下载后,亲们 儿使用IIS这名证书就上能了

<4904,1932,12:31:15:454>:      +CUserExtendedProperty::_SetExtProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='realminfo', wszPropertyValue=<RealmInfo><LastUpdateTime>1449462664</LastUpdateTime><AuthURL>https://adfs.ixmsoft.com/adfs/ls/</AuthURL><IsFederatedNS>true</IsFederatedNS><FederationTier>0</FederationTier><Certificate>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

https://buy.wosign.com/ProductList.html

上能使用 AD FS 服务器服务新证书,请按照以下步骤来配置。

https://technet.microsoft.com/library/jj9071502.aspx

保存提交后的CSR文件

登录成功

亲们 儿本来上能看见证书的颁发者为:CN=CA 沃通免费SSL证书

[证书右键单击 [设置服务通信证书] (服务通信的证书设置) 取舍。

<4904,1932,12:31:15:454>:     -CSingleIdentity::GetExtProperty=0x0

用鼠标右键单击证书,或者 [所有任务]、 [管理专用密钥] (私有密钥管理) 单击。

亲们 儿前面介绍了Office365与本地Exchange混合部署的配置介绍;亲们 儿都知道在Office365上上能配置Skype for Business、Sharepoint登服务,完成Office365与本地的混合部署的前提是需要配置本地Active Directory集成,在亲们 儿的试验环境介绍中,亲们 儿与本地域Ixmsoft.com集成,集成后或者亲们 儿使用dirsync工具将本地指定的OU下的用户同步到Office365上,或者分配相关的订阅服务实现用户登录访问。与本地的Acitive Directory集成后,亲们 儿本来登录Online上的用户亲们 儿借助了ADFS服务进行单点登录,这麼 方便用户登录,本来不做SSO搞笑的话,在用户登录的过程中比较麻烦,需要用户登录两次本来输入Online的登录名称格式,全都有对于用户是不方便的,全都有就使用了ADFS联合身份验证服务(注: 亲们 儿首先需要注意的是本来环境内配置了ADFS服务搞笑的话,ADFS服务的信任证书需本来我公网受信任的(第三方颁发;不然将本地的AD用户同步到Office365上,启用Skype 服务器搞笑的话,本地账户是无法登陆的,本来使用本地AD用户登录Skype For Business的过程会通过ADFS服务验证登录请求,。另外注意的是,ADFS服务器上不建议启用IIS服务,不然会很麻烦的)。

[请单击取舍。

取舍计算机帐户,或者单击下一步。

<4904,1932,12:31:15:455>:      CredEnumerateW failed = ERROR_NOT_FOUND.@singleidentity.cpp_3249

从证书取舍列表中取舍新的证书。

亲们 儿首先单击配置Office365的域配置信息;该步骤信息会提示你在Online上使用对应的服务,或者来创建对应的DNS记录;

证书导出完成

组织下,上能配置访问服务的高级配置

生成的CSR文件内容

接下来亲们 儿需要为user20 online用户登录尝试;确认该用户本来分配了SFB的订阅,不然是无法登陆的,全都有亲们 儿已分配了SFB的订阅

<4904,1932,12:31:15:454>:      +CUserExtendedProperty::_SetExtProperty(wszUserName='partner.microsoftonline.cn::user02@ixmsoft.com', wszPropertyName='federationbrandname', wszPropertyValue=IXMSOFT.COM)@singleidentity.cpp_5822

<4904,1932,12:31:15:454>:       -IDCRL::GetUserExtendedProperty=0x0

以下步骤,亲们 儿需要亲们 儿只需要在ADFS2.0下运行,本来是ADFS3.0搞笑的话就不用要以下步骤了

使用 IIS 管理器,请按照以下步骤中,您的新证书链接到 AD FS Web 站点将。

亲们 儿首选需要为ADFS提交有两个证书申请,或者生成对应的csr文件

<4904,1932,12:31:15:455>:    GetPersistedCredential failed = ERROR_NOT_FOUND.@credentialbag.cpp_485

从 SSL 证书中取舍相应的证书。

亲们 儿使用user20登陆

打开 AD FS 2.0 管理。

浏览到Web 站点的默认值。

配置相关的证书配置信息

亲们 儿单击提交CSR选项,或者取舍---最好的方法二,当事人提交CSR文件

同样,亲们 儿上能单击工具,对对应的服务进行配置及检查

完成证书申请

按照以下步骤为新安装的本地计算机证书存储中的证书。

<4904,1932,12:31:15:455>: -IDCRL::CloseIdentityHandle=0x0

本来需要受互联网的信任,全都有亲们 儿需要申请公网证书