上一篇的最後發現問題越來越多,自己處理的是一個頭兩個大,最後只好跟微軟方面提出一個服務要求。
不過微軟的處理方式還是老規矩,先給了我一支工具說要收集Log,將資料提供給他的後又是漫長的等待了。
等待的同時當然也不能傻傻地等人處理問題,自己想辦法找問題所在才是一個工程師,所以只好連上已經有做ADFS服務的Server,檢查倒底跟我的Lab有甚麼差異存在。
檢查過程
其實在「ADFS管理」中的項目並不多,檢查的服務也都是正常啟動的狀況。
不過在檢查「信賴憑證者信任」時卻發現了一個問題。正常來說在「信賴憑證者信任」底下會有兩個項目,分別是「Device Registration Service」以及「Microsoft Office 365 Identity Platform」。
但是我的LAB這卻只有「Device Registration Service」。
這個問題是網域與Office 365 之間驗證失敗所導致,不過在設定ADFS時驗證的這一段卻是顯示成功。為什麼會發生驗證失敗的問題問了微軟卻還是沒有個所以然的結果。總之先發現了一個問題,那麼就有解決的方向。
而在發現這個問題之後微軟也提供了兩個KB網頁說明他們檢查的結果,而得到的結論也跟上面相同,是說LAB網域與Office 365 的驗證是有問題的,提供了一些方式來讓我排除問題。
問題排除
由於要重新設定同盟的驗證所以請先下載兩個工具
(1). Microsoft Online Servives 登入小幫手
(2). Azure Active Directory Module for Windows PowerShell
安裝好之後桌面就會多了一個「適用於Windows PowerShell的Windows Azure AD模組」可以使用。並請以管理者身分開啟。
首先是輸入「$cred=Get-Credential」來登入Office 365 ��帳號
登入後輸入「Connect-MsolService –Credential $cred」進一步的與Microsoft Online Services 連線,並且是用上一步的帳號作為驗證。
輸入下列兩個指令來重新建立網域與Office 365 的驗證。
- Set-MsolADFSContext –Computer adfs_servername.domain_name.com
- Convert-MsolDomainToFederated –DomainName domain_name.com
最後輸入「Update-MsolFederatedDomain -DomainName domain_name.com」來更新同盟網域的資訊。
並輸入「Get-MsolFederationProperty –DomainName domain_name.com」來驗證同盟的資訊是否正確
最後重新啟動服務後我的ADFS環境就可以正常從Portal 網頁跳到驗證網頁,登入後也可以正常地開啟Office 365的服務了。
只能說問題百百種,只是沒遇到而已,希望這次的經驗可以幫助到各位想要做ADFS測次的人。
== 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==