Office 365 管理者日誌 (57) ADFS 服務 - 除錯篇

上一篇的最後發現問題越來越多,自己處理的是一個頭兩個大,最後只好跟微軟方面提出一個服務要求。

不過微軟的處理方式還是老規矩,先給了我一支工具說要收集Log,將資料提供給他的後又是漫長的等待了。

等待的同時當然也不能傻傻地等人處理問題,自己想辦法找問題所在才是一個工程師,所以只好連上已經有做ADFS服務的Server,檢查倒底跟我的Lab有甚麼差異存在。

檢查過程

其實在「ADFS管理」中的項目並不多,檢查的服務也都是正常啟動的狀況。

image

不過在檢查「信賴憑證者信任」時卻發現了一個問題。正常來說在「信賴憑證者信任」底下會有兩個項目,分別是「Device Registration Service」以及「Microsoft Office 365 Identity Platform」。

但是我的LAB這卻只有「Device Registration Service」。

image

這個問題是網域與Office 365 之間驗證失敗所導致,不過在設定ADFS時驗證的這一段卻是顯示成功。為什麼會發生驗證失敗的問題問了微軟卻還是沒有個所以然的結果。總之先發現了一個問題,那麼就有解決的方向。

而在發現這個問題之後微軟也提供了兩個KB網頁說明他們檢查的結果,而得到的結論也跟上面相同,是說LAB網域與Office 365 的驗證是有問題的,提供了一些方式來讓我排除問題。

問題排除

由於要重新設定同盟的驗證所以請先下載兩個工具

(1). Microsoft Online Servives 登入小幫手

(2). Azure Active Directory Module for Windows PowerShell

安裝好之後桌面就會多了一個「適用於Windows PowerShell的Windows Azure AD模組」可以使用。並請以管理者身分開啟。

image

首先是輸入「$cred=Get-Credential」來登入Office 365 的帳號

image

登入後輸入「Connect-MsolService –Credential $cred」進一步的與Microsoft Online Services 連線,並且是用上一步的帳號作為驗證。

image

輸入下列兩個指令來重新建立網域與Office 365 的驗證。

  • Set-MsolADFSContext –Computer adfs_servername.domain_name.com
  • Convert-MsolDomainToFederated –DomainName domain_name.com

最後輸入「Update-MsolFederatedDomain -DomainName domain_name.com」來更新同盟網域的資訊。

並輸入「Get-MsolFederationProperty –DomainName domain_name.com」來驗證同盟的資訊是否正確

image

最後重新啟動服務後我的ADFS環境就可以正常從Portal 網頁跳到驗證網頁,登入後也可以正常地開啟Office 365的服務了。

只能說問題百百種,只是沒遇到而已,希望這次的經驗可以幫助到各位想要做ADFS測次的人。

 

== 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==

Loading