配置Office 365单点登录过程中的一些注意事项

这些天一直在整O365单点登录的问题，其中涉及到了很多知识点，其中以ADFS，CA为主吧，IIS为辅。下面我就把这些天积累的一些经验写下来备用。

1. 申请证书不一定要通过“证书颁发机构Web注册”，直接在mmc控制台即可进行，解决办法见《使用非Web方式从CA申请证书》。

2. CA服务器安装完后，默认只有部分证书模板处于可用状态，解决办法见《使用非Web方式从CA申请证书》。

3. 如果通过http://server/certsrv的方式申请证书，则需要启用HTTPS，否则会报下面的错误。但是实验过程中遇到没启用照样可以申请的事情，不清楚原因，但是申请证书本身就是一件对安全性要求较高的事情，所以不管如何还是启用HTTPS吧。同时，网上还有一种解决办法是修改IIS里的应用程序池->高级设置->进程模型->标识->NetworkService，但是我发现即使不是这个值错误也不会100%出现。

4. CA安装完后，IIS里的CertEnroll和CertSrv不会出现，必须通过CA向导“配置”之后才会出现，有次实验中忽略了这点，很纳闷。

5. 配置ADFS过程中，发现即使在IIS或者证书控制台存在证书，但是ADFS也无法获得证书列表。调查发现是因为证书的CN属性命名不规范造成的，建议签发证书时严格按照CN=ADFS.VBDOMAIN.LOCAL这样的形式。（回头去看了下之前看过的那些博客，原来他们下图右上角的“目标服务器”与“SSL证书”的主机名还真是不一致的！）

6. 安装完ADFS，在配置过程中会出现下列告警信息，世纪互联工程师说这是由于证书的CN属性与ADFS服务器的Hostname一致造成的，于是我修改证书的CN属性，问题得以解决。如上图中的adfs2diff.vbdomain2.local即为正确的CN属性。

https://blogs.technet.microsoft.com/chinatechnet/2014/09/15/ad-fs-web-wap/

7. 配置AADC的最后会验证网站是否能被解析，这里需要在DNS服务器上手动添加一条A记录，才能验证成功。

参考：

https://blogs.technet.microsoft.com/rmilne/2014/04/28/how-to-install-adfs-2012-r2-for-office-365/