将辅助Azure承载的ADFS 3服务器添加到内部ADFS 2场中

Question

我们目前有一个内置ADFS 2农场，与Office 365一起工作，不久我们将搬迁办公室。我们正在考虑在Azure中添加一个辅助ADFS 3服务器，然后在搬到我们的办公室之前让它成为主要的服务器。

以下是我正在考虑的一些步骤：

• 在Azure和我们的内部网络之间建立一个vpn隧道
• 将Azure上的新ADFS服务器连接到域中
• 在新的ADFS服务器上安装证书
• 添加ADFS 3角色并加入ADFS场
• 在DMZ网络中的Azure中添加ADFS代理服务器
• 使Azure ADFS服务器成为主服务器
• 更改DNS设置以指向新的Azure IP (内部和外部)
• 断开和移动ADFS 2服务器

还有其他我应该知道的步骤或问题吗？

Answer 1

我成功地完成了这个迁移。以下是我的观察，以防将来有人可以使用它。

• 无法将ADFS 3服务器连接到现有的ADFS 2场。但是，可以在仍然使用ADFS 2场的同时安装和配置一个新的ADFS 3场。
• 最好使用相同的服务帐户UPN和证书，以尽量减少任何差异。
• 在这个过程中，我发现这篇文章非常有用：http://blogs.technet.com/b/askpfeplat/archive/2014/03/31/how-to-build-your-adfs-lab-part4-upgrading-to-server-2012-r2.aspx

简而言之，这就是我所做的：

1. 在Azure上创建2个ADFS服务器和2个ADFS代理服务器
2. 利用现场网络架设Azure隧道
3. 将2台ADFS服务器连接到域
4. 导入ADFS证书
5. 添加ADFS角色并设置ADFS 3场
6. 通过更改主机文件测试ADFS功能，并在两个ADFS服务器上本地指向ADFS域
7. 从旧服务器导出ADFS设置并导入新服务器
8. 在测试工作站上使用修改后的主机文件测试Office 365联合
9. 将公共DNS记录更改为指向新的ADFS 3场
10. 停用ADFS 2农场