将辅助 Azure 托管 ADFS 3 服务器添加到本地 ADFS 2 场

Question

我们目前有一个使用 Office 365 的本地 ADFS 2 场，我们将很快搬迁办公室。我们正在考虑在 Azure 中添加辅助 ADFS 3 服务器，然后在搬迁办公室之前将其作为主要服务器。

以下是我正在考虑的一些步骤：

• 在 Azure 和我们的本地网络之间设置 vpn 隧道
• 将 Azure 上的新 ADFS 服务器加入域
• 在新的 ADFS 服务器上安装证书
• 添加 ADFS 3 角色并加入 ADFS 场
• 在 DMZ 网络中的 Azure 中添加 ADFS 代理服务器
• 将 Azure ADFS 服务器设为主要服务器
• 更改 DNS 设置以指向新的 Azure IP（内部和外部）
• 断开连接并移动 ADFS 2 服务器

还有其他我应该注意的步骤或陷阱吗？

Answer 1

我能够成功完成此迁移。以下是我的观察，以防其他人将来可以使用它。

• 无法将 ADFS 3 服务器加入现有 ADFS 2 场。但是，可以在仍使用 ADFS 2 场的同时安装和配置新的 ADFS 3 场
• 最好使用相同的服务帐户 UPN 和证书，以尽量减少任何差异
• 我发现这篇文章在这个过程中很有帮助：http://blogs.technet.com/b/askpfeplat/archive/2014/03/31/how-to-build-your-adfs-lab-part4-upgrading-to-server-2012-r2.aspx

简而言之，这就是我所做的：

1. 在 Azure 上创建 2 个 ADFS 服务器和 2 个 ADFS 代理服务器
2. 使用本地网络设置 Azure 隧道
3. 将 2 个 ADFS 服务器加入域
4. 导入 ADFS 证书
5. 添加 ADFS 角色并设置 ADFS 3 场
6. 通过更改主机文件并在两台 ADFS 服务器上本地指向 ADFS 域来测试 ADFS 功能
7. 从旧服务器导出 ADFS 设置并导入新服务器
8. 在测试工作站上使用修改后的 hosts 文件测试 Office 365 联合
9. 更改公共 DNS 记录以指向新的 ADFS 3 场
10. 停用 ADFS 2 场