首先來講一下ADFS大概的架構，一般來說在生產環境，我們是推薦將ADFS部署成FARM的，也就是通過多臺ADFS共同承載流量，ADFS本身是要面向公網的，身份驗證的請求會從AAD轉到ADFS，這樣就會產生ADFS直接暴露在公網的問題，所以在生產環境我們還會推薦部署ADFS Proxy，將Proxy放在ADFS前承載流量，這樣可以把後端整個ADFS和AD環境保護起來。一般推薦的部署方式如下表所示

總體來說需要部署的角色其實並不多，也不會太過復雜，本次環境中使用部署方式如下表所示，因為並非生產環境，只是做Poc，所以部署的都是單點的

ADFS的部署其實之前的blog裏已經介紹過了，那個時候部署ADFS感覺步驟非常多，還非常容易出錯，但是過去這麽久之後微軟推出了一種新的部署方式，將ADFS的部署過程大大地簡化了，稱之為傻瓜式部署也不為過，基本上點點鼠標就能搞定了，下邊來介紹下如何部署

現在部署ADFS時我們已經可以通過AAD Connect來實現，ADFS以及Proxy的部署都已經整合到了AAD Connect中作為一個選項來提供（實際上只是提供了通過各種腳本快速部署的方式，如果想單獨部署ADFS，依然可以通過Windows Server裏的向導實現）

AAD Connect的作用不過多介紹了，之前用過Dir sync的基本都知道，以前的博客裏也介紹過Dir sync，可以理解AAD Connect就是將本地AD與AAD集成的一種工具，AAD Connect一般不推薦部署到DC上，推薦部署到一臺加域的服務器中即可，如果用戶規模不大的話可以考慮單點

AAD Connect 介紹

https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory-aadconnect

AAD Connect 1.1.647.0 下載

https://www.microsoft.com/en-us/download/details.aspx?id=47594

1.下載AAD Connect之後雙擊打開，下一步

2.同意條款

3. 這裏選擇自定義的配置，因為我們需要部署很多組件

4.直接點擊安裝，直接使用默認的SQL Express數據庫即可，一般情況下還不會用到其他版本的SQL Server

5.安裝中

6.這裏選擇與ADFS做聯盟

7.這裏會連接到你的AAD中，所以要輸入你的O365 Global Admin賬號

8.添加需要的域

9.輸入本地AD管理員的信息，連接到本地AD

10.添加完成

11.這裏可以選擇篩選要同步的OU，默認是所有的OU都會被同步，如果有一些信息是不想或者不需要同步到AAD的，那麽可以在這裏進行篩選

12.這裏選擇標識用戶的方法，source anchor是AAD Connect裏很重要的一個概念，一般來說這裏推薦使用默認的配置

13.這裏選擇要篩選的用戶

14.之後在可選的功能這裏，可以設置密碼同步，這樣用戶的密碼也可以被同步到AAD中

到這裏AAD Connect的安裝就差不多了，如果沒部署ADFS的話點擊下一步差不多就會自動安裝AAD Connect，然後開始進行同步了

但是因為我們要部署ADFS，所以這還不算完！後邊重點來介紹ADFS以及Proxy的部署

O365結合ADFS限制用戶登錄地址 (二) - 安裝AAD Connect