1.在AAD Connect向導裏，首先我們需要創建一個新的ADFS的FARM，然後提供ADFS使用的證書

2.選擇好使用的證書

3.將ADFS服務器加入到FARM裏

4.之後部署ADFS Proxy，因為Proxy不加域，首先在Proxy上添加DNS後綴，在DNS上添加Proxy的DNS記錄

5.在Proxy Servers這裏添加Proxy這臺服務器

6.這裏有個小坑，你可能會發現下邊會報出WIN RM無法連接的錯

7.要解決這個問題其實也不難，需要手動配置下服務器，因為本身部署ADFS或者Proxy也是通過WIN RM來遠程執行PowerShell，如果是加域的話可以走kerberos認證，把WINRM服務開啟後，端口正常監聽，防火墻沒問題就可以通過了，但是如果是不加域的機器，就需要通過設置白名單的方式來實現遠程PowerShell了，首先開啟WINRM服務

通過命令Enable-PSRemoting -Force

8.可以看到服務已經正常開啟了

9.服務開啟後註意還需要添加白名單，步驟按照圖裏的執行即可

10.最後還需要註意你的網卡類型，這個搞不好也會坑到你，完成後再次執行向導，可以看到已經能正常連接了

11.之後輸入你的Domain admin的密碼，他會被用來執行一些腳本配置等

12.這裏配置Service Account，需要輸入你的enterprise account

13.接下來選擇需要做聯盟的域，點擊next

14.開始配置，等待結束即可

15.部署完成後，可以看到賬戶已經被同步到O365中（O365需要提前開啟AD同步，可以手動在portal配置，也可以通過Set-MsolDirSyncEnabled -EnableDirSync $true實現，過程不演示了，比較簡單）

16.之後可以測試下，登陸O365 Portal，輸入域賬號登陸

17.可以看到已經在重定向了

18.這裏可以看到如果是本地AD頒發的證書，這裏是會報信任錯誤的

19.成功跳轉到ADFS Proxy，輸入本地AD的賬號密碼

20.登陸成功！

21.同時如果是登陸失敗的，在ADFS的Log也是可以看到的，ADFS的審核Log有些是需要手動開啟的，這裏暫時不說了

基本的配置就是這樣了，對比以前的部署過程，現在已經可以算是省去了絕大部分時間了！後邊會介紹如何使用ADFS實現我們限制用戶登錄行為的目標

O365結合ADFS限制用戶登錄地址 (三) - 部署ADFS及Proxy