SharePoint 混合单点--AD FS and SSO 的管理记录和一些问题解决的方法

管理AD FS和单点登录

管理为所有SharePoint混合用户登录提供此基本服务的底层基础架构非常重要。如果AD FS或任何相关组件不可用，则您的用户将无法登录SharePoint Online或使用任何混合功能。

监控您的环境

需要为每个组件配置适当的警报监控。请考虑监视AD FS服务器和AD FS代理之间的TCP 443链路。

目录同步管理

您可能需要通过PowerShell手动停止或启动目录同步。这在前一个模块中有所涉及。您必须确保更新所有组件，并使用最新的Windows和产品更新来更新所有服务器操作系统。

通过PowerShell进行管理

您可以使用PowerShell管理Office 365租户和Microsoft Azure Active Directory。为此，您需要在管理工作站以及SharePoint服务器（这是配置SharePoint混合功能所需）上下载并安装以下PowerShell模块：

Microsoft Online Services登录助手
适用于Windows PowerShell的Azure Active Directory模块

使用PowerShell管理SharePoint Online

若要从SharePoint服务器和管理工作站中管理租户中的SharePoint Online功能，必须下载SharePoint Online Windows PowerShell模块。

您应该将Windows Management Framework（包括Windows PowerShell 3.0）部署到管理员的工作站（如果尚未这样做）。
您还应下载并安装SharePoint Online Management Shell

计划委派管理任务

要管理租赁，您需要以全局管理员身份向Office 365和Azure进行身份验证。这将为您提供对所有功能的管理访问权限，并允许您根据需要将其他权限委派给其他管理员。

通过PowerShell连接

要连接到Microsoft Azure / Office 365，请在Windows PowerShell的Windows Azure Active Directory模块中运行以下命令：

连接-MsolService
若要连接到SharePoint Online，请在SharePoint Online Management Shell中运行以下命令：

连接-SPOService

管理用户身份

您作为全局管理员的大部分工作将涉及SharePoint混合环境中的身份管理，主要关注领域是身份验证和授权。因此，SharePoint混合环境中的身份管理主题非常重要。

您必须管理用户身份的生命周期。当新用户进入和退出您的组织时，您必须具有适当的规划和程序，以便为SharePoint Online和本地分配正确的Office 365订阅和访问级别。

授权非常重要。作为全局管理员，您应该考虑使用组来获取用户权限，而不是将个人用于访问SharePoint网站。

您需要管理的另一个领域涉及外部共享和业务合作伙伴协作方案。

管理中心

SharePoint管理中心

并非PowerShell可以管理SharePoint Online的所有区域。例如，SharePoint Online的服务应用程序级别管理只能通过SharePoint管理中心完成。

Azure AD

可以从Azure门户中管理Azure Active Directory。Office 365门户中有一个指向Azure AD的链接。

域名管理

您最多可以为租约添加900个域名。虽然可以在Azure门户和Office 365门户中添加和管理域，但在管理和验证域名时，每个门户之间存在差异。例如，Office 365门户提供了更详细的错误消息。因此，请确保在配置域名时检查此门户，因为如果需要，详细的错误消息可以帮助您进行故障排除。

安全与合规中心

管理SharePoint混合环境的一个重要部分是管理Office 365为组织的混合环境带来的安全性和审核。Microsoft最近推出的混合审核功能使您不仅可以监控SharePoint Online的使用情况，还可以监控一个中心位置的本地SharePoint使用情况。

故障排除SSO问题

Azure AD Connect将其跟踪日志写入C：\ Users \％username％\ AppData \ Local \ AADConnect。查找跟踪日志文件可以是开始解决Azure AD Connect问题的好地方。

创建Azure AD Trust的问题

运行Convert-MsolDomaintoFederated命令或使用Azure Active Directory连接向导时，您可能会收到以下错误：

创建联合AAD信任

执行Create Federated AAD Trust任务时发生错误：执行'Convert-MsolDomainToFederated'命令时发生错误。无法解析远程名称'nexus.microsoftonline-p.com'

要解决此问题，您需要确保运行Azure Active Directory连接向导或Windows PowerShell命令的服务器可以访问以下URL：

https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml

您还必须确保您能够解析以下域名：

nexus.microsoftonline-p.com
login.microsoftonline.com
ppsanamespace.service.microsoftonline-p.net

Windows服务的问题不是在AD FS服务器重新启动时启动的

您有时可能会遇到AD FS和相关Windows服务尚未启动的情况。如果发生这种情况，请确保以下Windows服务正在运行：

AD FS服务器Active Directory联合身份验证服务

建议您重新启动AD FS服务器或服务器场以测试此服务是否每次都启动。

AD FS可能在连接到其数据库时遇到问题。

如果AD FS无法连接到其数据库，请检查与SQL Server的连接以及Windows Internal Database的状态。