将辅助Azure托管的ADFS 3服务器添加到内部部署ADFS 2服务器场

Question

我们目前有一个与Office 365一起使用的内部部署ADFS 2服务器场，我们很快将会搬迁办公室。我们正考虑在Azure中添加辅助ADFS 3服务器，然后在迁移办公室之前将其设为主服务器。

以下是我正在考虑的一些步骤：

• 在Azure和我们的内部部署网络之间设置vpn隧道
• 将Azure上的新ADFS服务器加入域
• 在新ADFS服务器上安装证书
• 添加ADFS 3角色并加入ADFS服务器场
• 在Azure中的DMZ网络中添加ADFS代理服务器
• 使Azure ADFS服务器成为主要
• 更改DNS设置以指向新的Azure IP（内部和外部）
• 断开并移动ADFS 2服务器

我应该注意哪些其他步骤或陷阱？

Answer 1

我能够成功完成此迁移。以下是我的观察，以防其他人将来可以使用它。

• 无法将ADFS 3服务器加入现有ADFS 2服务器场。但是，可以在仍使用ADFS 2服务器场的情况下安装和配置新的ADFS 3服务器场
• 最好使用相同的服务帐户UPN和证书，以尽量减少差异
• 我发现这篇文章在此过程中非常有用：http://blogs.technet.com/b/askpfeplat/archive/2014/03/31/how-to-build-your-adfs-lab-part4-upgrading-to-server-2012-r2.aspx

简而言之，我的所作所为：

1. 在Azure上创建2个ADFS服务器和2个ADFS代理服务器
2. 使用内部部署网络设置Azure隧道
3. 将2台ADFS服务器加入域
4. 导入ADFS证书
5. 添加ADFS角色并设置ADFS 3场
6. 通过更改hosts文件并在两台ADFS服务器上本地指向ADFS域来测试ADFS功能
7. 从旧服务器导出ADFS设置并导入新服务器
8. 使用测试工作站上的已修改主机文件测试Office 365联合
9. 将公共DNS记录更改为指向新的ADFS 3服务器场
10. 停用ADFS 2服务器场