ADFS 2.0 場 - 如何執行即時同步
我們在 Windows 2008 伺服器上使用 ADFS 2.0,它位於場中,並且預設輪詢間隔為 5 分鐘。我們今晚要進行更改,寧願立即同步也不願等待其他人更新,尤其是因為我們可能會進行多項更改。
這篇 Technet 文章提到我可以更改輪詢間隔或在我的伺服器之間進行立即同步:
http://technet.microsoft.com/en-us/library/ee913581%28WS.10%29.aspx
我檢查了 ADFS 的 powershell 命令行開關,我似乎只能找到一個讓我設置輪詢間隔但不執行 1 次立即同步的命令
搜尋了通常的嫌疑人,但找不到 ADFS-SyncMyStuffNow 命令…
任何人?
所以這不是確切的答案,但經過更多閱讀後,我意識到如果要立即同步,則需要使用共享 SQL 伺服器。一旦你有一個共享伺服器,就沒有更多的“主要”——它們都可以進行更改並立即同步。
似乎也沒有(受支持的)方法將獨立遷移到 SQL 伺服器,它必須重新建構。
我們最近遇到了使用 Windows 內部數據庫和 Microsoft 網路負載平衡的 AD FS 場的問題。輔助伺服器不會與主伺服器同步,從而導致大量間歇性身份驗證問題。使用 SQL Server Management Studio 手動檢查 SQL 數據庫 (.\pipe\MSSQL$MICROSOFT##SSEE\sql\query) 確認策略未同步。具體來說,如果您打開 ServiceStateSummary 表,我們會注意到序列號保持為零。此外,事件日誌顯示 0 個對像已添加/合併到數據庫中。
我做的第一件事是檢查主伺服器的 DNS 名稱是否可解析。沒有骰子。所以我修復了輔助伺服器上的 DNS 設置。還是沒有骰子。最後,我重新執行了嚮導,這次修復了 DNS 設置,我又遇到了一個錯誤。大意是主聯合伺服器似乎很忙。我注意到之前的管理員已將主聯合伺服器名稱設置為 IDP 聯合名稱 (external.hostname.com)。我將主伺服器名稱設置更改為主伺服器的實際名稱 (FS01),逐步完成嚮導,一切都像魅力一樣工作!
故事的道德啟示:
- 檢查您的 DNS 設置,確保主聯合伺服器的真實名稱是可解析的。
- 更改 DNS 設置後重新執行嚮導,並在事件查看器中檢查 AD FS 管理員事件日誌以了解同步狀態。您應該看到合併/添加的對象計數等於 >0。
- 切勿將 IDP 聯合名稱用作主伺服器名稱。改為使用主聯合伺服器的 REAL/主機名。
- 循環 AD FS 服務將始終強制重新同步。
祝你好運,希望這能幫到你!