在一個域中擁有兩個 ADFS 伺服器有什麼缺點嗎？

我們正在與一個大客戶合作，他希望為 CRM 2011 安裝提供兩個完全獨立的環境。這將歸結為在域中擁有兩個獨立的 ADFS 伺服器。在一個域中擁有兩個 ADFS 伺服器是否有任何負面影響？他們顯然會生活在不同的 URL 上，但會依賴同一個 AD 森林作為他們的身份驗證支持。

我不能肯定地說（有人肯定會證明我錯了），但我認為你唯一會失去的是單點登錄 cookie。我想這是每個農場的事情。該 cookie 表明您已經通過 ADFS 伺服器進行了身份驗證，並且如果 ADFS 伺服器配置為執行此操作，則無需再次對您進行身份驗證。

這就是我所說的情況：

1. 使用者訪問 Web 應用 1 並重定向到 ADFS 伺服器 #1
2. 由 ADFS 伺服器 #1 驗證的使用者
3. 使用者使用 Web 應用 2 並重定向到 ADFS 伺服器 #1
4. 如果您有 cookie，並且在 ADFS 伺服器上配置了 SingSignOn，則 ADFS 伺服器不會重試身份驗證。它知道它最近已經對您進行了身份驗證。

現在，如果您在第 3 步中替換 Server #2，我想cookie 將儲存在每個 ADFS 的 SQL 數據庫中 - 它不僅僅是 kerberos 票證的編碼形式。

由於伺服器 #1 和 #2 不共享 SQL 數據庫（它們不在場中），因此您不會得到 SingleSignOn 的東西。所以一些有效地失去了——除非你在一個龐大的環境中，否則可能沒什麼大不了的。它只會對 AD 執行另一個身份驗證。

除此之外，它們可以正常工作並整天對使用者進行身份驗證。我們實際上有兩個 ADFS 場 - 一個強制 FORMS 登錄，另一個只允許 Windows 集成。我們禁用了 SingleSignOn，否則我可能會為您提供明確的答案。

引用自：https://serverfault.com/questions/280311