Windows-Server-2008

在一個域中擁有兩個 ADFS 伺服器有什麼缺點嗎?

  • June 14, 2011

我們正在與一個大客戶合作,他希望為 CRM 2011 安裝提供兩個完全獨立的環境。這將歸結為在域中擁有兩個獨立的 ADFS 伺服器。在一個域中擁有兩個 ADFS 伺服器是否有任何負面影響?他們顯然會生活在不同的 URL 上,但會依賴同一個 AD 森林作為他們的身份驗證支持。

我不能肯定地說(有人肯定會證明我錯了),但我認為你唯一會失去的是單點登錄 cookie。我想這是每個農場的事情。該 cookie 表明您已經通過 ADFS 伺服器進行了身份驗證,並且如果 ADFS 伺服器配置為執行此操作,則無需再次對您進行身份驗證。

這就是我所說的情況:

  1. 使用者訪問 Web 應用 1 並重定向到 ADFS 伺服器 #1
  2. 由 ADFS 伺服器 #1 驗證的使用者
  3. 使用者使用 Web 應用 2 並重定向到 ADFS 伺服器 #1
  4. 如果您有 cookie,並且在 ADFS 伺服器上配置了 SingSignOn,則 ADFS 伺服器不會重試身份驗證。它知道它最近已經對您進行了身份驗證。

現在,如果您在第 3 步中替換 Server #2,我cookie 將儲存在每個 ADFS 的 SQL 數據庫中 - 它不僅僅是 kerberos 票證的編碼形式。

由於伺服器 #1 和 #2 不共享 SQL 數據庫(它們不在場中),因此您不會得到 SingleSignOn 的東西。所以一些有效地失去了——除非你在一個龐大的環境中,否則可能沒什麼大不了的。它只會對 AD 執行另一個身份驗證。

除此之外,它們可以正常工作並整天對使用者進行身份驗證。我們實際上有兩個 ADFS 場 - 一個強制 FORMS 登錄,另一個只允許 Windows 集成。我們禁用了 SingleSignOn,否則我可能會為您提供明確的答案。

引用自:https://serverfault.com/questions/280311