使用多个服务器维护对 ADFS 的信任

Maintaining Trust in ADFS with Multiple Servers

如果两个 ADFS 服务器使用 wid(adfs1 和 adfs2)进行负载平衡,两个 ADFS 代理服务器(proxy1 和 proxy2)也进行负载平衡。 proxy1 上记录了一条错误消息,指出“联合代理服务器无法更新其对联合身份验证服务的信任”(事件 ID 394)。

修复似乎是为了确保 proxy1 正在与主 ADFS 服务器 adfs1(而不是将 adfs1 和 adfs2 负载平衡为 adfs.domain.com 的 VIP)通信并重新注册它。为此,我将 FQDN adfs.domain.com 设置为指向 proxy1 上主机文件中的 adfs1。我预计它会一直想要更新信任,所以我应该就这样离开它。这似乎会破坏具有 2x2 的全网状冗余,因为 proxy1 只会与 adfs1 通信。在这个配置中有没有更好的方法来处理这个问题?

我知道迁移到 SQL 服务器可能是一种选择,但这是我想避免的另一个单点故障,因为这不是一个大型部署。还有其他想法吗?

感谢您的帮助!

麦克

相关:

https://social.msdn.microsoft.com/Forums/en-US/f25e9170-b0ad-4894-8622-c2a0493df5eb/adfs-30-wap-connection-to-primary-adfs-servers-maintaining-the-wap-trust?forum=ADFS

https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin-mso_dirservices/adfs-30-proxy-loses-trust-with-internal-adfs/55aaf56f-f093-4620-ae87-9ad777c3a71d

您不需要将 WAP 指向特定的 AD FS(例如您现在正在做的主要)。您应该使用负载平衡地址让 WAP 到达两个 AD FS 之一。

不同之处在于,当使用基于 WID(未使用 SQL)AD FS 建立信任时,信任设置将立即完成或在 6 分钟内完成,具体取决于负载均衡器是否选择了主服务器或不。这是设计使然,因为通过辅助设备完成的任何设置都会被重定向到主设备,然后必须同步回辅助设备,默认情况下每 5 分钟发生一次。

让您的部署尽可能简单,不要让它变得比需要的更复杂。 https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/design/federation-server-farm-using-sql-server 解释了 WID 限制,这会影响您是否需要 SQL。

您应该使用 https://adfshelp.microsoft.com/TroubleshootingGuides/Workflow/da33a6cd-166b-4fca-863a-73aec904c3fd 中的指南解决 WAP 信任问题。如果仍然卡住,请联系 Microsoft 支持。