Назад | Перейти на главную страницу

Есть ли недостатки в наличии двух серверов ADFS в домене?

Мы работаем с крупным клиентом, который хочет иметь две совершенно разные среды для установки CRM 2011. И это привело бы к наличию двух отдельных серверов ADFS в домене. Есть ли какие-либо негативные последствия для наличия двух серверов ADFS внутри домена? Очевидно, что они будут жить по разным URL-адресам, но для их аутентификации будут полагаться на один и тот же лес AD.

Я не могу сказать наверняка (кто-то определенно может доказать, что я ошибаюсь), но я думаю, что единственное, что вы потеряете, - это файл cookie для единого входа. Я полагаю, что это касается отдельных ферм. Этот файл cookie сигнализирует о том, что вы уже прошли проверку подлинности через сервер ADFS, и не требует повторной проверки подлинности, если сервер ADFS настроен для этого.

Я говорю о такой ситуации:

  1. Пользователь переходит в веб-приложение 1 и перенаправляется на сервер ADFS №1.
  2. Пользователь аутентифицирован сервером ADFS №1
  3. Пользователь переходит в веб-приложение 2 и перенаправляется на сервер ADFS №1.
  4. Если у вас есть файл cookie, сервер ADFS не будет повторять попытку аутентификации, если SingSignOn настроен на сервере ADFS. Он знает, что он уже недавно аутентифицировал вас.

Теперь, если вы замените Сервер №2 на шаге 3, я представить что cookie будет храниться в каждой базе данных SQL ADFS - и это не просто закодированная форма билета Kerberos.

Поскольку серверы №1 и №2 не совместно используют базу данных SQL (они не находятся в ферме), вы не получите функцию SingleSignOn. Так что некоторые эффективно потеряны - вероятно, не имеет большого значения, если вы не находитесь в огромной среде. Он просто запустит еще одну аутентификацию в AD.

В остальном они будут работать нормально и аутентифицировать пользователей в течение всего дня. На самом деле у нас есть две фермы ADFS: одна заставляет вход в систему FORMS, а другая только позволяет интегрировать Windows. У нас отключен SingleSignOn, или у меня есть для вас окончательный ответ.