Назад | Перейти на главную страницу

Параметры обратного прокси ADFS 3.0 с балансировкой нагрузки

Мы развертываем ADFS на сервере 2012 R2. Microsoft рекомендует минимум 2 сервера ADFS и 2 сервера, на которых выполняется роль прокси веб-приложения в DMZ.

Мой вопрос: у нас уже есть 2 обратных прокси-сервера Apache в демилитаризованной зоне, на которых запущен mod_balancer. Помимо потери возможности выполнять предварительную аутентификацию. Есть ли причина использовать прокси-серверы веб-приложений Microsoft против Apache? У нас нет аппаратного балансировщика нагрузки.

Спасибо!

РЕДАКТИРОВАТЬ:

Другими словами. Каковы последствия использования избыточных reverse_proxies (VRRP) + mod_reverse_balancer Apache для балансировки нагрузки фермы ADFS и прокси-серверов приложений Windows с использованием NLB и фермы ADFS с использованием NLB?

На мой взгляд, нет серьезных причин использовать Windows WAP вместо ваших серверов Apache. Если вы используете WAP, то, конечно, у вас лучшая интеграция с ADFS, вы можете использовать встроенную двухфакторную аутентификацию. Но вам нужны дополнительные серверы, что не очень удобно, если в вашей среде уже есть обратные прокси / балансировщики нагрузки.

Будьте осторожны с одной вещью: ADFS использует проверку подлинности Windows. При доступе к вашим серверам из Интернета вам понадобится какой-то механизм на обратных прокси-серверах для «перевода» форм-аутентификации вашего прокси в NTLM / Kerberos-аутентификацию, используемую ADFS (ну, если только вы не можете просто показать "логин по умолчанию" подсказка »вашего браузера).

В моей компании есть серверы ADFS 3.0 за обратными прокси-серверами F5, и все работает правильно. Нет WAP.