Я пытаюсь переместить свой ADFS / WAP в облако, чтобы повысить устойчивость после недавнего сбоя.
Частично для экономии затрат на виртуальные машины я использую всего 2 виртуальные машины, с ADFS, установленным на контроллере домена, и WAP на отдельной машине. Похоже, что многие люди рекомендуют запускать ADFS на контроллере домена.
Я немного застрял, когда приходит время настраивать прокси веб-приложения. Он запрашивает учетную запись локального администратора на сервере ADFS ... в этом случае мне пришлось бы добавить учетную запись в MyDomain \ Administrators, группу довольно высокого риска. Это не совсем соответствует идее запуска ADFS на DC.
При запуске постустановочной конфигурации WAP я смотрю на страницу сервера федерации, где запрашивается имя службы федерации, а чуть ниже запрашивается учетная запись локального администратора на сервере ADFS. Конечно, на DC нет группы локальных администраторов, только эквивалентная группа Domain \ Administrators, которая дает доступ к изменению самого домена.
Есть ли способ обойти это, кроме снятия роли ADFS с DC? Может быть, более ограниченная учетная запись? Или это меньший риск, чем кажется на первый взгляд?
Хорошо, я нашел это: http://goodworkaround.com/node/53 При внимательном чтении говорится, что учетные данные администратора не сохраняются, а используются только для создания начального доверия прокси. Это НЕ ясно сказано в документации Microsoft, которую я смог найти, но я собираюсь ей доверять.
Я использовал учетную запись администратора домена для нашей службы ADFS, хотя ее нет на контроллере домена. Я, вероятно, неправильно его прочитал и подумал, что для этого нужен администратор домена. Я создал для него специальную учетную запись, и сервер ADFS находится внутри брандмауэра, и мы используем WAP, который не присоединен к домену в DMZ. Для нас это разумная безопасность.
Если вы действительно не хотите использовать учетную запись администратора домена, вам придется снять ее с контроллера домена.