ADFS可以作为单台服务器存在,也可以作为群集存在。
在一个域中,可以存在多台独立的adfs,并且他们相互不干扰也不存在任何关系。也就是说允许存在多个adfs系统,用于提供给不同服务。例如y.com中可以存在一台adfs.y.com的联合身份验证服务器和存在一台sso.y.com的联合身份验证服务器,这两台服务器彼此独立。
另外一种情况就是adfs的群集,这分两种情况,
一种是使用windows内置数据库,
一种是使用sql数据库。
区别在于,使用windows内置数据库的adfs有一台主服务器,其他是从属服务器,其中主服务器可以写入adfs数据库,而其他从服务器只能提供adfs的验证,数据库可读,但是不可写入。也可以正常提供adfs服务,但是要进行系统配置的时候只能配置主服务器,如添加一个信赖方配置,从服务器无法配置。
而使用sql数据库,不存在从属关系,任意一台ADFS服务器都可以配置,并且会自动同步到所有服务器
下面找到一篇文章介绍,转载自:http://www.myexception.cn/dynamics-crm/2155784.html
默认拓扑 Active Directory 联合身份验证服务 (AD FS) 是联合服务器场,使用 Windows 内部数据库(WID)。 在这种拓扑, AD FS 使用 WID 作为存储的所有联合服务器加入到该场的 AD FS 配置数据库。 服务器场复制和维护场中每台服务器的配置数据库中的联合身份验证服务数据。AD FS Windows Server 2012 R2 中启用具有 100 个或更少信赖方信任配置使用最多 30 个服务器使用 WID 的联合服务器场的组织。
创建第一个联合服务器场中的操作也将创建新的联合身份验证服务。 当您使用 WID 的 AD FS 配置数据库时,在服务器场中创建的第一个联合服务器称为 主联合服务器。 这意味着此计算机配置 AD FS 配置数据库的读/写副本。
为此服务器场配置的所有其他联合服务器称为 辅助联合服务器 因为它们必须将复制到它们在本地存储的 AD FS 配置数据库的只读副本的主联合服务器所做的任何更改。
下表提供有关使用 WID 服务器场的摘要。 使用它来计划您的实现。
|
1-100 RP 信任 |
超过 100 个 RP 信任 |
|
|
1-30 AD FS 节点 |
WID 支持 |
使用 WID 的所需 SQL 不支持 |
|
超过 30 AD FS 节点 |
使用 WID 的所需 SQL 不支持 |
使用 WID 的所需 SQL 不支持 |
此拓扑图的优缺点:
1、WID 是随 Windows;因此,无需购买 SQL Server
2、提供对内部用户的 SSO 访问
拓扑图:
注意:
如果在此单个 NLB 主机上出现故障,用户不能访问联合应用程序或服务。 如果您的业务要求不允许存在单点故障,请添加其他 NLB 主机。