如果两个 ADFS 服务器使用 wid(adfs1 和 adfs2)进行负载平衡,两个 ADFS 代理服务器(proxy1 和 proxy2)也进行负载平衡。proxy1 上记录了一条错误消息,指出“联合代理服务器无法更新其与联合服务的信任”(事件 id 394)。
修复似乎是确保 proxy1 正在与主 ADFS 服务器 adfs1(而不是负载平衡 adfs1 和 adfs2 作为 adfs.domain.com 的 VIP)对话并重新注册它。我通过将 FQDN adfs.domain.com 设置为指向 proxy1 上的主机文件中的 adfs1 来做到这一点。我希望它会继续想要更新信任,所以我应该保持这种状态。这似乎打破了 2x2 的完整网格冗余,因为 proxy1 只会与 adfs1 对话。在此配置中是否有更好的方法来处理此问题?
我知道迁移到 SQL Server 可能是一种选择,但这是我想避免的另一个单点故障,因为这不是一个庞大的部署。还有其他想法吗?
谢谢您的帮助!
麦克风
有关的:
您不需要将 WAP 指向特定的 AD FS(例如您现在正在执行的主文件)。您应该使用负载平衡地址让 WAP 到达两个 AD FS 之一。
不同之处在于,当使用基于 WID(未使用 SQL)的 AD FS 建立信任时,信任设置将根据负载均衡器是否选择主节点而立即完成或在 6 分钟内完成。这是设计使然,因为通过辅助节点完成的任何设置都会重定向到主节点,然后必须同步回辅助节点,默认情况下每 5 分钟发生一次。
让您的部署尽可能简单,不要让它变得比需要的更复杂。https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/design/federation-server-farm-using-sql-server解释了应该影响您是否需要 SQL 的 WID 限制。
您应该使用https://adfshelp.microsoft.com/TroubleshootingGuides/Workflow/da33a6cd-166b-4fca-863a-73aec904c3fd上的指南解决 WAP 信任问题。如果仍然卡住,请联系 Microsoft 支持。