none
ADFS Farm + Azure AD connect sync Tool RRS feed

  • Общие обсуждения

  • Всем добрый день.

    Имеется инфраструктура с бранч офисами. Предположим в Мадриде и барселоне.

    AD и все сопутствующие сервисы везде на всех сайтах развернуты и прекрасно работают.

    Вся инфраструктура в режиме AD level 2008R2 но под ос 2012R2

    ADFS Farm (1 member) + 2 WAP (NLB) развернуты только в основном сайте (Madrid). На ADFS сервер установлен AD Azure connect tool и настроена федерация между on-premise доменом и Azure AD (Hybrid).

    Пользователи прекрастно аутентифицируются через ADFS в Skype и Office 365 сервисах как из intranet так и из extranet посредством обращения к адресу adfs.domain.com естественно внутренние через частный IP напрямую к ADFS и внешние через публичный IP посредством ExternalIP>Firewall>NLB>WAP>ADFS. Везде используется wildcard сертификат.

    ADFS FARM использует встроеную базу no-sql.

    В планах разширить данную схему на Barcelona Site для обеспечения отказоустойчивости.  Помечено розовым цветом на схеме, планируется сделать Mirror конфиг.

    Возникло несколько очень важных вопросов так как найти информацию по нему не получается:

    1. После установки ADFS в бранч сайте Barcelona, по идее нужно на ADFS также установить AD Azure sync tool, вопрос правильно ли это и как оно будет работать.

    2. Насколько правильная ли данная конфигурация предпологая только по одному ADFS серверу на бранч

    3. Насколько возможно без костылей добавлять дополнительных мемберов в FARM в одном сайте к примеру

    4. Требуется ли прямой коннект между ADFS мемберами и какие порты для этого нужны.

    Заранее благодарю за ответы.


    28 сентября 2018 г. 14:45

Все ответы

  • Всем привет. Никаких предложение не у кого нет ?
    15 октября 2018 г. 19:59
  • Мысли такие:

    1. Azure tool sync лучше установить на отдельном хосте, не связанном с ADFS, ибо сервисы выполняют разные задачи. Более того его можно задублировать, но не как failover - читайте RTFM.

    2. ADFS (как и WAP) в каждом бранче лучше задублировать, минимум 2 шт, в  итоге в организации у вас будет один Primary и куча Secondary, в случае недоступности Primary всё будет работать и его роль можно будет передать на другой ADFS). Всё это расписано в документации, в том числе и какие порты открывать.

    3. Что касается балансировки, то можно использовать например DNS RR, или же лучше с проверкой доступности приложения - HA Proxy + split-DNS в каждом branch.

    16 октября 2018 г. 6:31