我们正在服务器 2012 R2 上部署 ADFS。Microsoft 建议至少使用 2 台 ADFS 服务器和 2 台在 DMZ 中运行 Web 应用程序代理角色的服务器。
我的问题是:我们已经在 DMZ 中安装了 2 个运行 mod_balancer 的 Apache 反向代理服务器。除了失去进行预身份验证的能力之外。有什么理由使用微软 Web 应用程序代理服务器而不是 Apache?我们没有硬件负载平衡器。
谢谢!
编辑:
换句话说。使用冗余 Apache reverse_proxies (VRRP) + mod_reverse_balancer 对 ADFS 场进行负载平衡与使用 NLB 的 Windows 应用程序代理和使用 NLB 的 ADFS 场相比,有何影响?
答案1
在我看来,没有什么大的理由使用 Windows WAP 而不是 Apache 服务器。如果您使用 WAP,那么您当然可以更好地与 ADFS 集成,您可以使用内置的双因素身份验证。但您需要额外的服务器,如果您的环境中已经有反向代理/负载平衡器,那就不太好。
请注意一件事:ADFS 使用 Windows 身份验证。当从 Web 访问服务器时,您需要在反向代理上使用某种机制来将代理的表单身份验证“翻译”为 ADFS 使用的 NTLM/Kerberos 身份验证(除非您可以只显示浏览器的默认“登录提示”)。
在我的公司,我们在 F5 反向代理后面有 ADFS 3.0 服务器,一切运行正常。没有 WAP。