在最近经历故障后,我正尝试将我的 ADFS / WAP 移至云端以获得更好的弹性。
为了节省虚拟机成本,我只使用 2 台虚拟机,ADFS 安装在域控制器上,WAP 安装在单独的机器上。似乎很多人建议在域控制器上运行 ADFS。
不过,在配置 Web 应用程序代理时,我有点不知所措。它要求在 ADFS 服务器上有一个本地管理员帐户……在这种情况下,我必须将该帐户添加到 MyDomain\Administrators,这是一个相当高风险的组。这实际上不符合在 DC 上运行 ADFS 的想法。
启动 WAP 安装后配置时,我查看了联合服务器页面,其中要求输入联合服务名称,下面提示输入 ADFS 服务器上的本地管理员帐户。当然,DC 上没有本地管理员组,只有等效的域\管理员组,该组授予修改域本身的权限。
除了将 ADFS 角色从 DC 中移除之外,还有其他方法可以解决这个问题吗?也许是一个限制较多的帐户?或者这种风险比乍一看的要低?
答案1
好的,我发现了这个:http://goodworkaround.com/node/53仔细阅读后,它说管理员凭据不会被保存,而只会用于创建初始代理信任。我找到的 Microsoft 文档并没有明确说明这一点,但我还是会相信它。
答案2
我为我们的 ADFS 服务使用了域管理员帐户,尽管它不在 DC 上。我可能误读了它并认为它需要域管理员。我为它创建了一个专用帐户,ADFS 服务器位于防火墙内,我们正在运行未加入 DMZ 域的 WAP。对我们来说,这是合理的安全性。
如果您确实不想使用域管理员帐户,则必须将其从 DC 中删除。