无法连接到非主要 ADFS 场成员

无法连接到非主要 ADFS 场成员

我们已经部署 2012 R2 ADFS 农场一段时间了。

今天,在更改 ADFS 配置的 Web 主题时,我注意到无法使用其 FQDN 从我的工作站连接到我们服务器场中的辅助服务器。

我可以毫无问题地连接到主服务器(除了证书使用内部 FQDN 无效之外)。在诊断时,我发现如果我登录到辅助服务器并使用 localhost,它可以正常工作,因此只有远程连接有问题。

我可以看到一些 ADFS 事件,表明辅助服务器确实在处理身份验证请求,但我现在担心当主服务器停机维护时,任何依赖基于表单的身份验证的设备都将无法工作。我尝试重新启动服务器,检查以确保防火墙没有阻止端口,现在不确定还有什么问题。

似乎没有任何类型的 IIS 安装供我查看设置,所以我很困惑。有人能提供一些建议,说明为什么我无法远程连接到此辅助服务器吗?

答案1

在 Pierre 的帮助下这里,答案是:

这是因为 SNI。HTTP 标头中的主机名必须是农场的名称才能访问它。

如果您想测试第二台服务器是否正常工作,请在您的工作站上的 HOSTS 文件中创建一个条目:

例如,如果您的 ADFS 服务器的 IP 地址为 10.0.0.1 和 10.0.0.2。群集的 IP 为 10.0.0.3。并且场的名称为 adfs.contoso.com,请创建一个条目,如下所示:

10.0.0.2 adfs.contoso.com

相关内容