我试图将我的ADFS / WAP移到云端,以便在遇到最近的失败后提供更好的恢复能力。
部分为了节省虚拟机成本,我只使用了2个虚拟机,在域控制器上安装了ADFS,在另一台机器上安装了WAP。 好像很多人推荐在域控制器上运行ADFS。
但是,当configurationWeb应用程序代理时,我有点卡住了。 它要求ADFS服务器上的本地pipe理员帐户…在这种情况下,我必须将该帐户添加到MyDomain \ Administrators,这是一个非常高风险的组。 这不符合在DC上运行ADFS的想法。
在启动WAP安装后configuration时,我正在查看联合服务器页面,在其中请求联合服务名称,并在其下方提示ADFS服务器上的本地pipe理员帐户。 当然,DC上没有本地pipe理员组,只有等效的Domain \ Administrators组才具有修改域本身的权限。
除了将ADFSangular色从DC上卸下之外,有没有办法解决这个问题? 一个更有限的帐户也许? 还是这个风险低于乍一看呢?
我使用了ADFS服务的域pipe理帐户,即使它不在DC上。 我可能误读它,并认为它需要一个域pipe理员。 我为它做了一个专门的帐户,ADFS服务器在防火墙内,我们正在运行一个没有join到DMZ域中的WAP。 对我们来说这是合理的安全。
如果你真的不想使用域pipe理员帐户,你必须把它从DC。
好的,我发现这个: http : //goodworkaround.com/node/53和仔细阅读,它说,pipe理员凭据不保存,但只用于创build初始代理信任。 这不是由我能find的微软文档清楚,但我会信任它。