ADFS 架構介紹

ADFS可以作為單臺服務器存在，也可以作為群集存在。

在一個域中，可以存在多臺獨立的adfs，并且他們相互不干擾也不存在任何關系。也就是說允許存在多個adfs系統，用于提供給不同服務。例如y.com中可以存在一臺adfs.y.com的聯合身份驗證服務器和存在一臺sso.y.com的聯合身份驗證服務器，這兩臺服務器彼此獨立。

另外一種情況就是adfs的群集，這分兩種情況，

一種是使用windows內置數據庫，

一種是使用sql數據庫。

區別在于，使用windows內置數據庫的adfs有一臺主服務器，其他是從屬服務器，其中主服務器可以寫入adfs數據庫，而其他從服務器只能提供adfs的驗證，數據庫可讀，但是不可寫入。也可以正常提供adfs服務，但是要進行系統配置的時候只能配置主服務器，如添加一個信賴方配置，從服務器無法配置。

而使用sql數據庫，不存在從屬關系，任意一臺ADFS服務器都可以配置，并且會自動同步到所有服務器

下面找到一篇文章介紹，轉載自：http://www.myexception.cn/dynamics-crm/2155784.html

默認拓撲 Active Directory 聯合身份驗證服務 (AD FS) 是聯合服務器場，使用 Windows 內部數據庫(WID)。 在這種拓撲， AD FS 使用 WID 作為存儲的所有聯合服務器加入到該場的 AD FS 配置數據庫。 服務器場復制和維護場中每臺服務器的配置數據庫中的聯合身份驗證服務數據。AD FS Windows Server 2012 R2 中啟用具有 100 個或更少信賴方信任配置使用最多 30 個服務器使用 WID 的聯合服務器場的組織。 

創建第一個聯合服務器場中的操作也將創建新的聯合身份驗證服務。 當您使用 WID 的 AD FS 配置數據庫時，在服務器場中創建的第一個聯合服務器稱為 主聯合服務器。 這意味著此計算機配置 AD FS 配置數據庫的讀/寫副本。

為此服務器場配置的所有其他聯合服務器稱為 輔助聯合服務器 因為它們必須將復制到它們在本地存儲的 AD FS 配置數據庫的只讀副本的主聯合服務器所做的任何更改。

下表提供有關使用 WID 服務器場的摘要。 使用它來計劃您的實現。

此拓撲圖的優缺點：

1、WID 是隨 Windows;因此，無需購買 SQL Server

2、提供對內部用戶的 SSO 訪問

 拓撲圖：

注意：

如果在此單個 NLB 主機上出現故障，用戶不能訪問聯合應用程序或服務。 如果您的業務要求不允許存在單點故障，請添加其他 NLB 主機。