Farm do ADFS 2.0 - Como faço uma sincronização imediata?

Navegue suas respostas
3

Estamos usando o ADFS 2.0 em um servidor do Windows 2008, em um farm e com o intervalo de pesquisa padrão de 5 minutos. Estamos fazendo uma mudança hoje à noite e preferimos sincronizar imediatamente do que esperar que o outro cara atualize, especialmente porque poderíamos estar fazendo várias alterações.

Este artigo do Technet menciona que posso alterar o intervalo de pesquisa ou fazer uma sincronização imediata entre meus servidores:

link

Eu verifiquei os commandlets powershell para o ADFS e só consigo encontrar um que me permita definir o intervalo de pesquisa, mas não executar uma sincronização imediata de 1 hora

Pesquisou os suspeitos usuais, mas simplesmente não consegue encontrar um comando ADFS-SyncMyStuffNow ...

Alguém?

    
por Matt 03.12.2010 / 00:56

2 respostas

2

Portanto, esta não é a resposta exata, mas depois de mais leituras, percebi que, se você deseja uma sincronização imediata, é necessário usar o servidor SQL compartilhado. Depois de ter um servidor compartilhado, não há mais "primário" - eles podem fazer alterações e estão em sincronia imediata.

Também não parece haver uma maneira (suportada) de migrar um servidor independente para o SQL Server; ele precisa ser reconstruído.

    
por 08.12.2010 / 00:32
1

Recentemente, tivemos um problema com um farm do AD FS usando bancos de dados internos do Windows e o balanceamento de carga de rede da Microsoft. O servidor secundário não seria sincronizado com o principal, causando muitos problemas de autenticação intermitente. A inspeção manual dos bancos de dados SQL (\. \ Pipe \ MSSQL $ MICROSOFT ## SSEE \ sql \ query) usando o SQL Server Management Studio confirmou que as políticas não estavam sendo sincronizadas. Especificamente, se você abrir a tabela ServiceStateSummary, notaríamos que os números de série permaneceram em zero. Além disso, o log de eventos mostrou que 0 objetos foram adicionados / mesclados ao banco de dados.

A primeira coisa que fiz foi verificar se o nome DNS do servidor principal era solucionável. Sem dados. Então eu consertei as configurações de DNS no servidor secundário. Ainda não há dados. Finalmente, eu reran o assistente, desta vez com as configurações de DNS corrigidas, recebi outro erro. Algo no sentido de que o servidor de federação principal parecia estar ocupado. Percebi que o administrador anterior definiu o nome do servidor de federação principal como o nome da federação do IDP (external.hostname.com). Mudei a configuração do nome do servidor principal para o nome real do servidor primário (FS01), percorri o assistente e tudo funcionou como um encanto!

Moral da história:

  1. Verifique suas configurações de DNS para garantir que o nome real do servidor de federação principal seja resolúvel.
  2. Execute novamente o assistente depois de alterar suas configurações de DNS e verifique o log de eventos do AD FS Admin no visualizador de eventos para obter o status de sincronização. Você deve ver a contagem de objetos mesclados / adicionados igual a > 0.
  3. Nunca use o nome da federação do IDP para o nome do servidor principal. Use o nome REAL / host do servidor de federação principal.
  4. Dar um ciclo no serviço do AD FS sempre forçará uma ressincronização.

Boa sorte e espero que isso ajude!

    
por 03.02.2011 / 23:51

Tags

iptables nat: Manuseia a cadeia OUTPUT através da cadeia PREROUTING / forward de OUTPUT para PREROUTING Recomendações para criar um streamer de webcam simples e com vários níveis (?)