windows server AD DS trusts 和 ADFS 的分別是什麼?

windows server

jy02425100 2014-07-16 09:36:47 ‧ 5181 瀏覽

分享至

它們的分別是什麼? 什麼時候會用 ADFS 而不用 AD DS trusts? 還是通常是兩者會一起用? 請大大可以說明一下嗎? 最好可以舉一下例子 , 感謝~

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2014-07-16 14:03:53

最佳解答

AD Trust (不論是 Internet or External) 是比較古老的信任模式, 他是只單純讓 AD 的通訊跨越 Domain/Forest, 但在架構上, 並沒有考慮效能的最佳化.

AD Trust 建立之後, 每一個 Forest都會將所有 Forest 裡面的 AD 資料, 複寫到自己的 Global Catalog, 以確保使用 Kerberos 驗證時, 能即時取得驗證的資訊. 而且這個複寫會持續不斷的進行, 以確保帳號是隨時同步的.

所以, 如果公司打算跟 500 家經銷商建立 AD Trust, 每家經銷商又有 2 萬個帳號的話, 你可以想像: 公司裡面的 DC 會受到多大的衝擊? 如果你還有跨 Site 複寫 DC 的話 (多個 Site 有自己的 GC), 那個 Trust 的複寫量, 馬上會把你的 Site-to-Site VPN 頻寬給塞爆掉.

而且, 後面的持續複寫, 又會持續將你的 VPN 塞爆.

Federation 因為架構不同, 所以不會有這種問題, 可以應付百萬帳號等級的跨網域信任.

回應 1
分享
檢舉

jy02425100 iT邦新手 5 級 ‧ 2014-07-16 21:31:47 檢舉

感謝 , 長知識了 , 原來是GC的問題 .
但我還有一個問題想問大大 , 假設2間公司 , A和B , 建立相互信任關係 . 那就要設定DNS能找到對方的DC才能建立到信任關係 , 對吧? 但DC應該設在公司內部的 , 用私有IP , 那怎找到對方DC?因為我一開頭是以為因為這個原因所以用ADFS而不用AD TRUST的.

登入發表回應