上一篇文章中提到了，需要先创建第一个ADFS场然后再切换数据库，最后将第二个ADFS服务器加入到第一个场里面，明白这个思路后就直接开干吧！

安装ADFS组

安装完成后点击配置

选择创建第一个场

连接到ADDS的账号权限要求是比较高的，这里微软是提供了一种叫组托管服务账号的，POC中勾选的是超级管理员

----------------------------------------留一丢丢空间来说下组托管服务账号------------------------------------------------

一般来讲不管是21V还是国际版集书支持都会要求你使用域管理员账号来连接到ADDS，但是生产环境中客户会给你这么高的权限吗？客户给了你这个权限（对不起客户应该给不了你这么高的权限），出于安全考虑，正规军客户会让你自己想办法所以我也推荐大家使用组托管服务账号，这个账号是以服务形式存在的，并没有密码，也无法登录任何系统。

那么问题来了，如何创建这个组托管服务账号呢？

首先需要再ADFS服务器上注册一个rootkey，要想这个key立即生效则需要添加参数addhours(-10)强制改成当前时间以便生效

然后登录任意一台DC，创建服务账号

New-ADServiceAccount #服务账号的名称自定义# -DNSHOSTNAME #ADFS对外访问的FQDN# -ServicePrincipalnames http/#ADFS对外访问的FQDN#

创建完成后，打开 AD 用户与计算机，查找到创建的 FsGmsa 服务用户信息

-----------------------------------------------------深藏功与名，ADFS组托管服务账号介绍完毕---------------------------------------------------

回到现实ADFS部署：

选择公网证书，注意联合身份验证服务名称一定是FQDN（看见下图的adfs.ucssi.cn了没，那里一定要写FQDN，这也是对外发布和访问的FQDN）

同时内部DNS中ucssi.cn区域需要新建adfs记录指向两台ADFS服务器（如果还要更牛逼一点的架构，请在两台ADFS上安装NLB，内部DNS解析指向NLB的地址，亲测极为稳定）

公网增加一条adfs记录指向ADFS反向代理的公网IP

接下来就是随便选择一个SQL Server来作为后端数据库，结合上一篇文章，最后要记得切换成alwayson的侦听器FQDN哦。

最终肯定是配置成功的

接下来就是在第二台ADFS服务器是来安装ADFS服务并添加到场里面

第二台ADFS指定数据库的时候请直接填写SQL alwayson的侦听器FQDN

然后跟第一台一样的步骤选择公网证书，服务账号然后下一步进行配置，毫无意外可言妥妥的装好第二台ADFS。

小总结：

ADFS的高可用，官方的说法是ADFS场，这点不可否认，那么此时需要做一个DNS轮询，将ADFS访问FQDN同时指向两台ADFS服务器，当然希望架构更加有逼格一点的，建议直接搞个NLB，ADFS访问FQDN直接指向NLB地址。这样才是真正意义上的服务和访问架构的高可用。整个ADFS高可用部署需要前后端兼顾实施！！！