J'essaie de déplacer mon ADFS / WAP vers le nuage pour offrir une meilleure résilience après avoir connu une panne récente.
En partie pour économiser sur les coûts des VM, j'utilise seulement 2 VM, avec l'ADFS installé sur un contrôleur de domaine, et le WAP sur une machine séparée. Il semble que de nombreuses personnes recommandent d'exécuter l'ADFS sur un contrôleur de domaine.
Je suis cependant un peu bloqué lorsqu'il s'agit de configurer le proxy d'application Web. Il demande un compte d'administrateur local sur le serveur ADFS... dans ce cas, je dois ajouter le compte à MyDomain... \Administrators un groupe à haut risque. Cela ne correspond pas vraiment à l'idée d'exécuter ADFS sur un DC.
Lorsque je lance la configuration post-installation du WAP, je regarde la page du serveur de la fédération, où il est demandé le nom du service de la fédération, et juste en dessous il est demandé un compte d'administrateur local sur le serveur ADFS. Il n'y a pas de groupe d'administrateurs locaux sur le DC bien sûr, seulement l'équivalent Domain \Administrators qui donne accès à la modification du domaine lui-même.
Existe-t-il un moyen de contourner ce problème, à part retirer le rôle ADFS du DC ? Un compte plus limité peut-être ? Ou est-ce moins risqué qu'il n'y paraît à première vue ?
