Действительно ли это - плохая идея установить ADFS на самом AD сервере?
Две опции я посмотрел бы на.
Один, включите сервер VNC на машине SUSE, затем используйте Средство просмотра VNC, чтобы соединиться с той машиной и видеть рабочий стол.
В зависимости от того, что Вы делаете на той машине, вторая опция состоит в том, чтобы загрузить CD XLive (или некоторый другой X-клиент для Windows) и затем защитить оболочку в машину SUSE (ssh-X user@ip), и затем можно запустить удаленные графические приложения, как будто они были в системе Windows.
Лично, если бы Вы используете VNC, я посмотрел бы на создание туннелей SSH для VNC; VNC не шифруется так, пароли и операции могли быть сниффинговыми в сети. Вы сделали бы что-то подобное ssh-p 5900-f-N-L 5900:ipaddress:5900 yourname@ipaddress для создания туннеля, затем открыли бы VNC Viewer и подключение к localhost в системе Windows. Это означает, что необходимо было бы использовать шпаклевку или cygwin для получения SSH на компьютере Windows сначала, но после того как Вы делаете это, у Вас будет безопасный зашифрованный туннель между Вашей системой и Вашим VM, по которому можно просмотреть рабочий стол. Если командная строка является неправильной, что кто-то еще может отредактировать это или исправить ее, но ее должно быть достаточно для помещения Вас на правильном пути, если Вы хотите искать, как настроить это.
Это должно быть нормально для установки на контроллерах домена. Пока имеются разумные кеши поиска (для DNS) и аренды (для DHCP), и у вас есть надлежащее количество контроллеров домена для вашей среды (ответ никогда не будет «один контроллер домена»), ADFS не должен создавать огромную нагрузку. .
I'm fairly certain you will need to specify LDAP ports other than default in this scenario. Otherwise, it should function fine.
Да, это поддерживаемая конфигурация, когда AD и ADFS находятся на одном устройстве, поэтому проблем не возникает. Но поскольку в целом предпочтение отдается размещению ролей AD на выделенных серверах, такая конфигурация не рекомендуется.
Когда вы обновляете AD в будущем, вам придется делать обновления на месте этого сервера вместо понижения / повышения новых контроллеров домена.
Если вы также планируете, что этот сервер будет доступен из Интернета, то это также не лучшая конфигурация с точки зрения безопасности, если только вы не планируете использовать прокси-серверы ADFS.
Итак, если это очень маленькая среда, в которой у них нет другие серверы или средства даже использования виртуализации для размещения ролей на разных гостевых ОС, тогда да, вы можете это сделать.