2016-07-07 234 views
0

我在Azure配置中訪問ADFS的REST API時看到奇怪的行爲。Azure負載均衡問題?

比方說,我使用OpenSSl或DigiCert這樣的工具來測試我的網站是否返回了正確的證書。例如:

openssl s_client -connect adfs.{mydomain}.com:443 

多次運行將交替返回正確的證書和錯誤的證書。

的配置如下:

  1. CNAMES爲ADFS,WWW,和ADRMS一直在DNS創建,它們指向{} MYDOMAIN其testsvc.cloudapp.net是Azure的公共主機。
  2. 一個SAN證書已經創建和安裝Web服務器面臨
  3. 主題名稱在互聯網上:WWW {} MYDOMAIN .COM
  4. 主題備用名稱:ADFS {} MYDOMAIN .COM,ADRMS {} MYDOMAIN。 。com,萬維網{} MYDOMAIN .COM
  5. 運行「Netsh的HTTP顯示的sslcert」在Web服務器上顯示兩個ADFS和ADRMS主機名權證書:端口
  6. 的WebApplicationProxy安裝,讓我達到ADFS {。 MYDOMAIN}的.com/ADFS /的oauth2/XXX。

如果我運行一個稍微不同的測試:

openssl s_client -connect adrms.{mydomain}.com:443 

然後,我也得到交替不同的證書。我確定邊緣服務器提供了正確的證書,並且adrms服務器提供了「不良」證書。事實上,這個證書確實沒什麼問題,它不應該提供給有人要求adfs {mydomain} .com。

那麼,爲什麼連接到adfs的請求交替地連接到邊緣服務器和adrms服務器?我現在要去哪裏尋找解決這個問題?我承認我對WebApplicationProxy知之甚少,以及如何通過邊緣服務器引導所有流量(包括adrms流量)。

我可以提供一個真正的URI來通過私人消息來演示問題。

另外:我懷疑是負載平衡器,因爲我的網絡日誌有很多來自「負載平衡器代理」的請求。但是,我找不到配置的一個。我用過:

Get-AzureInternalLoadBalancer 
Get-AzureRMLoadBalancer 

既不返回任何東西。

回答

0

好吧,發佈我的問題後,我突然解決了問題。

我在使用「經典」管理控制檯。我切換到了portal.azure.com來管理我的部署。當我導航到邊緣服務器和adrms服務器時,我發現它們都是Load Balanced Set的一部分。我不知道爲什麼PowerShell腳本沒有顯示這個。

爲了解決這個問題,我不得不將它們從LB集中刪除並重新創建邊緣服務器的端點。

的步驟是:

  1. 轉至管理門戶。 (portal.azure.com)
  2. 選擇虛擬機
  3. 點擊我的ADRMS VM
  4. 點擊負載平衡設置,負載平衡器上
  5. 點擊
  6. 點擊 「離開」
  7. 做這些相同對於邊緣VM
  8. 對於邊緣VM的步驟添加一個新的端點端口443

這工作,因爲邊緣服務器還處理將流量重定向到adrms服務器。

我希望這可以節省一個人頭痛。