Active Directory Federation Services (AD FS) 信任原則檔案定義 Federation Service 識別夥伴、憑證、帳戶存放區、宣告以及 Federation Service 相關實體的各種內容所需的參數集。
在相同網路中建立二或多個同盟伺服器,會將每一個同盟伺服器都設定為使用相同的信任原則檔案,並將每一個伺服器的權杖簽署憑證 (驗證憑證) 的公開金鑰新增到信任原則,建立同盟伺服器陣列。
附註 | |
對於陣列來說,很重要的一點是,要在未加入該陣列做為同盟伺服器的電腦上共用信任原則檔案。Microsoft 網路負載平衡 (NLB) 不允許加入陣列的任何電腦相互通訊。 |
將 trustpolicy.xml 檔案放入共用資料夾之後,您要使用適當的權限保護此共用。這表示若要每個新同盟伺服器順利共用信任原則檔案,就必須至少提供唯讀存取權給陣列中每一同盟伺服器上的電腦帳戶。即使電腦帳戶擁有唯讀權限,Federation Service 的系統管理員也可以修改信任原則檔案。