Qual é a diferença entre o ADFS e o controlador de domínio de diretório ativo?

Um Controlador de Domínio detém o verdadeiro "Active Directory", ou seja a base de dados de contas de usuários e computadores que são membros do domínio.

O ADFS -- Servidor Active Directory Federation -- não detém essa base de dados, mas serve como intermediário de outro/diferente domínio externo (ou similar), então consulta um Controlador de Domínio Active Directory real para solicitar autenticação para usuários que tentam acessar a partir desse ambiente externo.

Um exemplo comum seria uma implantação do Office 365 no Microsoft Cloud (ou seja, na Internet) solicita que o servidor ADFS autentique cada usuário O365 contra o domínio interno. ADFS passaria esse pedido para um controlador de domínio e a resposta de volta para o Office 365 - se bem-sucedido, o usuário AD interno teria acesso aos recursos O365 baseados na nuvem (e-mail, etc.).

Frequentemente é realmente O365 para um ADFS Proxy (que é acessível a partir da Internet) que passa o pedido para um servidor ADFS (dentro das firewalls) e depois para um controlador de domínio em uma rede interna. (A idéia é proteger os servidores de domínio sensível contra hackers na Internet.)

O servidor "Federation" permite a "federação" que essencialmente permite aos servidores de recursos externos confiar no domínio interno Active Directory sem ter uma "confiança" direta entre eles.