Planen der AD FS-Bereitstellungstopologie
Der erste Schritt bei der Planung einer Bereitstellung von Active Directory-Verbunddienste (AD FS) besteht darin, die geeignete Bereitstellungstopologie festzulegen, die die Anforderungen Ihrer Organisation erfüllt.
Bevor Sie diesen Artikel lesen, überprüfen Sie, wie AD FS-Daten gespeichert und auf andere Verbundserver in einer Verbundserverfarm repliziert werden, und stellen Sie sicher, dass Sie den Zweck und die Replikationsmethoden kennen, die für die zugrunde liegenden Daten verwendet werden können, die in der AD FS-Konfigurationsdatenbank gespeichert sind.
Es gibt zwei Datenbanktypen, die Sie zum Speichern von AD FS-Konfigurationsdaten verwenden können: interne Windows-Datenbank (WID) und Microsoft SQL Server. Weitere Informationen hierzu finden Sie unter The Role of the AD FS Configuration Database (Die Rolle der AD FS-Konfigurationsdatenbank). Betrachten Sie die verschiedenen Vorteile und Einschränkungen bei der Verwendung von WID oder SQL Server als AD FS-Konfigurationsdatenbank und die verschiedenen Anwendungsszenarien, die sie unterstützen, und treffen Sie dann Ihre Auswahl.
Wichtig
Unabhängig vom verwendeten Datenbanktyp wird empfohlen, mindestens zwei Verbundserver pro Verbundserverfarm für alle Produktionsumgebungen bereitzustellen, um eine grundlegende Redundanz, einen Lastenausgleich und die Optionen zur Skalierung des Verbunddiensts (falls erforderlich) zu implementieren.
Festlegen, welcher AD FS-Konfigurationsdatenbanktyp verwendet werden soll
AD FS verwendet eine Datenbank zum Speichern von Konfigurations- – und in einigen Fällen – Transaktionsdaten, die mit dem Verbunddienst zusammenhängen. Mit der AD FS-Software können Sie entweder die integrierte interne Windows-Datenbank oder Microsoft SQL Server 2008 oder höher auswählen, um die Daten im Verbunddienst zu speichern.
Für die meisten Zwecke sind die zwei Datenbanktypen relativ gleichwertig. Es gibt jedoch einige Unterschiede, die Ihnen bewusst sein sollten, bevor Sie mehr über die verschiedenen Bereitstellungstopologien erfahren, die Sie mit AD FS verwenden können. In der folgenden Tabelle sind die Unterschiede bei unterstützten Funktionen zwischen einer WID-Datenbank und einer SQL Server-Datenbank beschrieben.
BESCHREIBUNG | Funktion | Unterstützt von WID? | Unterstützt von SQL Server? |
---|---|---|---|
AD FS-Features | Bereitstellung einer Verbundserverfarm | Ja. Eine WID-Farm hat einen Grenzwert von 30 Verbundservern, wenn Sie über 100 oder weniger Vertrauensstellungen der vertrauenden Seite verfügen. Eine WID-Farm unterstützt keine Erkennung einer Tokenmehrfachverwendung oder Artefaktauflösung – Teil des SAML-Protokolls (Security Assertion Markup Language). |
Ja. Es gibt keine erzwungene Begrenzung für die Anzahl der Verbundserver, die Sie in einer einzelnen Farm bereitstellen können. |
AD FS-Features | SAML-Artefaktauflösung Hinweis: Dieses Feature ist für Szenarien mit Microsoft Online Services, Microsoft Office 365, Microsoft Exchange oder Microsoft Office SharePoint nicht erforderlich. |
Nein | Ja |
AD FS-Features | Erkennung von SAML/WS-Verbundtokenwiederholungen | Nein | Ja |
Datenbankfeatures | Grundlegende Datenbankredundanz über eine Pullreplikation, bei der ein oder mehrere Server, auf denen eine schreibgeschützte Kopie der Datenbank gehostet ist, Änderungen anfordern, die auf einem Quellserver durchgeführt werden, auf dem eine Lese-/Schreibkopie der Datenbank gehostet ist | Ja | Nein |
Datenbankfeatures | Datenbankredundanz mithilfe von Hochverfügbarkeitslösungen, z. B. Failoverclustering oder Datenspiegelung (nur auf Datenbankebene) Hinweis: Alle AD FS-Bereitstellungstopologien unterstützen Clustering auf der AD FS-Dienstebene. | Nein | Ja |
Überlegungen zu SQL Server
Sie sollten die folgenden Bereitstellungsfakten in Betracht ziehen, wenn Sie SQL Server als Konfigurationsdatenbank für Ihre AD FS-Bereitstellung auswählen.
SAML-Features und ihre Auswirkung auf Datenbankgröße und -wachstum. Wenn die SAML-Artefaktauflösung oder die Erkennung von SAML-Tokenwiederholungen aktiviert ist, speichert AD FS für jedes ausgestellt AD FS-Token Informationen in der SQL Server-Konfigurationsdatenbank. Das Wachstum der SQL Server-Datenbank als Ergebnis dieser Aktivität wird nicht als signifikant betrachtet und hängt von der konfigurierten Aufbewahrungsdateu für die Tokenwiederholung ab. Jeder Artefaktdatensatz hat eine Größe von rund 30 Kilobyte (KB).
Anzahl der für Ihre Bereitstellung erforderlichen Server. Sie müssen mindestens einen zusätzlichen Server hinzufügen (zu der Gesamtzahl der Server, die für die Bereitstellung Ihrer AD FS-Infrastruktur erforderlich ist), der als dedizierter Host für die SQL Server-Instanz agiert. Wenn Sie Failoverclustering oder Spiegelung verwenden möchten, um Fehlertoleranz und Skalierbarkeit für die SQL Server-Konfigurationsdatenbank bereitzustellen, sind mindestens zwei SQL-Server erforderlich.
Auswirkung des augewählten Konfigurationsdatenbanktyps auf Hardwareressourcen
Die Auswirkung auf Hardwareressourcen auf einem Verbundserver, der in einer Farm mit WID bereitgestellt wird, im Vergleich zu einem Verbundserver, der in einer Farm mit einer SQL Server-Datenbank bereitgestellt wird, ist nicht signifikant. Sie sollten jedoch unbedingt bedenken, dass bei der Verwendung von WID für die Farm jeder Verbundserver in dieser Farm Replikationsänderungen für seine lokale Kopie der AD FS-Konfigurationsdatenbank speichern, verwalten und warten, gleichzeitig aber auch weiterhin die normalen Abläufe bereitstellen muss, die für den Verbunddienst erforderlich sind.
Im Vergleich dazu müssen Verbundserver, die in einer Farm mit der SQL Server-Datenbank bereitgestellt werden, nicht unbedingt eine lokale Instanz der AD FS-Konfigurationsdatenbank enthalten. Daher stellen diese etwas geringere Ansprüche an die Hardwareressourcen.
Platzieren eines Verbundservers
Aus Sicherheitsgründen sollten Sie die bewährte Methode befolgen, bei der die AD FS-Verbundserver hinter einer Firewall angeordnet und mit dem Unternehmensnetzwerk verbunden werden, um den direkten Zugang aus dem Internet zu verhindern. Dies ist wichtig, da Verbundserver umfassende Berechtigungen zum Gewähren von Sicherheitstoken besitzen. Daher sollten sie den gleichen Schutz wie Domänencontroller haben. Wenn ein Verbundserver kompromittiert wird, kann ein böswilliger Benutzer Token für Vollzugriff auf alle Webanwendungen und Verbundserver ausgeben, die durch AD FS geschützt sind.
Hinweis
Aus Sicherheitsgründen sollten Sie vermeiden, dass auf Ihre Verbundserver direkt aus dem Internet zugegriffen werden kann. Geben Sie einem Verbundserver nur dann direkten Internetzugriff, wenn Sie eine Testumgebung einrichten oder wenn Ihre Organisation über kein Umkreisnetzwerk verfügt.
Wie bei Unternehmensnetzwerken üblich, wird eine Firewall für den Intranetzugriff zwischen dem Unternehmensnetzwerk und dem Umkreisnetzwerk eingerichtet, und eine Firewall für den Internetzugriff wird häufig zwischen dem Umkreisnetzwerk und dem Internet eingerichtet. In diesen Situationen befindet sich der Verbundserver innerhalb des Unternehmensnetzwerks, und es ist kein direkter Zugriff von Internetclients möglich.
Hinweis
Clientcomputer, die mit dem Unternehmensnetzwerk verbunden sind, können über die integrierte Windows-Authentifizierung direkt mit dem Verbundserver kommunizieren.
Ein Verbundserver sollte im Umkreisnetzwerk platziert werden, bevor Sie die Firewallserver für die Verwendung mit AD FS konfigurieren.
Unterstützte Bereitstellungstopologien
In den folgenden Artikeln werden die verschiedenen Bereitstellungstopologien beschrieben, die Sie mit AD FS verwenden können. Zudem werden die mit jeder Bereistellungstopologie verbundenen Vorteile und Einschränkungen beschrieben, damit Sie die am besten geeignete Topologie für Ihre speziellen geschäftlichen Anforderungen auswählen können.