Création d’une batterie de serveurs de fédération
Envisagez de créer une batterie de serveurs de fédération dans Services ADFS en cas de déploiement plus important AD FS et si vous souhaitez offrir au service de fédération de votre organisation une tolérance, un équilibrage de charge ou une évolutivité par défaut. Le fait de créer deux ou plusieurs serveurs de fédération dans le même réseau, de configurer chacun d’eux afin qu’ils utilisent le même service de fédération et d’ajouter la clé publique de chaque certificat de signature de jetons au composant logiciel enfichable de gestion AD FS, a pour effet de créer une batterie de serveurs de fédération.
Vous pouvez créer une batterie de serveurs de fédération ou installer des serveurs de fédération supplémentaires dans une batterie existante à l’aide de l’Assistant Configuration du serveur de fédération AD FS. Pour plus d'informations, voir When to Create a Federation Server.
Remarque
Lorsque vous choisissez de créer une nouvelle batterie de serveurs de fédération à l’aide de l’Assistant Configuration du serveur de fédération AD FS, ce dernier tente de créer un objet conteneur (pour le partage de certificats) dans Active Directory. Par conséquent, il est important de commencer par se connecter à l’ordinateur lors de la configuration du rôle de serveur de fédération à l’aide d’un compte disposant des autorisations suffisantes dans Active Directory pour créer cet objet conteneur.
Avant que les serveurs de fédération puissent être regroupés comme une batterie de serveurs, ils doivent tout d’abord être mis en cluster afin que les demandes arrivant à un nom de domaine complet unique (FQDN) soient acheminées vers les différents serveurs de fédération de la batterie de serveurs. Vous pouvez créer le cluster de serveurs en déployant l’équilibrage de la charge réseau (NLB) à l’intérieur du réseau d’entreprise. Ce guide suppose que l’équilibrage de la charge réseau ait été correctement configuré pour mettre en cluster chaque serveur de fédération de la batterie de serveurs.
Pour plus d’informations sur la configuration d’un FQDN du cluster à l’aide de la technologie Microsoft NLB, voir Specifying the Cluster Parameters.
Meilleures pratiques pour le déploiement d’une batterie de serveurs de fédération
Nous recommandons les meilleures pratiques suivantes pour déployer un serveur de fédération dans un environnement de production :
Si vous déployez plusieurs serveurs de fédération simultanément ou si vous savez que vous allez ajouter des serveurs à la batterie de serveurs au fil du temps, envisagez de créer une image serveur d’un serveur de fédération existant de la batterie de serveurs, puis de l’installer à partir de cette image lorsque vous avez besoin de créer rapidement d’autres serveurs de fédération.
Notes
Si vous décidez d’utiliser la méthode d’image serveur pour déployer des serveurs de fédération supplémentaires, vous n’êtes pas contraint d’effectuer les tâches dans Liste de vérification : Configuration d’un serveur de fédération chaque fois que vous souhaitez ajouter un nouveau serveur à la batterie de serveurs.
Utilisez l’équilibrage de la charge réseau ou une autre forme de clustering pour allouer une adresse IP unique à plusieurs ordinateurs de serveur de fédération.
Réservez une adresse IP statique pour chaque serveur de fédération de la batterie de serveurs et, selon votre configuration DNS (Domain Name System), insérez une exclusion pour chaque adresse IP dans Dynamic Host Configuration Protocol (DHCP). La technologie d’équilibrage de la charge réseau Microsoft nécessite que chaque serveur participant au cluster NLB soit affecté une adresse IP statique.
Si la base de données de configuration AD FS est stockée dans une base de données SQL, évitez de modifier cette dernière à partir de plusieurs serveurs de fédération simultanément.
Configuration de serveurs de fédération d’une batterie de serveurs
Le tableau suivant décrit les tâches qui doivent être effectuées pour que chaque serveur de fédération puisse participer à un environnement de batterie de serveurs.
| Tâche | Description |
|---|---|
| Si vous utilisez SQL Server pour stocker la base de données de configuration AD FS | Une batterie de serveurs de fédération est composée de deux ou plusieurs serveurs de fédération qui partagent la même configuration base de données de configuration AD FS et les mêmes certificats de signature de jetons. La base de données de configuration peut être stockée dans une base de données interne Windows ou une base de données SQL Server. Si vous envisagez de stocker la base de données de configuration dans une base de données SQL, assurez-vous que la base de données de configuration est accessible à tous les nouveaux serveurs de fédération participant à la batterie de serveurs. Note : Pour les scénarios de batterie de serveurs, il est important que la base de données de configuration se trouve sur un ordinateur qui ne participe pas comme serveur de fédération à cette batterie de serveurs. L’équilibrage de la charge réseau Microsoft n’autorise pas les ordinateurs participant à une batterie de serveurs à communiquer entre eux. Note : Vérifiez que l’identité du pool d’applications AD FS dans IIS sur chaque serveur de fédération participant à la batterie de serveurs dispose d’un accès en lecture à la base de données de configuration. |
| Obtenir et partager des certificats | Vous pouvez obtenir un seul serveur de certificat d’authentification de serveur auprès d’une autorité de certification publique (CA), par exemple, VeriSign. Vous pouvez ensuite configurer le certificat afin que tous les serveurs de fédération partagent la même partie de clé privée du certificat. Pour plus d’informations sur le partage du même certificat, voir Checklist: Setting Up a Federation Server. Note :Le composant logiciel enfichable Gestion AD FS fait référence aux certificats d'authentification serveur pour les serveurs de fédération en tant que certificats de communication du service. Pour plus d'informations, voir Certificate Requirements for Federation Servers. |
| Pointer vers la même instance de SQL Server | Si la base de données de configuration AD FS est stockée dans une base de données SQL, le nouveau serveur de fédération doit pointer vers la même instance SQL Server utilisée par d’autres serveurs de fédération de la batterie de serveurs afin que le nouveau serveur puisse intégrer cette dernière. |