Server farm federativa AD FS legacy che usa Database interno di Windows e proxy

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Questa topologia di distribuzione di Active Directory Federation Services (ADFS) è identica alla server farm federativa con Database interno di Windows (WID) topologia, ma aggiunge computer proxy nella rete perimetrale per supportare gli utenti esterni. Questi proxy reindirizzano le richieste di autenticazione client provengono dall'esterno della rete aziendale per la server farm federativa. Nelle versioni precedenti di AD FS, questi proxy erano denominati proxy server federativi.

Importante

In Active Directory Federation Services (AD FS) di Windows Server 2012 R2, il ruolo di un proxy server federativo viene gestito da un nuovo servizio ruolo di Accesso remoto denominato proxy applicazione Web. Per consentire l'accessibilità di ADFS dall'esterno della rete aziendale, che è lo scopo della distribuzione di un proxy server federativo nelle versioni legacy di ADFS, come ADFS 2.0 e ADFS in Windows Server 2012, è possibile distribuire uno o più proxy applicazione Web per ADFS in Windows Server 2012 R2.

Nel contesto di AD FS, Proxy applicazione Web funge da proxy server federativo di AD FS. Oltre a questo, Proxy applicazione Web rende disponibili funzionalità di proxy inverso per le applicazioni Web all'interno della rete aziendale, in modo da consentire agli utenti con qualsiasi dispositivo di accedere a tali applicazioni dall'esterno della rete aziendale. Per altre informazioni sul servizio ruolo Proxy applicazione Web, vedere la panoramica di Proxy applicazione Web.

Per pianificare la distribuzione di Proxy applicazione Web, è possibile consultare le informazioni negli argomenti seguenti:

• Pianificare l'infrastruttura del proxy dell'applicazione Web (WAP)
• Pianificare il server del proxy dell'applicazione Web

Considerazioni sulla distribuzione

Questa sezione vengono descritte varie considerazioni sui destinatari, vantaggi e limitazioni di cui è associate a questa topologia di distribuzione.

Chi dovrebbe utilizzare questa topologia?

• Le organizzazioni con un massimo di 100 relazioni di trust configurate che devono fornire ai relativi utenti interni e agli utenti esterni (connessi ai computer che si trovano fisicamente all'esterno della rete aziendale) l'accesso tramite Single Sign-On (SSO) alle applicazioni o ai servizi federativi

• Organizzazioni che devono fornire i relativi utenti interni e gli utenti esterni l'accesso SSO a Microsoft Office 365

• Organizzazioni più piccole parte di utenti esterni che richiedono servizi scalabili ridondanti

Quali sono i vantaggi dell'utilizzo di questa topologia?

• Lo stesso avvantaggia elencati per il Federation Server Farm utilizzando WID topologia, oltre al vantaggio di fornire accesso aggiuntivo per gli utenti esterni

Quali sono le limitazioni dell'utilizzo di questa topologia?

• Le stesse limitazioni come elencato per il Federation Server Farm utilizzando WID topologia

  1-100 attendibilità della relying party	Più di 100 attendibilità della relying Party
  1-30 nodi AD FS: WID supportato	1-30 nodi AD FS: non supportato con WID - SQL obbligatorio
  Più di 30 nodi AD FS: non supportato con WID - SQL obbligatorio	Più di 30 nodi di AD FS: non supportato con Database interno di Windows - SQL obbligatorio

Consigli di layout posizionamento e la rete di server

Per distribuire la topologia, oltre ad aggiungere due proxy dell'applicazione Web, è necessario assicurarsi che la rete perimetrale può anche fornire accesso a un sistema di nome di dominio (DNS) server e al bilanciamento del carico di rete secondo host Bilanciamento carico di RETE (NLB). Il secondo host NLB deve essere configurato con un cluster di bilanciamento carico di rete che utilizza un indirizzo IP del cluster accessibile tramite Internet e deve usare la stessa impostazione di nome DNS cluster del cluster di bilanciamento carico di rete precedente configurata nella rete aziendale (fs.fabrikam.com). I proxy dell'applicazione Web dovrebbero anche essere configurati con indirizzi IP accessibili tramite Internet.

La figura seguente mostra la server farm federativa esistente con topologia database interno di Windows che è stato descritto in precedenza e fornisce l'accesso a un server DSN perimetrale, come la società fittizia Fabrikam, Inc., aggiunge un secondo host di bilanciamento carico di RETE con lo stesso nome DNS cluster (fs.fabrikam.com), e aggiunge due proxy dell'applicazione Web (wap1 e wap2) alla rete perimetrale.

Per ulteriori informazioni su come configurare l'ambiente di rete per l'utilizzo con server federativo o proxy applicazione web, vedere “Requisiti di risoluzione dei nomi” sezione requisiti per ADFS e pianificare l'infrastruttura di Proxy applicazione Web (WAP).

Vedi anche

Pianificare la topologia di distribuzione di AD FSGuida alla progettazione di AD FS in Windows Server 2012 R2