Quando creare una server farm federativa
È consigliabile creare una server farm federativa in Active Directory Federation Services (AD FS) quando si ha una distribuzione di AD FS di dimensioni elevate e si vuole fornire tolleranza di errore, bilanciamento del carico o scalabilità per il Servizio federativo dell'organizzazione. L'atto di creare due o più server federativi nella stessa rete, configurandoli per l'uso dello stesso Servizio federativo e aggiungendo la chiave pubblica dei certificati per la firma di token di ogni server allo snap-in Gestione AD FS crea una server farm federativa.
È possibile creare una server farm federativa o installare altri server federativi in una farm esistente usando la configurazione guidata del server federativo di AD FS. Per altre informazioni, vedere When to Create a Federation Server.
Nota
Quando si sceglie l'opzione per creare una nuova server farm federativa tramite la configurazione guidata del server federativo AD FS, questa proverà a creare un oggetto contenitore per la condivisione dei certificati in Active Directory. È quindi importante accedere prima di tutto al computer dove si sta configurando il ruolo di server federativo con un account che abbia autorizzazioni sufficienti in Active Directory per creare questo oggetto contenitore.
Prima che i server federativi possano essere raggruppati come farm, è necessario inserirli in un cluster, in modo che le richieste che arrivano a un singolo nome di dominio completo (FQDN) vengano instradate ai vari server federativi nella server farm. È possibile creare il cluster di server tramite la distribuzione del servizio Bilanciamento carico di rete all'interno della rete aziendale. Questa guida presuppone che Bilanciamento carico di rete sia stato configurato in modo appropriato per inserire in un cluster ognuno dei server federativi nella farm.
Per altre informazioni su come configurare un nome di dominio completo per un cluster con la tecnologia di Bilanciamento carico di rete Microsoft, vedere Specifica dei parametri del cluster.
Procedure consigliate per la distribuzione di una server farm federativa
È consigliabile usare le procedure consigliate seguenti per la distribuzione di un server federativo in un ambiente di produzione:
Se si distribuiscono più server federativi contemporaneamente o si prevede che nel tempo saranno aggiunti altri server alla farm, è consigliabile creare un'immagine server di un server federativo esistente nella farm e quindi eseguire l'installazione da quell'immagine quando è necessario creare rapidamente altri server federativi.
Nota
Se si decide di usare il metodo basato su immagine del server per la distribuzione di server federativi aggiuntivi, non è necessario completare le attività in Elenco di controllo: Configurazione di un server federativo ogni volta che si vuole aggiungere un nuovo server alla farm.
Usare Bilanciamento carico di rete o un'altra forma di clustering per allocare un singolo indirizzo IP per molti computer del server federativo.
Riservare un indirizzo IP statico per ogni server federativo nella farm e, a seconda della configurazione del DNS (Domain Name System), inserire un'esclusione per ogni indirizzo IP in DHCP (Dynamic Host Configuration Protocol). La tecnologia Bilanciamento carico di rete Microsoft richiede che a ogni server appartenente al cluster di bilanciamento carico di rete venga assegnato un indirizzo IP statico.
Se il database di configurazione di AD FS verrà archiviato in un database SQL, evitare di modificare il database SQL da più server federativi contemporaneamente.
Configurazione di server federativi per una farm
La tabella seguente descrive le attività che è necessario completare in modo che ogni server federativo possa far parte di un ambiente di farm.
| Attività | Descrizione |
|---|---|
| Se si usa SQL Server per archiviare il database di configurazione di AD FS | Una server farm federativa è costituita da due o più server federativi che condividono lo stesso database di configurazione di AD FS e i certificati per la firma di token. Il database di configurazione può essere archiviato nel Database interno di Windows o in un database di SQL Server. Se si prevede di archiviare il database di configurazione in un database SQL, assicurarsi che il database di configurazione sia accessibile da tutti i nuovi server federativi che fanno parte della farm. Nota: per gli scenari di farm è importante che il database di configurazione si trovi in un computer che non fa parte anche della farm come server federativo. Bilanciamento carico di rete Microsoft non consente ai computer che fanno parte di una farm di comunicare tra loro. Nota: assicurarsi che l'identità di AppPool di AD FS in Internet Information Services (IIS) in ogni server federativo che fa parte della farm abbia accesso in lettura al database di configurazione. |
| Ottenere e condividere i certificati | È possibile ottenere un singolo certificato di autenticazione server da un'autorità di certificazione pubblica (CA), ad esempio VeriSign. È quindi possibile configurare il certificato in modo che tutti i server federativi condividano la stessa parte di chiave privata del certificato. Per altre informazioni su come condividere lo stesso certificato, vedere Checklist: Setting Up a Federation Server. Nota: lo snap Gestione AD FS si riferisce ai certificati di autenticazione server per i server federativi come certificati per le comunicazioni dei servizi. Per altre informazioni, vedere Certificate Requirements for Federation Servers. |
| Puntare alla stessa istanza di SQL Server | Se il database di configurazione di AD FS verrà archiviato in un database SQL, il nuovo server federativo deve puntare alla stessa istanza di SQL Server usata da altri server federativi nella farm, per consentire al nuovo server di far parte della farm. |