De rol van de AD FS-configuratiedatabase
De AD FS-configuratiedatabase slaat alle configuratiegegevens op die één exemplaar van Active Directory Federation Services (AD FS) vertegenwoordigen (dat wil gezegd de Federation Service). De AD FS-configuratiedatabase definieert de set parameters die een Federation-service vereist om partners, certificaten, kenmerkarchieven, claims en verschillende gegevens over deze gekoppelde entiteiten te identificeren. U kunt deze configuratiegegevens opslaan in een Microsoft SQL Server-database® of de WID-functie (Windows Internal Database) die is opgenomen in Windows Server 2012 of hoger.
Notitie
De volledige inhoud van de AD FS-configuratiedatabase kan worden opgeslagen in een exemplaar van WID of in een exemplaar van de SQL-database, maar niet beide. Dit betekent dat u geen federatieservers kunt hebben met WID en andere met behulp van een SQL Server-database voor hetzelfde exemplaar van de AD FS-configuratiedatabase.
U kunt de volgende informatie in dit onderwerp samen met de inhoud in AD FS-implementatietopologieoverwegingen gebruiken voor meer informatie over de voor- en nadelen van het kiezen van WID of SQL Server voor het opslaan van de AD FS-configuratiedatabase:
WID maakt gebruik van een relationeel gegevensarchief en heeft geen eigen gebruikersinterface (UI). In plaats daarvan kunnen beheerders de inhoud van de AD FS-configuratiedatabase wijzigen met behulp van de AD FS-beheer snap-in, Fsconfig.exe, of Windows PowerShell-cmdlets.
WID gebruiken om de AD FS-configuratiedatabase op te slaan
U kunt de AD FS-configuratiedatabase maken met WID als opslagmedium met behulp van het Fsconfig.exe opdrachtregelprogramma of de wizard voor AD FS-federatieserverconfiguratie. Wanneer u een van deze hulpprogramma's gebruikt, kunt u een van de volgende opties kiezen om uw federatieservertopologie te maken. Elk van deze opties maakt gebruik van WID voor het opslaan van de AD FS-configuratiedatabase:
Een zelfstandige federatieserver maken
De eerste federatieserver maken in een federatieserverfarm
Een federatieserver toevoegen aan een federatieserverfarm
Als u de zelfstandige optie selecteert, wordt WID gebruikt om één exemplaar van de AD FS-configuratiedatabase op te slaan. Dit exemplaar kan niet worden gedeeld tussen meerdere federatieservers. Het is alleen bedoeld voor testomgevingen. Voor meer informatie over de stand-alone federatieserveroptie of het instellen van een federatieserver, zie Stand-Alone Federatieserver gebruiken met WID- of Maak een Stand-Alone Federatieserver.
Als u de eerste federatieserver in een federatieserverfarmoptie selecteert, wordt WID geconfigureerd voor schaalbaarheid waarmee extra federatieservers op een later tijdstip aan de farm kunnen worden toegevoegd. Zie voor meer informatie over het implementeren of instellen van een WID-farm Federatieserverfarm met WID of De eerste federatieserver maken in een federatieserverfarm.
Als u de optie voor het toevoegen van een federatieserver selecteert, is WID geconfigureerd voor het repliceren van wijzigingen in de configuratiedatabase naar de nieuwe federatieserver met ingestelde intervallen. Zie voor meer informatie over het toevoegen van een federatieserver aan een WID-farm, Federatieserverfarm met WID of Een federatieserver toevoegen aan een federatieserverfarm.
Notitie
Wanneer u een federatieserverfarm implementeert met WID, zijn sommige functies van AD FS mogelijk niet beschikbaar. Als u toegang wilt hebben tot de volledige functieset wanneer u uw serverfarm configureert, kunt u microsoft SQL Server gebruiken om in plaats daarvan de AD FS-configuratiedatabase op te slaan. Zie ad FS-implementatietopologieoverwegingenvoor meer informatie.
Hoe een WID-federatieserverfarm werkt
In deze sectie worden belangrijke concepten beschreven die beschrijven hoe de WID-federatieserverfarm gegevens repliceert tussen een primaire federatieserver en secundaire federatieservers. .
Primaire federatieserver
Een primaire federatieserver is een computer met Windows Server 2012 of hoger die is geconfigureerd met de federatieserverfunctie met behulp van de wizard AD FS-federatieserverconfiguratie en die een lees-/schrijfkopie van de AD FS-configuratiedatabase heeft. De primaire federatieserver wordt altijd gemaakt wanneer u de AD FS Federatieserverconfiguratiewizard gebruikt en de optie selecteert om een nieuwe Federation Service te creëren en deze computer de eerste federatieserver in de farm te maken. Alle andere federatieservers in deze farm, ook wel secundaire federatieservers genoemd, moeten wijzigingen die worden aangebracht op de primaire federatieserver synchroniseren met een kopie van de AD FS-configuratiedatabase die lokaal is opgeslagen.
Secundaire federatieservers
Secundaire federatieservers slaan een kopie van de AD FS-configuratiedatabase op van de primaire federatieserver, maar deze kopieën zijn alleen-lezen. Secundaire federatieservers maken verbinding met en synchroniseren de gegevens met de primaire federatieserver in de farm door deze regelmatig te peilen om te controleren of gegevens zijn gewijzigd. De secundaire federatieservers bestaan om fouttolerantie te bieden voor de primaire federatieserver terwijl ze reageren op taakverdelingsaanvragen die worden gedaan op verschillende sites in uw netwerkomgeving.
Hoe de AD FS-configuratiedatabase wordt gesynchroniseerd
Vanwege de belangrijke rol die de AD FS-configuratiedatabase speelt, wordt deze beschikbaar gesteld op alle federatieservers in het netwerk om fouttolerantie en taakverdelingsmogelijkheden te bieden bij het verwerken van aanvragen (wanneer netwerktaakverdelers worden gebruikt). Voor secundaire federatieservers die in deze capaciteit moeten worden gebruikt, moet de AD FS-configuratiedatabase die is opgeslagen op de primaire federatieserver worden gesynchroniseerd.
Wanneer u een federatieserver aan de farm toevoegt, maakt de nieuwe computer die een secundaire federatieserver wordt, verbinding met de primaire federatieserver om de kopie van de AD FS-configuratiedatabase te repliceren. Vanaf dit moment blijft de nieuwe federatieserver regelmatig updates ophalen van de primaire federatieserver, zoals wordt weergegeven in de volgende afbeelding.
Elke secundaire federatieserver peilt elke vijf minuten naar de primaire federatieserver voor wijzigingen. U kunt deze standaardwaarde van vijf minuten aanpassen of op elk gewenst moment een onmiddellijke synchronisatie afdwingen met behulp van een Windows PowerShell-cmdlet. Zie AD FS-beheer met Windows PowerShellvoor meer informatie over hoe u dit doet.
Het WID-synchronisatieproces ondersteunt ook incrementele overdrachten voor efficiëntere overdrachten van tussenliggende wijzigingen. Het incrementele overdrachtsproces vereist aanzienlijk minder verkeer op een netwerk en overdrachten worden veel sneller voltooid.
Notitie
De migratie van een AD FS-configuratiedatabase van WID naar een exemplaar van SQL Server wordt ondersteund. Zie AD FS: Uw AD FS-configuratiedatabase migreren naar SQL Server op de TechNet Wiki-site voor meer informatie over hoe u dit doet.
De ad FS-synchronisatie-eigenschappen beheren
In deze sectie wordt beschreven hoe u de synchronisatie-eigenschappen van de AD FS-configuratiedatabase kunt weergeven en bewerken. .
De Get-ADFSSyncProperties cmdlet haalt de synchronisatie-eigenschappen voor de configuratiedatabase van Active Directory Federation Services (AD FS).
PS C:\> Get-ADFSSyncProperties
Op de primaire AD FS-server geeft deze cmdlet alleen aan dat de rol de primaire computer is. Op een secundair lid wordt de rest van de configuratie weergegeven, waaronder de Fully Qualified Domain Name van de laatste synchronisatie vanaf de primaire computer, status en tijd van de laatste synchronisatie, pollduur, de momenteel geconfigureerde primaire computernaam, de poort van de primaire computer en de rol van de secundaire computer.
De Set-ADFSSyncProperties cmdlet wijzigt de frequentie van synchronisatie voor de Ad FS-configuratiedatabase (Active Directory Federation Services). De cmdlet geeft ook op welke federatieserver de primaire server in de federatieserverfarm is.
Notitie
Als een primaire federatieserver vastloopt en offline is, blijven alle secundaire federatieservers aanvragen als normaal verwerken. Er kunnen echter geen nieuwe wijzigingen worden aangebracht in de Federation-service totdat de primaire federatieserver weer online is gebracht. U kunt ook een secundaire federatieserver nomineren om de primaire federatieserver te worden met behulp van Windows PowerShell. Als u een nieuwe primaire server nomineert, moeten de resterende servers worden gewijzigd om de nieuwe primaire server weer te geven. Het hebben van 2 primaries met een WID-farm zal van invloed zijn op de stabiliteit van de farm en heeft de mogelijkheid om gegevens te verliezen.
De pollduur voor een boerderij wijzigen
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Deze opdracht wijzigt de databasesynchronisatie naar 3600 seconden. Met de opdracht wordt de wijziging aangebracht in de primaire federatieserver.
Een server wijzigen van secundair naar primair
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Met deze opdracht wijzigt u een AD FS-server in een WID-farm van secundair naar primair.
Een primaire server wijzigen in een secundaire server
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Met deze opdracht wordt een primaire AD FS-server in een WID-farm gewijzigd in een secundaire server. U moet de volledig gekwalificeerde domeinnaam van de primaire server opgeven. Als u dit niet doet, kan dit ertoe leiden dat niet alle secundaire AD FS-servers correct worden gesynchroniseerd. Opmerking: de primaire server moet toegankelijk zijn via HTTP op poort 80 vanaf de secundaire server.
Zie voor meer informatie: Set-AdfsSyncProperties-
SQL Server gebruiken om de AD FS-configuratiedatabase op te slaan
U kunt de AD FS-configuratiedatabase maken met behulp van één SQL Server-database-exemplaar als het archief met behulp van het Fsconfig.exe opdrachtregelprogramma. Het gebruik van een SQL Server-database als de AD FS-configuratiedatabase biedt de volgende voordelen ten opzichte van WID:
Beheerders kunnen gebruikmaken van de functies voor hoge beschikbaarheid van SQL Server
Het biedt extra prestatieverbeteringen voor hoog verkeer.
Het biedt functieondersteuning voor SAML-artefactresolutie en SAML/WS-Federation-tokenhersteldetectie (zoals hieronder beschreven).
De term 'primaire federatieserver' is niet van toepassing wanneer de AD FS-configuratiedatabase wordt opgeslagen in een SQL-database-exemplaar, omdat alle federatieservers even kunnen lezen en schrijven naar de AD FS-configuratiedatabase die gebruikmaakt van hetzelfde geclusterde SQL Server-exemplaar, zoals wordt weergegeven in de volgende afbeelding.
U kunt SQL Server gebruiken om twee of meer servers te configureren om samen te werken als een servercluster om ervoor te zorgen dat AD FS maximaal beschikbaar wordt gemaakt voor binnenkomende clientaanvragen. Hoge beschikbaarheid biedt een uitschaalarchitectuur waarin u de servercapaciteit kunt verhogen door extra servers toe te voegen. Enkele storingspunten worden verholpen door automatische clusterschakeling bij uitval.
U kunt hoge beschikbaarheid bereiken met behulp van de netwerktaakverdelings- en failoverservices die SQL-clusteringtechnologieën bieden. Zie Overzicht van oplossingen voor hoge beschikbaarheidvoor meer informatie over het configureren van SQL Server voor hoge beschikbaarheid.
SAML-artefact-omzetting
SAML-artefactresolutie (Security Assertion Markup Language) is een eindpunt dat gebaseerd is op het SAML 2.0-protocol, dat beschrijft hoe een vertrouwende partij een token rechtstreeks van een claims-provider kan ophalen. In de eerste fase van het oplossingsproces neemt een browserclient contact op met een bronfederatieserver en biedt deze een artefact. In de tweede fase verzenden resourcefederatieservers het artefact naar een EINDPUNT-URL van het SAML-artefact die ergens wordt gehost in een organisatie van een accountpartner om het artefactbericht op te lossen. In de laatste fase geeft de accountfederatieserver het token uit aan de federatieserver namens de browserclient.
Notitie
Als u een beheerder bent in een organisatie van een accountpartner, moet u ervoor zorgen dat u een SSL-certificaat, dat is gekoppeld aan een basiscertificaat van een lid van het Windows-basiscertificaatprogramma, toewijst aan de passieve federatiewebsite in IIS (<ComputerNaam>\Sites\Standaardwebsite\adfs\ls) op alle accountfederatieservers in de farm. Dit is belangrijk om te voorkomen dat hulpbronnenfederatieservers het SSL-certificaat handmatig moeten toevoegen aan de certificaatopslag van vertrouwde personen op lokale computers, of om te voorkomen dat het artefact dat in uw organisatie is gepubliceerd, niet kan worden opgelost.
SAML/WS - Detectie van hergebruik van federatietokens
De term token opnieuw afspelen verwijst naar de handeling waarmee een browserclient in een accountpartnerorganisatie probeert hetzelfde token te verzenden dat is ontvangen van een accountfederatieserver meerdere keren om te verifiëren bij een bronfederatieserver. Deze actie treedt op wanneer een gebruiker op de knop Vorige van de browser klikt om de verificatiepagina opnieuw in te dienen.
AD FS biedt een functie waarnaar wordt verwezen als token replay detectie waarmee meerdere token aanvragen met behulp van hetzelfde token kunnen worden gedetecteerd en vervolgens verwijderd. Wanneer deze functie is ingeschakeld, beveiligt tokenreplaydetectie de integriteit van verificatieaanvragen in zowel het WS-Federation passieve profiel als het SAML WebSSO-profiel door ervoor te zorgen dat hetzelfde token nooit meer dan één keer wordt gebruikt. Deze functie moet worden ingeschakeld in situaties waarin beveiliging een zeer grote zorg is, zoals bij het gebruik van kiosken.
In het kioskvoorbeeld kan een gebruiker zich afmelden bij alle websites en later kan een kwaadwillende gebruiker proberen de browsergeschiedenis te gebruiken om de federatieve verificatiepagina opnieuw in te dienen die door de vorige gebruiker is geladen. Deze functie vermindert dit probleem door aanvullende informatie op te slaan over elke geslaagde verificatie die is gedaan door een accountpartnerorganisatie om volgende herhalingen van het token te detecteren en te voorkomen dat meerdere verificatiepogingen slagen.