Planowanie wdrożenia usług AD FS
Dotyczy: Azure, Office 365, Power BI, Windows Intune
Pierwszym krokiem planowania wdrożenia usług AD FS dla usługi w chmurze firmy Microsoft jest wybranie właściwej topologii wdrożenia, aby spełnić potrzeby logowania jednokrotnego organizacji. Usługi AD FS wymagają użycia wewnętrzna baza danych systemu Windows (WID) lub bazy danych SQL Server do przechowywania danych konfiguracji usług AD FS używanych przez usługę federacyjną.
Zalecaną topologią usług AD FS dla większości klientów usług w chmurze firmy Microsoft jest użycie farmy serwerów federacyjnych z topologią WID i serwerów proxy, która jest następująca. Istnieje również zaawansowana opcja tworzenia farmy serwerów federacyjnych z serwerami proxy SQL Server wymienionych w dalszej części tej sekcji.
Ponadto ta sekcja zawiera również tabelę określania liczby serwerów usług AD FS do wdrożenia w organizacji, a także informacji o dodawaniu serwerów federacyjnych w celu zwiększenia wydajności.
Zalecana topologia: Farma serwerów federacyjnych z WID i serwerami proxy
Opcja zaawansowana: farma serwerów federacyjnych z SQL Server i serwerami proxy
Tabela szacowania: określanie liczby serwerów usług AD FS do wdrożenia w organizacji
Dodawanie serwerów federacyjnych w celu zwiększenia wydajności
Zalecana topologia: Farma serwerów federacyjnych z WID i serwerami proxy
Domyślną topologią usługi w chmurze firmy Microsoft jest farma serwerów federacyjnych usług AD FS, która składa się z wielu serwerów hostujących usługę federacyjną organizacji. W tej topologii usługi AD FS używają WID jako bazy danych konfiguracji usług AD FS dla wszystkich serwerów federacyjnych, które są przyłączone do tej farmy. Farmy są replikowane i przechowuje dane usługi federacyjnej w bazie danych konfiguracji na każdym serwerze w farmie.
Tworzenie pierwszego serwera federacyjnego w farmie czynność tworzy także nowe usługi federacyjnej. Gdy WID jest używana jako baza danych konfiguracji usług AD FS, pierwszy serwer federacyjny utworzony w farmie jest określany jako podstawowy serwer federacyjny. Oznacza to, że ten komputer zostanie skonfigurowany z kopią odczytu/zapisu bazy danych konfiguracji usług AD FS.
Wszystkie inne serwery federacyjne skonfigurowane dla tej farmy są nazywane pomocniczymi serwerami federacyjnymi, ponieważ muszą replikować wszelkie zmiany wprowadzone na serwerze federacyjnym podstawowym do kopii bazy danych konfiguracji usług AD FS tylko do odczytu, które przechowują lokalnie.
Uwaga
Zalecamy użycie co najmniej dwóch serwerów federacyjnych w konfiguracji ze zrównoważonym obciążeniem.
Konfigurowanie tej podstawowej topologii farmy serwerów federacyjnych jest pierwszą fazą wdrożenia usług AD FS. Druga faza polega na określeniu sposobu zapewniania funkcji kontroli dostępu dla użytkowników zewnętrznych przez wdrożenie jednego z następujących elementów:
Serwery proxy aplikacji internetowej, jeśli używasz usług AD FS w Windows Server 2012 R2
Serwery proxy serwera federacyjnego, jeśli używasz usług AD FS 2.0 lub AD FS w Windows Server 2012
Faza 1. Wdrażanie farmy serwerów federacyjnych
Gdy wszystko będzie gotowe do rozpoczęcia wdrażania farmy, należy zaplanować umieszczenie wszystkich serwerów federacyjnych w sieci firmowej za hostem równoważenia obciążenia sieciowego (NLB), który można skonfigurować dla klastra równoważenia obciążenia sieciowego z dedykowaną nazwą DNS klastra i adresem IP klastra.
Ważne
Nazwa DNS klastra musi być zgodna z nazwą usługi federacyjnej (na przykład fs.fabrikam.com) i być routingiem internetowym dla wystąpienia wdrożonych usług AD FS. Jeśli nazwa nie jest zgodna, żądanie uwierzytelniania nie zostanie kierowane do poprawnego serwera DNS lub poprawnego serwera federacyjnego.
Host równoważenia obciążenia sieciowego może używać ustawień zdefiniowanych w tym klastrze równoważenia obciążenia sieciowego do przydzielania żądań klientów do poszczególnych serwerów federacyjnych. Na poniższym diagramie przedstawiono sposób, w jaki firma Fabrikam, Inc. może skonfigurować pierwszą fazę wdrożenia przy użyciu farmy serwerów federacyjnych dwóch komputerów (fs1 i fs2) z WID oraz pozycjonowania serwera DNS i jednego hosta równoważenia obciążenia sieciowego przewodowego do sieci firmowej.
.gif "Federation Server Farm with WID")
Uwaga
Jeśli wystąpi błąd na tym pojedynczym hoście równoważenia obciążenia sieciowego, użytkownicy nie będą mogli uzyskać dostępu do usługi w chmurze. Dodaj kolejne hosty równoważenia obciążenia Sieciowego, jeśli wymagania biznesowe nie zezwalają na o pojedynczy punkt awarii.
Faza 2. Wdrażanie serwerów proxy
Ogólnie rzecz biorąc, serwery proxy są używane do przekierowywania żądań uwierzytelniania klientów pochodzących spoza sieci firmowej do farmy serwerów federacyjnych, innymi słowy, w celu skonfigurowania dostępu ekstranetu.
Ważne
W zależności od wersji usług AD FS, których chcesz użyć, można wdrożyć serwery proxy aplikacji internetowej (w usługach AD FS w Windows Server 2012 R2) lub serwery proxy serwera federacyjnego (w usługach AD FS 2.0 i AD FS w Windows Server 2012). Aby zapoznać się z definicjami i opisami funkcji serwer proxy aplikacji sieci Web i serwera proxy serwera federacyjnego, zobacz Przegląd terminologii usług AD FS.
W przypadku klienta usługi w chmurze firmy Microsoft wdrażanie serwerów proxy w istniejącej infrastrukturze usług AD FS jest niezbędne do włączenia następujących scenariuszy użytkownika:
Komputer służbowy, roaming: Użytkownicy zalogowani do komputerów przyłączonych do domeny przy użyciu poświadczeń firmowych, ale którzy nie są połączeni z siecią firmową (na przykład komputer służbowy w domu lub w hotelu), mogą uzyskać dostęp do usługi w chmurze.
Komputer domowy lub publiczny: Gdy użytkownik korzysta z komputera, który nie jest przyłączony do domeny firmowej, użytkownik musi zalogować się przy użyciu poświadczeń firmowych, aby uzyskać dostęp do usługi w chmurze.
Telefon inteligentny: Aby uzyskać dostęp do usługi w chmurze, takiej jak Microsoft Exchange Online przy użyciu usługi Microsoft Exchange ActiveSync, użytkownik musi zalogować się przy użyciu poświadczeń firmowych.
Microsoft Outlook lub innych klientów poczty e-mail: użytkownik musi zalogować się przy użyciu poświadczeń firmowych, aby uzyskać dostęp do poczty e-mail Office 365, jeśli używa Outlook lub klienta poczty e-mail, który nie jest częścią Office, na przykład klienta IMAP lub POP.
W celu obsługi tych scenariuszy użytkownika druga faza będzie oparta na fazie 1 wdrożenia omówionego wcześniej, dodając dwa serwery proxy aplikacji internetowej lub dwa serwery proxy serwera federacyjnego, zapewniając dostęp do serwera DNS w sieci obwodowej i dostęp do drugiego hosta równoważenia obciążenia sieciowego w sieci obwodowej.
Drugi host równoważenia obciążenia sieciowego musi być skonfigurowany z klastrem równoważenia obciążenia sieciowego, który używa internetowego adresu IP klastra i musi używać tego samego ustawienia nazwy DNS klastra co poprzedni klaster równoważenia obciążenia sieciowego skonfigurowany w sieci firmowej dla fazy 1 (fs.fabrikam.com). Serwery proxy aplikacji internetowej lub serwery proxy serwera federacyjnego zostaną również skonfigurowane przy użyciu internetowych adresów IP.
Na poniższym diagramie przedstawiono istniejące wdrożenie fazy 1 i sposób, w jaki firma Fabrikam, Inc. może zapewnić dostęp do obwodowego serwera DNS, dodać drugi host równoważenia obciążenia sieciowego o tej samej nazwie DNS klastra (fs.fabrikam.com) i dodać dwa serwery proxy serwera federacyjnego (fsp1 i fsp2) do sieci obwodowej.
Na poniższym diagramie przedstawiono istniejące wdrożenie fazy 1 i sposób, w jaki firma Fabrikam, Inc. może zapewnić dostęp do obwodowego serwera DNS, dodać drugi host równoważenia obciążenia sieciowego o tej samej nazwie DNS klastra (fs.fabrikam.com) i dodać dwa serwery proxy aplikacji internetowej (wap1 i wap2) do sieci obwodowej.
.gif "ADFSProxyDeploymentSSO")
Uwaga
- Do publikowania usług AD FS w ekstranetie można użyć rozwiązań zwrotnego serwera proxy HTTP innej firmy. Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz Konfigurowanie opcji zaawansowanych dla usług AD FS 2.0.
- Cała komunikacja usług AD FS, która przechodzi przez zaporę, jest oparta na protokole HTTPS.
- W usługach AD FS można tworzyć niestandardowe reguły oświadczeń, które ograniczają dostęp użytkowników do usługi w chmurze na podstawie fizycznej lokalizacji komputera klienckiego lub urządzenia klienckiego, za pomocą którego użytkownik żąda dostępu. Aby uzyskać więcej informacji na temat tworzenia tych reguł, zobacz Ograniczanie dostępu do usług Office 365 na podstawie lokalizacji klienta.
Opcja zaawansowana: farma serwerów federacyjnych z SQL Server i serwerami proxy
Jest to zaawansowana opcja topologii wdrażania usług AD FS, która używa serwerów proxy aplikacji internetowej lub serwerów proxy serwera federacyjnego oraz konfiguracji SQL Server, aby umożliwić wszystkim serwerom federacyjnym w farmie odczytywanie i zapisywanie w wspólnej bazie danych SQL Server. Za pomocą bazy danych programu SQL Server jako bazę danych konfiguracji usług AD FS zapewnia następujące korzyści za pośrednictwem WID:
Funkcje wysokiej dostępności SQL Server, których administratorzy mogą używać.
Dodatkowe ulepszenia wydajności, w tym możliwość skalowania w poziomie przy użyciu większej liczby serwerów federacyjnych (farma WID ma limit 30 serwerów federacyjnych, jeśli masz 100 lub mniej relacji zaufania jednostki uzależnionej. Jeśli masz więcej niż 100 relacji zaufania jednostki uzależnionej, farma WID ma limit 5 serwerów federacyjnych. ).
Geograficzne równoważenie obciążenia, które pomaga zwiększyć ruch w oparciu o lokalizację.
Uwaga
Ponieważ ta topologia jest zaawansowaną opcją wdrażania usług AD FS, szczegółowe informacje dotyczące sposobu działania tej topologii i sposobu wdrażania nie zostały omówione w tym artykule.
Aby uzyskać więcej informacji na temat tej opcji topologii, zobacz Konfigurowanie opcji zaawansowanych dla usług AD FS 2.0.
Tabela szacowania: określanie liczby serwerów usług AD FS do wdrożenia w organizacji
Poniższa tabela ułatwia oszacowanie minimalnej liczby serwerów federacyjnych usług AD FS i serwerów proxy aplikacji internetowej lub serwerów proxy serwera federacyjnego, które należy umieścić w farmie serwerów federacyjnych skonfigurowanych przy użyciu identyfikatora WID w całej infrastrukturze sieci firmowej na podstawie liczby użytkowników, którzy będą wymagać dostępu do logowania jednokrotnego, w tym dostęp zdalny do usługi w chmurze.
Uwaga
Wszystkie komputery skonfigurowane dla roli serwera federacyjnego lub serwera proxy usługi federacyjnej muszą mieć uruchomiony system operacyjny Windows Server 2008, Windows Server 2008 R2 lub Windows Server 2012. Wszystkie komputery, które zostaną skonfigurowane do uruchamiania usługi roli serwer proxy aplikacji sieci Web, będą uruchamiane tylko Windows Server 2012 R2 systemu operacyjnego.
Zalecamy użycie jednego serwera federacyjnego do obsługi nadmiarowości. Poniższa tabela jest zgodna z tym zaleceniem.
| Liczba użytkowników, którzy uzyskują dostęp do usługi w chmurze | Minimalna liczba serwerów do wdrożenia | Rekomendacje i kroki |
|---|---|---|
Mniej niż 1000 użytkowników |
0 dedykowanych serwerów federacyjnych 0 dedykowanych serwerów proxy 1 dedykowany serwer równoważenia obciążenia sieciowego |
W przypadku serwerów federacyjnych należy użyć dwóch istniejących kontrolerów domeny usługi Active Directory i skonfigurować je zarówno dla roli serwera federacyjnego. Aby to zrobić, najpierw wybierz dwie istniejące kontrolery domeny, a następnie:
W przypadku równoważenia obciążenia sieciowego skonfiguruj istniejącego hosta równoważenia obciążenia sieciowego lub uzyskaj dedykowany serwer, a następnie zainstaluj na nim rolę serwera równoważenia obciążenia sieciowego, a następnie skonfiguruj serwer równoważenia obciążenia sieciowego. W przypadku serwerów proxy należy użyć dwóch istniejących serwerów sieci Web lub serwera proxy i skonfigurować je zarówno dla roli serwera proxy usługi federacyjnej, jak i roli serwer proxy aplikacji sieci Web. W tym celu wybierz dwa istniejące serwery internetowe lub serwery proxy znajdujące się w ekstranetie, a następnie:
Uwaga Jeśli nie masz dwóch istniejących kontrolerów domeny i dwóch serwerów sieci Web lub serwerów proxy lub nie są uruchomione Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 lub Windows Server 2012 R2, należy wdrożyć dedykowane serwery, zgodnie z opisem w następnym wierszu tej tabeli. Ważne Jeśli używasz usług AD FS 2.0 lub AD FS w Windows Server 2012, musisz wdrożyć i skonfigurować serwery proxy serwera federacyjnego. Jeśli używasz usług AD FS w Windows Server 2012 R2, możesz skonfigurować i wdrożyć tylko serwery proxy aplikacji internetowej. W Windows Server 2012 R2 usługa sieci Web serwer proxy aplikacji, nowa usługa roli serwera dostępu zdalnego, służy do konfigurowania usług AD FS na potrzeby dostępu do ekstranetu. |
Od 1000 do 15 000 użytkowników |
2 dedykowane serwery federacyjne 2 dedykowane serwery proxy |
W przypadku serwerów federacyjnych uzyskaj dwa dedykowane serwery, a następnie:
W przypadku serwerów proxy uzyskaj dwa dedykowane serwery, które można umieścić w ekstranetie:
Ważne Jeśli używasz usług AD FS 2.0 lub AD FS w Windows Server 2012, należy wdrożyć i skonfigurować serwery proxy serwera federacyjnego. Jeśli używasz usług AD FS w Windows Server 2012 R2, można skonfigurować i wdrożyć tylko serwery proxy aplikacji internetowej. W Windows Server 2012 R2, serwer proxy aplikacji sieci Web, nowa usługa roli roli serwera dostępu zdalnego, służy do konfigurowania usług AD FS na potrzeby dostępu ekstranetu. |
15 000 do 60 000 użytkowników |
Od 3 do 5 dedykowanych serwerów federacyjnych Co najmniej 2 dedykowane serwery proxy |
Każdy dedykowany serwer federacyjny może obsługiwać około 15 000 użytkowników. W związku z tym należy dodać dodatkowy dedykowany serwer federacyjny do podstawowego wdrożenia serwera federacyjnego opisanego wcześniej dla każdego 15.000 użytkowników, którzy będą wymagać dostępu do usługi w chmurze, maksymalnie pięciu serwerów federacyjnych w farmie lub 60.000 użytkowników. Uwaga Farma serwerów federacyjnych usług AD FS skonfigurowana do używania WID obsługuje maksymalnie pięć serwerów federacyjnych. Jeśli potrzebujesz więcej niż pięciu serwerów federacyjnych, musisz skonfigurować bazę danych SQL Server do przechowywania bazy danych konfiguracji usług AD FS. Aby uzyskać więcej informacji na temat tej opcji, zobacz Konfigurowanie opcji zaawansowanych dla usług AD FS 2.0. |
Minimalna liczba użytkowników do zaleceń dotyczących serwerów podanych w poprzedniej tabeli jest obliczana na podstawie następującego sprzętu:
| Sprzęt | Specyfikacje |
|---|---|
Szybkość procesora |
Dwurdzeniowy procesor 2,27 GHz (8 rdzeni) |
Pamięć RAM |
4 gigabajty (GB) |
Sieć |
Gigabit |
Dodawanie serwerów federacyjnych w celu zwiększenia wydajności
Gdy co najmniej dwa serwery federacyjne są skonfigurowane w farmie przy użyciu technologii równoważenia obciążenia sieciowego, mogą działać niezależnie, aby ułatwić przetwarzanie obciążenia przychodzących żądań użytkowników wysyłanych do usługi federacyjnej USŁUG AD FS bez obniżenia ogólnej wydajności usługi jako całości. W związku z tym istnieje niewielkie obciążenie związane z dodawaniem dodatkowych serwerów federacyjnych do istniejącego środowiska produkcyjnego po wdrożeniu początkowych serwerów federacyjnych strategicznie w sieci.
Następny krok
Po zaplanowaniu wdrożenia usług AD FS następnym krokiem jest przejrzenie wymagań dotyczących wdrażania usług AD FS.
Zobacz też
Pojęcia
Lista kontrolna: używanie usług AD FS do implementowania logowania jednokrotnego i zarządzania nim