Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Baza danych konfiguracji usług AD FS przechowuje wszystkie dane konfiguracji, które reprezentują pojedyncze wystąpienie usług Active Directory Federation Services (AD FS) (czyli usługi federacyjnej). Baza danych konfiguracji AD FS definiuje zestaw parametrów, których usługa federacyjna wymaga do identyfikacji partnerów, certyfikatów, magazynów atrybutów, oświadczeń oraz różnych danych dotyczących tych skojarzonych jednostek. Te dane konfiguracji można przechowywać w bazie danych programu Microsoft SQL Server® lub funkcji wewnętrznej bazy danych systemu Windows (WID) dołączonej do systemu Windows Server 2012 lub nowszej.
Uwaga
Cała zawartość bazy danych konfiguracji usług AD FS może być przechowywana w wystąpieniu WID lub w wystąpieniu bazy danych SQL, ale nie w obu jednocześnie. Oznacza to, że nie można mieć niektórych serwerów federacyjnych za pomocą WID, a inne za pomocą bazy danych programu SQL Server dla tego samego wystąpienia bazy danych konfiguracji usług AD FS.
Poniższe informacje w tym temacie można użyć wraz z zawartością podaną w temacie Zagadnienia dotyczące topologii wdrażania usług AD FS, aby dowiedzieć się więcej o zaletach i wadach wyboru WID lub SQL Server do przechowywania bazy danych konfiguracji usług AD FS:
WID używa relacyjnego magazynu danych i nie ma własnego interfejsu użytkownika zarządzania. Zamiast tego administratorzy mogą modyfikować zawartość bazy danych konfiguracji AD FS przy użyciu przystawki Zarządzanie usługami AD FS, Fsconfig.exe, lub poleceń cmdlet programu Windows PowerShell™.
Przechowywanie bazy danych konfiguracji usług AD FS przy użyciu WID
Bazę danych konfiguracji AD FS można utworzyć, wybierając WID jako magazyn, korzystając z narzędzia wiersza polecenia Fsconfig.exe lub Kreatora konfiguracji serwera federacji AD FS. Jeśli używasz jednego z tych narzędzi, możesz wybrać dowolną z poniższych opcji, aby utworzyć topologię serwera federacyjnego. Każda z tych opcji używa identyfikatora WID do przechowywania bazy danych konfiguracji usług AD FS:
Tworzenie autonomicznego serwera federacyjnego
Tworzenie pierwszego serwera federacyjnego w farmie serwerów federacyjnych
Dodawanie serwera federacyjnego do farmy serwerów federacyjnych
Jeśli wybierzesz opcję autonomiczną, identyfikator WID jest używany do przechowywania jednego wystąpienia bazy konfiguracji AD FS. To wystąpienie nie może być udostępniane przez wiele serwerów federacyjnych. Jest przeznaczona tylko dla środowisk laboratoryjnych testowych. Aby uzyskać więcej informacji na temat opcji autonomicznego serwera federacyjnego lub sposobu jego konfigurowania, zobacz Stand-Alone Federation Server Using WID lub Create a Stand-Alone Federation Server.
Jeśli wybierzesz pierwszy serwer federacyjny w opcji farmy serwerów federacyjnych, WID jest skonfigurowany pod kątem skalowalności, która pozwoli na dodanie dodatkowych serwerów federacyjnych do farmy w późniejszym czasie. Aby uzyskać więcej informacji na temat wdrażania farmy WID lub sposobu ich konfigurowania, zobacz Farma serwerów federacyjnych przy użyciu WID lub Tworzenie pierwszego serwera federacyjnego w farmie serwerów federacyjnych
W przypadku wybrania opcji dodawania serwera federacyjnego, WID jest skonfigurowany do replikacji zmian bazy danych konfiguracji na nowy serwer federacyjny w określonych odstępach czasu. Aby uzyskać więcej informacji na temat dodawania serwera federacyjnego do farmy WID, zobacz Farma serwerów federacyjnych przy użyciu WID lub Dodawanie serwera federacyjnego do farmy serwerów federacyjnych.
Uwaga
Podczas wdrażania farmy serwerów federacyjnych przy użyciu WID niektóre funkcje usług AD FS mogą być niedostępne. Aby mieć dostęp do pełnego zestawu funkcji podczas konfigurowania farmy serwerów, rozważ użycie programu Microsoft SQL Server do przechowywania bazy danych konfiguracji usług AD FS. Aby uzyskać więcej informacji, zobacz zagadnienia dotyczące topologii wdrażania usług AD FS .
Jak działa farma serwerów federacyjnych WID
W tej sekcji opisano ważne pojęcia, które opisują, jak farma serwerów federacyjnych WID replikuje dane między podstawowym serwerem federacyjnym a pomocniczymi serwerami federacyjnymi. .
Podstawowy serwer federacyjny
Podstawowy serwer federacyjny to komputer z systemem Windows Server 2012 lub nowszym, który został skonfigurowany z rolą serwera federacyjnego przy użyciu Kreatora konfiguracji serwera federacyjnego usług AD FS i który ma kopię odczytu/zapisu bazy danych konfiguracji usług AD FS. Podstawowy serwer federacyjny jest zawsze tworzony podczas korzystania z Kreatora konfiguracji serwera federacyjnego usług AD FS i wybierz opcję utworzenia nowej usługi federacyjnej i ustawić ten komputer jako pierwszy serwer federacyjny w farmie. Wszystkie inne serwery federacyjne w tej farmie, znane również jako serwery federacyjne pomocnicze, muszą synchronizować zmiany wprowadzone na serwerze federacyjnym podstawowym do kopii bazy danych konfiguracji usług AD FS, która jest przechowywana lokalnie.
Serwery federacyjne pomocnicze
Serwery federacyjne pomocnicze przechowują kopię bazy danych konfiguracji usług AD FS z podstawowego serwera federacyjnego, ale te kopie są tylko do odczytu. Serwery federacyjne pomocnicze łączą się i synchronizują dane z podstawowym serwerem federacyjnym w farmie, sondując je w regularnych odstępach czasu, aby sprawdzić, czy dane uległy zmianie. Serwery federacyjne pomocnicze istnieją, aby zapewnić odporność na uszkodzenia podstawowego serwera federacyjnego podczas działania w celu równoważenia obciążenia żądań dostępu, które są wykonywane w różnych lokacjach w całym środowisku sieciowym.
Jak synchronizowana jest baza danych konfiguracji usług AD FS
Ze względu na ważną rolę, jaką odgrywa baza danych konfiguracji usług AD FS, jest ona udostępniana na wszystkich serwerach federacyjnych w sieci w celu zapewnienia odporności na uszkodzenia i funkcji równoważenia obciążenia podczas przetwarzania żądań (gdy są używane moduły równoważenia obciążenia sieciowego). Jednak aby serwery federacyjne pomocnicze służyły w tej pojemności, należy zsynchronizować bazę danych konfiguracji usług AD FS przechowywanych na podstawowym serwerze federacyjnym.
Po dodaniu serwera federacyjnego do farmy nowy komputer, który stanie się pomocniczym serwerem federacyjnym, łączy się z podstawowym serwerem federacyjnym w celu replikowania kopii bazy danych konfiguracji usług AD FS. Od tego momentu nowy serwer federacyjny będzie regularnie pobierać aktualizacje z podstawowego serwera federacyjnego, jak pokazano na poniższej ilustracji.
Każdy pomocniczy serwer federacyjny sonduje podstawowy serwer federacyjny co pięć minut pod kątem zmian. Możesz dostosować tę domyślną wartość pięciominutową lub wymusić natychmiastową synchronizację w dowolnym momencie przy użyciu polecenia cmdlet programu Windows PowerShell. Aby uzyskać więcej informacji o tym, jak to wykonać, zobacz Administracja usługami AD FS za pomocą programu Windows PowerShell.
Proces synchronizacji WID obsługuje również transfery przyrostowe w celu bardziej wydajnego transferu pośrednich zmian. Proces transferu przyrostowego wymaga znacznie mniejszego ruchu w sieci, a transfery są wykonywane znacznie szybciej.
Uwaga
Obsługiwana jest migracja bazy danych konfiguracji usług AD FS z WID do wystąpienia programu SQL Server. Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz AD FS: Migrowanie bazy danych konfiguracji AD FS do programu SQL Server w witrynie TechNet Wiki.
Jak zarządzać właściwościami synchronizacji usług AD FS
W tej sekcji opisano sposób wyświetlania i edytowania właściwości synchronizacji bazy danych konfiguracji usług AD FS. .
Polecenie cmdlet Get-ADFSSyncProperties pobiera właściwości synchronizacji dla bazy danych konfiguracji usług Active Directory Federation Services (AD FS).
PS C:\> Get-ADFSSyncProperties
Na podstawowym serwerze usług AD FS to polecenie cmdlet pokaże tylko, że rola jest komputerem podstawowym. Na członku zapasowym będzie wyświetlana pozostała część konfiguracji, w tym w pełni kwalifikowana nazwa domeny dla ostatniej synchronizacji z komputera głównego, stan ostatniej synchronizacji i czas, okres sondażu, aktualnie skonfigurowana nazwa komputera głównego, port komputera głównego oraz rola komputera zapasowego.
Polecenie cmdlet Set-ADFSSyncProperties modyfikuje częstotliwość synchronizacji bazy danych konfiguracji usług Active Directory Federation Services (AD FS). Polecenie cmdlet określa również, który serwer federacyjny jest serwerem podstawowym w farmie serwerów federacyjnych.
Uwaga
Jeśli podstawowy serwer federacyjny ulegnie awarii i jest w trybie offline, wszystkie pomocnicze serwery federacyjne nadal przetwarzają żądania w normalny sposób. Nie można jednak wprowadzać żadnych nowych zmian w usłudze federacyjnej, dopóki podstawowy serwer federacyjny nie zostanie przywrócony w trybie online. Można również nominować pomocniczy serwer federacyjny, aby stać się podstawowym serwerem federacyjnym przy użyciu programu Windows PowerShell. Jeśli nominujesz nowy serwer podstawowy, pozostałe serwery muszą zostać zmodyfikowane w celu odzwierciedlenia nowego serwera podstawowego. Posiadanie 2 serwerów głównych w farmie WID wpłynie na stabilność farmy i istnieje możliwość utraty danych.
Zmień czas trwania ankiety na farmie
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
To polecenie modyfikuje synchronizację bazy danych na 3600 sekund. Polecenie powoduje zmianę na podstawowym serwerze federacyjnym.
Zmienianie serwera z pomocniczego na podstawowy
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
To polecenie zmienia serwer usług AD FS w farmie WID z pomocniczej na podstawową.
Zmienianie serwera podstawowego na serwer pomocniczy
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
To polecenie zmienia podstawowy serwer usług AD FS w farmie WID na serwer pomocniczy. Należy określić w pełni kwalifikowaną nazwę domeny serwera podstawowego. Niepodjęcie działań może skutkować tym, że nie wszystkie pomocnicze serwery AD FS są prawidłowo synchronizowane. Uwaga: serwer podstawowy musi być dostępny za pośrednictwem protokołu HTTP na porcie 80 z serwera pomocniczego.
Aby uzyskać więcej informacji, zobacz: Set-AdfsSyncProperties
Przechowywanie bazy danych konfiguracji usług AD FS przy użyciu programu SQL Server
Bazę danych konfiguracji usług AD FS można utworzyć przy użyciu pojedynczego wystąpienia bazy danych programu SQL Server jako magazynu przy użyciu narzędzia wiersza polecenia Fsconfig.exe. Użycie bazy danych programu SQL Server jako bazy danych konfiguracji usług AD FS zapewnia następujące korzyści za pośrednictwem WID:
Administratorzy mogą korzystać z funkcji wysokiej dostępności programu SQL Server
Zapewnia on dodatkowe wzrosty wydajności dla dużego ruchu.
Zapewnia obsługę funkcji rozpoznawania artefaktów SAML i wykrywania powtarzania tokenu SAML/WS-Federation (opisane poniżej).
Termin "podstawowy serwer federacyjny" nie ma zastosowania, gdy baza danych konfiguracji usług AD FS jest przechowywana w wystąpieniu bazy danych SQL, ponieważ wszystkie serwery federacyjne mogą równie odczytywać i zapisywać w bazie danych konfiguracji usług AD FS, która używa tego samego klastrowanego wystąpienia programu SQL Server, jak pokazano na poniższej ilustracji.
Program SQL Server umożliwia skonfigurowanie co najmniej dwóch serwerów do współpracy jako klastra serwerów w celu zapewnienia wysokiej dostępności usług AD FS dla przychodzących żądań klientów. Wysoka dostępność zapewnia architekturę skalowaną w poziomie, która pozwala zwiększać wydajność serwera poprzez dodanie dodatkowych serwerów. Pojedyncze punkty awarii są ograniczane przez automatyczne przełączanie klastra w tryb failover.
Wysoką dostępność można osiągnąć przy użyciu usług równoważenia obciążenia sieciowego i trybu failover zapewnianych przez technologie klastrowania SQL. Aby uzyskać więcej informacji na temat konfigurowania programu SQL Server pod kątem wysokiej dostępności, zobacz Rozwiązania o wysokiej dostępności — omówienie.
Rozpoznawanie artefaktów SAML
Rozpoznawanie artefaktów języka SAML (Security Assertion Markup Language) jest punktem końcowym opartym na części protokołu SAML 2.0 opisującego sposób, w jaki jednostka uzależniona może pobrać token bezpośrednio z dostawcy oświadczeń. W pierwszym etapie procesu rozwiązywania klient przeglądarki kontaktuje się z serwerem federacyjnym zasobów i dostarcza mu artefakt. W drugim etapie serwery federacyjne zasobów wysyłają artefakt do adresu URL punktu końcowego artefaktu SAML, który jest hostowany gdzieś w organizacji partnera konta, aby rozwiązać komunikat o artefakcie. Na ostatnim etapie serwer federacyjny kont wystawia token do serwera federacyjnego w imieniu klienta przeglądarki.
Uwaga
Jeśli jesteś administratorem w organizacji będącej partnerem konta, pamiętaj, aby przypisać lub powiązać certyfikat SSL, który jest powiązany z certyfikatem głównym członka programu głównych certyfikatów systemu Windows, na pasywną witrynę federacyjną w usługach IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) na wszystkich serwerach federacyjnych kont na farmie. Jest to ważne, aby zapobiec konieczności ręcznego dodawania certyfikatu SSL do magazynu certyfikatów Zaufane osoby na lokalnych komputerach oraz uniknąć sytuacji, w której serwery zasobów nie będą mogły rozpoznać artefaktu opublikowanego w organizacji.
SAML/WS — wykrywanie powtarzania tokenu federacji
Termin token replay odnosi się do działania, za pomocą którego klient przeglądarki w organizacji partnera kont próbuje wysłać ten sam token otrzymany z serwera federacyjnego kont wiele razy w celu uwierzytelnienia na serwerze federacyjnym zasobów. Ten akt występuje, gdy użytkownik kliknie przycisk Wstecz przeglądarki, aby ponownie przesłać stronę uwierzytelniania.
Usługi AD FS udostępniają funkcję określaną jako wykrywanie odtwarzania tokenu, dzięki której można wykryć i odrzucić wiele żądań tokenu przy użyciu tego samego tokenu. Po włączeniu tej funkcji wykrywanie powtórnego użycia tokenu chroni integralność żądań uwierzytelniania zarówno w profilu pasywnym WS-Federation, jak i w profilu SAML WebSSO, zapewniając, że ten sam token nigdy nie jest używany więcej niż raz. Ta funkcja powinna być włączona w sytuacjach, w których bezpieczeństwo jest bardzo duże, na przykład w przypadku korzystania z kiosków.
W przykładzie kiosku użytkownik może wylogować się ze wszystkich witryn sieci Web, a później złośliwy użytkownik może próbować użyć historii przeglądarki, aby ponownie przesłać stronę uwierzytelniania federacyjnego załadowaną przez poprzedniego użytkownika. Ta funkcja ogranicza ten problem, przechowując dodatkowe informacje o każdym pomyślnym uwierzytelnieniu przeprowadzonym przez organizację partnera kont w celu wykrycia kolejnych powtórzeń tokenu i uniemożliwienia pomyślnego przeprowadzenia wielu prób uwierzytelniania.