Рекомендации по топологии развертывания AD FS
В этом разделе описываются важные рекомендации по планированию и проектированию топологии развертывания служб федерации Active Directory (AD FS) для использования в рабочей среде. Этот раздел является отправной точкой для проверки и оценки рекомендаций, влияющих на функции или возможности, которые будут доступны после развертывания AD FS. Например, в зависимости от типа базы данных, выбранного для хранения базы данных конфигурации AD FS, в конечном счете определяет, можно ли реализовать определенные функции языка разметки утверждений безопасности (SAML), требующие SQL Server.
Определение типа используемой базы данных конфигурации AD FS
AD FS использует базу данных для хранения конфигурации и (в некоторых случаях) транзакционных данных, связанных со службой федерации. Программное обеспечение AD FS можно использовать для выбора встроенной внутренней базы данных Windows (WID) или Microsoft SQL Server 2005 или более поздней версии для хранения данных в службе федерации.
В большинстве случаев два типа баз данных относительно эквивалентны. Однако перед началом работы с различными топологиями развертывания, которые можно использовать с AD FS, следует учитывать некоторые различия. В следующей таблице описываются различия в поддерживаемых функциях между базой данных WID и базой данных SQL Server.
Функции AD FS
| Функция | Поддерживается WID? | Поддерживается SQL Server? | Дополнительные сведения об этой функции |
|---|---|---|---|
| Развертывание фермы серверов федерации | Да, с ограничением 30 серверов федерации для каждой фермы | Да. Не существует принудительного ограничения на количество серверов федерации, которые можно развернуть в одной ферме. | определите топологию развертывания AD FS |
| Разрешение артефактов SAML Примечание: Эта функция не требуется для сценариев Microsoft Online Services, Microsoft Office 365, Microsoft Exchange или Microsoft Office SharePoint. | Нет | Да |
роль базы данных конфигурации AD FS Лучшие практики по безопасному планированию и развертыванию AD FS |
| Обнаружение повторного использования токена SAML/WS-Federation | Нет | Да |
роль базы данных конфигурации AD FS Наилучшие практики безопасного планирования и развертывания AD FS |
Функции базы данных
| Функция | Поддерживается WID? | Поддерживается SQL Server? | Дополнительные сведения об этой функции |
|---|---|---|---|
| Базовая избыточность базы данных с использованием пул репликации, где один или несколько серверов, на которых размещена копия базы данных только для чтения, запрашивают изменения, сделанные на исходном сервере, на котором размещена копия базы данных для чтения и записи. | Да | Нет | роль базы данных конфигурации AD FS |
| Избыточность базы данных с помощью высокодоступных решений, таких как отказоустойчивая кластеризация или зеркальное отображение (только на уровне базы данных) Примечание. Все топологии развертывания AD FS поддерживают кластеризацию на уровне службы AD FS. | Нет | Да | роль базы данных конфигурации AD FS |
Рекомендации по SQL Server
При выборе SQL Server в качестве базы данных конфигурации для развертывания AD FS следует учитывать следующие факты развертывания.
функции SAML и их влияние на размер базы данных и рост. Если включены функции разрешения артефактов SAML или обнаружения повторного использования токена SAML, AD FS хранит информацию в базе данных конфигурации SQL Server для каждого выданного маркера AD FS. Рост базы данных SQL Server в результате этой активности не считается значительным и зависит от настроенного периода сохранения воспроизведения токена. Каждая запись артефакта имеет размер около 30 килобайт (КБ).
количество серверов, необходимых для вашего развертывания. Необходимо добавить по крайней мере один дополнительный сервер (в общее количество серверов, необходимых для развертывания инфраструктуры AD FS), который будет выступать в качестве выделенного узла экземпляра SQL Server. Если планируется использовать отказоустойчивую кластеризацию или зеркальное отображение для обеспечения отказоустойчивости и масштабируемости для базы данных конфигурации SQL Server, требуется не менее двух серверов SQL.
Выбор выбранного типа базы данных конфигурации может повлиять на аппаратные ресурсы
Влияние на аппаратные ресурсы на сервер федерации, развернутый в ферме с помощью WID, а не на сервер федерации, развернутый в ферме с использованием базы данных SQL Server, не является значительным. Однако важно учитывать, что при использовании WID для фермы каждый сервер федерации в этой ферме должен хранить, управлять и поддерживать изменения репликации для локальной копии базы данных конфигурации AD FS, а также продолжать предоставлять обычные операции, необходимые службе федерации.
Для сравнения серверы федерации, развернутые в ферме, использующая базу данных SQL Server, не обязательно содержат локальный экземпляр базы данных конфигурации AD FS. Таким образом, они могут немного уменьшить спрос на аппаратные ресурсы.
Проверка поддержки развертывания AD FS в рабочей среде
Помимо развернутых серверов федерации и в зависимости от того, как настроена существующая рабочая среда, могут потребоваться следующие дополнительные серверы, чтобы обеспечить необходимую инфраструктуру для поддержки нового развертывания AD FS:
Контроллер домена службы Active Directory
Центр сертификации (ЦС)
Веб-сервер для размещения метаданных федерации
Балансировка нагрузки сети (NLB)