Устаревшая ферма серверов федерации AD FS с помощью WID
Топология по умолчанию для службы федерации Active Directory (AD FS) (AD FS) — это ферма серверов федерации с помощью внутренняя база данных Windows (WID). В этой топологии AD FS использует WID в качестве хранилища для базы данных конфигурации AD FS для всех серверов федерации, присоединенных к этой ферме. Ферма выполняет репликацию и обслуживание данных службы федерации в базе данных конфигурации на всех своих серверах. AD FS в Windows Server 2012 R2 позволяет организациям с 100 или меньшим количеством доверия проверяющей стороны настраивать фермы серверов федерации с помощью WID до 30 серверов.
При создании первого сервера федерации в ферме также создается новая служба федерации. При использовании WID для базы данных конфигурации AD FS первый сервер федерации, создаваемый в ферме, называется основным сервером федерации. Это означает, что этот компьютер настроен с помощью копии базы данных конфигурации AD FS для чтения и записи.
Все остальные серверы федерации, настроенные для этой фермы, называются дополнительными серверами федерации, так как они должны реплика выполнять любые изменения, внесенные на сервере основной федерации, на копии базы данных конфигурации AD FS, которые они хранят локально.
Внимание
Рекомендуется использовать по крайней мере два сервера федерации в конфигурации с балансировкой нагрузки.
Рекомендации по развертыванию
В этом разделе описаны различные рекомендации по предполагаемой аудитории, преимуществам и ограничениям, связанным с этой топологией развертывания.
Кто следует использовать эту топологию?
Организации с 100 или менее настроенными отношениями доверия, которые должны предоставить своим внутренним пользователям (вошедший на компьютеры, физически подключенные к корпоративной сети) с единым входом в федеративные приложения или службы
Организации, которые хотят предоставить своим внутренним пользователям единый вход для доступа к Microsoft Online Services или Microsoft Office 365
Небольшие организации, требующие избыточных масштабируемых служб
Примечание.
Организациям с более крупными базами данных следует рассмотреть возможность использования фермы серверов федерации с помощью топологии развертывания SQL Server . Организациям с пользователями, которые входят извне сети, следует рассмотреть возможность использования фермы серверов федерации с помощью топологии WID и прокси-серверов или фермы серверов федерации с помощью топологии SQL Server .
Каковы преимущества использования этой топологии?
Предоставляет единый вход внутренним пользователям
Избыточность службы данных и федерации (каждый сервер федерации реплика tes изменяет другие серверы федерации в той же ферме)
WID входит в состав Windows; Таким образом, не нужно приобрести SQL Server
Каковы ограничения использования этой топологии?
Ферма WID имеет ограничение в 30 серверов федерации, если у вас есть 100 или меньше доверия проверяющей стороны.
Ферма WID не поддерживает обнаружение воспроизведения маркеров или разрешение артефактов (часть протокола языка разметки утверждений безопасности (SAML).
В следующей таблице приведена сводка по использованию фермы WID. Используйте его для планирования реализации.
От 1 до 100 отношений доверия с проверяющей стороной | Более 100 отношений доверия с проверяющей стороной |
---|---|
1–30 узлов AD FS: поддерживается WID | 1–30 узлов AD FS: не поддерживается использование WID — требуется SQL |
Более 30 узлов AD FS: не поддерживается с помощью WID — требуется SQL | Более 30 узлов AD FS: не поддерживается с помощью WID — требуется SQL |
Рекомендации по размещению сервера и макету сети
Когда вы будете готовы к развертыванию этой топологии в сети, необходимо спланировать размещение всех серверов федерации в корпоративной сети за узлом балансировки нагрузки сети (NLB), который можно настроить для кластера NLB с выделенным именем системы доменных имен кластера (DNS) и IP-адресом кластера.
Примечание.
Это DNS-имя кластера должно соответствовать имени службы федерации, например fs.fabrikam.com.
Узел NLB может использовать параметры, определенные в этом кластере NLB, для выделения клиентских запросов на отдельные серверы федерации. На следующем рисунке показано, как вымышленный Fabrikam, Inc., компания настраивает первый этап своего развертывания с помощью фермы серверов федерации с двумя компьютерами (fs1 и fs2) с WID и размещением DNS-сервера и одним узлом NLB, который подключен к корпоративной сети.
Примечание.
Если на этом узле NLB произошел сбой, пользователи не смогут получить доступ к федеративнным приложениям или службам. Если требования бизнес-деятельности организации не допускают наличия подобных узких мест, добавьте дополнительные узлы балансировки сетевой нагрузки.
Дополнительные сведения о настройке сетевой среды для использования с серверами федерации см. в разделе "Требования к разрешению имен" в требованиях AD FS.
См. также
Планирование руководства по проектированию топологииразвертывания AD FS AD FS в Windows Server 2012 R2