Устаревшая ферма серверов федерации AD FS с помощью WID и прокси-серверов

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Эта топология развертывания для служб федерации Active Directory (AD FS) идентична топологии серверов федерации с топологией внутренней базы данных Windows (WID), но добавляет прокси-компьютеры в сеть периметра для поддержки внешних пользователей. Эти прокси-серверы перенаправляют запросы проверки подлинности клиента, поступающие извне корпоративной сети, в ферму серверов федерации. В предыдущих версиях AD FS эти прокси-серверы назывались прокси серверов федерации.

Это важно

В службах федерации Active Directory (AD FS) в Windows Server 2012 R2 роль прокси-сервера федерации обрабатывается новой службой роли удаленного доступа, называемой прокси веб-приложения. Чтобы обеспечить доступ к вашему AD FS извне корпоративной сети, что является предназначением развертывания прокси-сервера федерации в устаревших версиях AD FS, таких как AD FS 2.0 и AD FS в Windows Server 2012, можно развернуть одно или несколько веб-приложений-прокси для AD FS в Windows Server 2012 R2.

В контексте AD FS прокси-сервер веб-приложения функционирует как прокси-сервер федерации AD FS. Помимо этого, прокси-сервер веб-приложения предоставляет функции обратного прокси-сервера для веб-приложений в корпоративной сети, чтобы пользователи на любом устройстве могли получать доступ к ним из-за пределов корпоративной сети. Для получения дополнительной информации о службе роли прокси-сервера веб-приложения см. раздел "Обзор".

Чтобы спланировать развертывание прокси-сервера веб-приложения, ознакомьтесь со сведениями в следующих разделах:

• Спланируйте инфраструктуру прокси-сервера веб-приложений (WAP)
• Планирование прокси-сервера веб-приложения

Рекомендации по развертыванию

В этом разделе описаны различные рекомендации по предполагаемой аудитории, преимуществам и ограничениям, связанным с этой топологией развертывания.

Кто должен использовать эту топологию?

• ** Организации, которые имеют 100 или менее настроенных отношений доверия и которым необходимо предоставлять своим внутренним и внешним пользователям (входящим на компьютеры, физически расположенные за пределами корпоративной сети) доступ к федеративным приложениям или службам через единый вход (SSO)

• Организации, которым необходимо обеспечить доступ к Microsoft Office 365 для как внутренних, так и внешних пользователей с помощью единого входа (SSO).

• Небольшие организации, имеющие внешних пользователей и требующие избыточных масштабируемых служб

Каковы преимущества использования этой топологии?

• Те же преимущества, что и для фермы серверов федерации с использованием топологии WID, а также преимущества предоставления дополнительного доступа для внешних пользователей

Каковы ограничения использования этой топологии?

• Те же ограничения, что и перечисленные для фермы серверов федерации , использующей топологию WID

  1-100 доверительных фондов RP	Более 100 трастов RP
  1–30 узлов AD FS: поддержка WID	1–30 узлов AD FS: не поддерживается с помощью WID — требуется SQL
  Более 30 узлов AD FS: не поддерживается с использованием WID — требуется SQL.	Более 30 узлов AD FS: не поддерживается с использованием WID — требуется SQL.

Рекомендации по размещению сервера и макету сети

Чтобы развернуть эту топологию, помимо добавления двух прокси-серверов веб-приложений, необходимо убедиться, что сеть периметра также может предоставлять доступ к серверу доменных имен (DNS) и второму узлу балансировки нагрузки сети (NLB). Второй узел NLB должен быть настроен с кластером NLB, использующим IP-адрес кластера с доступом к Интернету, и он должен использовать тот же параметр DNS кластера, что и предыдущий кластер NLB, настроенный в корпоративной сети (fs.fabrikam.com). Прокси-серверы веб-приложения также должны быть настроены с IP-адресами, доступными в Интернете.

На следующем рисунке показана существующая ферма серверов федерации с WID-топологией, описанной ранее, и как вымышленная компания Fabrikam, Inc., предоставляет доступ к периметральному DNS-серверу, добавляет второй NLB-узел с тем же именем кластера DNS (fs.fabrikam.com) и интегрирует два прокси сервера веб-приложений (wap1 и wap2) в периферийную сеть.

Дополнительные сведения о настройке сетевой среды для использования с серверами федерации или прокси-серверами веб-приложений см. в разделе "AD FS Requirements Требования к разрешению имен" и "Plan the Web Application Proxy Infrastructure (WAP); Планирование инфраструктуры прокси-сервера веб-приложений (WAP)".

См. также

Планирование топологии развертывания AD FSРуководство по проектированию AD FS в Windows Server 2012 R2