Когда следует создавать ферму серверов федерации

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Рекомендуется создать ферму серверов федерации в службы федерации Active Directory (AD FS) (AD FS) при наличии более крупного развертывания AD FS и обеспечить отказоустойчивость, балансировку нагрузки или масштабируемость службы федерации организации. Процесс создания двух или нескольких серверов федерации в одной сети, настройки каждого из них для использования одной службы федерации и добавления открытого ключа сертификатов подписи маркеров каждого сервера в оснастки ad FS Management создает ферму серверов федерации.

Вы можете создать ферму серверов федерации или установить дополнительные серверы федерации в существующую ферму с помощью мастера настройки сервера федерации AD FS. Дополнительные сведения см. в разделе When to Create a Federation Server.

Примечание.

Если выбран вариант создания новой фермы серверов федерации с помощью мастера настройки сервера служб федерации AD FS, то мастер попытается создать объект-контейнер (для совместного использования сертификатов) в Active Directory. Таким образом, важно при первом входе на компьютер, где настраивается роль сервера федерации, использовать учетную запись, которая имеет достаточные разрешения в Active Directory, чтобы создать этот объект-контейнер.

Прежде чем серверы федерации можно сгруппировать как ферму, сначала их необходимо кластеризировать, чтобы запросы, поступающие на одно полное доменное имя (FQDN), перенаправлялись на различные серверы федерации в ферме серверов. Вы можете создать кластер серверов, развернув балансировку сетевой нагрузки (NLB) в корпоративной сети. В этом руководстве предполагается, что NLB настроена соответствующим образом для кластеризации каждого сервера федерации в ферме.

Дополнительные сведения о настройке полного доменного имени кластера с помощью технологии NLB Майкрософт см. в разделе "Указание параметров кластера".

Рекомендации по развертыванию фермы серверов федерации

Мы рекомендуем использовать следующие рекомендации по развертыванию сервера федерации в рабочей среде:

• Если вы будете развертывать несколько серверов федерации одновременно или знаете, что с течением времени вы добавите в ферму больше серверов, рассмотрите возможность создания образа сервера существующего сервера федерации в ферме, а затем установки из этого образа, когда необходимо быстро создать дополнительные серверы федерации.

  Примечание.

  Если вы решите использовать метод образа сервера для развертывания дополнительных серверов федерации, вам не нужно выполнять задачи в контрольном списке. Настройка сервера федерации при каждом добавлении нового сервера в ферму.

• Используйте NLB или другую форму кластеризация, чтобы выделить один IP-адрес для многих компьютеров сервера федерации.

• Зарезервируйте статический IP-адрес для каждого сервера федерации в ферме и в зависимости от конфигурации системы доменных имен (DNS) вставьте исключение для каждого IP-адреса в протоколе конфигурации динамических узлов (DHCP). Технология балансировки сетевой нагрузки Майкрософт требует, чтобы каждому серверу, входящему в кластер NLB, был назначен статический IP-адрес.

• Если база данных конфигурации AD FS будет храниться в базе данных SQL, не изменяйте базу данных SQL с нескольких серверов федерации одновременно.

Настройка серверов федерации для фермы

В следующей таблице описываются задачи, которые необходимо выполнить, чтобы каждый сервер федерации смог участвовать в ферме.

Задача	Description
При использовании SQL Server для хранения базы данных конфигурации AD FS	Ферма серверов федерации состоит из двух или нескольких серверов федерации, использующих одну и ту же базу данных конфигурации AD FS и сертификаты подписи маркеров. База данных конфигурации может храниться в любой внутренней базе данных Windows или в базе данных SQL Server. Если вы планируете хранить базу данных конфигурации в базе данных SQL, убедитесь, что база данных конфигурации доступна, чтобы получить доступ ко всем новым серверам федерации, участвующим в ферме. Примечание. Для сценариев фермы важно, чтобы база данных конфигурации находилась на компьютере, который не участвует в качестве сервера федерации в этой ферме. Microsoft NLB не допускает взаимодействие друг с другом компьютеров, участвующих в ферме. Примечание. Убедитесь, что удостоверение ad FS AppPool в службы IIS (IIS)) на каждом сервере федерации, который участвует в ферме, имеет доступ на чтение к базе данных конфигурации.
Получение и совместное использование сертификатов	Вы можете получить один сертификат проверки подлинности сервера из общедоступного центра сертификации (ЦС) — например, из VeriSign. Затем вы можете настроить сертификат, чтобы все серверы федерации совместно используют одну и ту же часть закрытого ключа сертификата. Дополнительные сведения о совместном использовании сертификатов см. в статье Checklist: Setting Up a Federation Server. Примечание. Оснастка управления AD FS ссылается на сертификаты проверки подлинности сервера для серверов федерации в качестве сертификатов связи службы. Дополнительные сведения см. в разделе Certificate Requirements for Federation Servers.
Указание одного и того же экземпляра SQL Server	Если база данных конфигурации AD FS будет храниться в базе данных SQL, новый сервер федерации должен указывать на тот же экземпляр SQL Server, который используется другими серверами федерации в ферме, чтобы новый сервер может участвовать в ферме.

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012