Роль базы данных конфигурации AD FS
База данных конфигурации AD FS хранит все данные конфигурации, представляющие один экземпляр службы федерации Active Directory (AD FS) (AD FS) (то есть службу федерации). База данных конфигурации AD FS определяет набор параметров, необходимых службе федерации для идентификации партнеров, сертификатов, хранилищ атрибутов, утверждений и разнообразных данных об этих связанных сущностях. Эти данные конфигурации можно хранить в базе данных Microsoft SQL Server® или в функции внутренняя база данных Windows (WID), которая входит в состав Windows Server 2012 или более поздней версии.
Примечание.
Все содержимое базы данных конфигурации AD FS может храниться в экземпляре внутренней базы данных Windows или экземпляре базы данных SQL, но не в обоих одновременно. Следовательно, некоторые серверы федерации не могут использовать внутреннюю базу данных Windows, а другие — базу данных SQL Server для одного и того же экземпляра базы данных конфигурации AD FS.
Следующие сведения в этом разделе можно использовать вместе с содержимым, предоставленным в рекомендациях по топологии развертывания AD FS, чтобы узнать о преимуществах и недостатках выбора WID или SQL Server для хранения базы данных конфигурации AD FS:
WID использует реляционное хранилище данных и не имеет собственного пользовательского интерфейса управления. Вместо этого администраторы могут изменять содержимое базы данных конфигурации AD FS с помощью оснастки управления AD FS, Fsconfig.exe или командлетов Windows PowerShell™.
Использование внутренней базы данных Windows для хранения базы данных конфигурации AD FS
Базу данных конфигурации AD FS можно создать с помощью WID в качестве хранилища с помощью средства командной строки Fsconfig.exe или мастера настройки сервера федерации AD FS. При использовании любого из этих инструментов можно выбрать любой перечисленный ниже вариант для создания топологии сервера федерации. В каждом из этих вариантов внутренняя база данных Windows используется для хранения базы данных конфигурации AD FS.
Создание автономного сервера федерации
Создание первого сервера федерации на ферме серверов федерации
Добавление сервера федерации в ферму серверов федерации
Если выбрать автономный параметр, WID используется для хранения одного экземпляра базы данных конфигурации AD FS. Этот экземпляр не может совместно использоваться несколькими серверами федерации. Он предназначен исключительно для тестовых лабораторных сред. Дополнительные сведения о параметре автономного сервера федерации или настройке одного сервера см. в статье "Автономный сервер федерации" с помощью WID или создания автономного сервера федерации.
Если выбран первый сервер федерации в варианте, предполагающем создание фермы серверов федерации, внутренняя база данных Windows настраивается так, чтобы ее масштабируемость позволяла впоследствии добавлять дополнительные серверы федерации в ферму. Дополнительные сведения о развертывании фермы WID или настройке одной из них см. в разделе "Ферма серверов федерации" с помощью WID или создание первого сервера федерации в ферме серверов федерации
Если выбран вариант с добавлением сервера федерации, внутренняя база данных Windows настраивается так, чтобы реплицировать изменения в базе данных конфигурации на новый сервер федерации с заданными интервалами. Дополнительные сведения о добавлении сервера федерации в ферму WID см. в разделе "Ферма серверов федерации" с помощью WID или добавление сервера федерации в ферму серверов федерации.
Примечание.
При развертывании фермы серверов федерации с помощью WID некоторые функции AD FS могут быть недоступны. Для получения доступа к полному набору функций при настройке фермы серверов можно использовать Microsoft SQL Server для хранения базы данных конфигурации AD FS. Дополнительные сведения см. в разделе "Рекомендации по топологии развертывания AD FS".
Принципы работы фермы серверов федерации внутренней базы данных Windows
В этом разделе описываются важные концептуальные принципы, описывающие репликацию данных фермой серверов федерации на основе внутренней базы данных Windows между основным сервером федерации и вторичными серверами федерации. .
Основной сервер федерации
Сервер основной федерации — это компьютер под управлением Windows Server 2012 или более поздней версии, настроенный с ролью сервера федерации с помощью мастера настройки сервера федерации AD FS и с копией базы данных конфигурации AD FS. Сервер основной федерации всегда создается при использовании мастера настройки сервера федерации AD FS и выбора параметра для создания новой службы федерации и создания этого компьютера первого сервера федерации в ферме. Все остальные серверы федерации на этой ферме, также известные как вторичные серверы федерации, должны синхронизировать изменения, внесенные на основном сервере федерации, в копию базы данных конфигурации AD FS, которая хранится локально.
Вторичные серверы федерации
Серверы вторичной федерации хранят копию базы данных конфигурации AD FS с сервера основной федерации, но эти копии доступны только для чтения. Вторичные серверы федерации подключаются к основному серверу федерации на ферме и синхронизируют с ним данные, опрашивая сервер на предмет изменения данных с регулярными интервалами Серверы вторичной федерации существуют для обеспечения отказоустойчивости сервера основной федерации при выполнении действий по балансировке нагрузки запросов на доступ, сделанных на разных сайтах в сетевой среде.
Методы синхронизации базы данных конфигурации AD FS
Из-за важной роли, которую играет база данных конфигурации AD FS, она доступна на всех серверах федерации в сети для обеспечения отказоустойчивости и балансировки нагрузки при обработке запросов (при использовании сетевых подсистем балансировки нагрузки). Однако для того чтобы вторичные серверы федерации можно было использовать таким образом, необходимо синхронизировать базу данных конфигурации AD FS, хранимую на основном сервере федерации.
При добавлении сервера федерации на ферму новый компьютер, который станет вторичным сервером федерации, подключается к основному серверу федерации, чтобы реплицировать экземпляр базы данных конфигурации AD FS. С этого момента новый сервер федерации продолжает регулярно извлекать обновления с основного сервера федерации, как показано на следующем рисунке.
Каждый вторичный сервер федерации каждые пять минут опрашивает основной сервер федерации на наличие изменений. Это значение по умолчанию можно настроить пять минут или принудительно выполнить немедленную синхронизацию в любое время с помощью командлета Windows PowerShell. Дополнительные сведения об этом см. в статье AD FS Администратор istration с помощью Windows PowerShell.
Процесс синхронизации внутренней базы данных Windows также поддерживает поэтапные переносы, повышая эффективность переноса промежуточных изменений. Процесс поэтапного переноса требует существенно меньше трафика в сети, переносы выполняются гораздо быстрее.
Примечание.
Поддерживается перенос базы данных конфигурации AD FS из внутренней базы данных Windows в экземпляр SQL Server. Дополнительные сведения о том, как это сделать, см. в статье AD FS. Перенос базы данных конфигурации AD FS на SQL Server на сайте TechNet Wiki.
Управление свойствами синхронизации AD FS
В этом разделе описывается, как просмотреть и изменить свойства синхронизации базы данных конфигурации AD FS. .
Командлет Get-ADFSSyncProperties получает свойства синхронизации для базы данных конфигурации службы федерации Active Directory (AD FS) (AD FS).
PS C:\> Get-ADFSSyncProperties
На сервере Primary AD FS этот командлет будет отображаться только то, что роль является основным компьютером. На дополнительном элементе отобразится остальная часть конфигурации, включая полное доменное имя последней синхронизации с основного компьютера, состояние последней синхронизации и время, длительность опроса, текущее имя основного компьютера, порт основного компьютера и роль дополнительного компьютера.
Командлет Set-ADFSSyncProperties изменяет частоту синхронизации для базы данных конфигурации службы федерации Active Directory (AD FS) (AD FS). Командлет также указывает, какой сервер федерации является основным сервером в ферме серверов федерации.
Примечание.
Если происходит сбой основного сервера федерации и он отключается от сети, все вторичные серверы федерации продолжают обрабатывать запросы в штатном режиме. Однако до тех пор, пока основной сервер федерации не будет снова подключен к сети, внести изменения в службу федерации невозможно. С помощью Windows PowerShell можно назначить вторичный сервер федерации основным. Если вы назначите новый первичный сервер, остальные серверы должны быть изменены, чтобы отразить новый первичный сервер. Наличие 2 первичных объектов с фермой WID влияет на стабильность фермы и может потерять данные.
Изменение длительности опроса для фермы
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Эта команда изменяет синхронизацию базы данных на 3600 секунд. Команда вносит изменения на основной сервер федерации.
Изменение сервера с вторичного на первичный
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Эта команда изменяет сервер AD FS в ферме WID с вторичной на первичную.
Изменение первичного сервера на дополнительный сервер
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Эта команда изменяет основной сервер AD FS в ферме WID на дополнительный сервер. Необходимо указать полное доменное имя первичного сервера. Это может привести не ко всем вторичным серверам AD FS правильной синхронизации. Примечание. Основной сервер должен быть доступен через HTTP-порт 80 с дополнительного сервера.
Дополнительные сведения см. в статье Set-AdfsSyncProperties
Использование SQL Server для хранения базы данных конфигурации AD FS
Базу данных конфигурации AD FS можно создать с помощью одного экземпляра базы данных SQL Server в качестве хранилища с помощью средства командной строки Fsconfig.exe. Использование базы данных SQL Server в качестве базы данных конфигурации AD FS имеет следующие преимущества по сравнению с внутренней базой данных Windows.
Администраторы могут использовать функции обеспечения высокой доступности в составе SQL Server
Система предоставляет возможность увеличения производительности для обработки большого трафика.
Она обеспечивает поддержку разрешения артефактов SAML и обнаружения воспроизведения токена SAML/WS-Federation (описано ниже).
Термин "основной сервер федерации" не применяется, если база данных конфигурации AD FS хранится в экземпляре базы данных SQL, так как все серверы федерации могут одинаково считывать и записывать в базу данных конфигурации AD FS, которая использует тот же кластеризованный экземпляр SQL Server, как показано на следующем рисунке.
С помощью SQL Server можно настроить два или более серверов для совместной работы в качестве кластера серверов, чтобы обеспечить высокую доступность AD FS для входящих клиентских запросов. Высокий уровень доступности обеспечивает масштабируемую архитектуру, в которой можно увеличить емкость сервера, добавив дополнительные серверы. Отдельные точки сбоя компенсируются автоматической отработкой отказа.
Вы можете достичь высокой доступности с помощью сетевых служб балансировки нагрузки и отработки отказа, предоставляемых технологиями SQL кластеризация. Дополнительные сведения о настройке SQL Server для обеспечения высокой доступности см. в обзоре решений высокого уровня доступности.
Разрешение артефактов SAML.
Разрешение артефактов языка разметки утверждений безопасности (SAML) — это конечная точка на основе протокола SAML 2.0, описывающего, как проверяющая сторона может получить маркер непосредственно от поставщика утверждений. На первом этапе процесса разрешения клиент браузера связывается с сервером федерации ресурсов и предоставляет тому артефакт. На втором этапе серверы федерации ресурсов отправляют артефакт на URL-адрес конечной точки артефактов SAML, расположенный где-то в партнерской организации по учетным записям, чтобы разрешить сообщение артефакта. На заключительном этапе сервер федерации учетных записей издает токен серверу федерации от имени клиента браузера.
Примечание.
Если вы являетесь администратором в партнерской организации учетной записи, обязательно назначьте или привязите SSL-сертификат, который связывается с корневым сертификатом члена программы корневого сертификата Windows, к пассивному веб-сайту федерации в IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) на всех серверах федерации учетных записей в ферме. Важно не допустить добавления серверами федерации ресурсов SSL-сертификата в хранилище сертификатов "Доверенные лица локальных компьютеров" вручную. Кроме того, не должно возникать ситуаций, когда система не в состоянии разрешить артефакт, опубликованный в организации.
SAML/WS — обнаружение воспроизведения токена федерации
Воспроизведение маркера термина относится к акту, с помощью которого клиент браузера в партнерской организации учетной записи пытается отправить один и тот же маркер, полученный от сервера федерации учетной записи несколько раз, чтобы пройти проверку подлинности на сервер федерации ресурсов. Это действие происходит, когда пользователь нажимает кнопку "Назад " в браузере, чтобы повторно отправить страницу проверки подлинности.
AD FS предоставляет функцию, называемую обнаружением воспроизведения маркеров, с помощью которого можно обнаружить несколько запросов маркеров с помощью одного и того же маркера, а затем отключить карта. Если эта функция включена, обнаружение воспроизведения маркеров защищает целостность запросов проверки подлинности как в пассивном профиле WS-Federation, так и в профиле SAML WebSSSO, убедившись, что один и тот же маркер никогда не используется более одного раза. Эту функцию следует включать в ситуациях, когда нужна повышенная безопасность, например при работе с киосками.
В случае с киосками пользователь может выполнить выход из системы на всех веб-сайтах, а затем злоумышленник может попытаться использовать историю браузера для повторной отправки страницы федерированной аутентификации, загруженной предыдущим пользователем. Эта функция устраняет эту проблему, сохраняя дополнительные сведения о каждой успешной проверке подлинности, выполненной организацией партнера учетной записи, чтобы обнаружить последующие повторы маркера и предотвратить успешное выполнение нескольких попыток проверки подлинности.