Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В базе данных конфигурации AD FS хранятся все данные конфигурации, представляющие один экземпляр служб федерации Active Directory (AD FS) (то есть служба федерации). База данных конфигурации AD FS определяет набор параметров, необходимых службе федерации для идентификации партнеров, сертификатов, хранилищ атрибутов, утверждений и различных данных об этих связанных сущностях. Эти данные конфигурации можно хранить в базе данных Microsoft SQL Server® или в компоненте внутренней базы данных Windows (WID), который входит в состав Windows Server 2012 или более поздней версии.
Примечание.
Все содержимое базы данных конфигурации AD FS может храниться либо в экземпляре WID, либо в экземпляре базы данных SQL, но не в обоих случаях. Это означает, что на одних серверах федерации не могут использоваться WID, а на других - база данных сервера SQL для одного и того же экземпляра базы данных конфигурации AD FS.
Следующие сведения в этом разделе можно использовать вместе с содержимым, предоставленным в рекомендации по топологии развертывания AD FS, чтобы узнать о преимуществах и недостатках выбора WID или SQL Server для хранения базы данных конфигурации AD FS:
WID использует реляционное хранилище данных и не имеет собственного пользовательского интерфейса управления. Вместо этого администраторы могут изменять содержимое базы данных конфигурации AD FS с помощью оснастки управления AD FS, Fsconfig.exeили командлетов Windows PowerShell™.
Использование WID для хранения базы данных конфигурации AD FS
Базу данных конфигурации AD FS можно создать, используя WID в качестве хранилища, через командную строку Fsconfig.exe или мастер настройки сервера федерации AD FS. При использовании любого из этих средств можно выбрать любой из следующих вариантов, чтобы создать топологию сервера федерации. Каждый из этих параметров использует WID для хранения базы данных конфигурации AD FS:
Создание автономного сервера федерации
Создание первого сервера федерации в ферме серверов федерации
Добавление сервера федерации в ферму серверов федерации
Если выбрать автономный параметр, WID используется для хранения одного экземпляра базы данных конфигурации AD FS. Этот экземпляр нельзя разделять между несколькими серверами федерации. Он предназначен только для сред лаборатории тестирования. Дополнительные сведения о параметре отдельного сервера федерации или о том, как его настроить, см. в разделе Stand-Alone Сервер федерации с помощью WID или Создать Stand-Alone сервер федерации.
Если выбрать первый сервер федерации в параметре фермы серверов федерации, WID настроен для масштабируемости, которая позволит добавлять дополнительные серверы федерации в ферму позже. Дополнительные сведения о развертывании фермы WID или настройке его см. в разделе Ферма серверов федерации с помощью WID или создание первого сервера федерации в ферме серверов федерации
Если выбрать параметр "Добавить сервер федерации", WID настроен для репликации изменений базы данных конфигурации на новый сервер федерации с заданными интервалами. Дополнительные сведения о добавлении сервера федерации в ферму WID см. в разделе Ферма серверов федерации с использованием WID или Добавление сервера федерации в ферму серверов федерации.
Примечание.
При развертывании фермы серверов федерации с помощью WID некоторые функции AD FS могут быть недоступны. Чтобы получить доступ к полному набору функций при настройке фермы серверов, рекомендуется использовать Microsoft SQL Server для хранения базы данных конфигурации AD FS. Дополнительные сведения см. в статье Рекомендации по топологии развертывания AD FS.
Как работает ферма серверов федерации WID
В этом разделе описываются важные понятия, объясняющие, как ферма серверов федерации WID реплицирует данные между первичным сервером федерации и вторичными серверами федерации. .
Основной сервер федерации
Основной сервер федерации — это компьютер под управлением Windows Server 2012 или более поздней версии, настроенный с ролью сервера федерации с помощью мастера конфигурации сервера федерации AD FS и имеющий копию базы данных конфигурации AD FS с возможностью чтения и записи. Сервер основной федерации всегда создается при использовании мастера настройки сервера федерации AD FS и выбора параметра для создания новой службы федерации и создания этого компьютера первого сервера федерации в ферме. Все остальные серверы федерации в этой ферме, также известные как вторичные серверы федерации, должны синхронизировать изменения, внесенные на сервере основной федерации, с копией базы данных конфигурации AD FS, которая хранится локально.
Вторичные серверы федерации
Серверы вторичной федерации хранят копию базы данных конфигурации AD FS с сервера основной федерации, но эти копии доступны только для чтения. Вторичные серверы федерации подключаются к основному серверу федерации в ферме и синхронизируют данные, опрашивая его через регулярные интервалы, чтобы проверить, изменились ли данные. Серверы вторичной федерации существуют для обеспечения отказоустойчивости сервера основной федерации при выполнении действий по балансировке нагрузки запросов на доступ, сделанных на разных сайтах в сетевой среде.
Синхронизация базы данных конфигурации AD FS
Из-за важной роли, которую играет база данных конфигурации AD FS, она доступна на всех серверах федерации в сети для обеспечения отказоустойчивости и балансировки нагрузки при обработке запросов (при использовании сетевых подсистем балансировки нагрузки). Тем не менее, чтобы вторичные серверы федерации могли служить в этом качестве, нужно синхронизировать базу данных конфигурации AD FS, хранящуюся на первичном сервере федерации.
При добавлении сервера федерации в ферму новый компьютер, который станет вторичным сервером федерации, подключается к основному серверу федерации для репликации базы данных конфигурации AD FS. На этом этапе новый сервер федерации продолжает получать обновления с сервера основной федерации регулярно, как показано на следующем рисунке.
Каждый сервер вторичной федерации опрашивает основной сервер федерации каждые пять минут для изменений. Вы можете изменить это заданное по умолчанию значение в пять минут или принудительно выполнить немедленную синхронизацию в любое время с помощью командлета Windows PowerShell. Дополнительные сведения о том, как это сделать, см. в статье администрирование AD FS с помощьюWindows PowerShell.
Процесс синхронизации WID также поддерживает добавочную передачу для более эффективной передачи промежуточных изменений. Процесс добавочной передачи требует существенно меньше трафика в сети, а передача выполняется гораздо быстрее.
Примечание.
Поддерживается миграция базы данных конфигурации AD FS из WID в экземпляр SQL Server. Дополнительные сведения о том, как это сделать, см. в статье AD FS. Перенос базы данных конфигурации AD FS на SQL Server на сайте TechNet Wiki.
Управление свойствами синхронизации AD FS
В этом разделе описывается, как просмотреть и изменить свойства синхронизации базы данных конфигурации AD FS. .
Командлет Get-ADFSSyncProperties получает свойства синхронизации для базы данных конфигурации Active Directory Federation Services (AD FS).
PS C:\> Get-ADFSSyncProperties
На основном сервере AD FS этот командлет будет просто указывать, что роль — это основной компьютер. На вторичном участнике отобразится остальная часть конфигурации, включая полное доменное имя последней синхронизации с основного компьютера, статус и время последней синхронизации, продолжительность опроса, текущее настроенное имя основного компьютера, порт основного компьютера и роль вторичного компьютера.
Командлет Set-ADFSSyncProperties изменяет частоту синхронизации для конфигурационной базы данных служб Active Directory Federation Services (AD FS). Командлет также указывает, какой сервер федерации является основным сервером в ферме серверов федерации.
Примечание.
Если сервер основной федерации выходит из строя и находится в автономном режиме, все вторичные серверы федерации продолжают обрабатывать запросы в обычном режиме. Однако новые изменения не могут быть внесены в службу федерации до тех пор, пока основной сервер федерации не будет возвращен в режим "в сети". Вы также можете назначить дополнительный сервер федерации, чтобы стать основным сервером федерации с помощью Windows PowerShell. Если вы назначите новый первичный сервер, остальные серверы должны быть изменены, чтобы отразить новый первичный сервер. Наличие 2 главных объектов с фермой WID влияет на устойчивость фермы и есть вероятность потери данных.
Измените длительность голосования для фермы
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Эта команда изменяет синхронизацию базы данных на 3600 секунд. Команда вносит изменения на основной сервер федерации.
Изменение сервера с вторичного на первичный
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Эта команда изменяет сервер AD FS в ферме WID с вторичной на первичную.
Изменение первичного сервера на дополнительный сервер
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Эта команда изменяет основной сервер AD FS в ферме WID на дополнительный сервер. Необходимо указать полное доменное имя первичного сервера. Это может привести к тому, что все вторичные серверы AD FS не будут правильно синхронизироваться. Примечание. Основной сервер должен быть доступен через HTTP-порт 80 с дополнительного сервера.
Дополнительные сведения см. в статье Set-AdfsSyncProperties
Использование SQL Server для хранения базы данных конфигурации AD FS
Базу данных конфигурации AD FS можно создать с помощью одного экземпляра базы данных SQL Server в качестве хранилища с помощью средства командной строки Fsconfig.exe. Использование базы данных SQL Server в качестве базы данных конфигурации AD FS обеспечивает следующие преимущества по сравнению с WID:
Администраторы могут использовать функции высокого уровня доступности SQL Server
Он обеспечивает дополнительные показатели производительности для высокого трафика.
Предоставляется поддержка разрешения артефактов SAML и обнаружения повторного использования токенов SAML/WS-Federation (описано ниже).
Термин "основной сервер федерации" не применяется, если база данных конфигурации AD FS хранится в экземпляре базы данных SQL, так как все серверы федерации могут одинаково считывать и записывать в базу данных конфигурации AD FS, которая использует тот же кластеризованный экземпляр SQL Server, как показано на следующем рисунке.
роли AD FS 
С помощью SQL Server можно настроить два или более серверов для совместной работы в качестве кластера серверов, чтобы обеспечить высокую доступность AD FS для входящих клиентских запросов. Высокий уровень доступности обеспечивает масштабируемую архитектуру, в которой можно увеличить емкость сервера, добавив дополнительные серверы. Единичные точки отказа устраняются автоматическим переключением кластера.
Высокий уровень доступности можно достичь с помощью сервисов сетевой балансировки нагрузки и отказоустойчивости, предоставляемых технологиями кластеризации SQL. Дополнительные сведения о настройке SQL Server для обеспечения высокой доступности см. в обзоре решений с высоким уровнем доступности.
Разрешение артефактов SAML
Разбор артефактов языка разметки утверждений безопасности (SAML) является конечной точкой, основанной на части протокола SAML 2.0, описывающей, как сторона, полагающаяся на него, может получить токен непосредственно от поставщика утверждений. На первом этапе процесса разрешения клиент браузера обращается к серверу федерации ресурсов и предоставляет ему артефакт. На втором этапе серверы федерации ресурсов отправляют артефакт на URL-адрес конечной точки артефакта SAML, размещенный где-то в организации-партнере, чтобы обработать сообщение артефакта. На последнем этапе сервер федерации учетных записей выдает токен серверу федерации от имени браузерного клиента.
Примечание.
Если вы являетесь администратором в партнерской организации учетной записи, обязательно назначьте или привязите SSL-сертификат, который связывается с корневым сертификатом члена программы корневого сертификата Windows, к пассивному веб-сайту федерации в IIS (<Имя компьютера>\Sites\Default Web Site\adfs\ls) на всех серверах федерации учетных записей в ферме. Это важно, чтобы серверам федерации ресурсов не приходилось вручную добавлять SSL-сертификат в хранилище сертификатов доверенных лиц локальных компьютеров или сталкиваться с невозможностью разрешения артефакта, опубликованного в вашей организации.
SAML/WS — обнаружение повторного использования токена федерации
Термин повторного использования токенов относится к процессу, при котором клиент браузера в организации-партнёре учетной записи пытается несколько раз отправить один и тот же токен, полученный от сервера федерации учетной записи, чтобы пройти аутентификацию на сервере федерации ресурсов. Это действие происходит, когда пользователь нажимает кнопку Назад браузера, чтобы повторно отправить страницу аутентификации.
AD FS предоставляет функцию, называемую обнаружением воспроизведения маркеров, с помощью которой можно обнаружить несколько запросов маркеров с использованием одного и того же маркера, а затем отклонить. Если эта функция включена, обнаружение воспроизведения маркеров защищает целостность запросов проверки подлинности как в WS-Federation пассивном профиле, так и в профиле SAML WebSSO, убедившись, что один и тот же маркер никогда не используется более одного раза. Эта функция должна быть включена в ситуациях, когда безопасность является очень высокой проблемой, например при использовании киосков.
В примере киоска пользователь может выйти из всех веб-сайтов, а затем злоумышленник может попытаться использовать журнал браузера, чтобы повторно отправить федеративную страницу проверки подлинности, загруженную предыдущим пользователем. Эта функция устраняет эту проблему, сохраняя дополнительные сведения о каждой успешной аутентификации, выполненной партнерской организацией аккаунта, чтобы обнаружить последующие повторы токена и предотвратить успешное выполнение нескольких попыток аутентификации.