Planera din AD FS-distribution
Gäller för: Azure, Office 365, Power BI, Windows Intune
Det första steget i planeringen av en AD FS-distribution för en Microsoft-molntjänst är att välja rätt distributionstopologi för att uppfylla organisationens behov av enkel inloggning. AD FS kräver att du använder antingen Intern Windows-databas (WID) eller en SQL Server databas för att lagra AD FS-konfigurationsdata som används av federationstjänsten.
Den rekommenderade AD FS-topologin för majoriteten av Microsofts molntjänstkunder är att använda federationsservergruppen med WID- och proxytopologi som följer. Det finns också ett avancerat alternativ för att skapa en federationsservergrupp med SQL Server proxyservrar, som nämns senare i det här avsnittet.
Dessutom innehåller det här avsnittet även en tabell för att fastställa antalet AD FS-servrar som ska distribueras i din organisation, samt information om hur du lägger till federationsservrar för att öka prestandan.
Rekommenderad topologi: Federationsservergrupp med WID och proxyservrar
Avancerat alternativ: Federationsservergrupp med SQL Server och proxyservrar
Uppskattningstabell: Fastställa antalet AD FS-servrar som ska distribueras i din organisation
Lägga till federationsservrar för att öka prestanda
Rekommenderad topologi: Federationsservergrupp med WID och proxyservrar
Standardtopologin för en Microsoft-molntjänst är en AD FS-federationsservergrupp som består av flera servrar som är värdar för organisationens federationstjänst. I den här topologin använder AD FS WID som AD FS-konfigurationsdatabas för alla federationsservrar som är anslutna till den servergruppen. Servergruppen replikerar och underhåller federationstjänstdata i konfigurationsdatabasen på varje server i servergruppen.
När du skapar den första federationsservern i en servergrupp skapas också en ny federationstjänst. När WID används som AD FS-konfigurationsdatabas kallas den första federationsservern som skapas i servergruppen för den primära federationsservern. Det innebär att den här datorn konfigureras med en läs-/skrivkopia av AD FS-konfigurationsdatabasen.
Alla andra federationsservrar som konfigurerats för den här servergruppen kallas sekundära federationsservrar, eftersom de måste replikera alla ändringar som görs på den primära federationsservern till deras skrivskyddade kopior av AD FS-konfigurationsdatabasen som de lagrar lokalt.
Anteckning
Vi rekommenderar att du använder minst två federationsservrar i en belastningsutjämningskonfiguration.
Att konfigurera den här basfederationsservergruppens topologi är den första fasen i AD FS-distributionen. Den andra fasen består av att bestämma hur du ska tillhandahålla åtkomstkontrollfunktioner för externa användare genom att distribuera antingen:.
Webbprogramproxy om du använder AD FS i Windows Server 2012 R2
Federationsserverproxy om du använder AD FS 2.0 eller AD FS i Windows Server 2012
Fas 1: Distribuera federationsservergruppen
När du är redo att börja distribuera servergruppen bör du planera att placera alla federationsservrar i företagsnätverket bakom en NLB-värd (Network Load Balancing) som kan konfigureras för ett NLB-kluster med ett dedikerat klusters DNS-namn och klustrets IP-adress.
Viktigt
Det här klustrets DNS-namn måste matcha federationstjänstens namn (till exempel fs.fabrikam.com) och vara Internet-dirigerbart för instansen av AD FS som du distribuerar. Om namnet inte matchar dirigeras inte autentiseringsbegäran till rätt DNS-server eller rätt federationsserver.
NLB-värden kan använda inställningarna som definierats i det här NLB-klustret för att allokera klientbegäranden till de enskilda federationsservrarna. Följande diagram visar hur Fabrikam, Inc. kan konfigurera den första fasen av distributionen med hjälp av en federationsservergrupp med två datorer (fs1 och fs2) med WID och positionering av en DNS-server och en enda NLB-värd som är kopplad till företagsnätverket.
.gif "Federation Server Farm with WID")
Anteckning
Om det uppstår ett fel på den här enskilda NLB-värden kommer användarna inte att kunna komma åt molntjänsten. Lägg till ytterligare NLB-värdar om dina affärskrav inte tillåter en enskild felpunkt.
Fas 2: Distribuera dina proxyservrar
I allmänhet används proxyservrar för att omdirigera begäranden om klientautentisering som kommer från utanför företagsnätverket till federationsservergruppen, med andra ord för att konfigurera extranätsåtkomst.
Viktigt
Beroende på vilken version av AD FS du vill använda kan du antingen distribuera webbprogramproxyservrar (i AD FS i Windows Server 2012 R2) eller federationsserverproxyservrar (i AD FS 2.0 och AD FS i Windows Server 2012). Definitioner och beskrivningar av funktionerna i en webb-Programproxy och en federationsserverproxy finns i Granska AD FS-terminologi.
För en Microsoft-molntjänstkund är det nödvändigt att distribuera proxyservrar i din befintliga AD FS-infrastruktur för att aktivera följande användarscenarier:
Arbetsdator, roaming: Användare som är inloggade på domänanslutna datorer med sina företagsautentiseringsuppgifter, men som inte är anslutna till företagsnätverket (till exempel en arbetsdator hemma eller på ett hotell), kan komma åt molntjänsten.
Hemdator eller offentlig dator: När användaren använder en dator som inte är ansluten till företagsdomänen måste användaren logga in med sina företagsautentiseringsuppgifter för att få åtkomst till molntjänsten.
Smarttelefon: För att få åtkomst till molntjänsten, till exempel Microsoft Exchange Online med Microsoft Exchange ActiveSync, måste användaren logga in med sina företagsautentiseringsuppgifter på en smart telefon.
Microsoft Outlook eller andra e-postklienter: Användaren måste logga in med sina företagsautentiseringsuppgifter för att få åtkomst till sina Office 365 e-post om de använder Outlook eller en e-postklient som inte ingår i Office, till exempel en IMAP- eller POP-klient.
För att stödja dessa användarscenarier bygger den här andra fasen på fas 1 av distributionen som diskuterades tidigare, genom att lägga till antingen två webbprogramproxyservrar eller två federationsserverproxyservrar, ge åtkomst till en DNS-server i perimeternätverket och åtkomst till en andra NLB-värd i perimeternätverket.
Den andra NLB-värden måste konfigureras med ett NLB-kluster som använder en INTERNETtillgänglig kluster-IP-adress och den måste använda samma dns-namninställning för klustret som det tidigare NLB-klustret som du konfigurerade i företagsnätverket för fas 1 (fs.fabrikam.com). Proxyservrar för webbprogram eller federationsserverproxy konfigureras också med Internettillgängliga IP-adresser.
Följande diagram visar den befintliga fas 1-distributionen och hur Fabrikam, Inc. kan ge åtkomst till en perimeter-DNS-server, lägga till en andra NLB-värd med samma kluster-DNS-namn (fs.fabrikam.com) och lägga till två federationsserverproxys (fsp1 och fsp2) i perimeternätverket.
Följande diagram visar den befintliga fas 1-distributionen och hur Fabrikam, Inc. kan ge åtkomst till en perimeter-DNS-server, lägga till en andra NLB-värd med samma kluster-DNS-namn (fs.fabrikam.com) och lägga till två webbprogramproxyservrar (wap1 och wap2) i perimeternätverket.
.gif "ADFSProxyDeploymentSSO")
Anteckning
- Du kan använda http-lösningar med omvänd proxy från tredje part för att publicera AD FS till extranätet. Mer information om hur du gör detta finns i Konfigurera avancerade alternativ för AD FS 2.0.
- All AD FS-kommunikation som passerar genom brandväggen baseras på HTTPS.
- Du kan skapa anpassade anspråksregler i AD FS som begränsar användarnas åtkomst till molntjänsten baserat på den fysiska platsen för klientdatorn eller klientenheten som användaren begär åtkomst till. Mer information om hur du skapar dessa regler finns i Begränsa åtkomsten till Office 365 tjänster baserat på klientplats.
Avancerat alternativ: Federationsservergrupp med SQL Server och proxyservrar
Det här är ett avancerat topologialternativ för AD FS-distribution som använder webbprogramproxy eller federationsserverproxy och en SQL Server konfiguration för att göra det möjligt för alla federationsservrar i servergruppen att läsa och skriva till en gemensam SQL Server databas. Användning av en SQL Server-databas som AD FS-konfigurationsdatabas ger följande fördelar jämfört med WID:
Funktioner med hög tillgänglighet för SQL Server som administratörer kan använda.
Ytterligare prestandaförbättringar, inklusive möjligheten att skala ut med fler federationsservrar (en WID-servergrupp har en gräns på 30 federationsservrar om du har 100 eller färre förlitande partförtroenden. Om du har fler än 100 förlitande partförtroenden har en WID-servergrupp en gräns på 5 federationsservrar. ).
Geografisk belastningsutjämning för att ge ökad trafik baserat på plats.
Anteckning
Eftersom den här topologin är ett avancerat AD FS-distributionsalternativ beskrivs inte information om hur topologin fungerar och hur den distribueras i den här artikeln.
Mer information om det här topologialternativet finns i Konfigurera avancerade alternativ för AD FS 2.0.
Uppskattningstabell: Fastställa antalet AD FS-servrar som ska distribueras i din organisation
Du kan använda följande tabell för att beräkna det minsta antalet AD FS-federationsservrar och webbprogramproxyservrar eller federationsserverproxyservrar som du behöver placera i en federationsservergrupp som konfigurerats med WID i företagets nätverksinfrastruktur baserat på antalet användare som kräver åtkomst med enkel inloggning. inklusive fjärråtkomst till molntjänsten.
Anteckning
Alla datorer som ska konfigureras för federationsservern eller federationsserverproxyrollen måste köra antingen Windows Server 2008, Windows Server 2008 R2 eller Windows Server 2012 operativsystem. Alla datorer som ska konfigureras för att köra webb-Programproxy-rolltjänsten körs bara Windows Server 2012 R2-operativsystem.
Vi rekommenderar att du använder en federationsserver för att ta hänsyn till redundans. Följande tabell följer den här rekommendationen.
| Antal användare som har åtkomst till molntjänsten | Minsta antal servrar som ska distribueras | Rekommendation och steg |
|---|---|---|
Färre än 1 000 användare |
0 dedikerade federationsservrar 0 dedikerade proxyservrar 1 dedikerad NLB-server |
För federationsservrarna använder du två befintliga Active Directory-domänkontrollanter (DCs) och konfigurerar dem båda för federationsserverrollen. Det gör du genom att först välja två befintliga domänkontrollanter och sedan:
För NLB konfigurerar du en befintlig NLB-värd eller hämtar en dedikerad server och installerar sedan NLB-serverrollen på den och konfigurerar sedan NLB-servern. För proxyservrarna använder du två befintliga webb- eller proxyservrar och konfigurerar dem båda för federationsserverproxyrollen eller webb-Programproxy-rollen. Det gör du genom att välja två befintliga webb- eller proxyservrar som finns i extranätet och sedan:
Anteckning Om du inte har två befintliga domänkontrollanter och två webb- eller proxyservrar eller om de inte kör antingen Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 eller Windows Server 2012 R2, bör du distribuera dedikerade servrar i stället, enligt beskrivningen i nästa rad i den här tabellen. Viktigt Om du använder AD FS 2.0 eller AD FS i Windows Server 2012 måste du distribuera och konfigurera federationsserverproxy. Om du använder AD FS i Windows Server 2012 R2 kan du bara konfigurera och distribuera webbprogramproxyservrar. I Windows Server 2012 R2 används en webb-Programproxy, en ny rolltjänst för fjärråtkomstserverrollen, för att konfigurera AD FS för extranätsåtkomst. |
1 000 till 15 000 användare |
2 dedikerade federationsservrar 2 dedikerade proxyservrar |
Hämta två dedikerade servrar för federationsservrarna och sedan:
För proxyservrarna hämtar du två dedikerade servrar som du kan placera i extranätet:
Viktigt Om du använder AD FS 2.0 eller AD FS i Windows Server 2012 måste du distribuera och konfigurera federationsserverproxyservrar. Om du använder AD FS i Windows Server 2012 R2 kan du bara konfigurera och distribuera webbprogramproxyservrar. I Windows Server 2012 R2 används en webbaserad Programproxy, en ny rolltjänst för fjärråtkomstserverrollen, för att konfigurera AD FS för extranätsåtkomst. |
15 000 till 60 000 användare |
Mellan 3 och 5 dedikerade federationsservrar Minst 2 dedikerade proxyservrar |
Varje dedikerad federationsserver har stöd för cirka 15 000 användare. Lägg därför till ytterligare en dedikerad federationsserver till den grundläggande två federationsserverdistributionen som beskrevs tidigare för varje 15 000 användare som kräver åtkomst till molntjänsten, upp till högst fem federationsservrar i servergruppen eller 60 000 användare. Anteckning En AD FS-federationsservergrupp som har konfigurerats för att använda WID stöder högst fem federationsservrar. Om du behöver fler än fem federationsservrar måste du konfigurera en SQL Server databas för att lagra AD FS-konfigurationsdatabasen. Mer information om det här alternativet finns i Konfigurera avancerade alternativ för AD FS 2.0. |
Det minsta antalet användare till servrar som anges i föregående tabell beräknas baserat på följande maskinvara:
| Maskinvara | Specifikationer |
|---|---|
CPU-hastighet |
Dual Quad Core 2.27GHz CPU (8 kärnor) |
RAM |
4 gigabyte (GB) |
Nätverk |
Gigabit |
Lägga till federationsservrar för att öka prestanda
När två eller flera federationsservrar konfigureras i en servergrupp med hjälp av NLB-teknik kan de arbeta oberoende för att bearbeta belastningen på inkommande användarbegäranden som görs till AD FS-federationstjänsten utan att försämra den övergripande prestandan för tjänsten som helhet. Därför är det inte mycket arbete med att lägga till ytterligare federationsservrar i din befintliga produktionsmiljö när du har distribuerat dina första federationsservrar strategiskt i nätverket.
Nästa steg
Nu när du har planerat AD FS-distributionen är nästa steg att granska kraven för att distribuera AD FS.
Se även
Begrepp
Checklista: Använda AD FS för att implementera och hantera enkel inloggning