När du ska skapa en federationsservergrupp
Överväg att skapa en federationsservergrupp i Active Directory Federation Services (AD FS) när du har en större AD FS-distribution och du vill tillhandahålla feltolerans, belastningsutjämning eller skalbarhet till organisationens federationstjänst. Att skapa två eller flera federationsservrar i samma nätverk, konfigurera var och en av dem för att använda samma federationstjänst och lägga till den offentliga nyckeln för varje servers tokensigneringscertifikat i snapin-modulen AD FS Management skapar en federationsservergrupp.
Du kan skapa en federationsservergrupp eller installera ytterligare federationsservrar i en befintlig servergrupp med hjälp av konfigurationsguiden för AD FS Federation Server. Mer information finns i När du ska skapa en federationsserver.
Anmärkning
När du väljer alternativet att skapa en Ny federationsservergrupp med hjälp av konfigurationsguiden för AD FS-federationsserver försöker guiden skapa ett containerobjekt (för att dela certifikat) i Active Directory. Därför är det viktigt att du först loggar in på datorn, där du konfigurerar federationsserverrollen, med ett konto som har tillräcklig behörighet i Active Directory för att skapa det här containerobjektet.
Innan federationsservrar kan grupperas som en servergrupp måste de först grupperas så att begäranden som anländer till ett enda fullständigt domännamn dirigeras till de olika federationsservrarna i servergruppen. Du kan skapa serverklustret genom att distribuera utjämning av nätverksbelastning (NLB) i företagsnätverket. Den här guiden förutsätter att NLB har konfigurerats korrekt för att klustra var och en av federationsservrarna i servergruppen.
Mer information om hur du konfigurerar ett kluster-FQDN med MicrosoftS NLB-teknik finns i Ange klusterparametrar.
Metodtips för att distribuera en federationsservergrupp
Vi rekommenderar följande metodtips för att distribuera en federationsserver i en produktionsmiljö:
Om du ska distribuera flera federationsservrar samtidigt eller om du vet att du kommer att lägga till fler servrar i servergruppen över tid kan du överväga att skapa en serverbild av en befintlig federationsserver i servergruppen och sedan installera från den avbildningen när du snabbt behöver skapa ytterligare federationsservrar.
Anmärkning
Om du bestämmer dig för att använda serverbildmetoden för att distribuera ytterligare federationsservrar behöver du inte slutföra uppgifterna i checklista: Konfigurera en federationsserver varje gång du vill lägga till en ny server i servergruppen.
Använd NLB eller någon annan form av klustring för att allokera en enda IP-adress för många federationsserverdatorer.
Reservera en statisk IP-adress för varje federationsserver i servergruppen och, beroende på DNS-konfigurationen (Domain Name System), infoga ett undantag för varje IP-adress i DHCP (Dynamic Host Configuration Protocol). MicrosoftS NLB-teknik kräver att varje server som deltar i NLB-klustret tilldelas en statisk IP-adress.
Om AD FS-konfigurationsdatabasen lagras i en SQL-databas bör du undvika att redigera SQL-databasen från flera federationsservrar samtidigt.
Konfigurera federationsservrar för en serverfarm
I följande tabell beskrivs de uppgifter som måste utföras så att varje federationsserver kan delta i en gruppbaserad miljö.
| Uppgift | Beskrivning |
|---|---|
| Om du använder SQL Server för att lagra AD FS-konfigurationsdatabasen | En federationsservergrupp består av två eller flera federationsservrar som delar samma AD FS-konfigurationsdatabas och tokensigneringscertifikat. Konfigurationsdatabasen kan lagras i antingen windows interna databas eller i en SQL Server-databas. Om du planerar att lagra konfigurationsdatabasen i en SQL-databas kontrollerar du att konfigurationsdatabasen är tillgänglig så att den kan nås av alla nya federationsservrar som deltar i servergruppen. Obs! För servergruppsscenarier är det viktigt att konfigurationsdatabasen finns på en dator som inte också deltar som federationsserver i servergruppen. Microsoft NLB tillåter inte att någon av datorerna som deltar i en servergrupp kommunicerar med varandra. Obs! Kontrollera att identiteten för AD FS AppPool i Internet Information Services (IIS) på varje federationsserver som deltar i klustret har läsbehörighet till konfigurationsdatabasen. |
| Hämta och dela certifikat | Du kan hämta ett certifikat för en enskild serverautentisering från en offentlig certifikatutfärdare (CA) – till exempel VeriSign. Sedan kan du konfigurera certifikatet så att alla federationsservrar delar samma privata nyckeldel av certifikatet. Mer information om hur du delar samma certifikat finns i Checklista: Konfigurera en federationsserver.
Obs! Hanteringsmodulen för AD FS refererar till serverautentiseringscertifikat på federationsservrar som tjänstkommunikationscertifikat. Mer information finns i certifikatkrav för federationsservrar. |
| Peka på samma SQL Server-instans | Om AD FS-konfigurationsdatabasen lagras i en SQL-databas måste den nya federationsservern peka på samma SQL Server-instans som används av andra federationsservrar i servergruppen så att den nya servern kan delta i servergruppen. |