Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
AD FS-konfigurationsdatabasen lagrar alla konfigurationsdata som representerar en enda instans av Active Directory Federation Services (AD FS) (det vill: federationstjänsten). AD FS-konfigurationsdatabasen definierar den uppsättning parametrar som en federationstjänst kräver för att identifiera partner, certifikat, attributlager, anspråk och olika data om dessa associerade entiteter. Du kan lagra dessa konfigurationsdata i antingen en Microsoft SQL Server-databas® eller i wid-funktionen (Windows Internal Database) som ingår i Windows Server 2012 eller senare.
Anmärkning
Hela innehållet i AD FS-konfigurationsdatabasen kan lagras antingen i en instans av WID eller i en instans av SQL-databasen, men inte båda. Det innebär att du inte kan ha vissa federationsservrar som använder WID och andra som använder en SQL Server-databas för samma instans av AD FS-konfigurationsdatabasen.
Du kan använda följande information i det här avsnittet tillsammans med innehållet i överväganden för AD FS-distributionstopologi för att lära dig om fördelarna och nackdelarna med att välja wid eller SQL Server för att lagra AD FS-konfigurationsdatabasen:
WID använder ett relationsdatalager och har inte ett eget användargränssnitt för hantering. Administratörer kan i stället ändra innehållet i AD FS-konfigurationsdatabasen genom att antingen använda snapin-modulen AD FS Management, Fsconfig.exeeller Windows PowerShell-cmdletar™.
Använda WID för att lagra AD FS-konfigurationsdatabasen
Du kan skapa AD FS-konfigurationsdatabasen med wid som arkiv genom att antingen använda kommandoradsverktyget Fsconfig.exe eller konfigurationsguiden för AD FS Federation Server. När du använder något av dessa verktyg kan du välja något av följande alternativ för att skapa federationsservertopologin. Vart och ett av dessa alternativ använder WID för att lagra AD FS-konfigurationsdatabasen:
Skapa en fristående federationsserver
Skapa den första federationsservern i en federationsservergrupp
Lägga till en federationsserver i en federationsservergrupp
Om du väljer det fristående alternativet används WID för att lagra en enda instans av AD FS-konfigurationsdatabasen. Den här instansen kan inte delas mellan flera federationsservrar. Den är endast avsedd för testlabbmiljöer. Mer information om det fristående federationsserveralternativet eller hur du konfigurerar en finns i Stand-Alone Federation Server Using WID eller Create a Stand-Alone Federation Server.
Om du väljer den första federationsservern i en federationsservergrupp konfigureras WID för skalbarhet som gör att ytterligare federationsservrar kan läggas till i servergruppen vid ett senare tillfälle. Mer information om hur du distribuerar en WID-servergrupp eller hur du konfigurerar en finns i federationsservergrupp med WID- eller Skapa den första federationsservern i en federationsservergrupp
Om du väljer alternativet Lägg till en federationsserver är WID konfigurerat för att replikera ändringar i konfigurationsdatabasen till den nya federationsservern med angivna intervall. Mer information om hur du lägger till en federationsserver i en WID-servergrupp finns i Federation Server Farm Using WID or Add a Federation Server to a Federation Server Farm.
Anmärkning
När du distribuerar en federationsservergrupp med WID kanske vissa funktioner i AD FS inte är tillgängliga. Om du vill ha åtkomst till den fullständiga funktionsuppsättningen när du konfigurerar servergruppen bör du överväga att använda Microsoft SQL Server för att lagra AD FS-konfigurationsdatabasen i stället. Mer information finns i överväganden för AD FS-distributionstopologi.
Så här fungerar en WID-federationsservergrupp
I det här avsnittet beskrivs viktiga begrepp som beskriver hur WID-federationsservergruppen replikerar data mellan en primär federationsserver och sekundära federationsservrar. .
Primär federationsserver
En primär federationsserver är en dator som kör Windows Server 2012 eller senare och som har konfigurerats med federationsserverrollen med hjälp av konfigurationsguiden för AD FS Federation Server och som har en läs-/skrivkopia av AD FS-konfigurationsdatabasen. Den primära federationsservern skapas alltid när du använder konfigurationsguiden för AD FS-federationsservern och väljer alternativet att skapa en ny federationstjänst och göra datorn till den första federationsservern i servergruppen. Alla andra federationsservrar i den här servergruppen, även kallade sekundära federationsservrar, måste synkronisera ändringar som görs på den primära federationsservern till en kopia av AD FS-konfigurationsdatabasen som lagras lokalt.
Sekundära federationsservrar
Sekundära federationsservrar lagrar en kopia av AD FS-konfigurationsdatabasen från den primära federationsservern, men dessa kopior är skrivskyddade. Sekundära federationsservrar ansluter till och synkroniserar data med den primära federationsservern i servergruppen genom att avsöka dem med jämna mellanrum för att kontrollera om data har ändrats. De sekundära federationsservrarna finns för att ge feltolerans för den primära federationsservern samtidigt som den agerar för belastningsutjämning av åtkomstbegäranden som görs på olika platser i hela nätverksmiljön.
Så synkroniseras AD FS-konfigurationsdatabasen
På grund av den viktiga roll som AD FS-konfigurationsdatabasen spelar görs den tillgänglig på alla federationsservrar i nätverket för att tillhandahålla feltolerans och belastningsutjämningsfunktioner vid bearbetning av begäranden (när nätverksbelastningsbalanserare används). För att sekundära federationsservrar ska fungera i den här kapaciteten måste dock AD FS-konfigurationsdatabasen som lagras på den primära federationsservern synkroniseras.
När du lägger till en federationsserver i servergruppen ansluter den nya datorn som blir en sekundär federationsserver till den primära federationsservern för att replikera kopian av AD FS-konfigurationsdatabasen. Från och med nu fortsätter den nya federationsservern att regelbundet hämta uppdateringar från den primära federationsservern, enligt följande bild.
Varje sekundär federationsserver avsöker den primära federationsservern var femte minut efter ändringar. Du kan justera det här standardvärdet på fem minuter eller framtvinga en omedelbar synkronisering när som helst med hjälp av en Windows PowerShell-cmdlet. Mer information om hur du gör detta finns i AD FS-administration med Windows PowerShell.
WID-synkroniseringsprocessen stöder även inkrementella överföringar för effektivare överföringar av mellanliggande ändringar. Den inkrementella överföringsprocessen kräver betydligt mindre trafik i ett nätverk och överföringarna slutförs mycket snabbare.
Anmärkning
Migrering av en AD FS-konfigurationsdatabas från WID till en instans av SQL Server stöds. Mer information om hur du gör detta finns i AD FS: Migrera AD FS-konfigurationsdatabasen till SQL Server- på TechNet Wiki-webbplatsen.
Så här hanterar du AD FS-synkroniseringsegenskaperna
I det här avsnittet beskrivs hur du visar och redigerar synkroniseringsegenskaperna för AD FS-konfigurationsdatabasen. .
Cmdleten Get-ADFSSyncProperties hämtar synkroniseringsegenskaperna för konfigurationsdatabasen för Active Directory Federation Services (AD FS).
PS C:\> Get-ADFSSyncProperties
På den primära AD FS-servern visar den här cmdleten endast att rollen är den primära datorn. På en sekundär medlem visas resten av konfigurationen, inklusive fullständigt domännamn för den senaste synkroniseringen från den primära datorn, status och tid för senaste synkronisering, avsökningstid, det för tillfället konfigurerade primära datornamnet, den primära datorporten och den sekundära datorns roll.
Cmdleten Set-ADFSSyncProperties ändrar synkroniseringsfrekvensen för AD FS-konfigurationsdatabasen (Active Directory Federation Services). Cmdleten anger också vilken federationsserver som är den primära servern i federationsservergruppen.
Anmärkning
Om en primär federationsserver kraschar och är offline fortsätter alla sekundära federationsservrar att bearbeta begäranden som vanligt. Inga nya ändringar kan dock göras i federationstjänsten förrän den primära federationsservern har aktiverats igen. Du kan också utse en sekundär federationsserver till den primära federationsservern med hjälp av Windows PowerShell. Om du nominerar en ny primär server måste de återstående servrarna ändras för att återspegla den nya primära servern. Att ha 2 primärer med en WID-servergrupp påverkar stabiliteten hos servergruppen och kan leda till förlust av data.
Ändra omröstningens varaktighet för en driftgrupp
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Det här kommandot ändrar databassynkroniseringen till 3 600 sekunder. Kommandot gör ändringen till den primära federationsservern.
Ändra en server från sekundär till primär
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Det här kommandot ändrar en AD FS-server i en WID-servergrupp från sekundär till primär.
Ändra en primär server till en sekundär server
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Det här kommandot ändrar en primär AD FS-server i en WID-servergrupp till en sekundär server. Du måste ange det fullständigt kvalificerade domännamnet för den primära servern. Om du inte gör det kan det leda till att inte alla sekundära AD FS-servrar synkroniseras korrekt. Obs! Den primära servern måste vara tillgänglig via HTTP på port 80 från den sekundära servern.
Mer information finns i: Set-AdfsSyncProperties
Använda SQL Server för att lagra AD FS-konfigurationsdatabasen
Du kan skapa AD FS-konfigurationsdatabasen med en enda SQL Server-databasinstans som arkiv med hjälp av kommandoradsverktyget Fsconfig.exe. Om du använder en SQL Server-databas som AD FS-konfigurationsdatabas får du följande fördelar jämfört med WID:
Administratörer kan utnyttja funktionerna för hög tillgänglighet i SQL Server
Det ger ytterligare prestandaökningar för hög trafik.
Det ger funktionsstöd för SAML-artefaktmatchning och SAML/WS-Federation identifiering av tokenreplik (beskrivs nedan).
Termen "primär federationsserver" gäller inte när AD FS-konfigurationsdatabasen lagras i en SQL-databasinstans eftersom alla federationsservrar lika gärna kan läsa och skriva till AD FS-konfigurationsdatabasen som använder samma klustrade SQL Server-instans, som du ser i följande bild.
Du kan använda SQL Server för att konfigurera två eller flera servrar så att de fungerar tillsammans som ett serverkluster för att säkerställa att AD FS görs mycket tillgängligt för inkommande klientbegäranden. Hög tillgänglighet ger en utskalningsarkitektur där du kan öka serverkapaciteten genom att lägga till ytterligare servrar. Enskilda felpunkter minimeras av automatisk klusterredundans.
Du kan uppnå hög tillgänglighet med hjälp av nätverksbelastningsutjämning och redundanstjänster som SQL-klustertekniker tillhandahåller. Mer information om hur du konfigurerar SQL Server för hög tillgänglighet finns i Översikt över lösningar för hög tillgänglighet.
SAML-artefaktupplösning
SAML artefaktupplösning (Security Assertion Markup Language) är en slutpunkt som baseras på den del av SAML 2.0-protokollet som beskriver hur en förlitande part kan hämta en token direkt från en intygsleverantör. I den första fasen av lösningsprocessen kontaktar en webbläsarklient en resursfederationsserver och ger den en artefakt. I den andra fasen skickar resursfederationsservrar artefakten till en URL för SAML-artefaktslutpunkt som finns någonstans i en kontopartnerorganisation för att lösa artefaktmeddelandet. I det sista steget utfärdar kontofederationsservern token till federationsservern för webbläsarklientens räkning.
Anmärkning
Om du är administratör i en kontopartnerorganisation ska du se till att tilldela eller binda ett SSL-certifikat, som kopplas till ett rotcertifikat för en medlem i Windows Root Certificate Program, till federationens passiva webbplats i IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) på varje kontofederationsserver i servergruppen. Detta är viktigt för att förhindra att resursfederationsservrar måste lägga till SSL-certifikatet manuellt i certifikatsdatabasen Betrodda personer på lokala datorer eller från att inte kunna lösa artefakten som publiceras i din organisation.
SAML/WS – återspelningsidentifiering av federationstoken
Termen tokenåterspelning avser den handling där en webbläsarklient i en kontopartnerorganisation försöker skicka samma token som mottogs från en kontofederationsserver flera gånger för att autentisera sig mot en resursfederationsserver. Den här åtgärden inträffar när en användare klickar på knappen Bakåt i webbläsaren i ett försök att skicka in autentiseringssidan igen.
AD FS innehåller en funktion som kallas tokenreprisidentifiering med vilken flera tokenbegäranden med samma token kan identifieras och sedan ignoreras. När den här funktionen är aktiverad skyddar identifiering av tokenrepetering integriteten för autentiseringsbegäranden i både den WS-Federation passiva profilen och SAML WebSSO-profilen genom att se till att samma token aldrig används mer än en gång. Den här funktionen bör aktiveras i situationer där säkerheten är mycket viktig, till exempel när du använder kiosker.
I kioskexemplet kan en användare logga ut från alla webbplatser och senare kan en obehörig användare försöka använda webbläsarhistoriken för att skicka in den federerade autentiseringssidan igen som lästes in av den tidigare användaren. Den här funktionen minskar problemet genom att lagra ytterligare information om varje lyckad autentisering som görs av en kontopartnerorganisation för att identifiera efterföljande repriser av token och förhindra att flera autentiseringsförsök lyckas.