使用 WID 和代理的旧版 AD FS 联合服务器场
此 Active Directory 联合身份验证服务 (AD FS) 的部署拓扑与使用 Windows 内部数据库 (WID) 的联合服务器场拓扑相同,但它将代理计算机添加到外围网络以支持外部用户。 这些代理将来自企业网络外部的客户端身份验证请求重定向到联合服务器场。 在早期版本的 AD FS 中,这些代理被称为联合服务器代理。
重要
在 Windows Server 2012 R2 中的 Active Directory 联合身份验证服务 (AD FS) 内,联合服务器代理的角色由名为 Web 应用程序代理的新远程访问角色服务进行处理。 若要实现从企业网络外部访问 AD FS(这也是在旧版 AD FS (例如 Windows Server 2012 中的 AD FS 2.0 和 AD FS) 中部署联合服务器代理的目的),可为 Windows Server 2012 R2 中的 AD FS 部署一个或多个 Web 应用程序代理。
在 AD FS 的上下文中,Web 应用程序代理充当 AD FS 联合服务器代理。 除此之外,Web 应用程序代理为企业网络内部的 Web 应用程序提供反向代理功能,使任意设备上的用户都能够从企业网络外部访问这些 Web 应用程序。 有关 Web 应用程序代理角色服务的详细信息,请参阅“Web 应用程序代理概述”。
若要规划 Web 应用程序代理的部署,可以查看以下主题中的信息:
部署注意事项
本部分介绍与此部署拓扑关联的预期受众、优势和限制的各种注意事项。
哪些用户应使用本拓扑?
配置了 100 个或更少信任关系的组织,需要为其内部用户和外部用户(登录到实际位于企业网络外部的计算机)提供对联合应用程序或服务的单一登录 (SSO) 访问权限
需要为其内部用户和外部用户提供对 Microsoft Office 365 的 SSO 访问的组织
具有外部用户并需要冗余、可缩放服务的小型组织
使用此拓扑有什么好处?
- 与使用 WID 的联合服务器场拓扑所列出的优势相同,另外还有为外部用户提供其他访问权限的好处
使用此拓扑有什么限制?
与使用 WID 的联合服务器场拓扑所列出的限制相同
1-100 个 RP 信任 100 个以上的 RP 信任 1-30 AD FS 节点: WID 受支持 1-30 AD FS 节点: 不支持使用 WID - 需要 SQL 超过 30 个 AD FS 节点: 不支持使用 WID - 需要 SQL 超过 30 个 AD FS 节点: 不支持使用 WID - 需要 SQL
服务器放置和网络布局建议
若要部署此拓扑,除了添加两个 Web 应用程序代理外,必须确保外围网络还可以提供对域名系统 (DNS) 服务器和第二台网络负载均衡 (NLB) 主机的访问权限。 第二台 NLB 主机必须配置有一个 NLB 群集,此群集使用可通过 Internet 访问的群集 IP 地址,并且必须使用与你在企业网络 (fs.fabrikam.com) 上配置的前一 NLB 群集相同的群集 DNS 名称设置。 还应为 Web 应用程序代理配置可通过 Internet 访问的 IP 地址。
下图显示了前面所述的使用 WID 的现有联合服务器场拓扑,以及虚构的 Fabrikam, Inc. 公司如何提供对外围 DNS 服务器的访问权限,添加具有相同群集 DNS 名称 (fs.fabrikam.com) 的第二台 NLB 主机,并将两个 Web 应用程序代理(wap1 和 wap2)添加到外围网络。
有关如何配置网络环境以用于联合服务器或 Web 应用程序代理的详细信息,请参阅 AD FS 要求和规划 Web 应用程序代理基础结构 (WAP) 中的“名称解析要求”部分。