何时创建联合服务器代理场
当你具有大型 Active Directory 联合身份验证服务 (AD FS)部署并且要为代理部署提供容错、负载平衡和可伸缩性时,请考虑安装其他联合身份验证服务器代理。 在相同外围网络中创建两个或更多联合身份验证服务器代理并配置每个代理以保护相同 AD FS 联合身份验证服务的操作会创建联合身份验证服务器场。
可以使用 AD FS 联合身份验证服务器代理配置向导创建联合身份验证服务器代理场或将其他联合身份验证服务器代理安装到现有场。 有关详细信息,请参阅 When to Create a Federation Server Proxy。
必须先在一个 IP 地址和一个域名系统 (DNS) 完全限定的域名 (FQDN) 下使所有联合身份验证服务器代理形成群集,然后它们才能以场的形式一起工作。 可以通过在外围网络内部署 Microsoft 网络负载平衡 (NLB),使服务器形成群集。 下表中的任务要求正确配置 NLB 以便使场中的联合身份验证服务器代理形成群集。
有关如何使用 Microsoft NLB 技术为群集配置 FQDN 的详细信息,请参阅指定群集参数。
为场配置联合服务器代理
下表介绍了让每台联合身份验证服务器代理都可以加入场而必须完成的任务。
| 任务 | 说明 |
|---|---|
| 使场中的所有代理指向相同的 AD FS 联合身份验证服务名称 | 创建联合身份验证服务器代理时,必须为将参与场的所有联合身份验证服务器代理,在 AD FS 联合身份验证服务器代理配置向导中输入相同的联合身份验证服务名称。 联合身份验证服务器使用组成此 DNS 主机名的 URL 来确定它联系的 AD FS 联合身份验证服务实例。 有关详细信息,请参阅 Configure a Computer for the Federation Server Proxy Role。 |
| 获取并共享证书 | 可以从公共证书颁发机构 (CA)(例如 VeriSign)获取服务器身份验证证书,然后配置该证书,以便所有联合身份验证服务器代理在每个联合身份验证服务器代理的默认网站上共享相同证书的相同私钥部分。 若要共享证书,必须在每个联合身份验证服务器代理的默认网站上安装相同的服务器身份验证证书。 有关详细信息,请参阅向默认网站导入服务器身份验证证书。 有关详细信息,请参阅 Certificate Requirements for Federation Server Proxies。 |
有关添加新的联合身份验证服务器代理以创建联合身份验证服务器代理场的详细信息,请参阅清单:设置联合身份验证服务器代理。