AD FS 部署拓撲考慮事項
本主題說明了規劃和設計適用於您生產環境中的 Active Directory 聯盟服務 (AD FS) 部署拓撲時的重要考量。 本主題是檢閱和評估影響您在部署AD FS之後可使用哪些特性或功能的考慮的起點。 例如,根據您選擇儲存AD FS組態資料庫的資料庫類型,最終會判斷您是否可以實作需要 SQL Server 的特定安全性判斷提示標記語言 (SAML) 功能。
判斷要使用的AD FS組態資料庫類型
AD FS 會使用資料庫來儲存組態,在某些情況下,與同盟服務相關的事務數據。 您可以使用AD FS軟體來選取內建的 Windows 內部資料庫 (WID) 或 Microsoft SQL Server 2005 或更新版本,以將資料儲存在同盟服務中。
針對大部分用途,這兩個資料庫類型相對相等。 不過,在開始深入瞭解您可以搭配AD FS使用的各種部署拓撲之前,請先瞭解一些差異。 下表描述 WID 資料庫與 SQL Server 資料庫之間支援功能的差異。
AD FS 功能
| 特徵 / 功能 | WID 支援? | SQL Server 支援? | 此功能的詳細資訊 |
|---|---|---|---|
| 同盟伺服器陣列部署 | 是,每個伺服器場的限制為 30 部聯盟伺服器。 | 是的。 您可以在單一伺服器陣列中部署的同盟伺服器數目沒有強制限制 | 判斷 AD FS 部署拓撲 |
| SAML 憑證解析 注意: 在 Microsoft Online Services、Microsoft Office 365、Microsoft Exchange 或 Microsoft Office SharePoint 的使用情境中不需要此功能。 | 否 | 是的 | AD FS 組態資料庫的角色 |
| SAML/WS-Federation 令牌重播偵測 | 否 | 是的 | AD FS 組態資料庫的角色 |
資料庫功能
| 特徵 / 功能 | 由 WID 支援嗎? | SQL Server 支援? | 此功能的詳細資訊 |
|---|---|---|---|
| 使用拉式複寫進行基本的資料庫備援,在這個過程中,一台或多台裝載資料庫唯讀副本的伺服器會向裝載資料庫讀寫副本的來源伺服器請求做出的變更。 | 是的 | 否 | AD FS 組態資料庫的角色 |
| 使用高可用性解決方案的資料庫備援,例如故障轉移叢集或鏡像(僅限資料庫層)注意: 所有 AD FS 部署拓撲都支援 AD FS 服務層級的叢集。 | 否 | 是的 | AD FS 組態資料庫的角色 |
SQL Server 注意事項
如果您選取 SQL Server 作為 AD FS 部署的組態資料庫,您應該考慮下列部署事實。
SAML 功能及其對資料庫大小和成長的影響,。 啟用 SAML Artifact 解析或 SAML 令牌重播偵測功能時,AD FS 會將資訊儲存在 SQL Server 組態資料庫中,用於每個簽發的 AD FS 令牌。 由於此活動,SQL Server 資料庫的成長並不顯著,而是取決於所設定的令牌重播保留期間。 每個文物記錄的大小約為 30 KB。
部署所需的伺服器數目。 您需要新增至少一部額外的伺服器(將其添加到部署 AD FS 基礎結構所需的伺服器總數中),以作為託管 SQL Server 實例的專用主機。 如果您打算使用故障轉移叢集或鏡像來提供 SQL Server 組態資料庫的容錯和延展性,則至少需要兩部 SQL 伺服器。
您選取的設定資料庫類型可能會影響硬體資源
在伺服器陣列中,使用 WID 部署的聯盟伺服器與使用 SQL Server 資料庫部署的聯盟伺服器對硬體資源的影響不顯著。 不過,請務必考慮當您針對伺服器陣列使用 WID 時,該伺服器陣列中的每個同盟伺服器都必須儲存、管理及維護其 AD FS 組態資料庫的本機副本的變更複寫,同時繼續提供同盟服務所需的一般作業。
相較之下,使用 SQL Server 資料庫之伺服器陣列中部署的同盟伺服器不一定包含 AD FS 組態資料庫的本機實例。 因此,它們可能會稍微減少硬體資源的需求。
確認您的生產環境可支援AD FS部署
除了您將部署的同盟伺服器,以及根據您現有生產環境設定方式而定,可能需要下列額外的伺服器,才能提供必要的基礎結構來支援新的 AD FS 部署:
Active Directory 網域控制站
憑證頒發機構單位 (CA)
托管聯合元數據的網頁伺服器
網路負載平衡 (NLB)
另請參閱
Windows Server 2012 中的 AD FS 設計指南