使用 WID 和 Proxy 的舊版 AD FS 同盟伺服器陣列
此 Active Directory 同盟服務(AD FS) 的部署拓撲,與具有 Windows 內部資料庫 (WID) 拓撲的同盟伺服器陣列相同,但其會將 Proxy 電腦新增至周邊網路以支援外部使用者。 這些 Proxy 可將來自公司網路外部的用戶端驗證要求重新導向至同盟伺服器陣列。 在舊版 AD FS 中,這些 Proxy 稱為同盟伺服器 Proxy。
重要
在 Windows Server 2012 R2 的 Active Directory 同盟服務 (AD FS),同盟伺服器 Proxy 的角色是由稱為 Web 應用程式 Proxy 的新遠端存取角色服務負責處理。 若要讓使用者從公司網路外部存取 AD FS,也是在舊版 AD FS (例如,AD FS 2.0 和 Windows Server 2012 中的 AD FS) 上部署同盟伺服器 Proxy 的目的,您可以在 Windows Server 2012 R2 中針對 AD FS 部署一或多個 Web 應用程式 Proxy。
在 AD FS 中,Web 應用程式 Proxy 會做為 AD FS 同盟伺服器 Proxy。 此外,Web 應用程式 Proxy 為您公司網路內部的 Web 應用程式提供反向 Proxy 功能,以讓任何裝置上的使用者能從公司網路外部存取這些應用程式。 如需 Web 應用程式 Proxy 的詳細資訊,請參閱 Web 應用程式 Proxy 概觀。
若要規劃 Web 應用程式 Proxy 的部署,您可以檢閱下列主題的資訊:
部署考量
本節描述與此部署拓撲相關聯的預定對象、權益和限制的各種考量。
誰應該使用此拓撲?
具有 100 或更少設定之信任關係的組織,這些組織需要為其內部使用者和外部使用者 (已登入實際位於公司網路外部的電腦) 提供同盟應用程式或服務的單一登入 (SSO) 存取權
需要為其內部使用者和外部使用者提供 Microsoft Office 365 SSO 存取權的組織
具有外部使用者且需要備援、可調整服務的小型組織
使用此拓撲有哪些優點?
- 與使用 WID 同盟伺服器陣列拓撲列出的優點相同,還能為外部使用者提供額外的存取權
使用此拓撲有何限制?
與使用 WID 同盟伺服器陣列拓撲列出的限制相同
1-100 個 RP 信任 超過 100 個 RP 信任 1-30 個 AD FS 節點:支援 WID 1-30 個 AD FS 節點:不支援使用 WID - 需要 SQL 超過 30 個 AD FS 節點:不支援使用 WID - 需要 SQL 超過 30 個 AD FS 節點:不支援使用 WID - 需要 SQL
伺服器放置和網路配置建議
若要部署此拓撲,除了新增兩個 Web 應用程式 Proxy 之外,您還必須確定周邊網路也可以提供網域名稱系統 (DNS) 伺服器的存取權,以及第二部網路負載平衡 (NLB) 主控件的存取權。 第二部 NLB 主控件必須透過使用可存取網際網路之叢集 IP 位址的 NLB 叢集來設定,而且必須使用與您先前在公司網路 (fs.fabrikam.com) 上設定的 NLB 叢集相同的叢集 DNS 名稱來設定。 也應會使用可存取網際網路的 IP 位址設定 Web 應用程式 Proxy。
下圖顯示先前描述的現有同盟伺服器陣列 (包含 WID 拓撲),以及虛構的 Fabrikam, Inc.公司如何提供周邊 DNS 伺服器的存取權、新增具有相同叢集 DNS 名稱 (fs.fabrikam.com) 的第二部 NLB 主控件,並將兩個 Web 應用程式 Proxy (wap1 和 wap2) 新增至周邊網路。
如需如何設定網路環境,以與同盟伺服器或 Web 應用程式 Proxy 搭配使用的詳細資訊,請參閱 AD FS 需求和 規劃 Web 應用程式 Proxy 基礎結構 (WAP)。