建立同盟伺服器 Proxy 伺服器陣列的時機
當您有大型 Active Directory 同盟服務 (AD FS) 部署,且您想要為 Proxy 部署提供容錯、負載平衡和延展性時,請考慮安裝其他同盟伺服器 Proxy。 在相同周邊網路中建立兩個以上的同盟伺服器 Proxy,並設定它們都保護相同的 AD FS 同盟服務,將會建立同盟伺服器 Proxy 伺服器陣列。
您可以使用 AD FS 同盟伺服器 Proxy 設定精靈來建立同盟伺服器 Proxy 伺服器陣列,或將其他的同盟伺服器 Proxy 安裝到現有伺服器陣列。 如需詳細資訊,請參閱 When to Create a Federation Server Proxy。
在所有同盟伺服器 Proxy 可以一起運作為伺服器陣列之前,您必須先將它們叢集在一個 IP 位址和一個網域名稱系統 (DNS) 完整格式的網域名稱 (FQDN) 下。 您可以藉由在周邊網路內部署 Microsoft 網路負載平衡 (NLB) 來叢集伺服器。 下表中的工作需要適當地將 NLB 設定,以叢集伺服器陣列中的同盟伺服器 Proxy。
如需如何使用 Microsoft NLB 技術設定叢集 FQDN 的詳細資訊,請參閱指定叢集參數。
設定伺服器陣列的同盟伺服器 Proxy
下表描述必須完成的工作,讓每個同盟伺服器 Proxy 可以參與伺服器陣列。
| Task | 描述 |
|---|---|
| 將伺服器陣列中的所有 Proxy 指向相同的 AD FS 同盟服務名稱 | 建立同盟伺服器 Proxy 時,您必須在 AD FS 同盟伺服器 Proxy 設定精靈中,為即將加入伺服器陣列中的所有同盟伺服器 Proxy 輸入中相同的同盟服務名稱。 同盟伺服器 Proxy 使用構成這個 DNS 主機名稱的 URL 來判斷它連絡的 AD FS 同盟服務執行個體。 如需詳細資訊,請參閱 Configure a Computer for the Federation Server Proxy Role。 |
| 取得及共用憑證 | 您可以從公開憑證授權單位 (CA) (例如 VeriSign) 取得伺服器驗證憑證,然後設定憑證,讓所有同盟伺服器 Proxy 共用每個同盟伺服器的預設的網站上相同憑證的相同私密金鑰部分。 若要共用憑證,您必須在預設的網站上為每個同盟伺服器安裝相同的伺服器驗證憑證。 如需詳細資訊,請參閱將伺服器驗證憑證匯入到預設的網站。 如需詳細資訊,請參閱 Certificate Requirements for Federation Server Proxies。 |
如需新增同盟伺服器 Proxy 以建立同盟伺服器 Proxy 伺服器陣列的詳細資訊,請參閱檢查清單:設定同盟伺服器 Proxy。