建立同盟伺服器代理伺服器群組的時機
當您有大型 Active Directory 同盟服務 (AD FS) 部署,且您想要為 Proxy 部署提供容錯、負載平衡和延展性時,請考慮安裝其他同盟伺服器 Proxy。 在相同的周邊網路中建立兩個或多個同盟伺服器代理,並設定每個代理來保護相同的 AD FS 同盟服務,這樣的做法就形成了一個同盟伺服器代理伺服器場。
您可以使用 AD FS 同盟伺服器代理設定精靈,建立同盟伺服器代理伺服器陣列,或將其他同盟伺服器代理安裝到現有的代理伺服器陣列。 如需詳細資訊,請參閱 建立同盟伺服器 Proxy的時機。
在所有的聯合伺服器代理程式可以一起作為伺服器陣列運作之前,您必須先將它們匯集成一個 IP 位址和一個網域名稱系統(DNS)完整網域名稱(FQDN)。 您可以在周邊網路內部署Microsoft網路負載平衡 (NLB) 來叢集伺服器。 下表中的工作需要適當地設定 NLB,才能將伺服器陣列中的同盟伺服器 Proxy 叢集。
如需如何使用 Microsoft NLB 技術設定叢集 FQDN 的詳細資訊,請參閱 指定叢集參數。
設定伺服器陣列的同盟伺服器代理
下表描述每個聯邦伺服器代理需完成的任務,以便參與伺服器群組。
| 任務 | 說明 |
|---|---|
| 將伺服器陣列中的所有 Proxy 指向相同的 AD FS 同盟服務名稱 | 當您建立同盟伺服器代理時,必須在 AD FS 同盟伺服器代理設定精靈中為所有將參與伺服器陣列的同盟伺服器代理輸入相同的同盟服務名稱。 AD FS 同盟伺服器代理會使用構成此 DNS 主機名的 URL 來判斷其所連絡的同盟服務實例。 如需詳細資訊,請參閱 為同盟伺服器代理角色設定電腦。 |
| 取得和共享憑證 | 您可以從公用證書頒發機構單位(CA)取得伺服器驗證憑證,例如 VeriSign,然後設定憑證,讓所有同盟伺服器 Proxy 在每個同盟伺服器 Proxy 的預設網站上共用相同憑證的相同私鑰部分。 若要共用憑證,您必須在每個同盟伺服器 Proxy 的默認網站上安裝相同的伺服器驗證憑證。 如需詳細資訊,請參閱 將伺服器驗證憑證匯入預設網站。 如需詳細資訊,請參閱 同盟伺服器 Proxy 的憑證需求。 |
如需新增同盟伺服器 Proxy 以建立同盟伺服器 Proxy 伺服器陣列的詳細資訊,請參閱 檢查清單:設定同盟伺服器 Proxy。
另請參閱
Windows Server 2012 中的 AD FS 設計指南