Verbundserverfarm mit WID
Die Standardtopologie für Active Directory-Verbunddienste (AD FS) ist eine Verbundserverfarm, die die interne Windows-Datenbank (WID) verwendet und aus bis zu fünf Verbundservern besteht, die den Verbunddienst Ihrer Organisation hosten. In dieser Topologie wird WID von AD FS als Speicher für die AD FS-Konfigurationsdatenbank für alle Verbundserver verwendet, die mit der betreffenden Farm verbunden sind. Die Verbunddienstdaten in der Konfigurationsdatenbank werden von der Farm auf alle Server der Farm repliziert und dort verwaltet.
Beim Erstellen des ersten Verbundservers in einer Farm wird auch ein neuer Verbunddienst erstellt. Wenn Sie WID als AD FS-Konfigurationsdatenbank verwenden, wird der erste in der Farm erstellte Verbundserver als primärer Verbundserver bezeichnet. Das bedeutet, dass dieser Computer mit einer Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank konfiguriert wird.
Alle anderen von Ihnen für diese Farm konfigurierten Verbundserver werden als sekundäre Verbundserver bezeichnet, da für diese sämtliche auf dem primären Verbundserver vorgenommenen Änderungen auf die lokal gespeicherten, schreibgeschützten Kopien der AD FS-Konfigurationsdatenbank repliziert werden müssen.
Hinweis
Es wird empfohlen, mindestens zwei Verbundserver in einer Konfiguration mit Lastenausgleich zu verwenden.
Überlegungen zur Bereitstellung
In diesem Abschnitt werden verschiedene Überlegungen zur Zielgruppe sowie die Vorteile und Einschränkungen beschrieben, die mit dieser Bereitstellungstopologie verbunden sind.
Zielgruppe dieser Topologie
Organisationen mit 100 oder weniger konfigurierten Vertrauensstellungen, die ihren internen Benutzer*innen (die an Computern angemeldet sind, die physisch mit dem Unternehmensnetzwerk verbunden sind) SSO-Zugriff auf Verbundanwendungen oder -dienste bieten müssen
Organisationen, die ihren internen Benutzer*innen SSO-Zugriff auf Microsoft Online Services oder Microsoft Office 365 bieten möchten
Kleinere Organisationen, die redundante, skalierbare Dienste benötigen
Hinweis
Organisationen mit größeren Datenbanken sollten die Verwendung der Bereitstellungstopologie Legacy AD FS-Verbundserverfarm mit SQL Server in Betracht ziehen, die weiter unten in diesem Abschnitt beschrieben wird. Organisationen mit Benutzern, die sich außerhalb des Netzwerks anmelden, sollten entweder die Topologie Legacy-AD FS-Verbundserverfarm mit WID und Proxys oder Legacy AD FS-Verbundserverfarm mit SQL Server verwenden.
Welche Vorteile bietet diese Topologie?
Bietet SSO-Zugriff für interne Benutzer
Redundanz von Daten und Verbunddiensten (jeder Verbundserver repliziert Änderungen an andere Verbundserver in derselben Farm)
Die Farm kann skaliert werden, indem bis zu fünf Verbundserver hinzugefügt werden
WID ist in Windows enthalten, daher muss SQL Server nicht erworben werden
Welche Einschränkungen gibt es bei der Verwendung dieser Topologie?
Eine WID-Farm hat eine Obergrenze von 30 Verbundservern. Weitere Informationen finden Sie unter Überlegungen zur AD FS-Bereitstellungstopologie.
Eine WID-Farm unterstützt keine Tokenwiederholungserkennung oder Artefakteauflösung (Teil des SAML-Protokolls [Security Assertion Markup Language]).
Empfehlungen zu Serverplatzierung und zum Netzwerklayout
Wenn Sie zum Bereitstellen der Topologie in Ihrem Netzwerk bereit sind, sollten Sie planen, sämtliche Verbundserver im Unternehmensnetzwerk hinter einem NLB-Host (Network Load Balancing, Netzwerklastenausgleich) zu platzieren. Dieser kann bei einem NLB-Cluster mit einem dedizierten DNS-Namen (Domain Name System) und einer IP-Adresse für den Cluster konfiguriert werden.
Hinweis
Dieser Cluster-DNS-Name muss mit dem Namen des Verbunddiensts übereinstimmen, z. B. „fs.fabrikam.com“.
Anhand der in diesem NLB-Cluster definierten Einstellungen können Clientanforderungen vom NLB-Host den einzelnen Verbundservern zugeordnet werden. Die folgende Abbildung zeigt, wie das fiktive Unternehmen Fabrikam, Inc. die erste Phase seiner Bereitstellung mit einer Verbundserverfarm mit zwei Computern (fs1 und fs2) mit WID und der Positionierung eines DNS-Servers und eines einzelnen NLB-Hosts einrichtet, der über eine Kabelverbindung mit dem Unternehmensnetzwerk verbunden ist.
Hinweis
Bei einem Ausfall dieses einzelnen NLB-Hosts können die Benutzer*innen nicht auf die Verbundanwendungen oder -dienste zugreifen. Fügen Sie weitere NLB-Hosts hinzu, wenn Ihre Geschäftsanforderungen eine einzelne Fehlerquelle nicht zulassen.
Weitere Informationen zum Konfigurieren Ihrer Netzwerkumgebung für die Verwendung mit Verbundservern finden Sie unter Namensauflösungsanforderungen für Verbundserver im AD FS-Entwurfsleitfaden.