Planen der Verbundserverproxy-Kapazität
Bei der Kapazitätsplanung für Verbundserverproxys können Sie die folgenden Schätzungen vornehmen:
Die entsprechenden Hardwareanforderungen für jeden Verbundserverproxy.
Die Anzahl von Verbundservern und Verbundserverproxys, die in jeder Organisation platziert werden sollen.
Verbundserverproxys leiten Sicherheitstoken von einem geschützten Verbundserver im Unternehmensnetzwerk an Verbundbenutzer um. Der Zweck der Bereitstellung eines Verbundserverproxys besteht darin, externen Benutzern das Herstellen einer Verbindung mit einem Verbundserver zu ermöglichen. Der Proxy signiert keine Token und schreibt auch keine Daten in die AD FS-Konfigurationsdatenbank. Daher sind die Hardwareanforderungen für den Verbundserverproxy in der Regel geringer als die Hardwareanforderungen für einen Verbundserver.
Da jede Anforderung an einen Verbundserverproxy zu einer Anforderung an einen Verbundserver oder eine Verbundserverfarm führt, muss die Kapazitätsplanung für Verbundserver und Verbundserverproxys parallel erfolgen.
Um die Höchstanzahl von Anmeldungen pro Sekunde für den Verbundserverproxy schätzen zu können, müssen Sie die Nutzungsmuster der Verbundbenutzer kennen, die sich über den Verbundserverproxy anmelden. In vielen Bereitstellungen befinden sich die Verbundbenutzer, die sich über den Verbundserverproxy anmelden, im Internet. Sie können die Höchstanzahl von Anmeldungen pro Sekunde schätzen, indem Sie sich die Nutzungsmuster dieser Verbundbenutzer in den vorhandenen Webanwendungen ansehen, die durch AD FS geschützt werden.
Hinweis
Bei Produktionsbereitstellungen empfehlen wir, für jede von Ihnen bereitgestellte Verbundserverfarm-Instanz mindestens zwei Verbundserverproxys zu verwenden.
Schätzen der Anzahl der für Ihre Organisation erforderlichen Verbundserverproxys
Bevor Sie die Anzahl der erforderlichen AD FS-Verbundserverproxy-Computer schätzen können, müssen Sie zunächst die Gesamtanzahl der Verbundserver ermitteln, die Sie in Ihrer Organisation bereitstellen. Weitere Informationen dazu finden Sie unter Planen der Verbundserverkapazität.
Wenn Sie die Anzahl der Verbundserver festgelegt haben, multiplizieren Sie diese Serveranzahl mit dem Prozentsatz der eingehenden Verbundauthentifizierungsanforderungen, die voraussichtlich von externen Benutzern (außerhalb des Unternehmensnetzwerks) gesendet werden. Der Wert dieser Berechnung liefert Ihnen die geschätzte Anzahl von Verbundserverproxys, die die eingehenden Authentifizierungsanforderungen für Ihre externen Benutzer verarbeiten.
Wenn die Anzahl der empfohlenen Verbundserver beispielsweise 3 beträgt und Sie davon ausgehen, dass die Gesamtanzahl der von externen Benutzern gesendeten Authentifizierungsanforderungen circa 60 % der Gesamtanzahl der Verbundauthentifizierungsanforderungen ausmacht, würde Ihre Berechnung 1,8 (3 x 0,6) ergeben, was Sie auf 2 aufrunden können. Daher müssten Sie in diesem Fall zwei Verbundserverproxy-Computer bereitstellen, um die Last der Authentifizierungsanforderungen externer Benutzer für die drei Verbundserver zu bewältigen.
In den vom AD FS-Produktteam durchgeführten Tests wurde festgestellt, dass die CPU-Gesamtauslastung auf jedem Verbundserverproxy deutlich niedriger war als die CPU-Auslastung, die auf den Verbundservern für dieselbe Farm beobachtet wurde. Bei einem Test zeigte sich, dass die CPU eines Verbundservers vollständig ausgelastet war, während die CPU eines Verbundserverproxys, der Proxydienste für dieselbe Farm bereitstellt, nur zu 20 % ausgelastet war. Unsere Tests ergaben daher, dass die CPU eines Verbundserverproxys, der ähnliche Hardwarespezifikationen wie die weiter oben in diesem Abschnitt beschriebenen verwendet, die Verarbeitungslast von ungefähr drei Verbundservern angemessen bewältigen kann.
Aus Gründen der Fehlertoleranz empfehlen wir jedoch, für jede von Ihnen bereitgestellte Verbundserverfarm mindestens zwei Verbundserverproxys zu verwenden.