Rolle der AD FS-Konfigurationsdatenbank

Die AD FS-Konfigurationsdatenbank speichert alle Konfigurationsdaten, die eine einzelne Instanz von Active Directory-Verbunddienste (AD FS) (AD FS) (also den Verbunddienst) darstellen. In der AD FS-Konfigurationsdatenbank sind die Parameter definiert, die für einen Verbunddienst benötigt werden, um Partner, Zertifikate, Attributspeicher, Ansprüche und verschiedene Daten zu diesen zugeordneten Entitäten zu identifizieren. Sie können diese Konfigurationsdaten entweder in einer Microsoft SQL Server ® Datenbank oder dem interne Windows-Datenbank (WID)-Feature speichern, das in Windows Server 2012 oder höher enthalten ist.

Hinweis

Sämtliche Inhalte der AD FS-Konfigurationsdatenbank können entweder in einer Instanz der internen Windows-Datenbank oder in einer Instanz der SQL-Datenbank gespeichert werden, jedoch nicht in beiden. Das bedeutet, Sie können nicht über einige Verbundserver verfügen, die die interne Windows-Datenbank verwenden, während andere Verbundserver eine SQL Server-Datenbank für dieselbe Instanz der AD FS-Konfigurationsdatenbank verwenden.

Weitere Informationen zu den Vor- und Nachteilen bei der Wahl zwischen interner Windows-Datenbank oder SQL Server zum Speichern der AD FS-Konfigurationsdatenbank erhalten Sie in den folgenden Informationen in diesem Abschnitt sowie in den unter Überlegungen zur AD FS-Bereitstellungstopologie bereitgestellten Inhalten:

Die interne Windows-Datenbank verwendet einen relationalen Datenspeicher und verfügt nicht über eine eigene Benutzeroberfläche für die Verwaltung. Stattdessen können die Inhalte der AD FS-Konfigurationsdatenbank von Administratoren entweder über das AD FS-Verwaltungs-Snap-In, "Fsconfig.exe", oder über Windows PowerShell™-Cmdlets geändert werden.

Verwenden der internen Windows-Datenbank zum Speichern der AD FS-Konfigurationsdatenbank

Sie können die AD FS-Konfigurationsdatenbank mithilfe von WID als Speicher erstellen, indem Sie entweder das Befehlszeilentool Fsconfig.exe oder den KONFIGURATIONS-Assistenten für AD FS-Verbundserver verwenden. Wenn Sie eines dieser Tools verwenden, können Sie eine der folgenden Optionen zum Erstellen Ihrer Verbundservertopologie auswählen. Jede dieser Optionen verwendet die interne Windows-Datenbank zum Speichern der AD FS-Konfigurationsdatenbank:

  • Erstellen eines eigenständigen Verbundservers

  • Erstellen des ersten Verbundservers in einer Verbundserverfarm

  • Hinzufügen eines Verbundservers zu einer Verbundserverfarm

Wenn Sie die eigenständige Option auswählen, wird eine einzelne Instanz der AD FS-Konfigurationsdatenbank in der internen Windows-Datenbank gespeichert. Diese Instanz kann nicht vom mehreren Verbundservern gemeinsam genutzt werden. Sie ist nur für Testumgebungen vorgesehen. Weitere Informationen zur Option der eigenständigen Verbundserver oder zum Einrichten eines eigenständigen Verbundservers finden Sie unter Eigenständiger Verbundserver mit interner Windows-Datenbank oder Erstellen eines eigenständigen Verbundservers.

Wenn Sie den ersten Verbundserver einer Verbundserverfarmoption auswählen, wird die interne Windows-Datenbank für die Skalierbarkeit konfiguriert, die das spätere Hinzufügen zusätzlicher Verbundserver zur Farm gestattet. Weitere Informationen zum Bereitstellen oder Einrichten einer internen Windows-Datenbankfarm finden Sie unter Verbundserverfarm mit WID oder Erstellen des ersten Verbundservers in einer Verbundserverfarm.

Wenn Sie die Option zum Hinzufügen eines Verbundservers auswählen, wird die interne Windows-Datenbank für die Replikation der Konfigurationsdatenbankänderungen in festgelegten Intervallen auf dem neuen Verbundserver konfiguriert. Weitere Informationen zum Hinzufügen eines Verbundservers zu einer internen Windows-Datenbankfarm finden Sie unter Verbundserverfarm mit WID oder Hinzufügen eines Verbundservers zu einer Verbundserverfarm.

Hinweis

Wenn Sie eine Verbundserverfarm mit WID bereitstellen, sind einige Features von AD FS möglicherweise nicht verfügbar. Damit Sie beim Konfigurieren Ihrer Serverfarm Zugriff auf die vollständige Featuregruppe haben, erwägen Sie stattdessen die Verwendung von Microsoft SQL Server zum Speichern der AD FS-Konfigurationsdatenbank. Weitere Informationen finden Sie unter Überlegungen zur AD FS-Bereitstellungstopologie.

Funktionsweise einer Verbundserverfarm mit internen Windows-Datenbanken

In diesem Abschnitt werden wichtige Konzepte erläutert, die beschreiben, wie die Verbundserverfarm mit internen Windows-Datenbanken Daten zwischen einem primären Verbundserver und sekundären Verbundservern replizieren. .

Primärer Verbundserver

Ein primärer Verbundserver ist ein Computer, auf dem Windows Server 2012 oder höher ausgeführt wird, der mit der Partnerverbundserverrolle mithilfe des AD FS-Partnerverbundserverkonfigurations-Assistenten konfiguriert wurde und über eine Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank verfügt. Der primäre Verbundserver wird immer erstellt, wenn Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden und die Option auswählen, einen neuen Verbunddienst zu erstellen und diesen Computer zum ersten Verbundserver in der Farm zu machen. Alle anderen Verbundserver in dieser Farm, die auch als sekundäre Verbundserver bezeichnet werden, müssen die am primären Verbundserver vorgenommenen Änderungen mit einer Kopie der AD FS-Konfigurationsdatenbank synchronisieren, die lokal gespeichert wird.

Sekundäre Verbundserver

Auf den sekundären Verbundservern wird eine Kopie der AD FS-Konfigurationsdatenbank des primären Verbundservers gespeichert, aber diese Kopien sind schreibgeschützt. Sekundäre Verbundserver stellen eine Verbindung zum primären Verbundserver in der Farm her und führen eine Synchronisierung durch, indem sie den Server in regelmäßigen Intervallen abfragen, um auf geänderte Daten zu prüfen. Die sekundären Verbundserver sind dafür vorgesehen, eine entsprechende Fehlertoleranz für den primären Verbundserver bereitzustellen, während sie auf Zugriffsanforderungen für den Lastenausgleich reagieren, die in der gesamten Netzwerkumgebung an verschiedenen Standorten gesendet werden.

Synchronisieren der AD FS-Konfigurationsdatenbank

Da die AD FS-Konfigurationsdatenbank eine wichtige Rolle spielt, wird sie auf allen Verbundservern im Netzwerk bereitgestellt, um beim Verarbeiten von Anforderungen (bei Verwendung eines Netzwerklastenausgleichs) entsprechende Fehlertoleranz- und Lastenausgleichsfunktionen zu bieten. Die auf dem primären Verbundserver gespeicherte AD FS-Konfigurationsdatenbank muss jedoch synchronisiert werden, damit die sekundären Verbundserver diese Aufgabe übernehmen können.

Wenn Sie einen Verbundserver zur Farm hinzufügen, stellt der neue Computer, der zu einem sekundären Verbundserver wird, eine Verbindung zum primären Verbundserver her, um die Kopie der AD FS-Konfigurationsdatenbank zu replizieren. Von diesem Punkt an ruft der neue Verbundserver regelmäßig Aktualisierungen vom primären Verbundserver ab, wie in der folgenden Abbildung veranschaulicht.

AD FS configuration

Jeder sekundäre Verbundserver prüft den primären Verbundserver alle fünf Minuten auf Änderungen. Sie können diesen Standardwert anpassen oder mithilfe eines Windows PowerShell-Cmdlets jederzeit eine sofortige Synchronisierung erzwingen. Weitere Informationen dazu finden Sie in der AD FS-Administration mit Windows PowerShell.

Der Synchronisierungsprozess der internen Windows-Datenbank unterstützt auch inkrementelle Übertragungen, um zwischenzeitliche Änderungen effizienter zu übertragen. Der inkrementelle Übertragungsprozess erzeugt erheblich weniger Datenverkehr im Netzwerk und die Übertragungen sind dadurch wesentlich schneller abgeschlossen.

Hinweis

Die Migration einer AD FS-Konfigurationsdatenbank aus einer internen Windows-Datenbank zu einer Instanz von SQL Server wird unterstützt. Weitere Informationen dazu finden Sie unter AD FS: Migrieren Ihrer AD FS-Konfigurationsdatenbank zu SQL Server auf der TechNet-Wiki-Website.

So verwalten Sie die AD FS-Synchronisierungseigenschaften

In diesem Abschnitt wird beschrieben, wie Sie die Eigenschaften der AD FS-Konfigurationsdatenbanksynchronisierung anzeigen und bearbeiten. .

Das Cmdlet Get-ADFSSyncProperties ruft die Synchronisierungseigenschaften für die Konfigurationsdatenbank von Active Directory-Verbunddienste (AD FS) (AD FS) ab.

PS C:\> Get-ADFSSyncProperties

Auf dem primären AD FS-Server zeigt dieses Cmdlet nur an, dass die Rolle der Primäre Computer ist. Auf einem sekundären Element wird der Rest der Konfiguration angezeigt, einschließlich vollqualifizierter Domänenname der letzten Synchronisierung vom Primären Computer, Last Sync Status and Time, Abfragedauer, der aktuell konfigurierten Primären Computername, der Primäre Computerport und die Rolle des sekundären Computers.

Das Cmdlet Set-ADFSSyncProperties ändert die Häufigkeit der Synchronisierung für die Active Directory-Verbunddienste (AD FS)(AD FS)-Konfigurationsdatenbank. Das Cmdlet gibt auch an, welcher Verbundserver der primäre Server in der Verbundserverfarm ist.

Hinweis

Wenn ein primärer Verbundserver abstürzt und offline ist, werden Anforderungen weiterhin von allen sekundären Verbundservern verarbeitet. Es können jedoch keine neuen Änderungen am Verbunddienst vorgenommen werden, bis der primäre Verbundserver wieder online ist. Sie können mithilfe von Windows PowerShell auch einen sekundären Verbundserver als neuen primären Verbundserver festlegen. Wenn sie einen neuen primären Server nomieren, müssen die verbleibenden Server geändert werden, um den neuen primären Server widerzuspiegeln. Die Verwendung von 2 Primaries mit einer WID-Farm wirkt sich auf die Stabilität der Farm aus und hat die Passierbarkeit des Verlusts von Daten.

Ändern der Abfragedauer für eine Farm

PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"

Dieser Befehl ändert die Datenbanksynchronisierung auf 3600 Sekunden. Der Befehl ändert sich am primären Verbundserver.

Ändern eines Servers von sekundär in primär

PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"

Dieser Befehl ändert einen AD FS-Server in einer WID-Farm von sekundär in primär.

Ändern eines primären Servers auf einen sekundären Server

PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"

Dieser Befehl ändert einen primären AD FS-Server in einer WID-Farm in einen sekundären Server. Sie müssen den vollqualifizierten Domänennamen des primären Servers angeben. Dies ist möglicherweise nicht alle sekundären AD FS-Server, die ordnungsgemäß synchronisiert werden sollen. Hinweis: Auf den primären Server muss über HTTP auf Port 80 vom sekundären Server zugegriffen werden.

Weitere Informationen finden Sie unter :Set-AdfsSyncProperties

Verwenden von SQL Server zum Speichern der AD FS-Konfigurationsdatenbank

Mit dem Befehlszeilentool "Fsconfig.exe" können Sie die AD FS-Konfigurationsdatenbank mithilfe einer einzelnen SQL Server-Datenbankinstanz als Speicher erstellen. Die Verwendung einer SQL Server-Datenbank als AD FS-Konfigurationsdatenbank bietet gegenüber der internen Windows-Datenbank die folgenden Vorteile:

  • Administratoren können die Features für hohe Verfügbarkeit von SQL Server nutzen.

  • Sie bietet zusätzliche Leistungssteigerungen bei hohem Datenverkehr.

  • Sie bietet die Featureunterstützung für die SAML-Artefaktauflösung und die Tokenwiedergabeerkennung für den SAML-/WS-Verbund (im Folgenden beschrieben).

Der Begriff "primärer Verbundserver" gilt nicht, wenn die AD FS-Konfigurationsdatenbank in einer SQL Datenbankinstanz gespeichert wird, da alle Verbundserver dieselbe AD FS-Konfigurationsdatenbank lesen und schreiben können, die dieselbe gruppierte SQL Server Instanz verwendet, wie in der folgenden Abbildung dargestellt.

AD FS roles

Sie können SQL Server verwenden, um zwei oder mehr Server so zu konfigurieren, dass sie als Servercluster zusammenarbeiten, um sicherzustellen, dass AD FS für eingehende Clientanforderungen hoch verfügbar ist. Die hohe Verfügbarkeit bietet eine Architektur mit horizontaler Skalierung, in der Sie die Serverkapazität durch Hinzufügen weiterer Server erhöhen können. Einzelne Fehlerquellen werden durch automatische Clusterfailover verringert.

Sie können die hohe Verfügbarkeit durch den Netzwerklastenausgleich und durch Failoverdienste erreichen, die von der SQL-Clustertechnologie bereitgestellt werden. Weitere Informationen zum Konfigurieren von SQL Server für hohe Verfügbarkeit finden Sie unter "Übersicht über hohe Verfügbarkeitslösungen".

SAML-Artefaktauflösung

Die SAML-Artefaktauflösung (Security Assertion Markup Language) ist ein Endpunkt, der auf dem Abschnitt des SAML 2.0-Protokolls basiert, in dem beschrieben wird, wie eine vertrauende Seite ein Token direkt von einem Anspruchsanbieter abrufen kann. In der ersten Phase des Auflösungsprozesses kontaktiert ein Browserclient einen Ressourcenverbundserver und stellt diesem ein Artefakt bereit. In der zweiten Phase wird das Artefakt von Ressourcenverbundservern zum Auflösen der Artefaktnachricht an die URL eines SAML-Artefaktendpunkts gesendet, der in einer Kontopartnerorganisation gehostet wird. In der letzten Phase sendet der Kontoverbundserver das Token im Namen des Browserclients an den Verbundserver.

Hinweis

Wenn Sie ein Administrator in einer Kontopartnerorganisation sind, stellen Sie sicher, dass Sie ein SSL-Zertifikat zuweisen oder binden, das an ein Stammzertifikat eines Mitglieds des Windows Stammzertifikatprogramms an die passive Verbundwebsite in IIS (<ComputerName>\Sites\Default Site\adfs\ls) auf allen Kontoverbundservern in der Farm kettet. Dies ist wichtig, um zu verhindern, dass Ressourcenverbundserver das SSL-Zertifikat manuell zum Zertifikatspeicher für vertrauenswürdige Personen des lokalen Computers hinzufügen müssen. Zudem soll es verhindern, dass Sie das in Ihrer Organisation veröffentlichte Artefakt nicht auflösen können.

SAML/WS – Erkennung von Verbundtoken

Der Begriff Tokenwiedergabe bezieht sich auf den Vorgang, bei dem ein Browserclient in einer Kontopartnerorganisation versucht, dasselbe Token zu senden, das er von einem Kontoverbundserver mehrmals erhalten hat, um sich für einen Ressourcenverbundserver zu authentifizieren. Dieser Vorgang tritt auf, wenn ein Benutzer auf die Schaltfläche Zurück seines Browsers klickt, um die Authentifizierungsseite erneut zu übermitteln.

AD FS stellt das Feature Tokenwiedergabeerkennung bereit, mit dem mehrere Tokenanforderungen erkannt und verworfen werden können, die dasselbe Token verwenden. Wenn dieses Feature aktiviert ist, wird die Integrität von Authentifizierungsanforderungen sowohl im passiven WS-Verbundprofil als auch im SAML WebSSO-Profil durch die Tokenwiedergabeerkennung geschützt, indem sichergestellt wird, dass ein Token jeweils nur einmal verwendet werden kann. Dieses Feature sollte in Situationen aktiviert sein, in denen die Sicherheit eine wichtige Rolle spielt, z. B. bei der Verwendung von Kioskcomputern.

Im Kioskbeispiel kann sich ein Benutzer bei allen Websites abmelden und ein böswilliger Benutzer später versuchen, den Browserverlauf zu verwenden, um die Verbundauthentifizierungsseite erneut zu übermitteln, die vom vorherigen Benutzer geladen wurde. Dieses Feature entschärft dieses Problem, indem zusätzliche Informationen zu den einzelnen erfolgreichen Authentifizierungen einer Kontopartnerorganisation gespeichert werden, um die nachfolgende Wiedergabe des Tokens zu erkennen und zu verhindern, dass mehrere Authentifizierungsversuche erfolgreich ausgeführt werden.