Cuándo se debe crear una granja de servidores de federación
Considere la posibilidad de crear una granja de servidores de federación en Servicios de federación de Active Directory cuando tenga una implementación de AD FS mayor y quiera proporcionar tolerancia a errores, equilibrio de carga o escalabilidad al Servicio de federación de la organización. La acción de crear dos o más servidores de federación en la misma red, configurando cada uno de ellos para que use el mismo Servicio de federación y agregando la clave pública de los certificados de firma de tokens de cada servidor al complemento de Administración de AD FS crea una granja de servidores de federación.
Puedes crear una granja de servidores de federación o instalar más servidores de federación en una granja existente mediante el Asistente para la configuración del servidor de federación de AD FS. Para obtener más información, consulte When to Create a Federation Server.
Nota
Cuando eliges la opción de crear una nueva granja de servidores de federación mediante el Asistente para la configuración del servidor de federación de AD FS, el asistente intentará crear un objeto contenedor (para compartir certificados) en Active Directory. Por lo tanto, es importante que primero inicies sesión en el equipo donde estás configurando el rol de servidor de federación con una cuenta que tenga permisos suficientes en Active Directory para crear este objeto contenedor.
Antes de agrupar los servidores de federación como una granja, se tienen que agrupar para que las solicitudes que llegan a un nombre de dominio completo (FQDN) único se enruten a los distintos servidores de federación de la granja de servidores. Puedes crear el clúster de servidores mediante la implementación del equilibrio de carga de red (NLB) dentro de la red corporativa. Esta guía da por hecho que NLB se ha configurado correctamente para agrupar todos los servidores de federación en la granja.
Para más información sobre cómo configurar un FQDN de un clúster con la tecnología NLB de Microsoft, consulte Especificación de los parámetros de clúster.
Prácticas recomendadas para implementar una granja de servidores de federación
Tenga en cuenta los siguientes procedimientos recomendados para la implementación de un servidor de federación en un entorno de producción:
Si va a implementar varios servidores de federación al mismo tiempo o sabe que va a agregar más servidores a la granja con el tiempo, tenga en cuenta la posibilidad de crear una imagen de servidor de un servidor de federación existente en la granja y después haga la instalación a partir de esa imagen cuando necesite crear más servidores de federación rápidamente.
Nota
Si decide usar el método de la imagen de servidor para la implementación de servidores de federación adicionales, no es necesario completar las tareas que se indican en Lista de comprobación: Configuración de un servidor de federación cada vez que quiera agregar un nuevo servidor a la granja.
Use NLB o algún otro método de agrupación en clústeres para asignar una sola dirección IP para muchos equipos de servidor de federación.
Reserve una dirección IP estática para cada servidor de federación de la granja y, dependiendo de la configuración del Sistema de nombres de dominio (DNS), inserte una exclusión para cada dirección IP del Protocolo de configuración dinámica de host (DHCP). La tecnología de Microsoft NLB requiere que se asigne una dirección IP estática a cada servidor que participa en el clúster NLB.
Si la base de datos de configuración de AD FS se va a almacenar en una base de datos SQL, evite editar la base de datos SQL de varios servidores de federación al mismo tiempo.
Configurar los servidores de federación para una granja de servidores
En la tabla siguiente se describen las tareas que hay que completar para que todos los servidores de federación puedan participar en un entorno de granja.
| Tarea | Descripción |
|---|---|
| Si estás usando SQL Server para almacenar la base de datos de configuración de AD FS | Una granja de servidores de federación está compuesta por dos o más servidores que comparten la misma base de datos de configuración de AD FS y los certificados de firma de tokens. La base de datos de configuración se puede almacenar en la base de datos interna de Windows o en una base de datos de SQL Server. Si tiene previsto almacenar la base de datos de configuración en una base de datos SQL, asegúrese de que la base de datos de configuración sea accesible para que puedan acceder todos los servidores de federación nuevos que participan en la granja de servidores. Nota: Para los escenarios de granja de servidores, es importante que la base de datos de configuración se encuentre en un equipo que no participe también como un servidor de federación de esa granja. Microsoft NLB no permite que participe ninguno de los equipos de una granja de servidores para comunicarse entre sí. Nota: Asegúrese de que la identidad de la AppPool de AD FS de Internet Information Services (IIS)) de todos los servidores de federación que participan en la granja tengan acceso de lectura a la base de datos de configuración. |
| Obtener y compartir certificados | Puedes obtener un único servidor de certificados de autenticación de una entidad de certificación pública (CA), por ejemplo, VeriSign. Después, puede configurar el certificado para que todos los servidores de federación compartan la misma parte de la clave privada del certificado. Para obtener más información sobre cómo crear perfiles de certificados, consulta Checklist: Setting Up a Federation Server. Nota: El complemento Administración de AD FS hace referencia a los certificados de autenticación de servidor para los servidores de federación como certificados de comunicación de servicio. Para obtener más información, consulte Certificate Requirements for Federation Servers. |
| Selecciona la misma instancia de SQL Server | Si la base de datos de configuración de AD FS se va a almacenar en una base de datos SQL, el nuevo servidor de federación tiene que apuntar a la misma instancia de SQL Server que usaron los demás servidores de federación de la granja para que el nuevo servidor pueda participar en la granja. |