Az AD FS üzembe helyezésének megtervezése
A következőkre vonatkozik: Azure, Office 365, Power BI, Windows Intune
A Microsoft felhőszolgáltatás AD FS-telepítésének megtervezésének első lépéseként válassza ki a szervezet egyszeri bejelentkezési igényeinek megfelelő üzembehelyezési topológiát. Az AD FS használatához belső Windows-adatbázis (belső Windows-adatbázis) vagy egy SQL Server-adatbázist kell használnia az összevonási szolgáltatás által használt AD FS konfigurációs adatok tárolásához.
A Microsoft felhőszolgáltatás-ügyfeleinek többsége számára az ajánlott AD FS-topológia az összevonási kiszolgálófarm használata az alábbi belső Windows-adatbázis és proxy topológiával. A szakasz későbbi részében említett SQL Server proxykkal rendelkező összevonási kiszolgálófarmok létrehozására is van lehetőség.
Emellett ez a szakasz egy táblázatot is tartalmaz a szervezetben üzembe helyezendő AD FS-kiszolgálók számának meghatározásához, valamint a teljesítmény növelése érdekében összevonási kiszolgálók hozzáadásával kapcsolatos információkat.
Ajánlott topológia: Összevonási kiszolgálófarm belső Windows-adatbázis és proxykkal
Speciális lehetőség: Összevonási kiszolgálófarm SQL Server és proxykkal
Becslési táblázat: A szervezetben üzembe helyezendő AD FS-kiszolgálók számának meghatározása
Összevonási kiszolgálók hozzáadása a teljesítmény növelése érdekében
Ajánlott topológia: Összevonási kiszolgálófarm belső Windows-adatbázis és proxykkal
A Microsoft felhőszolgáltatásainak alapértelmezett topológiája egy AD FS összevonási kiszolgálófarm, amely több kiszolgálóból áll, amelyek a szervezet összevonási szolgáltatását üzemeltetik. Ebben a topológiában az AD FS a belső Windows-adatbázis használja az AD FS konfigurációs adatbázisaként a farmhoz csatlakoztatott összes összevonási kiszolgálóhoz. A farm replikálja és karbantartja az összevonási szolgáltatás adatait a konfigurációs adatbázisban a farm minden kiszolgálóján.
A farm első összevonási kiszolgálójának létrehozása egy új összevonási szolgáltatást is létrehoz. Ha belső Windows-adatbázis használja az AD FS konfigurációs adatbázisaként, a farmban létrehozott első összevonási kiszolgálót elsődleges összevonási kiszolgálónak nevezzük. Ez azt jelenti, hogy a számítógép az AD FS konfigurációs adatbázisának olvasási/írási másolatával lesz konfigurálva.
A farmhoz konfigurált összes többi összevonási kiszolgálót másodlagos összevonási kiszolgálóknak nevezzük, mivel az elsődleges összevonási kiszolgálón végrehajtott módosításokat replikálniuk kell a helyileg tárolt AD FS konfigurációs adatbázis írásvédett példányaiba.
Megjegyzés
Javasoljuk, hogy legalább két összevonási kiszolgálót használjon elosztott terhelésű konfigurációban.
Az alap összevonási kiszolgáló farmtopológiájának beállítása az AD FS üzembe helyezésének első fázisa. A második fázis a hozzáférés-vezérlési funkciók külső felhasználók számára történő biztosításának meghatározásából áll a következők üzembe helyezésével:
Webalkalmazás-proxyk, ha AD FS-t használ az Windows Server 2012 R2-ben
Összevonási kiszolgálóproxyk, ha AD FS 2.0-t vagy AD FS-t használ Windows Server 2012
1. fázis: Az összevonási kiszolgálófarm üzembe helyezése
Amikor készen áll a farm üzembe helyezésére, tervezze meg, hogy az összes összevonási kiszolgálót a vállalati hálózaton egy hálózati terheléselosztási (NLB) gazdagép mögé helyezi, amely konfigurálható egy dedikált fürt DNS-nevével és fürt IP-címével rendelkező hálózati terheléselosztó-fürthöz.
Fontos
Ennek a fürt DNS-ének meg kell egyeznie az összevonási szolgáltatás nevével (például fs.fabrikam.com), és internetezhetőnek kell lennie az üzembe helyezendő AD FS-példányhoz. Ha a név nem egyezik, a hitelesítési kérelem nem lesz átirányítva a megfelelő DNS-kiszolgálóra vagy a megfelelő összevonási kiszolgálóra.
Az NLB-gazdagép az ebben a hálózati terheléselosztási fürtben meghatározott beállításokkal rendelhet ügyfélkéréseket az egyes összevonási kiszolgálókhoz. Az alábbi ábrán az látható, hogy a Fabrikam, Inc. hogyan állíthatja be üzembe helyezésük első fázisát egy kétszámítógépes összevonási kiszolgálófarm (fs1 és fs2) használatával, belső Windows-adatbázis és egy DNS-kiszolgáló és egyetlen hálózati terheléselosztó-gazdagép elhelyezésével, amely a vállalati hálózathoz van állítva.
.gif "Federation Server Farm with WID")
Megjegyzés
Ha hiba történik ezen az egyetlen hálózati terheléselosztási gazdagépen, akkor a felhasználók nem fognak tudni hozzáférni a felhőszolgáltatáshoz. Adjon hozzá további hálózati terheléselosztási gazdagépeket, ha az üzleti követelmények nem teszik lehetővé, hogy egyetlen meghibásodási pont legyen.
2. fázis: Proxyk üzembe helyezése
A proxykiszolgálók általában a vállalati hálózaton kívülről érkező ügyfél-hitelesítési kérések átirányítására szolgálnak az összevonási kiszolgálófarmra, más szóval az extranetes hozzáférés konfigurálására.
Fontos
Az AD FS használni kívánt verziójától függően üzembe helyezhet webalkalmazás-proxykat (az AD FS-ben az Windows Server 2012 R2-ben) vagy összevonási kiszolgálóproxykat (az AD FS 2.0-ban és az AD FS-ben Windows Server 2012). A webes alkalmazásproxy és az összevonási kiszolgálóproxy függvényeinek definícióiért és leírásáért lásd az AD FS terminológiájának áttekintését.
A Microsoft felhőszolgáltatási ügyfelei számára a proxyk meglévő AD FS-infrastruktúrában való üzembe helyezésére van szükség a következő felhasználói forgatókönyvek engedélyezéséhez:
Munkahelyi számítógép, roaming: Azok a felhasználók, akik vállalati hitelesítő adataikkal jelentkeztek be a tartományhoz csatlakoztatott számítógépekre, de nem csatlakoznak a vállalati hálózathoz (például munkahelyi számítógép otthon vagy egy szállodában), hozzáférhetnek a felhőszolgáltatáshoz.
Otthoni vagy nyilvános számítógép: Ha a felhasználó olyan számítógépet használ, amely nincs csatlakoztatva a vállalati tartományhoz, a felhasználónak a vállalati hitelesítő adataival kell bejelentkeznie a felhőszolgáltatás eléréséhez.
Okostelefon: Okostelefonon a felhasználónak a vállalati hitelesítő adataival kell bejelentkeznie ahhoz, hogy hozzáférjen a felhőszolgáltatáshoz, például Microsoft Exchange Online a Microsoft Exchange ActiveSync protokoll használatával.
Microsoft Outlook vagy más levelezőprogram: A felhasználónak be kell jelentkeznie a vállalati hitelesítő adataival, hogy hozzáférjen Office 365 e-mailjéhez, ha Outlook vagy olyan levelezőprogramot használ, amely nem része Office, például egy IMAP- vagy POP-ügyfél.
Ezeknek a felhasználói forgatókönyveknek a támogatása érdekében ez a második fázis a korábban tárgyalt üzembe helyezés 1. fázisára épül, két webalkalmazás-proxy vagy két összevonási kiszolgálóproxy hozzáadásával, a szegélyhálózaton lévő DNS-kiszolgálóhoz való hozzáférés biztosításával, valamint a szegélyhálózaton található második hálózati terheléselosztási gazdagéphez való hozzáféréssel.
A második hálózati terheléselosztási gazdagépet olyan hálózati terheléselosztó-fürttel kell konfigurálni, amely internetről elérhető fürt IP-címét használja, és ugyanazt a fürt DNS-névbeállítását kell használnia, mint a vállalati hálózaton az 1. fázishoz (fs.fabrikam.com). A webalkalmazás proxyi vagy összevonási kiszolgálóproxyi internetről elérhető IP-címekkel is konfigurálhatók.
Az alábbi ábrán a meglévő 1. fázisbeli üzembe helyezés látható, és hogy a Fabrikam, Inc. hogyan biztosíthat hozzáférést egy szegélyhálózati DNS-kiszolgálóhoz, hogyan adhat hozzá egy második hálózati terheléselosztási gazdagépet ugyanazzal a fürt DNS-nevével (fs.fabrikam.com), és hogyan adhat hozzá két összevonási kiszolgálóproxyt (fsp1 és fsp2) a szegélyhálózathoz.
Az alábbi ábra bemutatja a meglévő 1. fázisbeli üzembe helyezést, valamint azt, hogy a Fabrikam, Inc. hogyan biztosíthat hozzáférést egy szegélyhálózati DNS-kiszolgálóhoz, hogyan adhat hozzá egy második hálózati terheléselosztó-gazdagépet ugyanazzal a fürt DNS-nevével (fs.fabrikam.com), és hogyan adhat hozzá két webalkalmazás-proxyt (wap1 és wap2) a szegélyhálózathoz.
.gif "ADFSProxyDeploymentSSO")
Megjegyzés
- Külső HTTP fordított proxymegoldásokkal teheti közzé az AD FS-t az extraneten. Ennek módjáról további információt az AD FS 2.0 speciális beállításainak konfigurálása című témakörben talál.
- A tűzfalon keresztüli összes AD FS-kommunikáció HTTPS-en alapul.
- Az AD FS-ben létrehozhat egyéni jogcímszabályokat, amelyek korlátozzák a felhasználók felhőszolgáltatáshoz való hozzáférését annak az ügyfélszámítógépnek vagy ügyféleszköznek a fizikai helye alapján, amelyen keresztül a felhasználó hozzáférést kér. A szabályok létrehozásával kapcsolatos további információkért lásd: Office 365-szolgáltatásokhoz való hozzáférés korlátozása ügyfélhely alapján.
Speciális lehetőség: Összevonási kiszolgálófarm SQL Server és proxykkal
Ez egy speciális AD FS üzembehelyezési topológia beállítás, amely webalkalmazás-proxykat vagy összevonási kiszolgálóproxykat, valamint egy SQL Server konfigurációt használ, amely lehetővé teszi a farm összes összevonási kiszolgálójának olvasását és írását egy közös SQL Server adatbázisba. Egy SQL Server-adatbázis AD FS konfigurációs adatbázisként való használata a belső Windows-adatbázissal szemben a következő előnyöket nyújtja:
A rendszergazdák által használható SQL Server magas rendelkezésre állású funkciói.
További teljesítménybeli fejlesztések, beleértve a további összevonási kiszolgálók használatával történő vertikális felskálázást (egy belső Windows-adatbázis farm legfeljebb 30 összevonási kiszolgálóval rendelkezik, ha 100 vagy kevesebb függő entitás megbízhatósági kapcsolattal rendelkezik. Ha több mint 100 függő entitás megbízhatósági kapcsolattal rendelkezik, egy belső Windows-adatbázis farm legfeljebb 5 összevonási kiszolgálóval rendelkezik.
Földrajzi terheléselosztás, hogy a hely alapján növelhető legyen a nagy forgalom.
Megjegyzés
Mivel ez a topológia egy speciális AD FS üzembe helyezési lehetőség, a topológia működésének és üzembe helyezésének részleteit nem ismertetjük ebben a cikkben.
Erről a topológiabeállításról további információt az AD FS 2.0 speciális beállításainak konfigurálása című témakörben talál.
Becslési táblázat: A szervezetben üzembe helyezendő AD FS-kiszolgálók számának meghatározása
Az alábbi táblázat segítségével megbecsülheti az AD FS összevonási kiszolgálók és webalkalmazás-proxyk vagy összevonási kiszolgálóproxyk minimális számát, amelyeket egy olyan összevonási kiszolgálófarmban kell elhelyeznie, amely belső Windows-adatbázis konfigurálva van a vállalati hálózati infrastruktúrában azon felhasználók száma alapján, akik egyszeri bejelentkezési hozzáférést igényelnek. a felhőszolgáltatáshoz való távoli hozzáférést is beleértve.
Megjegyzés
Az összevonási kiszolgálóhoz vagy összevonási kiszolgálóproxy-szerepkörhöz konfigurált összes számítógépnek a Windows Server 2008, Windows Server 2008 R2 vagy Windows Server 2012 operációs rendszert kell futtatnia. A webes alkalmazásproxy szerepkör-szolgáltatás futtatására konfigurálni kívánt összes számítógép csak Windows Server 2012 R2 operációs rendszert futtat.
Javasoljuk, hogy egy összevonási kiszolgálóval számoljon a redundanciáért. Az alábbi táblázat ezt a javaslatot követi.
| A felhőszolgáltatáshoz hozzáférő felhasználók száma | Üzembe helyezendő kiszolgálók minimális száma | Javaslatok és lépések |
|---|---|---|
Kevesebb mint 1000 felhasználó |
0 dedikált összevonási kiszolgáló 0 dedikált proxy 1 dedikált hálózati terheléselosztási kiszolgáló |
Az összevonási kiszolgálókhoz használjon két meglévő Active Directory-tartományvezérlőt (TARTOMÁNYVEZÉRLŐket), és konfigurálja mindkettőt az összevonási kiszolgálói szerepkörhöz. Ehhez először jelöljön ki két meglévő tartományvezérlőt, majd:
Hálózati terheléselosztás esetén konfiguráljon egy meglévő hálózati terheléselosztási gazdagépet, vagy szerezzen be egy dedikált kiszolgálót, majd telepítse a hálózati terheléselosztási kiszolgálói szerepkört, majd konfigurálja a hálózati terheléselosztási kiszolgálót. A proxykhoz használjon két meglévő webes vagy proxykiszolgálót, és konfigurálja mindkettőt az összevonási kiszolgáló proxyszerepköréhez vagy a webes alkalmazásproxy szerepkörhöz. Ehhez jelöljön ki két meglévő webes vagy proxykiszolgálót, amelyek az extraneten találhatók, majd:
Megjegyzés Ha nincs két meglévő tartományvezérlője és két web- vagy proxykiszolgálója, vagy nem futnak Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 vagy Windows Server 2012 R2, akkor inkább dedikált kiszolgálókat kell üzembe helyeznie, ahogy a táblázat következő sorában is látható. Fontos Ha az AD FS 2.0-t vagy az AD FS-t használja Windows Server 2012, összevonási kiszolgálóproxykat kell üzembe helyeznie és konfigurálnia. Ha az AD FS-t Windows Server 2012 R2-ben használja, csak webalkalmazás-proxykat konfigurálhat és helyezhet üzembe. Az Windows Server 2012 R2-ben a távelérési kiszolgálói szerepkör új szerepkör-szolgáltatása, a Webes alkalmazásproxy konfigurálja az AD FS-t az extranetes hozzáféréshez. |
1000–15 000 felhasználó |
2 dedikált összevonási kiszolgáló 2 dedikált proxy |
Az összevonási kiszolgálókhoz szerezzen be két dedikált kiszolgálót, majd:
A proxykhoz szerezzen be két dedikált kiszolgálót, amelyeket elhelyezhet az extraneten:
Fontos Ha az AD FS 2.0-t vagy az AD FS-t használja Windows Server 2012, összevonási kiszolgálóproxykat kell üzembe helyeznie és konfigurálnia. Ha az AD FS-t az Windows Server 2012 R2-ben használja, csak webalkalmazás-proxykat konfigurálhat és helyezhet üzembe. Az Windows Server 2012 R2-ben a távelérési kiszolgálói szerepkör új szerepkör-szolgáltatása, a Webes alkalmazásproxy konfigurálja az AD FS-t az extranetes hozzáféréshez. |
15 000–60 000 felhasználó |
3 és 5 dedikált összevonási kiszolgáló között Legalább 2 dedikált proxy |
Minden dedikált összevonási kiszolgáló körülbelül 15 000 felhasználót tud támogatni. Ezért adjon hozzá egy további dedikált összevonási kiszolgálót a korábban ismertetett alap két összevonási kiszolgáló üzemelő példányához minden 15 000 olyan felhasználó esetében, aki hozzáférést igényel a felhőszolgáltatáshoz, legfeljebb öt összevonási kiszolgálót a farmon, vagy legfeljebb 60 000 felhasználót. Megjegyzés A belső Windows-adatbázis használatára konfigurált AD FS összevonási kiszolgálófarm legfeljebb öt összevonási kiszolgálót támogat. Ha ötnél több összevonási kiszolgálóra van szüksége, konfigurálnia kell egy SQL Server-adatbázist az AD FS konfigurációs adatbázisának tárolásához. További információ erről a beállításról: Az AD FS 2.0 speciális beállításainak konfigurálása. |
Az előző táblázatban megadott kiszolgálókra vonatkozó javaslatok felhasználóinak minimális számát a következő hardver alapján számítjuk ki:
| Hardver | Specifikációk |
|---|---|
CPU-sebesség |
Dual Quad Core 2.27GHz CPU (8 mag) |
RAM |
4 gigabájt (GB) |
Network (Hálózat) |
Gigabit |
Összevonási kiszolgálók hozzáadása a teljesítmény növelése érdekében
Ha két vagy több összevonási kiszolgáló NLB-technológiával van konfigurálva egy farmban, egymástól függetlenül működhetnek, hogy segítsenek feldolgozni az AD FS összevonási szolgáltatásnak küldött bejövő felhasználói kérések terhelését anélkül, hogy a szolgáltatás teljes teljesítményét csökkentenék. Ezért a kezdeti összevonási kiszolgálók hálózati stratégiai üzembe helyezése után kevés a többletterhelés a további összevonási kiszolgálók meglévő éles környezethez való hozzáadásával kapcsolatban.
Következő lépés
Most, hogy megtervezte az AD FS üzembe helyezését, a következő lépés az AD FS üzembe helyezésének követelményeinek áttekintése.
Lásd még:
Alapelvek
Ellenőrzőlista: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez