Quando creare una farm di proxy server federativi
È consigliabile installare proxy server federativi aggiuntivi quando si ha una distribuzione di Active Directory Federation Services (AD FS) di grandi dimensioni e si vuole fornire tolleranza di errore, bilanciamento del carico e scalabilità per la distribuzione di proxy. Creando due o più proxy di server federativo nella stessa rete perimetrale e la configurazione di ognuno di essi per proteggere lo stesso servizio federativo AD FS viene creata farm di proxy server federativi.
È possibile creare una farm di proxy server federativi o installare altri proxy server federativi in una farm esistente usando la configurazione guidata del proxy server federativo di AD FS. Per altre informazioni, vedere When to Create a Federation Server Proxy.
Affinché tutti i proxy server federativi possano funzionare insieme come farm, è prima necessario riunirli in un cluster con un unico indirizzo IP e un nome di dominio completo (FQDN) DNS (Domain Name System). È possibile unire in un cluster i server distribuendo il servizio Bilanciamento carico di rete Microsoft nella rete perimetrale. Le attività nella tabella seguente richiedono che il servizio Bilanciamento carico di rete sia configurato in modo appropriato per riunire in cluster i proxy server federativi nella farm.
Per altre informazioni su come configurare un FQDN per un cluster con la tecnologia di Bilanciamento carico di rete Microsoft, vedere Specifica dei parametri del cluster.
Configurazione di proxy server federativi per una farm
La tabella seguente descrive le attività che è necessario completare in modo che ogni proxy server federativo possa far parte di una farm.
| Attività | Descrizione |
|---|---|
| Impostare tutti i proxy nella farm in modo che puntino allo stesso nome di servizio federativo AD FS | Quando si creano i proxy server federativi, è necessario digitare lo stesso nome di Servizio federativo nella configurazione guidata del proxy server federativo AD FS per tutti i proxy server federativi che faranno parte della farm. Il proxy server federativo usa l'URL che costituisce questo nome host DNS per determinare l'istanza del Servizio federativo AD FS di contattare. Per altre informazioni, vedere Configure a Computer for the Federation Server Proxy Role. |
| Ottenere e condividere i certificati | È possibile ottenere un certificato di autenticazione server da un'autorità di certificazione (CA) pubblica, ad esempio VeriSign, e quindi configurare il certificato in modo che tutti i proxy server federativo condividano la stessa parte di chiave privata dello stesso certificato nel sito Web predefinito per ogni proxy server federativo. Per condividere il certificato, è necessario installare lo stesso certificato di autenticazione server nel sito Web predefinito per ogni proxy server federativo. Per altre informazioni, vedere Importare un certificato di autenticazione server nel sito Web predefinito. Per altre informazioni, vedere Certificate Requirements for Federation Server Proxies. |
Per altre informazioni sull'aggiunta di nuovi proxy server federativi per creare una farm di proxy server federativi, vedere Elenco di controllo: Configurazione di un proxy server federativo.