フェデレーション サーバーのキャパシティ プランニング
フェデレーションサーバーのキャパシティ プランニングでは、次のことを見積もることができます:
AD FS 構成データベースのサイズを増やす要因。
各フェデレーション サーバーの適切なハードウェア要件。
各組織に配置するフェデレーション サーバーの数。
フェデレーション サーバーは、ユーザーにセキュリティ トークンを発行します。 これらのトークンは、使用のために証明書利用者に提示されます。 フェデレーション サーバーは、ユーザーを認証した後、または以前にパートナー フェデレーション サービスによって発行されたセキュリティ トークンを受信した後に、セキュリティ トークンを発行します。 ユーザーがフェデレーション アプリケーションに初めてサインインしたとき、またはセキュリティ トークンがフェデレーション アプリケーションにアクセスしている間に期限切れになったときに、フェデレーション サービスからセキュリティトークンが要求されます。
フェデレーション サーバーは、Microsoft ネットワーク負荷分散 (NLB) テクノロジを使用する高可用性サーバー ファーム構成に対応するように設計されています。 ファーム構成のフェデレーション サーバーは、要求ごとに共通のファーム コンポーネントにアクセスすることなく、個別に要求を処理できます。 そのため、フェデレーション サーバーの展開をスケール アウトする際には、オーバーヘッドがほとんど発生しません。
推奨事項:
ミッションクリティカルまたは高可用性の展開では、フォールト トレランスを提供するために、各パートナー組織に小規模なフェデレーション サーバー ファームを作成し、ファームごとに少なくとも 2 つのフェデレーション サーバーを作成することをお勧めします。
高可用性を必要とし、フェデレーション サーバーを簡単にスケールアウトできるようにするために、特定のフェデレーション サービスに対して 1秒あたりの要求数が多い場合は、スケールアウトを使用することをお勧めします。 このガイドにおける基本構成を超えてスケールアップしても、キャパシティの処理能力が大幅に向上することはほとんどありません。
AD FS 構成データベースのサイズと拡張
AD FS 構成データベースのサイズは、通常は小さいと見なされ、AD FS の配置ではデータベースのサイズが大きな考慮事項になるとは限りません。 AD FS 構成データベースの正確なサイズは、信頼関係の数と、それぞれの信頼に対して構成された要求、要求規則、監視設定などの関連する信頼関係のメタデータに大きく依存します。 構成データベース内の信頼エントリの数が増えるにつれて、より多くのディスク領域が必要になります。
AD FS 構成データベースのその他の展開情報については、「AD FS 展開トポロジに関する考慮事項」を参照してください。
メモリ、CPU およびディスク領域要件
フェデレーション サーバーのメモリ、CPU、およびディスク領域の要件は適度であり、ハードウェアの決定にはほとんど影響しません。 ハードウェア要件の詳細については、「付録 A: AD FS の要件の確認」を参照してください。
注意
AD FS 構成データベースを格納するために専用の SQL Server で構成されたフェデレーション サーバー ファームを使用して AD FS 製品チームによって実行されたテストでは、SQL Server の全体的な負荷は低くなります。 1 つの SQL Server を使用するように構成された 4 つのフェデレーション サーバー ファームを使用しているテストでは、フェデレーション サーバーがターゲットの使用を目的としていたとしても、CPU 使用率が10% を超えることはありません。
組織のフェデレーション サーバー数の見積もり
フェデレーション サーバーのハードウェア計画プロセスを効率化するための取り組みとして、AD FS 製品チームは、AD FS キャパシティ プラニングのサイズ設定スプレッドシートを開発しました。 この Excel スプレッドシートには、組織内のユーザーについて提供する予想される使用状況データを取得し、AD FS 運用環境で推奨される最適なフェデレーション サーバーの数を返す、電卓のような機能が含まれています。
注意
このスプレッドシートで推奨されるフェデレーション サーバーの数は、AD FS 製品チームがテスト時に使用したハードウェアとネットワークの仕様に基づいています。 そのため、このコンテキストでは、スプレッドシートで推奨されるフェデレーション サーバーの数を理解する必要があります。 テスト中に使用される仕様の詳細については、「AD FS サーバーのキャパシティ プラニング」を参照してください。
AD FS キャパシティ プランニングのサイズ設定スプレッドシートの使用
このスプレッドシートを使用する場合は、ピーク時の使用期間中にフェデレーションサーバーに認証要求を送信するユーザーの総数の割合を最も多い値 (40%、 60%、または 80%) を選択する必要があります。
次に、ピーク時の使用期間が最後に予想される時間の長さを表す値 (1 分、15 分、または 1 時間) を選択する必要があります。 たとえば、15 分間にログインするユーザーの総数の値として40% を推定する場合や、ユーザーの 60% が 1 時間以内にログインする場合などです。 これらの値を一緒に使用して、サイズ設定の推奨を計算するピーク時の読み込みプロファイルを定義します。
次に、ユーザーが次のいずれであるかに基づいて、ターゲットの要求に対応するアプリケーションへのシングル サインオン アクセスを必要とするユーザーの合計数を指定する必要があります:
企業ネットワークに物理的に接続されているローカル コンピューターから Active Directory にログインする (Windows 統合認証を使用)
企業ネットワークに物理的に接続されていないコンピューターから リモートに Active Directory にログインする (Windows 統合認証またはユーザー名とパスワードを使用)
別の組織から、信頼されたパートナーからターゲットの要求対応アプリケーションにアクセスしようとしています
SAML 2.0 ID プロバイダーから、ターゲットの要求対応アプリケーションにアクセスしようとしています
このスプレッドシートの使用方法
展開を計画しているフェデレーション サーバー ファーム インスタンスごとに、次の手順を使用して、推奨されるフェデレーション サーバーの数を決定できます。
Windows Server 2012 R2 の AD FS キャパシティ プランニングのサイズ設定スプレッドシートをダウンロードして開き、 Windows Server 2016 用 AD FS キャパシティ プランニングのサイズ設定スプレッドシートを開きます。
の右側のセルで、 システム使用ピーク時間中に、この割合のユーザーが セルを認証していることを想定しています。セルをクリックし、ドロップダウン矢印を使用して、展開の予想システム利用レベルに 40%、 60% 、 80% のいずれかを選択します。
次の時間 セルの時間中の右側のセルで、セルをクリックし、ドロップダウン矢印を使用して 1 分、15 分、または 1 時間のいずれかを選択して、ピーク時の負荷の時間を選択します。
[内部アプリケーションの推定数を入力してください (SharePoint (2007 または 2010) または要求に対応するWeb アプリケーション)] セルの右側のセルに、組織で使用する内部アプリケーションの数を入力します。
[推定されるオンライン アプリケーションの数を入力してください (Office 365 Exchange Online、SharePoint online または Lync Online など)] セルの右側のセルに、組織で使用するオンライン アプリケーションまたはサービスの数を入力します。
[ユーザー数] というタイトルのセルに、ユーザーがシングル サインオン アクセスを必要とするサンプル アプリケーション シナリオに適用される行ごとに数字を入力します。 この列には、1 秒あたりのピーク ユーザー数ではなく、定義されたユーザー数が含まれている必要があります。 アプリケーションへのアクセスの試行を最初にホーム領域検出ページで行う必要がある場合は、「Y」と入力します。この選択がわからない場合は、「Y」と入力します。
次の推奨値を確認してください:
推奨されるフェデレーション サーバーの合計数については、灰色で強調表示されている右下のセルを参照してください。
各サンプル アプリケーション シナリオで推奨されるサーバー数については、灰色で強調表示されている行のセルを参照してください。
注意
スプレッドシートの下部に表示される 「推奨されるフェデレーション サーバーの総数」というセルの右側にあるセルで自動的に計算される値には、その前にある各行のすべての値の合計に20% のバッファーが追加される数式が含まれています。 このバッファーには、ファームの全体的な負荷が飽和状態になることがほとんどないようにするために、このバッファーで推奨されるフェデレーション サーバーの合計数 に対して、推奨される展開済みのフェデレーション サーバー推奨総数が追加されます。