フェデレーション サーバー プロキシのキャパシティ プランニングPlanning for Federation Server Proxy Capacity

フェデレーションサーバープロキシの容量計画では、次のことを見積もることができます。Capacity planning for federation server proxies helps you estimate:

  • 各フェデレーションサーバープロキシの適切なハードウェア要件。The appropriate hardware requirements for each federation server proxy.

  • 各組織に配置するフェデレーションサーバーとフェデレーションサーバープロキシの数。The number of federation servers and federation server proxies to place in each organization.

フェデレーションサーバープロキシは、企業ネットワーク内の保護されたフェデレーションサーバーからフェデレーションユーザーにセキュリティトークンをリダイレクトします。Federation server proxies redirect security tokens from a protected federation server in the corporate network to federated users. フェデレーションサーバープロキシを展開する目的は、外部ユーザーがフェデレーションサーバーに接続できるようにすることです。The purpose of deploying a federation server proxy is to allow external users to connect to a federation server. 実際には、トークンに署名したり、AD FS 構成データベースのデータに書き込んだりすることはありません。It does not actually sign tokens or write to data in the AD FS configuration database. そのため、フェデレーションサーバープロキシのハードウェア要件は、通常、フェデレーションサーバーのハードウェア要件を下回っています。Therefore, the hardware requirements for the federation server proxy are usually lower than the hardware requirements for a federation server.

フェデレーションサーバープロキシに対する要求はすべて、フェデレーションサーバーまたはフェデレーションサーバーファームに要求されるため、フェデレーションサーバーとフェデレーションサーバープロキシのキャパシティプランニングは並列で実行する必要があります。Because every request to a federation server proxy results in a request to a federation server or federation server farm, capacity planning for federation servers and federation server proxies must be performed in parallel.

フェデレーションサーバープロキシの1秒あたりのピークサインイン数を推定するには、フェデレーション - サーバープロキシ経由でサインインするフェデレーションユーザーの使用パターンを理解する必要があります。Estimating the peak sign-ins per second for the federation server proxy requires an understanding of the usage patterns of the federated users that will be signing in through the federation server proxy. 多くの展開では、フェデレーションサーバープロキシを使用してサインインするフェデレーションユーザーは、インターネット上に配置されます。In many deployments, the federated users who sign in using the federation server proxy are located on the Internet. -AD FS によって保護される既存の Web アプリケーションで、これらのフェデレーションユーザーの使用パターンを確認することで、1秒あたりのピーク時のサインイン数を推定できます。You can estimate the peak sign-ins per second by looking at the usage patterns of these federated users on the existing Web applications that will be protected by AD FS.

注意

運用環境の展開では、展開する各フェデレーションサーバーファームインスタンスに対して、少なくとも2つのフェデレーションサーバープロキシを使用することをお勧めします。For production deployments, we recommend a minimum of two federation server proxies for each federation server farm instance you deploy.

組織に必要なフェデレーションサーバープロキシの数を推定するEstimate the number of federation server proxies required for your organization

必要な AD FS フェデレーションサーバープロキシコンピューターの数を推定するには、まず、組織に展開するフェデレーションサーバーの合計数を決定する必要があります。Before you can estimate the number of AD FS federation server proxy machines required, you will first need to determine the total number of federation servers that you will deploy in your organization. この方法の詳細については、「 フェデレーションサーバーの容量の計画」を参照してください。For more information about how to do this, see Planning for Federation Server Capacity.

フェデレーションサーバーの数を決定したら、この数のサーバーを、企業ネットワークの外部にある外部ユーザーからの受信フェデレーション認証要求の割合で乗算し ( ) ます。Once you have decided on the number of federation servers, multiply this number of servers by the percentage of incoming federated authentication requests that you expect will be made from external users (located outside of the corporate network). この計算の値によって、外部ユーザーに対する受信認証要求を処理するフェデレーションサーバープロキシの推定数が示されます。The value of this calculation will provide you with the estimated number of federation server proxies that will handle the incoming authentication requests for your external users.

たとえば、推奨されるフェデレーションサーバーの数が3で、外部ユーザーからの認証要求の合計数が、フェデレーション認証要求の合計数の約60% であると予想される場合、計算は 1.8 3 60 と等しくなります。この場合、 ( ) 2 に切り上げることができます。For example, if the number of recommended federation servers is 3, and you expect that the total number of authentication requests that will be made from external users will be approximately 60% of the total number of federated authentication requests, your calculation would equal 1.8 (3 X .60) which you can round up to 2. この場合、3つのフェデレーションサーバーに対する外部ユーザー認証要求の負荷に対応するために、2つのフェデレーションサーバープロキシコンピューターを展開する必要があります。Therefore, in this case, you would need to deploy two federation server proxy machines to accommodate the load of external user authentication requests for the three federation servers.

AD FS 製品チームによって実行されるテストでは、各フェデレーションサーバープロキシの全体的な CPU 使用率が、同じファームのフェデレーションサーバーで確認された CPU 使用率を大幅に下回っていることがわかりました。In tests performed by the AD FS product team, the overall CPU utilization on each federation server proxy was found to be significantly lower than the CPU utilization that was observed on the federation servers for the same farm. 1つのテストでは、1つのフェデレーションサーバー CPU が完全に飽和状態であることを示していましたが、同じファームに対してプロキシサービスを提供しているフェデレーションサーバープロキシの CPU は、20% の使用率でのみ観察されました。In one test, while one federation server CPU was indicating that it was completely saturated, the CPU for a federation server proxy providing proxy services for that same farm was observed at only 20% utilization. したがって、このテストでは、フェデレーションサーバープロキシの CPU の負荷が、このセクションで前述した同様のハードウェア仕様を使用していると、約3台のフェデレーションサーバーの処理負荷を適切に処理できることが明らかになりました。Therefore, our tests revealed that the load on the CPU of a federation server proxy, which uses similar hardware specifications as discussed earlier in this section, could reasonably handle the processing load for approximately three federation servers.

ただし、フォールトトレランスのためには、展開する各フェデレーションサーバーファームに対して、少なくとも2つのフェデレーションサーバープロキシを使用することをお勧めします。However, for fault tolerance purposes, we recommend a minimum of two federation server proxies for each federation server farm you deploy.

関連項目See Also

Windows Server 2012 での AD FS 設計ガイドAD FS Design Guide in Windows Server 2012