Share via

Uw AD FS-implementatie plannen

  • Artikel

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

De eerste stap bij het plannen van een AD FS-implementatie voor een Microsoft-cloudservice is het selecteren van de juiste implementatietopologie om te voldoen aan de behoeften voor eenmalige aanmelding van uw organisatie. AD FS vereist dat u Windows Interne database (WID) of een SQL Server database gebruikt om de AD FS-configuratiegegevens op te slaan die worden gebruikt door de Federation-service.

De aanbevolen AD FS-topologie voor de meeste klanten van Microsoft-cloudservices is het gebruik van de federatieserverfarm met WID en proxytopologie die volgt. Er is ook een geavanceerde optie voor het maken van een federatieserverfarm met SQL Server proxy's, die verderop in deze sectie worden vermeld.

Daarnaast bevat deze sectie ook een tabel voor het bepalen van het aantal AD FS-servers dat in uw organisatie moet worden geïmplementeerd, evenals informatie over het toevoegen van federatieservers om de prestaties te verbeteren.

  • Aanbevolen topologie: Federatieserverfarm met WID en proxy's

  • Geavanceerde optie: Federatieserverfarm met SQL Server en proxy's

  • Schattingstabel: Het aantal AD FS-servers bepalen dat in uw organisatie moet worden geïmplementeerd

  • Federatieservers toevoegen om de prestaties te verbeteren

De standaardtopologie voor een Microsoft-cloudservice is een AD FS-federatieserverfarm die bestaat uit meerdere servers die als host fungeren voor de Federation-service van uw organisatie. In deze topologie gebruikt AD FS WID als de AD FS-configuratiedatabase voor alle federatieservers die lid zijn van die farm. De farm repliceert en onderhoudt de Federation Service-gegevens in de configuratiedatabase op elke server in de farm.

De handeling van het maken van de eerste federatieserver in een farm maakt ook een nieuwe Federation-service. Wanneer WID wordt gebruikt als de AD FS-configuratiedatabase, wordt de eerste federatieserver die in de farm wordt gemaakt, aangeduid als de primaire federatieserver. Dit betekent dat deze computer wordt geconfigureerd met een lees-/schrijfkopie van de AD FS-configuratiedatabase.

Alle andere federatieservers die voor deze farm zijn geconfigureerd, worden secundaire federatieservers genoemd, omdat ze eventuele wijzigingen op de primaire federatieserver moeten repliceren naar hun alleen-lezen kopieën van de AD FS-configuratiedatabase die ze lokaal opslaan.

Notitie

U wordt aangeraden ten minste twee federatieservers te gebruiken in een configuratie met gelijke taakverdeling.

Het instellen van deze farmtopologie van de basisfederatieserver is de eerste fase van uw AD FS-implementatie. De tweede fase bestaat uit het bepalen hoe u de functionaliteit voor toegangsbeheer voor externe gebruikers kunt bieden door een van beide te implementeren:

  • Webtoepassingsproxy's, als u AD FS gebruikt in Windows Server 2012 R2

  • Federatieserverproxy's, als u AD FS 2.0 of AD FS gebruikt in Windows Server 2012

Fase 1: Uw federatieserverfarm implementeren

Wanneer u klaar bent om uw farm te implementeren, moet u van plan zijn om alle federatieservers in uw bedrijfsnetwerk achter een netwerktaakverdelingshost (NLB) te plaatsen die kunnen worden geconfigureerd voor een NLB-cluster met een toegewezen DNS-naam van het cluster en het IP-adres van het cluster.

Belangrijk

Deze DNS-naam van het cluster moet overeenkomen met de federation-servicenaam (bijvoorbeeld fs.fabrikam.com) en internetrouteerbaar zijn voor het exemplaar van AD FS dat u implementeert. Als de naam niet overeenkomt, wordt de verificatieaanvraag niet doorgestuurd naar de juiste DNS-server of de juiste federatieserver.

De NLB-host kan de instellingen gebruiken die in dit NLB-cluster zijn gedefinieerd om clientaanvragen toe te wijzen aan de afzonderlijke federatieservers. In het volgende diagram ziet u hoe Fabrikam, Inc. de eerste fase van de implementatie kan instellen met behulp van een federatieserverfarm met twee computers (fs1 en fs2) met WID en de plaatsing van een DNS-server en één NLB-host die is bekabeld met het bedrijfsnetwerk.

Federation Server Farm with WID

Notitie

Als er een fout op deze ene NLB-host is, hebben gebruikers geen toegang tot de cloudservice. Voeg extra NLB-hosts toe als uw bedrijfsvereisten geen single point of failure toestaan.

Fase 2: Uw proxy's implementeren

In het algemeen worden proxyservers gebruikt om clientverificatieaanvragen van buiten uw bedrijfsnetwerk om te leiden naar de federatieserverfarm, met andere woorden, om extranettoegang te configureren.

Belangrijk

Afhankelijk van de versie van AD FS die u wilt gebruiken, kunt u webtoepassingsproxy's (in AD FS in Windows Server 2012 R2) of federatieserverproxy's (in AD FS 2.0 en AD FS in Windows Server 2012) implementeren. Zie AD FS-terminologie controleren voor de definities en beschrijvingen van de functies van een web-toepassingsproxy en een federatieserverproxy.

Voor een klant van een Microsoft-cloudservice is het implementeren van proxy's in uw bestaande AD FS-infrastructuur nodig om de volgende gebruikersscenario's in te schakelen:

  • Werkcomputer, roaming: Gebruikers die zijn aangemeld bij computers die lid zijn van een domein met hun bedrijfsreferenties, maar die niet zijn verbonden met het bedrijfsnetwerk (bijvoorbeeld een werkcomputer thuis of in een hotel), hebben toegang tot de cloudservice.

  • Thuiscomputer of openbare computer: Wanneer de gebruiker een computer gebruikt die niet is gekoppeld aan het bedrijfsdomein, moet de gebruiker zich aanmelden met de bedrijfsreferenties om toegang te krijgen tot de cloudservice.

  • Smartphone: Op een smartphone moet de gebruiker zich aanmelden met de bedrijfsreferenties om toegang te krijgen tot de cloudservice, zoals Microsoft Exchange Online met Behulp van Microsoft Exchange ActiveSync.

  • Microsoft Outlook of andere e-mailclients: de gebruiker moet zich aanmelden met hun bedrijfsreferenties om toegang te krijgen tot hun Office 365 e-mail als ze Outlook of een e-mailclient gebruiken die geen deel uitmaakt van Office; bijvoorbeeld een IMAP- of POP-client.

Ter ondersteuning van deze gebruikersscenario's bouwt deze tweede fase voort op fase 1 van de implementatie die eerder is besproken door twee webtoepassingsproxy's of twee federatieserverproxy's toe te voegen, toegang te bieden tot een DNS-server in het perimeternetwerk en toegang tot een tweede NLB-host in het perimeternetwerk.

De tweede NLB-host moet worden geconfigureerd met een NLB-cluster dat gebruikmaakt van een IP-adres voor een cluster dat toegankelijk is voor internet en moet dezelfde DNS-naaminstelling van het cluster gebruiken als het vorige NLB-cluster dat u hebt geconfigureerd op het bedrijfsnetwerk voor fase 1 (fs.fabrikam.com). De proxy's voor webtoepassingen of federatieserverproxy's worden ook geconfigureerd met IP-adressen die toegankelijk zijn voor internet.

In het volgende diagram ziet u de bestaande fase 1-implementatie en hoe Fabrikam, Inc. toegang kan bieden tot een perimeter-DNS-server, een tweede NLB-host met dezelfde DNS-naam van het cluster (fs.fabrikam.com) kunt toevoegen en twee federatieserverproxy's (fsp1 en fsp2) aan het perimeternetwerk toevoegt.

In het volgende diagram ziet u de bestaande fase 1-implementatie en hoe Fabrikam, Inc. toegang kan bieden tot een perimeter-DNS-server, een tweede NLB-host met dezelfde DNS-naam van het cluster (fs.fabrikam.com) kunt toevoegen en twee webtoepassingsproxy's (wap1 en wap2) aan het perimeternetwerk kunt toevoegen.

ADFSProxyDeploymentSSO

Notitie

  • U kunt http-reverse proxy-oplossingen van derden gebruiken om AD FS te publiceren naar het extranet. Zie Geavanceerde opties configureren voor AD FS 2.0 voor meer informatie over hoe u dit doet.

  • Alle AD FS-communicatie die via de firewall wordt verzonden, is gebaseerd op HTTPS.

  • U kunt aangepaste claimregels maken in AD FS die de toegang van uw gebruikers tot de cloudservice beperken op basis van de fysieke locatie van de clientcomputer of clientapparaat waarmee uw gebruiker toegang aanvraagt. Zie Toegang beperken tot Office 365 Services op basis van clientlocatie voor meer informatie over het maken van deze regels.

Geavanceerde optie: Federatieserverfarm met SQL Server en proxy's

Dit is een geavanceerde AD FS-implementatietopologieoptie die gebruikmaakt van webtoepassingsproxy's of federatieserverproxy's en een SQL Server-configuratie om alle federatieservers in de farm in staat te stellen om te lezen en schrijven naar een algemene SQL Server-database. Met behulp van een SQL Server-database als de AD FS-configuratiedatabase biedt de volgende voordelen via WID:

  • Functies voor hoge beschikbaarheid van SQL Server die beheerders kunnen gebruiken.

  • Aanvullende prestatieverbeteringen, waaronder de mogelijkheid om uit te schalen met meer federatieservers (een WID-farm heeft een limiet van 30 federatieservers als u 100 of minder relying party-vertrouwensrelaties hebt. Als u meer dan 100 vertrouwensrelaties van relying party's hebt, heeft een WID-farm een limiet van 5 federatieservers. ).

  • Geografische taakverdeling om te zorgen voor toename van hoog verkeer op basis van locatie.

Notitie

Omdat deze topologie een geavanceerde AD FS-implementatieoptie is, worden de details over hoe deze topologie werkt en hoe u deze implementeert, niet behandeld in dit artikel.

Zie Geavanceerde opties configureren voor AD FS 2.0 voor meer informatie over deze topologieoptie.

Schattingstabel: Het aantal AD FS-servers bepalen dat in uw organisatie moet worden geïmplementeerd

U kunt de volgende tabel gebruiken om het minimale aantal AD FS-federatieservers en webtoepassingsproxy's of federatieserverproxy's te schatten dat u moet plaatsen in een federatieserverfarm die is geconfigureerd met WID in uw bedrijfsnetwerkinfrastructuur op basis van het aantal gebruikers dat eenmalige aanmelding nodig heeft, inclusief externe toegang tot de cloudservice.

Notitie

Alle computers die worden geconfigureerd voor de federatieserver of federatieserverproxyfunctie, moeten de Windows Server 2008, Windows Server 2008 R2 of Windows Server 2012 besturingssysteem uitvoeren. Alle computers die worden geconfigureerd om de web-toepassingsproxy-functieservice uit te voeren, worden zojuist uitgevoerd Windows Server 2012 R2-besturingssysteem.

U wordt aangeraden één federatieserver te gebruiken om rekening te houden met redundantie. De volgende tabel volgt deze aanbeveling.

Aantal gebruikers dat toegang heeft tot de cloudservice Minimum aantal servers dat moet worden geïmplementeerd Aanbeveling en stappen

Minder dan 1000 gebruikers

0 toegewezen federatieservers

0 toegewezen proxy's

1 toegewezen NLB-server

Gebruik voor de federatieservers twee bestaande Active Directory-domeincontrollers (DC's) en configureer deze beide voor de federatieserverfunctie. Hiervoor selecteert u eerst twee bestaande DC's en vervolgens:

  1. INSTALLEER AD FS op beide domeincontrollers.

  2. Configureer een server als de eerste federatieserver in een nieuwe farm.

  3. Koppel de tweede aan de federatieserverfarm.

Voor NLB configureert u een bestaande NLB-host of verkrijgt u een toegewezen server en installeert u vervolgens de NLB-serverfunctie erop en configureert u vervolgens de NLB-server.

Voor de proxy's gebruikt u twee bestaande web- of proxyservers en configureert u deze zowel voor de federatieserverproxyfunctie als voor de web-toepassingsproxy-rol. Hiervoor selecteert u twee bestaande web- of proxyservers die zich in het extranet bevinden en vervolgens:

  1. Installeer AD FS op beide servers.

  2. Configureer deze voor de web-toepassingsproxy- of de proxyfunctie van de federatieserver.

  3. Installeer de NLB-serverfunctie op een van de geconfigureerde proxy's of configureer een bestaande NLB-host.

Notitie

Als u geen twee bestaande DC's en twee web- of proxyservers hebt of als ze niet worden uitgevoerd Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2, moet u in plaats daarvan toegewezen servers implementeren, zoals wordt besproken in de volgende rij van deze tabel.

Belangrijk

Als u AD FS 2.0 of AD FS gebruikt in Windows Server 2012, moet u federatieserverproxy's implementeren en configureren.

Als u AD FS gebruikt in Windows Server 2012 R2, kunt u alleen Web Application Proxy's configureren en implementeren. In Windows Server 2012 R2 wordt een web-toepassingsproxy, een nieuwe functieservice van de RAS-serverfunctie, gebruikt om AD FS te configureren voor extranettoegang.

1.000 tot 15.000 gebruikers

2 toegewezen federatieservers

2 toegewezen proxy's

Voor de federatieservers moet u twee toegewezen servers verkrijgen en vervolgens:

  1. Installeer AD FS op beide servers.

  2. Configureer een server als de eerste federatieserver in een nieuwe farm.

  3. Voeg de tweede aan de farm toe.

  4. Installeer de NLB-serverfunctie op een van de federatieservers of configureer een bestaande NLB-host.

Voor de proxy's moet u twee toegewezen servers verkrijgen die u in het extranet kunt plaatsen:

  1. Installeer AD FS op beide servers.

  2. Configureer deze voor de web-toepassingsproxy-rol of de proxyfunctie van de federatieserver.

  3. Installeer de NLB-serverfunctie op een van de geconfigureerde proxy's of configureer een bestaande NLB-host.

Belangrijk

Als u AD FS 2.0 of AD FS in Windows Server 2012 gebruikt, moet u federatieserverproxy's implementeren en configureren.

Als u AD FS in Windows Server 2012 R2 gebruikt, kunt u alleen webtoepassingsproxy's configureren en implementeren. In Windows Server 2012 R2 wordt een web-toepassingsproxy, een nieuwe functieservice van de RAS-serverfunctie, gebruikt om AD FS te configureren voor extranettoegang.

15.000 tot 60.000 gebruikers

Tussen 3 en 5 toegewezen federatieservers

Ten minste 2 toegewezen proxy's

Elke toegewezen federatieserver kan ongeveer 15.000 gebruikers ondersteunen. Voeg daarom een extra toegewezen federatieserver toe aan de basis twee federatieserverimplementatie die eerder is beschreven voor elke 15.000 gebruikers die toegang nodig hebben tot de cloudservice, tot maximaal vijf federatieservers in de farm of 60.000 gebruikers.

Notitie

Een federatieve AD FS-serverfarm die is geconfigureerd voor het gebruik van WID ondersteunt maximaal vijf federatieservers. Als u meer dan vijf federatieservers nodig hebt, moet u een SQL Server-database configureren om de AD FS-configuratiedatabase op te slaan. Zie Geavanceerde opties configureren voor AD FS 2.0 voor meer informatie over deze optie.

Het minimum aantal gebruikers naar servers aanbevelingen in de vorige tabel wordt berekend op basis van de volgende hardware:

Hardware Specificaties

CPU-snelheid

Dual Quad Core 2,27GHz CPU (8 kernen)

RAM

4 GB (gigabyte)

Netwerk

Gigabit

Federatieservers toevoegen om de prestaties te verbeteren

Wanneer twee of meer federatieservers zijn geconfigureerd in een farm met behulp van NLB-technologie, kunnen ze onafhankelijk werken om de belasting van binnenkomende gebruikersaanvragen naar de AD FS Federation-service te verwerken zonder de algehele prestaties van de service als geheel te verminderen. Daarom is er weinig overhead betrokken bij het toevoegen van extra federatieservers aan uw bestaande productieomgeving nadat u uw eerste federatieservers strategisch in uw netwerk hebt geïmplementeerd.

Volgende stap

Nu u uw AD FS-implementatie hebt gepland, is de volgende stap het controleren van de vereisten voor het implementeren van AD FS.

Zie ook

Concepten

Controlelijst: AD FS gebruiken voor het implementeren en beheren van eenmalige aanmelding