Планирование развертывания служб федерации Active Directory

Назначение: Azure, Office 365, Power BI, Windows Intune

Первым шагом в планировании развертывания AD FS для (Майкрософт) является выбор подходящей топологии развертывания, отвечающей требованиям единого входа вашей организации. AD FS требует использования внутренней базы данных Windows (WID) или базы данных SQL Server для хранения данных конфигурации AD FS, используемой службой федерации.

Рекомендуемой топологией AD FS для большинства клиентов облачных служб Microsoft является использование фермы серверов федерации с WID и сопутствующей топологией прокси. Также существует расширенный параметр создания фермы серверов федерации с прокси SQL Server, рассмотренный далее в этом разделе.

Кроме того, в данном разделе также приведена таблица для определения числа серверов AD FS для развертывания в вашей организации, а также информация о добавлении серверов федерации для повышения производительности.

  • Рекомендуемая топология: Фермы серверов федерации с WID и прокси

  • Расширенные параметры: Фермы серверов федерации с SQL Server и прокси

  • Таблица оценки: Определение числа серверов AD FS для развертывания в вашей организации

  • Добавление серверов федерации для повышения производительности

Рекомендуемая топология: Фермы серверов федерации с WID и прокси

Топология по умолчанию для (Майкрософт) — ферма серверов федерации AD FS, которая состоит из множества серверов, на которых размещена служба федерации вашей организации. В этой топологии AD FS использует WID в качестве базы данных конфигурации AD FS для всех серверов федерации, которые объединяются в эту ферму. Ферма реплицирует и сохраняет данные службы федерации в базе данных конфигурации на каждом сервере фермы.

При создании первого сервера федерации также создается новая служба федерации. Когда WID используется в качестве базы данных конфигурации AD FS, первый сервер федерации, созданный в ферме, называется сервером-источником федерации. Это значит, что этот компьютер будет настроен на чтение/запись копии базы данных конфигурации AD FS.

Все другие серверы федерации, настроенные для данной фермы, называются вторичными серверами федерации, поскольку они должны реплицировать любые изменения, которые находятся на сервере-источнике федерации с их копий базы данных конфигурации AD FS, доступных только для чтения, которые они хранят локально.

Примечание

Рекомендуется использовать не менее двух серверов федерации в конфигурации с балансировкой нагрузки.

Настройка топологии этой базового сервера фермы федерации является первым этапом развертывания AD FS. Второй этап заключается в определении функции порядка управления доступа для внешних пользователей путем развертывания:

  • прокси веб-приложения, при использовании AD FS на Windows Server 2012 R2

  • прокси сервера федерации, при использовании AD FS 2.0 или AD FS на Windows Server 2012

Этап 1. Развертывание вашей фермы сервера федерации

Когда вы будете готовы начать развертывание вашей фермы, следует спланировать размещение всех серверов федерации в вашей корпоративной сети за размещением балансировки нагрузки сети (NLB), который может быть настроен на кластер NLB с выделенным кластером имен DNS и кластером IP-адреса.

ImportantВажно!
Этот кластер имен DNS должен совпадать с именем службы федерации (например, fs.fabrikam.com) и интернет-маршрутизируемым для экземпляра AD FS, который вы развертываете. Если имя не совпадает, запрос аутентификации не будет маршрутизирован на корректный сервер DNS или корректный сервер федерации.

Размещение NLB может использовать параметры, определенные в этом кластере NLB для выделения запросов клиента индивидуальным серверам федерации. На следующей диаграмме изображено как Fabrikam, Inc. может настроить первый этап развертывания с использованием двухкомпьютерной фермы сервера федерации (fs1 и fs2) с WID и позиционированием сервера DNS и одинарного размещения NLB, подключенного к корпоративной сети.

Ферма серверов федерации с внутренней базой данных Windows (WID)

Примечание

В случае сбоя на данном одинарном размещении NLB, пользователи не смогут получить доступ к облачной службы. Следует добавить дополнительные размещения NLB, если ваши бизнес-требования не допускают единственных точек возникновения сбоя.

Этап 2. Развертывание прокси

В общем, прокси-серверы используются для перенаправления запросов проверки подлинности клиентов, поступающих из-за пределов вашей корпоративной сети к ферме серверов федерации, другими словами, для настройки доступа из-за пределов сети.

ImportantВажно!
В зависимости от версии AD FS, которые планируется использовать, можно или развернуть прокси веб-приложений (в AD FS на Windows Server 2012 R2) или прокси сервера федерации (в AD FS 2.0 и AD FS на Windows Server 2012). Определения и описания функций прокси веб-приложения и прокси сервера федерации приведены в Обзор терминологии служб федерации Active Directory.

Для клиента (Майкрософт), развертывание прокси в вашей существующей инфраструктуре AD FS необходимо для обеспечения следующих пользовательских сценариев:

  • Рабочий компьютер, роуминг: Пользователи, которые вошли в компьютеры, присоединенные к домену, со своими корпоративными учетными данными, но которые не подключены к корпоративной сети (например, рабочий компьютер дома или в гостинице), могут получать доступ к облачной службы.

  • Домашний или публичный компьютер: Когда пользователь использует компьютер, которые не присоединен к корпоративному домену, он должен войти с корпоративными учетными данными для доступа к облачной службы.

  • Смартфон: Со смартфона, для доступа к облачной службы, например, Microsoft Exchange Online, используя Microsoft Exchange ActiveSync, пользователь должен войти с корпоративными учетными данными.

  • Microsoft Outlook или другие клиенты электронной почты: Пользователь должен войти со своими корпоративными учетными данными для доступа к своей электронной почте Office 365, если они используют Outlook или клиент электронной почты, который не является частью Office, например, IMAP- или POP-клиент.

Для поддержания этих пользовательских сценариев этот второй этап будет основываться на этапе 1 развертывания, рассмотренном ранее, путем добавления двух прокси веб-приложения или двух прокси серверов федерации, обеспечивая доступ к серверу DNS в пограничной сети, и осуществлять доступ ко второму размещению NLB в пограничной сети.

Второе размещение NLB должно быть настроено с кластером NLB, который использует доступный из интернета IP-адрес и который должен видеть такой же параметр имени кластера DNS, что и предыдущий кластер NLB, настроенный вами в корпоративной сети на этапе 1 (fs.fabrikam.com). Прокси веб-приложений или прокси сервера федерации будут также настроены с IP-адресами, доступными из интернета.

На следующей диаграмме изображено существующее развертывание на этапе 1 и как Fabrikam, Inc. может обеспечить доступ к пограничному серверу DNS, добавить второе размещение NLB с тем же именем кластера DNS (fs.fabrikam.com), и добавить два прокси сервера федерации (fsp1 и fsp2) к пограничной сети.

На следующей диаграмме изображено существующее развертывание на этапе 1 и как Fabrikam, Inc. может обеспечить доступ к пограничному серверу DNS server, добавить второе размещение NLB с тем же именем кластера DNS (fs.fabrikam.com) и добавить два прокси веб-приложения (wap1 и wap2) к пограничной сети.

ADFSProxyDeploymentSSO

Примечание

  • Для публикации AD FS за пределами корпоративной сети можно использовать сторонние решения обратного прокси HTTP. Дополнительные сведения об этом приведены в разделе Настройка расширенных параметров AD FS 2.0.

  • Весь обмен данными AD FS, проходящий через брандмауэр, основан на HTTPS.

  • Можно создать пользовательские правила утверждения в AD FS, которые ограничат доступ ваших пользователей к облачной службы в зависимости от физического расположения клиентского компьютера или клиентского устройства, с которого ваш пользователь запрашивает доступ. Дополнительные сведения о создании этих правил приведены в разделе Ограничение доступа к сервисам Office 365 в зависимости от физического расположения клиента.

Расширенные параметры: Фермы серверов федерации с SQL Server и прокси

Это расширенные параметры топологии развертывания AD FS, в которых используются прокси веб-приложения или прокси сервера федерации и конфигурация SQL Server, чтобы все серверы федерации в ферме могли считывать и записывать в обычную базу данных SQL Server. Использование базы данных SQL Server в качестве базы данных конфигурации AD FS дает следующие преимущества по сравнению с WID:

  • Функции высокой доступности SQL Server, которыми могут воспользоваться администраторы.

  • Дополнительные улучшения производительности, включая возможность расширения с использованием более пяти серверов федерации (WID имеет ограничение в пять серверов федерации на ферму).

  • Географическая балансировка нагрузки для упрощения предоставления большого объема трафика в зависимости от физического местонахождения.

Примечание

Поскольку данная топология является расширенным параметром развертывания AD FS, подробные сведения о функционировании этой топологии и порядке ее развертывания не рассматриваются в данной статье.

Дополнительные сведения о данном параметре топологии приведены в разделе Настройка расширенных параметров AD FS 2.0.

Таблица оценки: Определение числа серверов AD FS для развертывания в вашей организации

Следующую таблицу можно использовать для облегчения оценки минимального числа серверов федерации AD FS и прокси веб-приложений или прокси серверов федерации, которые потребуются для размещения в ферме серверов федерации, настроенной с WID в инфраструктуре вашей корпоративной сети исходя из числа пользователей, которым потребуется единый вход, включая удаленный доступ, к облачной службы.

Примечание

Все компьютеры, которые будут настроены на роль сервера федерации или прокси сервера федерации, должны работать на ОС Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012. Все компьютеры, которые будут настроены на выполнение службы роли прокси веб-приложения, должны работать на ОС Windows Server 2012 R2.

В целях резервирования рекомендуется использовать один сервер федерации на учетную запись. В следующей таблице данная рекомендация учтена.

Число пользователей, осуществляющих доступ к облачной службы Минимальное число развертываемых серверов Рекомендации и действия

Менее 1000 пользователей

0 выделенных серверов федерации

0 выделенных прокси

1 выделенный сервер NLB

Для серверов федерации следует использовать два существующих Active Directory  контроллера домена (DC) и настроить их на роль сервера федерации. Для этого, сначала следует выбрать два существующих DC, а затем:

  1. Установить AD FS на оба контроллера домена.

  2. Настроить один из них в качестве первого сервера федерации в новой ферме.

  3. Объединить второй в ферму сервера федерации.

Для NLB настроить существующее размещение NLB или получить выделенный сервер и затем установить роль сервера NLB на нем, а затем настроить сервер NLB.

Для прокси использовать два существующих веб- или прокси-сервера и настроить их на роль прокси сервера федерации или роль прокси веб-приложения. Для этого выбрать два существующих веб- или прокси-сервера, которые находятся за пределами корпоративной сети, а затем:

  1. Установить AD FS на оба сервера.

  2. Настроить их на роль прокси веб-приложения или на роль прокси сервера федерации.

  3. Установить роль сервера NLB на один из настроенных прокси или настроить существующее размещение NLB.

Примечание

Если два существующих DC отсутствуют и два веб- или прокси-сервера работают не на ОС Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2, вместо этого следует развернуть выделенные серверы, как указано в следующей строке данной таблицы.

ImportantВажно!
При использовании AD FS 2.0 или AD FS на Windows Server 2012, следует развернуть и настроить прокси сервера федерации.

При использовании AD FS на Windows Server 2012 R2 можно только настроить и развернуть прокси веб-приложения. На Windows Server 2012 R2 прокси веб-приложения, новая служба роли серверной роли удаленного доступа, используется для настройки AD FS для доступа за пределами корпоративной сети.

1000–15000 пользователей

0 выделенных серверов федерации

2 выделенных прокси

Для серверов федерации, организовать два выделенных сервера, и затем:

  1. На оба сервера установить AD FS.

  2. Настроить один из них в качестве первого сервера федерации в новой ферме.

  3. Присоединить второй в ферму.

  4. Установить роль сервера NLB на один из серверов федерации или настроить существующее размещение NLB.

Для прокси, организовать два выделенных сервера, которые можно разместить за пределами корпоративной сети:

  1. На оба сервера установить AD FS.

  2. Настроить их на роль прокси веб-приложения или на роль прокси сервера федерации.

  3. Установить роль сервера NLB на один из настроенных прокси или настроить существующее размещение NLB.

ImportantВажно!
При использовании AD FS 2.0 или AD FS на Windows Server 2012, следует развернуть и настроить прокси сервера федерации.

При использовании AD FS на Windows Server 2012 R2 можно только настроить и развернуть прокси веб-приложения. На Windows Server 2012 R2 прокси веб-приложения, новая служба роли серверной роли удаленного доступа, используется для настройки AD FS для доступа за пределами корпоративной сети.

15000–60000 пользователей

От 3 до 5 выделенных серверов федерации

Не менее 2 выделенных прокси

Каждый выделенный сервер федерации одновременно может поддерживать, приблизительно, 15000 пользователей. Таким образом, добавление дополнительного выделенного сервера федерации к двум основным серверам федерации развертывания, рассмотренным ранее, для каждых 15000 пользователей, для которых потребуется доступ к облачной службы, до максимум пяти серверов федерации в ферме или 60000 пользователей.

Примечание

Ферма сервера федерации AD FS, настроенная на использование WID, поддерживает до пяти серверов федерации. Если требуется более пяти серверов федерации, то следует настроить базу данных SQL Server для хранения базы данных конфигурации AD FS. Дополнительные сведения о данном параметре приведены в разделе Настройка расширенных параметров AD FS 2.0.

Рекомендации по минимальному числу пользователей на сервер, приведенные в предыдущей таблице, вычислены с учетом следующего аппаратного обеспечения:

Оборудование Спецификации

Скорость ЦП

Dual Quad Core 2,27 ГГц ЦП (8 ядер)

ОЗУ

4 гигабайта (ГБ)

Сеть

Гигабитная

Добавление серверов федерации для повышения производительности

Когда в ферме настроено два или более сервера федерации с использованием топологии NLB, они могут работать независимо для упрощения обработки нагрузки от входящих пользовательских запросов, обращенных к службе федерации AD FS без учета общей производительности службы в целом. Таким образом, существуют небольшие издержки, связанные с добавлением дополнительных серверов федерации в существующую рабочую среду после начального стратегического развертывания серверов федерации в вашей сети.

Дальнейшие действия

Теперь, когда вы спланировали развертывание AD FS, следующим шагом будет Обзор требований для развертывания служб федерации Active Directory.

См. также

Основные понятия

Контрольный список Использование службы федерации Active Directory для реализации и управления единым входом