Некоторые аспекты топологии развертывания AD FS
В этом разделе описываются важные рекомендации по планированию и проектированию топологии развертывания службы федерации Active Directory (AD FS) (AD FS) для использования в рабочей среде. Этот раздел является отправной точкой для проверки и оценки рекомендаций, влияющих на функции или возможности, которые будут доступны после развертывания AD FS. Например, в зависимости от выбранного для хранения базы данных конфигурации AD FS типа базы данных в конечном счете определяется возможность реализации определенных функций SAML, требующих SQL Server.
Определение требуемого типа базы данных конфигурации AD FS
AD FS использует базу данных для хранения конфигурации и (в некоторых случаях) транзакционных данных, связанных со службой федерации. Программное обеспечение AD FS можно использовать для выбора встроенного внутренняя база данных Windows (WID) или Microsoft SQL Server 2005 или более поздней версии для хранения данных в службе федерации.
Для большинства целей эти два типа баз данных относительно эквивалентны. Однако перед началом работы с различными топологиями развертывания, которые можно использовать с AD FS, следует учитывать некоторые различия. В таблице ниже описаны различия в поддерживаемых функциях между внутренней базой данных Windows и базой данных SQL Server.
Функции AD FS
| Функция | Поддерживается внутренней базой данных Windows? | Поддерживается SQL Server? | Дополнительные сведения об этой функции |
|---|---|---|---|
| Развертывание фермы серверов федерации | Да, с ограничением 30 серверов федерации для каждой фермы | Да. Действующих ограничений на число серверов федерации, которые можно развернуть на одной ферме, не существует | Определение топологии развертывания для служб федерации Active Directory |
| Примечание по разрешению артефактов SAML. Эта функция не требуется для сценариев Microsoft Online Services, Microsoft Office 365, Microsoft Exchange или Microsoft Office SharePoint. | No | Да | Роль базы данных конфигурации AD FS Рекомендации по безопасному планированию и развертыванию AD FS |
| Обнаружение воспроизведения токенов SAML и WS-Federation | No | Да | Роль базы данных конфигурации AD FS Рекомендации по безопасному планированию и развертыванию AD FS |
Возможности базы данных
| Функция | Поддерживается внутренней базой данных Windows? | Поддерживается SQL Server? | Дополнительные сведения об этой функции |
|---|---|---|---|
| Избыточность основной базы данных, реализованная с помощью репликации по запросу, когда один или несколько серверов, на которых размещена доступная только для чтения копия базы данных, запрашивает изменения, внесенные на исходном сервере, на котором размещена доступная для чтения и записи копия базы данных | Да | Нет | Роль базы данных конфигурации AD FS |
| Избыточность базы данных с помощью решений высокой доступности, таких как отработка отказа кластеризация или зеркало (только на уровне базы данных) Примечание. Все топологии развертывания AD FS поддерживают кластеризация на уровне службы AD FS. | No | Да | Роль базы данных конфигурации AD FS |
Рекомендации по работе с SQL Server
При выборе SQL Server в качестве базы данных конфигурации для развертываемой системы AD FS необходимо учитывать следующие факты о развертывании.
Функции SAML и их влияние на размер и рост базы данных. Если включено разрешение артефактов SAML или обнаружение воспроизведения токенов SAML, AD FS сохраняет информацию в базе данных конфигурации SQL Server для каждого выданного токена AD FS. В результате этого наблюдается незначительный рост базы данных SQL Server, масштабы которого зависят от настроенного периода хранения воспроизведения токена. Каждая запись артефакта имеет размер около 30 килобайт (КБ).
Число необходимых для развертывания серверов. Необходимо добавить по крайней мере один дополнительный сервер (в общее количество серверов, необходимых для развертывания инфраструктуры AD FS), который будет выступать в качестве выделенного узла экземпляра SQL Server. Если планируется использовать отказоустойчивую кластеризацию или зеркальное отображение, чтобы обеспечить отказоустойчивость и масштабируемость базы данных конфигурации SQL Server, необходимо по меньшей мере два сервера SQL Server.
Влияние выбранного типа базы данных конфигурации на аппаратные ресурсы
Влияние аппаратных ресурсов на сервер федерации, развернутый в ферме с использованием внутренней базы данных Windows, и сервер федерации, развернутый на ферме с использованием базы данных SQL Server, незначительно. Однако важно помнить, что при использовании внутренней базы данных Windows для фермы каждый сервер федерации на этой ферме должен сохранять, обслуживать изменения репликации для своей локальной копии базы данных конфигурации AD FS и управлять ими, продолжая при этом обеспечивать нормальное функционирование службы федерации.
В отличие от этого серверы федерации, развернутые на ферме, использующей базу данных SQL Server, не обязательно содержат локальный экземпляр базы данных конфигурации AD FS. Следовательно, требования к аппаратным ресурсам в этом случае несколько ниже.
Проверка возможности поддержки развертывания служб AD FS в рабочей среде
Помимо развернутых серверов федерации и в зависимости от того, как настроена существующая рабочая среда, могут потребоваться следующие дополнительные серверы, чтобы обеспечить необходимую инфраструктуру для поддержки нового развертывания AD FS:
доменный контроллер Active Directory;
центр сертификации (ЦС);
веб-сервер для размещения метаданных федерации;
балансировка сетевой нагрузки.
См. также
Руководство по разработке служб федерации Active Directory в Windows Server 2012