Устаревшая ферма серверов федерации AD FS с помощью SQL Server
Эта топология для службы федерации Active Directory (AD FS) (AD FS) отличается от фермы серверов федерации с использованием топологии развертывания внутренняя база данных Windows (WID), в том случае, что она не реплика te данные на каждом сервере федерации в ферме. Вместо этого все серверы федерации в ферме могут считывать и записывать данные в общую базу данных, которая хранится на сервере под управлением Microsoft SQL Server, расположенном в корпоративной сети.
Внимание
Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.
Рекомендации по развертыванию
В этом разделе описаны различные рекомендации по предполагаемой аудитории, преимуществам и ограничениям, связанным с этой топологией развертывания.
Кто следует использовать эту топологию?
Крупные организации с более чем 100 отношениями доверия, которые должны предоставлять как внутренним пользователям, так и внешним пользователям доступ к федеративного приложениям или службам.
Организации, которые уже используют SQL Server и хотят воспользоваться своими существующими инструментами и опытом
Каковы преимущества использования этой топологии?
Поддержка большего числа отношений доверия (более 100)
Поддержка обнаружения воспроизведения маркеров (компонента безопасности) и разрешения артефактов (часть протокола SAML 2.0)
Поддержка полных преимуществ SQL Server, таких как зеркало базы данных, отработка отказа кластеризация, отчеты и средства управления
Каковы ограничения использования этой топологии?
Эта топология по умолчанию не обеспечивает избыточность базы данных. Хотя ферма серверов федерации с топологией WID автоматически реплика tes базу данных WID на каждом сервере федерации в ферме, ферма серверов федерации с топологией SQL Server содержит только одну копию базы данных.
Примечание.
SQL Server поддерживает множество различных параметров избыточности данных и приложений, включая отработку отказа кластеризация, зеркало базы данных и несколько различных типов реплика tion SQL Server.
Отдел microsoft Information Technology (IT) использует базу данных SQL Server зеркало в режиме высокой безопасности (синхронной) и кластеризация отработки отказа для обеспечения высокой доступности для экземпляра SQL Server. Транзакционные транзакции SQL Server (одноранговые и одноранговые) и слияние реплика tion не были протестированы командой по продуктам AD FS в Корпорации Майкрософт. Дополнительные сведения о SQL Server см. в обзоре решений высокой доступности или выборе соответствующего типа репликации.
Поддерживаемые версии SQL Server
Следующие версии SQL Server поддерживаются с AD FS в Windows Server 2012 R2:
SQL Server 2008 / R2
SQL Server 2012
SQL Server 2014
Рекомендации по размещению сервера и макету сети
Как и в ферме серверов федерации с топологией WID, все серверы федерации в ферме настроены на использование одного имени домена кластера (DNS) (который представляет имя службы федерации) и один IP-адрес кластера в рамках конфигурации кластера балансировки нагрузки сети (NLB). Это помогает узлу NLB выделять клиентские запросы на отдельные серверы федерации. Прокси-сервер федерации можно использовать для прокси-запросов клиента к ферме серверов федерации.
На следующем рисунке показано, как вымышленная компания Contoso Pharmaceuticals развернула ферму серверов федерации с топологией SQL Server в корпоративной сети. В нем также показано, как компания настроит сеть периметра с доступом к DNS-серверу, дополнительный узел NLB, использующий то же DNS-имя кластера (fs.contoso.com), который используется в кластере NLB корпоративной сети, а также с двумя прокси-серверами веб-приложений (wap1 и wap2).
Дополнительные сведения о настройке сетевой среды для использования с серверами федерации или прокси-серверами веб-приложений см. в разделе "Требования к разрешению имен" в разделе "Требования к ad FS" и планирование инфраструктуры прокси-сервера веб-приложений (WAP).
Параметры высокого уровня доступности для ферм SQL Server
В Windows Server 2012 R2 ad FS есть два новых варианта поддержки высокой доступности в фермах AD FS с помощью SQL Server.
Поддержка групп доступности AlwaysOn SQL Server
Поддержка географически распределенной высокой доступности с помощью реплика слияния SQL Server
В этом разделе описывается каждый из этих вариантов, какие проблемы они решают соответственно, и некоторые ключевые рекомендации по выбору вариантов развертывания.
Примечание.
Фермы AD FS, использующие внутренняя база данных Windows (WID), обеспечивают базовую избыточность данных с доступом на чтение и запись на узле сервера основной федерации и доступ только для чтения на вторичных узлах. Это можно использовать в географической или географическо распределенной топологии.
При использовании WID следует учитывать следующие ограничения:
- Ферма WID имеет ограничение в 30 серверов федерации, если у вас есть 100 или меньше доверия проверяющей стороны.
- Ферма WID не поддерживает обнаружение воспроизведения маркеров или разрешение артефактов (часть протокола языка разметки утверждений безопасности (SAML).
В следующей таблице приведена сводка по использованию фермы WID:
| От 1 до 100 отношений доверия с проверяющей стороной | Более 100 отношений доверия с проверяющей стороной |
|---|---|
| 1–30 узлов AD FS: поддерживается WID | 1–30 узлов AD FS: не поддерживается использование WID — требуется SQL |
| Более 30 узлов AD FS: не поддерживается с помощью WID — требуется SQL | Более 30 узлов AD FS: не поддерживается с помощью WID — требуется SQL |
Группы доступности AlwaysOn
Обзор
Группы доступности AlwaysOn появились в SQL Server 2012 и предоставляют новый способ создания экземпляра SQL Server с высоким уровнем доступности. Группы доступности AlwaysOn объединяют элементы кластеризация и базы данных зеркало для избыточности и отработки отказа на уровне экземпляра SQL и на уровне базы данных. В отличие от предыдущих параметров высокой доступности, группы доступности AlwaysOn не требуют общего хранилища (или сети зоны хранения) на уровне базы данных.
Группа доступности состоит из основной реплика (набор баз данных-источника для чтения и записи) и одной до четырех реплика доступности (наборов соответствующих баз данных-получателей). Группа доступности поддерживает одну копию чтения и записи (основную реплика), а также одну до четырех реплика доступности только для чтения. Каждая реплика доступности должна размещаться на отдельном узле одного отказоустойчивого кластера Windows Server (WSFC). Дополнительные сведения о группах доступности AlwaysOn см. в обзоре групп доступности AlwaysOn (SQL Server).
С точки зрения узлов фермы SQL Server AD FS группа доступности AlwaysOn заменяет один экземпляр SQL Server в качестве базы данных политики или артефактов. Прослушиватель группы доступности — это то, что клиент (служба маркеров безопасности AD FS) использует для подключения к SQL.
На следующей схеме показана ферма SQL Server AD FS с группой доступности AlwaysOn.
Примечание.
Группы доступности AlwaysOn требуют, чтобы экземпляры SQL Server располагались на узлах отказоустойчивой кластеризации Windows Server (WSFC).
Примечание.
Только одна реплика доступности может выступать в качестве целевого объекта автоматической отработки отказа, остальные три будут полагаться на отработку отказа вручную.
Рекомендации по развертыванию ключей
Если вы планируете использовать группы доступности AlwaysOn в сочетании с слиянием SQL Server реплика tion, обратите внимание на проблемы, описанные в разделе "Рекомендации по развертыванию ключей для использования AD FS с репликацией слиянием SQL Server" ниже. В частности, если группа доступности AlwaysOn, содержащая базу данных, которая является подписчиком реплика отработки отказа, подписка реплика завершается ошибкой. Чтобы возобновить реплика tion, администратор реплика tion должен вручную перенастроить подписчика. См. описание конкретной проблемы в подписчиках репликации и группах доступности AlwaysOn (SQL Server) и общих инструкциях поддержки для групп доступности AlwaysOn с параметрами реплика в репликации, Отслеживание изменений, отслеживании измененных данных и группах доступности AlwaysOn (SQL Server).
Настройка AD FS для использования группы доступности AlwaysOn
Для настройки фермы AD FS с группами доступности AlwaysOn требуется небольшое изменение процедуры развертывания AD FS:
Перед настройкой групп доступности AlwaysOn необходимо создать резервные копии баз данных, которые требуется создать. AD FS создает свои базы данных в рамках настройки и начальной настройки первого узла службы федерации новой фермы SQL Server AD FS. В рамках конфигурации AD FS необходимо указать строка подключения SQL, поэтому необходимо настроить первый узел фермы AD FS для подключения к экземпляру SQL напрямую (это только временно). Инструкции по настройке фермы AD FS, включая настройку узла фермы AD FS с помощью строка подключения SQL Server, см. в разделе "Настройка сервера федерации".
После создания баз данных AD FS назначьте их группам доступности AlwaysOn и создайте общий прослушиватель TCPIP с помощью средств SQL Server и процесса при создании и настройке групп доступности (SQL Server).
Наконец, используйте PowerShell для изменения свойств AD FS, чтобы обновить СТРОКА ПОДКЛЮЧЕНИЯ SQL, чтобы использовать DNS-адрес прослушивателя группы доступности AlwaysOn.
Примеры команд PSH для обновления строка подключения SQL для базы данных конфигурации AD FS:
PS:\>$temp= Get-WmiObject -namespace root/ADFS -class SecurityTokenService PS:\>$temp.ConfigurationdatabaseConnectionstring="data source=<SQLCluster\SQLInstance>; initial catalog=adfsconfiguration;integrated security=true" PS:\>$temp.put()Примеры команд PSH для обновления SQL строка подключения для базы данных службы разрешения артефактов AD FS:
PS:\> Set-AdfsProperties –artifactdbconnection "Data source=<SQLCluster\SQLInstance >;Initial Catalog=AdfsArtifactStore;Integrated Security=True"
Репликация слиянием SQL Server
Кроме того, в SQL Server 2012 слияние реплика tion обеспечивает избыточность данных политики AD FS со следующими характеристиками:
Возможность чтения и записи на всех узлах (а не только основной)
Меньшие объемы данных реплика асинхронно, чтобы избежать задержки в системе
На следующей схеме показаны географически избыточные фермы SQL Server AD FS с слиянием реплика tion (1 издателя, 2 подписчика):
Рекомендации по развертыванию ключей для использования AD FS с репликацией слиянием SQL Server (заметки на схеме выше)
База данных распространителя не поддерживается для использования с группами доступности AlwaysOn или зеркало базой данных. См. инструкции о поддержке SQL Server для групп доступности AlwaysOn с параметрами реплика параметров репликации, Отслеживание изменений, отслеживания измененных данных и групп доступности AlwaysOn (SQL Server).
Если группа доступности AlwaysOn, содержащая базу данных, которая является подписчиком реплика отработки отказа, подписка на реплика завершается ошибкой. Чтобы возобновить реплика tion, администратор реплика tion должен вручную перенастроить подписчика. См. описание конкретной проблемы в подписчиках репликации и группах доступности AlwaysOn (SQL Server) и общих инструкциях поддержки для групп доступности AlwaysOn с параметрами репликации реплика параметров репликации, Отслеживание изменений, отслеживания измененных данных и групп доступности AlwaysOn (SQL Server).
Дополнительные инструкции по настройке AD FS для использования реплика слияния SQL Server см. в статье "Настройка географической избыточности" с помощью Репликация SQL Server.
См. также
Планирование руководства по проектированию топологииразвертывания AD FS AD FS в Windows Server 2012 R2