Устаревшая ферма серверов федерации AD FS с помощью WID и прокси-серверов

Эта топология развертывания для службы федерации Active Directory (AD FS) (AD FS) идентична ферме серверов федерации с топологией внутренняя база данных Windows (WID), но она добавляет прокси-компьютеры в сеть периметра для поддержки внешних пользователей. Эти прокси-серверы перенаправляют запросы проверки подлинности клиента, поступающие извне корпоративной сети, в ферму серверов федерации. В предыдущих версиях AD FS эти прокси-серверы были вызваны прокси-серверами федерации.

Внимание

В службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2 роль прокси-сервера федерации обрабатывается новой службой роли удаленного доступа с именем "Прокси веб-приложения". Чтобы включить AD FS для специальных возможностей вне корпоративной сети, которая была целью развертывания прокси-сервера федерации в устаревших версиях AD FS, таких как AD FS 2.0 и AD FS в Windows Server 2012, можно развернуть один или несколько прокси веб-приложений для AD FS в Windows Server 2012 R2.

В контексте AD FS прокси-сервер веб-приложения функционирует как прокси-сервер федерации AD FS. Кроме того, прокси-сервер веб-приложения предоставляет функции обратного прокси-сервера для веб-приложений в корпоративной сети, что делает их доступными для пользователей с любых устройств из-за пределов корпоративной сети. Дополнительные сведения о службе роли прокси веб-приложения см. в разделе "Обзор прокси-сервера веб-приложения".

При планировании развертывания прокси-сервера веб-приложения можно использовать сведения из следующих разделов.

• Планирование инфраструктуры прокси-сервера веб-приложения (WAP)
• Планирование прокси-сервера веб-приложения

Рекомендации по развертыванию

В этом разделе описаны различные рекомендации по предполагаемой аудитории, преимуществам и ограничениям, связанным с этой топологией развертывания.

Кто следует использовать эту топологию?

• Организации с 100 или менее настроенными отношениями доверия, которые должны предоставлять своим внутренним пользователям и внешним пользователям (которые вошли на компьютеры, физически расположенные за пределами корпоративной сети) с единым входом в федеративные приложения или службы

• Организации, которым необходимо предоставить доступ к Microsoft Office 365 как внутренним пользователям, так и внешним пользователям с доступом к Microsoft Office 365

• Небольшие организации, имеющие внешних пользователей и требующие избыточных масштабируемых служб

Каковы преимущества использования этой топологии?

• Те же преимущества, что и для фермы серверов федерации с использованием топологии WID , а также преимущества предоставления дополнительного доступа для внешних пользователей

Каковы ограничения использования этой топологии?

• Те же ограничения, что и для фермы серверов федерации с помощью топологии WID

  От 1 до 100 отношений доверия с проверяющей стороной	Более 100 отношений доверия с проверяющей стороной
  1–30 узлов AD FS: поддерживается WID	1–30 узлов AD FS: не поддерживается использование WID — требуется SQL
  Более 30 узлов AD FS: не поддерживается с помощью WID — требуется SQL	Более 30 узлов AD FS: не поддерживается с помощью WID — требуется SQL

Рекомендации по размещению сервера и макету сети

Чтобы развернуть эту топологию, помимо добавления двух прокси-серверов веб-приложений, необходимо убедиться, что сеть периметра также может предоставлять доступ к серверу доменных имен (DNS) и второму узлу балансировки нагрузки сети (NLB). Второй узел NLB должен быть настроен с кластером NLB, использующим IP-адрес кластера с доступом к Интернету, и он должен использовать тот же параметр DNS кластера, что и предыдущий кластер NLB, настроенный в корпоративной сети (fs.fabrikam.com). Прокси-серверы веб-приложения также должны быть настроены с IP-адресами, доступными в Интернете.

На следующем рисунке показана существующая ферма серверов федерации с топологией WID, описанной ранее и как вымышленная компания Fabrikam, Inc., предоставляет доступ к DNS-серверу периметра, добавляет второй узел NLB с тем же dns-именем кластера (fs.fabrikam.com) и добавляет два прокси веб-приложения (wap1 и wap2) в сеть периметра.

Дополнительные сведения о настройке сетевой среды для использования с серверами федерации или прокси-серверами веб-приложений см. в разделе "Требования к разрешению имен" в разделе "Требования к ad FS" и планирование инфраструктуры прокси-сервера веб-приложений (WAP).

См. также

Планирование руководства по проектированию топологииразвертывания AD FS AD FS в Windows Server 2012 R2