Ферма серверов федерации с использованием WID и прокси-серверов

Эта топология развертывания для службы федерации Active Directory (AD FS) (AD FS) идентична топологии серверов федерации с топологией внутренняя база данных Windows (WID), но добавляет прокси-серверы федерации в сеть периметра для поддержки внешних пользователей. Прокси-сервер федерации перенаправляет запросы проверки подлинности клиента, поступающие извне корпоративной сети, в ферму серверов федерации.

Рекомендации по развертыванию

В этом разделе описаны различные рекомендации по предполагаемой аудитории, преимуществам и ограничениям, связанным с этой топологией развертывания.

Кто следует использовать эту топологию?

• Организации с 100 или менее настроенными отношениями доверия, которые должны предоставлять своим внутренним пользователям и внешним пользователям (которые вошли на компьютеры, физически расположенные за пределами корпоративной сети) с единым входом в федеративные приложения или службы

• Организации, которым необходимо предоставить доступ к Microsoft Office 365 как внутренним пользователям, так и внешним пользователям с доступом к Microsoft Office 365

• Небольшие организации, имеющие внешних пользователей и требующие избыточных масштабируемых служб

Каковы преимущества использования этой топологии?

• Те же преимущества, что и для фермы серверов федерации с использованием топологии WID , а также преимущества предоставления дополнительного доступа для внешних пользователей

Каковы ограничения использования этой топологии?

• Те же ограничения, что и для фермы серверов федерации с помощью топологии WID

Рекомендации по размещению сервера и макету сети

Чтобы развернуть эту топологию, помимо добавления двух прокси-серверов федерации, необходимо убедиться, что сеть периметра также может предоставлять доступ к серверу доменных имен (DNS) и второму узлу балансировки нагрузки сети (NLB). Второй узел NLB должен быть настроен с кластером NLB, использующим IP-адрес кластера с доступом к Интернету, и он должен использовать тот же параметр DNS кластера, что и предыдущий кластер NLB, настроенный в корпоративной сети (fs.fabrikam.com). Прокси-сервер федерации также следует настроить с IP-адресами, доступными в Интернете.

На следующем рисунке показана существующая ферма серверов федерации с топологией WID, описанной ранее и как вымышленная компания Fabrikam, Inc., предоставляет доступ к DNS-серверу периметра, добавляет второй узел NLB с тем же dns-именем кластера (fs.fabrikam.com) и добавляет два прокси-сервера федерации (fsp1 и fsp2) в сеть периметра.

Дополнительные сведения о настройке сетевой среды для использования с серверами федерации или прокси-серверами федерации см. в разделе "Требования к разрешению имен" для серверов федерации или требований к разрешению имен для прокси-серверов федерации.

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012