Планирование топологии развертывания для служб федерации Active Directory
Первым шагом в планировании развертывания службы федерации Active Directory (AD FS) (AD FS) является определение правильной топологии развертывания в соответствии с потребностями вашей организации.
Прежде чем прочитать эту статью, ознакомьтесь с тем, как данные AD FS хранятся и реплика на других серверах федерации в ферме серверов федерации, и убедитесь, что вы понимаете назначение и методы реплика tion, которые можно использовать для базовых данных, хранящихся в базе данных конфигурации AD FS.
Существует два типа баз данных, которые можно использовать для хранения данных конфигурации AD FS: внутренняя база данных Windows (WID) и Microsoft SQL Server. Дополнительные сведения см. в статье The Role of the AD FS Configuration Database (Роль базы данных конфигурации AD FS). Ознакомьтесь с различными преимуществами и ограничениями, связанными с использованием WID или SQL Server в качестве базы данных конфигурации AD FS, а также различных сценариев приложений, которые они поддерживают, а затем сделайте выбор.
Внимание
Чтобы реализовать базовую избыточность, балансировку нагрузки и возможность масштабирования службы федерации (при необходимости), рекомендуется развернуть по крайней мере два сервера федерации на ферму серверов федерации для всех рабочих сред независимо от типа используемой базы данных.
Определение требуемого типа базы данных конфигурации AD FS
AD FS использует базу данных для хранения конфигурации и (в некоторых случаях) транзакционных данных, связанных со службой федерации. Программное обеспечение AD FS можно использовать для выбора встроенного внутренняя база данных Windows (WID) или Microsoft SQL Server 2008 или более поздней версии для хранения данных в службе федерации.
Для большинства целей эти два типа баз данных относительно эквивалентны. Однако перед началом работы с различными топологиями развертывания, которые можно использовать с AD FS, следует учитывать некоторые различия. В таблице ниже описаны различия в поддерживаемых функциях между внутренней базой данных Windows и базой данных SQL Server.
| Description | Функция | Поддерживается внутренней базой данных Windows? | Поддерживается SQL Server? |
|---|---|---|---|
| Функции AD FS | Развертывание фермы серверов федерации | Да. Ферма WID имеет ограничение в 30 серверов федерации, если у вас есть 100 или меньше доверия проверяющей стороны.Ферма WID не поддерживает обнаружение воспроизведения маркеров или разрешение артефактов (часть протокола языка разметки утверждений безопасности (SAML). | Да. Действующих ограничений на число серверов федерации, которые можно развернуть на одной ферме, не существует |
| Функции AD FS | Примечание по разрешению артефактов SAML. Эта функция не требуется для сценариев Microsoft Online Services, Microsoft Office 365, Microsoft Exchange или Microsoft Office SharePoint. | No | Да |
| Функции AD FS | Обнаружение воспроизведения токенов SAML и WS-Federation | No | Да |
| Возможности базы данных | Избыточность основной базы данных, реализованная с помощью репликации по запросу, когда один или несколько серверов, на которых размещена доступная только для чтения копия базы данных, запрашивает изменения, внесенные на исходном сервере, на котором размещена доступная для чтения и записи копия базы данных | Да | Нет |
| Возможности базы данных | Избыточность базы данных с помощью решений высокой доступности, таких как отработка отказа кластеризация или зеркало (только на уровне базы данных) Примечание. Все топологии развертывания AD FS поддерживают кластеризация на уровне службы AD FS. | No | Да |
Рекомендации по работе с SQL Server
При выборе SQL Server в качестве базы данных конфигурации для развертываемой системы AD FS необходимо учитывать следующие факты о развертывании.
Функции SAML и их влияние на размер и рост базы данных. Если включено разрешение артефактов SAML или обнаружение воспроизведения токенов SAML, AD FS сохраняет информацию в базе данных конфигурации SQL Server для каждого выданного токена AD FS. В результате этого наблюдается незначительный рост базы данных SQL Server, масштабы которого зависят от настроенного периода хранения воспроизведения токена. Каждая запись артефакта имеет размер около 30 килобайт (КБ).
Число необходимых для развертывания серверов. Необходимо добавить по крайней мере один дополнительный сервер (в общее количество серверов, необходимых для развертывания инфраструктуры AD FS), который будет выступать в качестве выделенного узла экземпляра SQL Server. Если планируется использовать отказоустойчивую кластеризацию или зеркальное отображение, чтобы обеспечить отказоустойчивость и масштабируемость базы данных конфигурации SQL Server, необходимо по меньшей мере два сервера SQL Server.
Влияние выбранного типа базы данных конфигурации на аппаратные ресурсы
Влияние аппаратных ресурсов на сервер федерации, развернутый в ферме с использованием внутренней базы данных Windows, и сервер федерации, развернутый на ферме с использованием базы данных SQL Server, незначительно. Однако важно помнить, что при использовании внутренней базы данных Windows для фермы каждый сервер федерации на этой ферме должен сохранять, обслуживать изменения репликации для своей локальной копии базы данных конфигурации AD FS и управлять ими, продолжая при этом обеспечивать нормальное функционирование службы федерации.
В отличие от этого серверы федерации, развернутые на ферме, использующей базу данных SQL Server, не обязательно содержат локальный экземпляр базы данных конфигурации AD FS. Следовательно, требования к аппаратным ресурсам в этом случае несколько ниже.
Место размещения сервера федерации
В качестве рекомендации по обеспечению безопасности поместите серверы федерации AD FS за брандмауэром и подключите их к корпоративной сети, чтобы предотвратить воздействие из Интернета. Это важно, так как серверы федерации имеют полную авторизацию для предоставления маркеров безопасности. Следовательно, они должны иметь ту же защиту, что и контроллер домена. Если сервер федерации скомпрометирован, злоумышленник может выдавать маркеры полного доступа всем веб-приложениям и серверам федерации, защищенным AD FS.
Примечание.
Рекомендуется избегать доступа к серверам федерации напрямую в Интернете. Рекомендуется предоставлять серверы федерации прямой доступ к Интернету только при настройке тестовой лабораторной среды или в том случае, если у вашей организации нет сети периметра.
Для обычных корпоративных сетей брандмауэр для интрасети устанавливается между корпоративной сетью и сетью периметра, а брандмауэр для Интернета часто устанавливается между сетью периметра и Интернетом. В этой ситуации сервер федерации находится внутри корпоративной сети, и он недоступен напрямую интернет-клиентами.
Примечание.
Клиентские компьютеры, подключенные к корпоративной сети, могут напрямую взаимодействовать с сервером федерации через встроенную проверку подлинности Windows.
Прокси-сервер федерации следует поместить в сеть периметра перед настройкой серверов брандмауэра для использования с AD FS.
Поддерживаемые топологии развертывания
В следующих статьях описаны различные топологии развертывания, которые можно использовать с AD FS. Здесь же описаны преимущества и ограничения каждой топологии развертывания, что позволяет выбрать наиболее подходящую для конкретных условий ведения бизнеса.