何时创建联合服务器场
如果有较大型的 AD FS 部署,并且想要为组织的联合身份验证服务提供容错、负载平衡或可伸缩性,请考虑在 Active Directory 联合身份验证服务 (AD FS) 中创建联合服务器场。 通过在同一网络中创建两台或更多联合服务器,将每台服务器配置为使用相同的联合身份验证服务,并将每台服务器的令牌签名证书的公钥添加到“AD FS 管理”管理单元中,即可创建联合服务器场。
可以使用 AD FS 联合服务器配置向导创建联合服务器场或向现有场安装其他联合服务器。 有关详细信息,请参阅 When to Create a Federation Server。
注意
如果选择使用 AD FS 联合服务器配置向导创建新联合服务器场这一选项,该向导将尝试在 Active Directory 中创建容器对象(用于共享证书)。 因此,第一次登录到将要设置联合服务器角色的计算机时,务必使用在 Active Directory 中有创建此容器对象的足够权限的帐户。
必须先将联合服务器群集化,以便将到达单个完全限定域名 (FQDN) 的请求路由到服务器场中的各个联合服务器,然后才能将联合服务器分组为场。 可以通过在公司网络内部部署网络负载平衡 (NLB) 来创建服务器群集。 本指南假定已将 NLB 适当配置为对场中的每台联合服务器进行群集化。
有关如何使用 Microsoft NLB 技术配置群集 FQDN 的详细信息,请参阅指定群集参数。
部署联合服务器场的最佳做法
建议在生产环境中部署联合服务器时采用以下最佳做法:
如果要同时部署多台联合服务器或确定随时间推移将向场中添加更多服务器,请考虑在场中创建现有联合服务器的服务器映像,然后在需要快速创建其他联合服务器时从该映像进行安装。
注意
如果决定使用服务器映像方法部署其他联合服务器,则不必在每次要向场中添加新服务器时都完成清单:设置联合服务器中的任务。
使用 NLB 或其他形式的群集为多台联合服务器计算机分配单个 IP 地址。
为场中的每台联合服务器保留一个静态 IP 地址,并根据于你的域名系统 (DNS) 配置,在动态主机配置协议 (DHCP) 中为每个 IP 地址插入一个排除项。 Microsoft NLB 技术要求为加入 NLB 群集的每台服务器分配一个静态 IP 地址。
如果 AD FS 配置数据库将存储在 SQL 数据库中,应避免同时从多台联合服务器编辑 SQL 数据库。
为场配置联合服务器
下表介绍了让每台联合服务器都可以加入场环境必须完成的任务。
| 任务 | 说明 |
|---|---|
| 如果要使用 SQL Server 存储 AD FS 配置数据库 | 一个联合服务器场包含两台或更多联合服务器共享相同 AD FS 配置数据库和令牌签名证书。 配置数据库可以存储在 Windows 内部数据库或 SQL Server 数据库中。 如果计划将配置数据库存储在 SQL 数据库中,请确保配置数据库可供访问,以便加入场中的所有新联合服务器都可以访问它。 注意:在场方案中,务必将配置数据库放置在未作为联合服务器加入该场的计算机上。 Microsoft NLB 不允许加入场的任何计算机相互通信。 注意:确保加入场的每台联合服务器上的 Internet Information Services (IIS) 中的 AD FS AppPool 的标识具有对配置数据库的读取访问权限。 |
| 获取并共享证书 | 你可以从公共证书颁发机构 (CA) 获取一个服务器身份验证证书 — 例如 VeriSign。 然后,可以配置该证书,以便所有联合服务器共享该证书的相同私钥部分。 有关如何共享相同证书的详细信息,请参阅 Checklist: Setting Up a Federation Server。 注意:“AD FS 管理”管理单元是指用作服务通信证书的联合服务器的服务器身份验证证书。 有关详细信息,请参阅 Certificate Requirements for Federation Servers。 |
| 指向相同的 SQL Server 实例 | 如果 AD FS 配置数据库将存储在 SQL 数据库中,新联合服务器必须指向场中其他联合服务器所用的相同 SQL Server 实例,以便新服务器可以加入该场。 |