AD FS 部署拓撲考量
這個主題說明可協助您規劃及設計要在實際執行環境中使用的 Active Directory 同盟服務 (AD FS) 部署拓撲。 您可以透過這個主題,開始檢閱及評估會影響您在部署 AD FS 之後將可使用哪些特性或功能的考量。 例如,視您選擇用來儲存 AD FS 設定資料庫的資料庫類型而定,最終將決定您是否可以實作需要 SQL Server 的特定安全性聲明標記語言 (SAML) 功能。
決定要使用的 AD FS 設定資料庫類型
AD FS 會使用資料庫來儲存設定,以及 (在某些情況下) 儲存與同盟服務相關的交易資料。 您可以使用 AD FS 軟體來選取內建的 Windows 內部資料庫 (WID) 或是 Microsoft SQL Server 2005 或更新版本,以儲存同盟服務中的資料。
對於大多數用途而言,這兩個資料庫類型相對來說是一樣的。 但是,在您開始深入了解可與 AD FS 搭配使用的各種部署拓撲之前,應先注意一些差異。 下表說明 WID 資料庫與 SQL Server 資料庫之間支援之功能的差異。
AD FS 功能
| 功能 | 受到 WID 支援? | 受到 SQL Server 支援? | 關於這個功能的詳細資訊 |
|---|---|---|---|
| 同盟伺服器陣列部署 | 有,但是每個伺服陣列有 30 部同盟伺服器的限制 | 是。 沒有限制您可以在單一伺服陣列中部署的同盟伺服器數目 | 決定您的 AD FS 部署拓撲 |
| SAML 成品解析 注意:這項功能並非 Microsoft Online Services、Microsoft Office 365、Microsoft Exchange 或 Microsoft Office SharePoint 案例的必要功能。 | No | Yes | AD FS 設定資料庫的角色 |
| SAML/WS-同盟權杖重新執行偵測 | No | Yes | AD FS 設定資料庫的角色 |
資料庫功能
| 功能 | 受到 WID 支援? | 受到 SQL Server 支援? | 關於這個功能的詳細資訊 |
|---|---|---|---|
| 使用提取複寫的基本資料庫備援,其中裝載資料庫唯讀複本的一或多台伺服器會要求在裝載資料庫讀取/寫入複本的來源伺服器上所做的變更 | 是 | No | AD FS 設定資料庫的角色 |
| 使用高可用性解決方案的資料庫備援,例如容錯移轉叢集或鏡像 (僅在資料庫層) 注意:所有 AD FS 部署拓撲都支援 AD FS 服務層的叢集。 | No | Yes | AD FS 設定資料庫的角色 |
SQL Server 考量
如果您選取 SQL Server 做為 AD FS 部署的設定資料庫,您應該考量下列部署事實。
SAML 功能及其對於資料庫大小與成長的影響。 在啟用 SAML 成品解析或 SAML 權杖重新執行偵測功能時,AD FS 會在 SQL Server 設定資料庫中儲存所簽發之每個 AD FS 權杖的資訊。 因為這個活動而導致的 SQL Server 資料庫成長並不明顯,而且會根據設定之權杖的重新執行保留期間而定。 每個成品記錄的大小約為 30 KB。
部署所需的伺服器數目。 您至少需要額外新增一部伺服器 (至部署 AD FS 基礎結構所需的伺服器總數),作為 SQL Server 執行個體的專用主機。 如果您規劃使用容錯移轉叢集或鏡像來為 SQL Server 設定資料庫提供容錯和延展性,則至少需要兩部 SQL Srver。
您選取設定資料庫類型的方式可能會影響硬體資源
與使用 SQL Server 資料庫在伺服陣列中部署的同盟伺服器相較之下,對使用 WID 在伺服陣列中部署之同盟伺服器上的硬體資源影響並不明顯。 但是,請務必考量當您針對伺服陣列使用 WID 時,該伺服陣列中的每部同盟伺服器都必須儲存、管理及維護其 AD FS 設定資料庫之本機複本的複寫變更,同時還要繼續提供 Federation Service 所需的一般操作。
相較之下,使用 SQL Server 資料庫在伺服陣列中部署的同盟伺服器並不需要包含 AD FS 設定資料庫的本機執行個體。 因此,它們對硬體資源的要求會比較低。
確定您的實際執行環境可以支援 AD FS 部署
根據您現有實際執行環境的設定方式而定,除了您將部署的同盟伺服器之外,可能還需要下列額外的伺服器來提供必要的基礎結構,以支援新的 AD FS 部署:
Active Directory 網域控制站
憑證授權單位 (CA)
裝載同盟中繼資料的 Web 伺服器
網路負載平衡 (NLB)