使用 WID 的舊版 AD FS 同盟伺服器陣列
Active Directory 同盟服務 (AD FS) 的預設拓撲是使用 Windows 內部資料庫 (WID) 的同盟伺服器陣列。 在這個拓撲中,對於所有加入該伺服器陣列的同盟伺服器,AD FS 會使用 WID 作為 AD FS 組態資料庫的存放區。 伺服器陣列會複寫並維護伺服器陣列中每部伺服器之設定資料庫的 Federation Service 資料。 Windows Server 2012 R2 中的 AD FS 可讓具有 100 個或更少信賴憑證者信任的組織使用 WID 搭配最多 30 部伺服器,來設定同盟伺服器陣列。
在伺服器陣列中建立第一部同盟伺服器時,也會建立新的 Federation Service。 當您將 WID 用於 AD FS 組態資料庫時,您在伺服器陣列中建立的第一部同盟伺服器稱為「主要同盟伺服器」。 這表示所設定的這部電腦具有 AD FS 組態資料庫的讀取/寫入複本。
針對這個伺服器陣列設定的其他所有同盟伺服器稱為「次要同盟伺服器」,因為其必須將任何在主要同盟伺服器上進行的變更複寫至其在本機儲存的 AD FS 組態資料庫唯讀複本。
重要
建議您在負載平衡組態中至少使用兩部同盟伺服器。
部署考量
本節描述與此部署拓撲相關聯的預定對象、權益和限制的各種考量。
誰應該使用此拓撲?
具有 100 個或更少所設定信任關係的組織,這些組織需要為其內部使用者 (已登入實際連線到公司網路的電腦) 提供同盟應用程式或服務的單一登入 (SSO) 存取權
想要為其內部使用者提供 Microsoft Online Services 或 Microsoft Office 365 的 SSO 存取權的組織
需要備援、可調整服務的小型組織
注意
具有大型資料庫的組織應考慮使用使用 SQL Server 的同盟伺服器陣列部署拓撲。 使用者從網路外部登入的組織應考慮使用使用 WID 和 Proxy 的同盟伺服器陣列拓撲,或使用 SQL Server 的同盟伺服器陣列拓撲。
使用此拓撲有哪些權益?
將 SSO 存取權提供給內部使用者
資料和同盟服務備援 (每部同盟伺服器會將變更複寫至相同伺服器陣列中的其他同盟伺服器)
WID 隨附於 Windows;因此,不需要購買 SQL Server
使用此拓撲有何限制?
如果您有 100 個或更少的信賴憑證者信任,WID 伺服器陣列會有 30 部同盟伺服器的限制。
WID 伺服器陣列不支援權杖重新執行偵測或成品解析 (安全性聲明標記語言 (SAML) 通訊協定的一部分)。
下表提供使用 WID 伺服器陣列的摘要。 使用其來規劃您的實作。
| 1-100 個 RP 信任 | 超過 100 個 RP 信任 |
|---|---|
| 1-30 個 AD FS 節點:支援 WID | 1-30 個 AD FS 節點:不支援使用 WID - 需要 SQL |
| 超過 30 個 AD FS 節點:不支援使用 WID - 需要 SQL | 超過 30 個 AD FS 節點:不支援使用 WID - 需要 SQL |
伺服器放置和網路配置建議
當您準備好開始在您的網路中部署此拓撲時,應該規劃將公司網路中的所有同盟伺服器,放在可以針對網路負載平衡 (NLB) 叢集 (具有專屬的叢集網域名稱系統 (DNS) 名稱和叢集 IP 位址) 設定的 NLB 主機後方。
注意
此叢集 DNS 名稱必須符合同盟服務名稱,例如 fs.fabrikam.com。
NLB 主機可以使用此 NLB 叢集中定義的設定,將用戶端要求配置給個別的同盟伺服器。 下圖說明虛構的 Fabrikam, Inc. 公司如何搭配 WID 使用兩個電腦同盟伺服器陣列 (fs1 和 fs2),以及定位連線到公司網路的 DNS 伺服器和單一 NLB 主機,藉此設定其部署的第一個階段。
注意
如果這個單一 NLB 主機失敗,則使用者將無法存取同盟應用程式或服務。 如果您的業務需求不允許有單一失敗點,請加入其他 NLB 主機。
如需如何設定網路環境與同盟伺服器搭配使用的詳細資訊,請參閱 AD FS 需求中的「名稱解析需求」一節。