規劃同盟伺服器 Proxy 容量
規劃同盟伺服器 Proxy 容量可協助您估計:
每個同盟伺服器 Proxy 的適當硬體需求。
要在每個組織配置的同盟伺服器和同盟伺服器 Proxy 數目。
同盟伺服器 Proxy 會將安全性權杖從公司網路中受保護的同盟伺服器重新導向至同盟使用者。 部署同盟伺服器 Proxy 的目的是允許外部使用者連接到同盟伺服器。 它實際上不會簽署權杖或在 AD FS 組態資料庫中寫入資料。 因此,同盟伺服器 Proxy 的硬體需求通常低於同盟伺服器的硬體需求。
由於對同盟伺服器 Proxy 的每個要求都會產生對同盟伺服器或同盟伺服器陣列的要求,因此必須平行執行同盟伺服器和同盟伺服器 Proxy 的容量規劃。
在估計同盟伺服器 Proxy 的尖峰每秒登入數時,必須了解將透過同盟伺服器 Proxy 登入的同盟使用者的使用模式。 在許多部署中,使用同盟伺服器 Proxy 登入的同盟使用者是位於網際網路。 您可以查看這些同盟使用者在將由 AD FS 保護的現有 Web 應用程式上的使用模式,來估計尖峰每秒登入數。
注意
對於生產環境部署,我們建議在您所部署的每個同盟伺服器陣列執行個體中,至少要有兩個同盟伺服器 Proxy。
估計您組織所需的同盟伺服器 Proxy 數目
您必須先決定將在組織中部署的同盟伺服器總數,才能估計所需的 AD FS 同盟伺服器 Proxy 機器數目。 如需如何執行這項作業的詳細資訊,請參閱規劃同盟伺服器容量。
在您決定同盟伺服器數目之後,請將此伺服器數目乘以您預期將從外部使用者 (位於公司網路外部) 傳入的同盟驗證要求百分比。 此計算得出的值即處理外部使用者傳入的驗證要求所需的同盟伺服器 Proxy 估計數目。
例如,如果建議的同盟伺服器數目是 3,而您預期來自外部使用者的驗證要求總數大約是同盟驗證要求總數的 60%,則計算結果會等於 1.8 (3 X .60),此時您可以將其四捨五入至 2。 因此,在此情況下,您必須部署兩部同盟伺服器 Proxy 機器,以容納三部同盟伺服器的外部使用者驗證要求負載。
在 AD FS 產品小組所執行的測試中,每個同盟伺服器 Proxy 上的整體 CPU 使用率明顯低於相同伺服器陣列的同盟伺服器上所觀察到的 CPU 使用率。 在其中一項測試中,雖然有一個同盟伺服器 CPU 顯示完全飽和,但觀察某個對相同伺服器陣列提供 Proxy 服務的同盟伺服器 Proxy 後,發現其 CPU 使用率只有 20%。 因此,我們的測試顯示,若同盟伺服器 Proxy 使用的硬體規格與本節稍早所述的硬體規格相似,其 CPU 負載可以適度處理大約三部同盟伺服器的負載處理量。
不過,基於容錯考量,我們建議在您所部署的每個同盟伺服器陣列中,至少要有兩個同盟伺服器 Proxy。