Plánování nasazení služby AD FS
Platí pro: Azure, Office 365, Power BI, Windows Intune
Prvním krokem při plánování nasazení služby AD FS pro cloudovou službu Microsoftu je vybrat správnou topologii nasazení, která vyhovuje potřebám jednotného přihlašování vaší organizace. Služba AD FS vyžaduje, abyste k ukládání konfiguračních dat služby AD FS používané federační službou používali Interní databáze Windows (Interní databáze Windows) nebo databázi SQL Server.
Doporučená topologie služby AD FS pro většinu zákazníků cloudových služeb Microsoftu je používat farmu federačních serverů s topologií Interní databáze Windows a proxy servery, které následuje. Existuje také pokročilá možnost vytvoření farmy federačních serverů s proxy SQL Server, jak je uvedeno dále v této části.
Kromě toho tato část obsahuje také tabulku pro určení počtu serverů SLUŽBY AD FS, které se mají nasadit ve vaší organizaci, a také informace o přidání federačních serverů za účelem zvýšení výkonu.
Doporučená topologie: Farma federačních serverů s Interní databáze Windows a proxy servery
Pokročilá možnost: Farma federačních serverů s SQL Server a proxy servery
Tabulka odhadu: Určení počtu serverů SLUŽBY AD FS, které se mají nasadit ve vaší organizaci
Přidání federačních serverů za účelem zvýšení výkonu
Doporučená topologie: Farma federačních serverů s Interní databáze Windows a proxy servery
Výchozí topologie cloudové služby Microsoftu je farma federačních serverů služby AD FS, která se skládá z několika serverů hostovaných federační službou vaší organizace. V této topologii služba AD FS používá Interní databáze Windows jako konfigurační databázi služby AD FS pro všechny federační servery připojené k dané farmě. Farma replikuje a udržuje data služby Federation Service v konfigurační databázi napříč jednotlivými servery ve farmě.
Vytvoření prvního federačního serveru ve farmě také vytvoří novou službu Federation Service. Pokud se Interní databáze Windows používá jako konfigurační databáze služby AD FS, první federační server vytvořený ve farmě se označuje jako primární federační server. To znamená, že tento počítač bude nakonfigurován s kopií konfigurační databáze služby AD FS pro čtení a zápis.
Všechny ostatní federační servery nakonfigurované pro tuto farmu se označují jako sekundární federační servery, protože musí replikovat všechny změny provedené na primárním federačním serveru do kopií konfigurační databáze služby AD FS jen pro čtení, které ukládají místně.
Poznámka
Doporučujeme použít alespoň dva federační servery v konfiguraci s vyrovnáváním zatížení.
Nastavení této topologie farmy základního federačního serveru je první fází nasazení služby AD FS. Druhá fáze se skládá z určení, jak poskytovat funkce řízení přístupu externím uživatelům nasazením jedné z těchto možností:
Proxy webových aplikací, pokud používáte službu AD FS v Windows Server 2012 R2
Proxy federačních serverů, pokud používáte službu AD FS 2.0 nebo AD FS v Windows Server 2012
Fáze 1: Nasazení farmy federačních serverů
Až budete připraveni začít nasazovat farmu, měli byste naplánovat umístění všech federačních serverů do podnikové sítě za hostitelem vyrovnávání zatížení sítě (NLB), který je možné nakonfigurovat pro cluster NLB s vyhrazeným názvem DNS clusteru a IP adresou clusteru.
Důležité
Tento název DNS clusteru musí odpovídat názvu služby Federation Service (například fs.fabrikam.com) a musí být směrovatelný pro instanci služby AD FS, kterou nasadíte. Pokud se název neshoduje, požadavek na ověření se nepřesměruje na správný server DNS nebo správný federační server.
Hostitel služby NLB může použít nastavení definované v tomto clusteru nlB k přidělení požadavků klientů na jednotlivé federační servery. Následující diagram znázorňuje, jak může společnost Fabrikam, Inc. nastavit první fázi nasazení pomocí farmy federačních serverů se dvěma počítači (fs1 a fs2) s Interní databáze Windows a umístění serveru DNS a jednoho hostitele nlB kabelového připojení k podnikové síti.
.gif "Federation Server Farm with WID")
Poznámka
Pokud na tomto jednom hostiteli služby NLB dojde k chybě, uživatelé nebudou mít přístup ke cloudové službě. Pokud vaše obchodní požadavky nepovolují selhání, přidejte další hostitele služby NLB.
Fáze 2: Nasazení proxy serverů
Obecně platí, že proxy servery slouží k přesměrování požadavků na ověřování klientů pocházejících z mimo vaši podnikovou síť do farmy federačních serverů, jinými slovy, ke konfiguraci přístupu k extranetu.
Důležité
V závislosti na verzi služby AD FS, kterou chcete použít, můžete nasadit proxy webových aplikací (ve službě AD FS v Windows Server 2012 R2) nebo proxy federačních serverů (ve službě AD FS 2.0 a AD FS v Windows Server 2012). Definice a popisy funkcí webového proxy aplikací a proxy federačního serveru najdete v tématu Kontrola terminologie služby AD FS.
Pro zákazníka cloudové služby Microsoftu je potřeba nasadit proxy servery ve stávající infrastruktuře služby AD FS, aby bylo možné povolit následující scénáře uživatelů:
Pracovní počítač, roaming: Uživatelé, kteří jsou přihlášeni k počítačům připojeným k doméně pomocí firemních přihlašovacích údajů, ale kteří nejsou připojení k podnikové síti (například k pracovnímu počítači doma nebo v hotelu), mají přístup ke cloudové službě.
Domácí nebo veřejný počítač: Pokud uživatel používá počítač, který není připojený k podnikové doméně, musí se uživatel přihlásit pomocí svých podnikových přihlašovacích údajů pro přístup ke cloudové službě.
Chytrý telefon: Pokud chcete získat přístup ke cloudové službě, jako je Microsoft Exchange Online pomocí Microsoftu protokol Exchange ActiveSync, musí se uživatel přihlásit pomocí firemních přihlašovacích údajů.
Microsoft Outlook nebo jiné e-mailové klienty: Uživatel se musí přihlásit pomocí svých podnikových přihlašovacích údajů, aby měl přístup ke svému Office 365 e-mailu, pokud používá Outlook nebo e-mailový klient, který není součástí Office, například klient IMAP nebo POP.
Pro podporu těchto scénářů uživatelů bude tato druhá fáze vycházet z fáze 1 nasazení popsaného dříve přidáním dvou proxy serverů webových aplikací nebo dvou proxy federačních serverů, poskytnutím přístupu k serveru DNS v hraniční síti a přístupu k druhému hostiteli nlB v hraniční síti.
Druhý hostitel služby NLB musí být nakonfigurovaný s clusterem NLB, který používá IP adresu clusteru přístupného z internetu a musí používat stejné nastavení názvu DNS clusteru jako předchozí cluster nlB, který jste nakonfigurovali v podnikové síti pro fázi 1 (fs.fabrikam.com). Proxy webových aplikací nebo proxy federačních serverů budou také nakonfigurované s IP adresami přístupnými z internetu.
Následující diagram znázorňuje stávající nasazení fáze 1 a způsob, jakým může Fabrikam, Inc. poskytovat přístup k hraničnímu serveru DNS, přidat druhého hostitele NLB se stejným názvem DNS clusteru (fs.fabrikam.com) a přidat dva proxy federačního serveru (fsp1 a fsp2) do hraniční sítě.
Následující diagram znázorňuje stávající nasazení fáze 1 a způsob, jakým může Fabrikam, Inc. poskytovat přístup k hraničnímu serveru DNS, přidat druhého hostitele NLB se stejným názvem DNS clusteru (fs.fabrikam.com) a přidat dva proxy webové aplikace (wap1 a wap2) do hraniční sítě.
.gif "ADFSProxyDeploymentSSO")
Poznámka
- K publikování služby AD FS do extranetu můžete použít řešení reverzního proxy serveru HTTP jiného výrobce. Další informace o tom, jak to udělat, najdete v tématu Konfigurace rozšířených možností pro službu AD FS 2.0.
- Veškerá komunikace služby AD FS, která prochází bránou firewall, je založená na protokolu HTTPS.
- Ve službě AD FS můžete vytvořit vlastní pravidla deklarací identity, která omezí přístup uživatelů ke cloudové službě na základě fyzického umístění klientského počítače nebo klientského zařízení, prostřednictvím kterého uživatel požaduje přístup. Další informace o vytváření těchto pravidel najdete v tématu Omezení přístupu ke službám Office 365 na základě umístění klienta.
Pokročilá možnost: Farma federačních serverů s SQL Server a proxy servery
Jedná se o pokročilou topologii nasazení služby AD FS, která používá proxy webových aplikací nebo proxy federačních serverů a konfiguraci SQL Server, která umožňuje všem federačním serverům ve farmě číst a zapisovat do společné databáze SQL Server. Ve srovnání s interní databází Windows má SQL Server jako úložiště konfigurační databáze služby AD FS tyto výhody:
Funkce vysoké dostupnosti SQL Server, které můžou správci používat.
Další vylepšení výkonu, včetně možnosti škálovat více federačních serverů (farma Interní databáze Windows má limit 30 federačních serverů, pokud máte 100 nebo méně vztahů důvěryhodnosti předávající strany. Pokud máte více než 100 vztahů důvěryhodnosti předávající strany, má farma Interní databáze Windows limit 5 federačních serverů.
Geografické vyrovnávání zatížení, které pomáhá zajistit zvýšení vysokého provozu na základě umístění.
Poznámka
Vzhledem k tomu, že tato topologie je pokročilá možnost nasazení služby AD FS, podrobnosti o tom, jak tato topologie funguje a jak ji nasadit, nejsou popsané v tomto článku.
Další informace o této možnosti topologie najdete v tématu Konfigurace rozšířených možností služby AD FS 2.0.
Tabulka odhadu: Určení počtu serverů SLUŽBY AD FS, které se mají nasadit ve vaší organizaci
Následující tabulka vám pomůže odhadnout minimální počet federačních serverů AD FS a proxy federačních serverů webových aplikací nebo proxy federačních serverů, které budete muset umístit do farmy federačních serverů nakonfigurovaných s Interní databáze Windows v celé infrastruktuře podnikové sítě na základě počtu uživatelů, kteří budou vyžadovat přístup pomocí jednotného přihlašování, včetně vzdáleného přístupu ke cloudové službě.
Poznámka
Všechny počítače, které budou nakonfigurovány pro federační server nebo roli proxy federačního serveru, musí být spuštěné buď Windows Server 2008, Windows Server 2008 R2 nebo Windows Server 2012 operační systém. Všechny počítače, které budou nakonfigurované tak, aby spouštěly službu rolí webového proxy aplikací, běží jenom Windows Server 2012 operační systém R2.
Doporučujeme použít jeden federační server k zajištění redundance. Následující tabulka se řídí tímto doporučením.
| Počet uživatelů, kteří přistupují ke cloudové službě | Minimální počet serverů k nasazení | Doporučení a kroky |
|---|---|---|
Méně než 1 000 uživatelů |
0 vyhrazených federačních serverů 0 vyhrazených proxy serverů 1 vyhrazený server NLB |
Pro federační servery použijte dva existující řadiče domény služby Active Directory a nakonfigurujte je pro roli federačního serveru. Uděláte to tak, že nejprve vyberete dva existující řadiče domény a pak:
Pro vyrovnávání zatížení sítě nakonfigurujte existujícího hostitele služby NLB nebo získejte vyhrazený server a pak na něj nainstalujte roli serveru nlB a nakonfigurujte server NLB. Pro proxy servery použijte dva existující webové nebo proxy servery a nakonfigurujte je pro roli proxy federačního serveru nebo pro roli webového proxy aplikací. Uděláte to tak, že vyberete dva existující webové nebo proxy servery, které se nacházejí v extranetu, a pak:
Poznámka Pokud nemáte dva existující řadiče domény a dva webové nebo proxy servery nebo nejsou spuštěné buď Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 nebo Windows Server 2012 R2, měli byste místo toho nasadit vyhrazené servery, jak je popsáno v dalším řádku této tabulky. Důležité Pokud používáte službu AD FS 2.0 nebo AD FS v Windows Server 2012, musíte nasadit a nakonfigurovat proxy federačních serverů. Pokud používáte službu AD FS v Windows Server 2012 R2, můžete konfigurovat a nasazovat proxy webových aplikací. V Windows Server 2012 R2 se k konfiguraci služby AD FS pro extranetový přístup používá webová proxy aplikací nová služba role serveru vzdáleného přístupu. |
1 000 až 15 000 uživatelů |
2 vyhrazené federační servery 2 vyhrazené proxy servery |
Pro federační servery získejte dva vyhrazené servery a pak:
Pro proxy získejte dva vyhrazené servery, které můžete umístit do extranetu:
Důležité Pokud používáte službu AD FS 2.0 nebo AD FS v Windows Server 2012, musíte nasadit a nakonfigurovat proxy federačních serverů. Pokud používáte službu AD FS v Windows Server 2012 R2, můžete konfigurovat a nasazovat proxy webových aplikací. V Windows Server 2012 R2 se k konfiguraci služby AD FS pro extranetový přístup používá webová proxy aplikací nová služba role serveru vzdáleného přístupu. |
15 000 až 60 000 uživatelů |
Mezi 3 a 5 vyhrazenými federačními servery Alespoň 2 vyhrazené proxy servery |
Každý vyhrazený federační server může podporovat přibližně 15 000 uživatelů. Proto přidejte další vyhrazený federační server do základního nasazení dvou federačních serverů popsaných dříve pro každého 15 000 uživatelů, kteří budou vyžadovat přístup ke cloudové službě, maximálně pět federačních serverů ve farmě nebo 60 000 uživatelů. Poznámka Farma federačních serverů služby AD FS nakonfigurovaná tak, aby používala Interní databáze Windows podporuje maximálně pět federačních serverů. Pokud potřebujete více než pět federačních serverů, musíte nakonfigurovat SQL Server databázi pro uložení konfigurační databáze služby AD FS. Další informace o této možnosti naleznete v tématu Konfigurace rozšířených možností služby AD FS 2.0. |
Minimální počet uživatelů na servery, která jsou uvedena v předchozí tabulce, se vypočítá na základě následujícího hardwaru:
| Hardware | Specifikace |
|---|---|
Rychlost procesoru |
Dvoujádrový procesor 2,27GHz (8 jader) |
Paměť RAM |
4 gigabajty (GB) |
Síť |
Gigabit |
Přidání federačních serverů za účelem zvýšení výkonu
Pokud jsou ve farmě nakonfigurované dva nebo více federačních serverů pomocí technologie NLB, můžou pracovat nezávisle, aby mohly zpracovávat zatížení příchozích požadavků uživatelů provedených ve službě AD FS Federation Service bez snížení celkového výkonu služby jako celku. Proto při přidávání dalších federačních serverů do stávajícího produkčního prostředí po nasazení počátečních federačních serverů strategicky v síti dochází k malé režii.
Další krok
Teď, když jste naplánovali nasazení služby AD FS, je dalším krokem kontrola požadavků na nasazení služby AD FS.
Viz také
Koncepty
Kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování