Planen der AD FS-Bereitstellung
Gilt für: Azure, Office 365, Power BI, Windows Intune
Der erste Schritt bei der Planung einer AD FS-Bereitstellung für einen Microsoft-Clouddienst besteht darin, die richtige Bereitstellungstopologie auszuwählen, um die Anforderungen Ihrer Organisation für einmaliges Anmelden zu erfüllen. AD FS erfordert, dass Sie eine interne Windows-Datenbank (WID) oder eine SQL Server-Datenbank für die Speicherung der vom Verbunddienst verwendeten AD FS-Konfigurationsdaten verwenden.
Für die meisten Kunden von Microsoft-Cloud-Diensten empfiehlt sich die folgende AD FS-Topologie, bei der die Verbundserverfarm mit WID und Proxys verwendet wird. Die fortgeschrittenere Option der Erstellung einer Verbundserverfarm mit SQL Server-Proxys wird später in diesem Abschnitt erläutert.
Darüber hinaus wird in diesem Abschnitt eine Tabelle bereitgestellt, mit der Sie die Anzahl der in Ihrer Organisation bereitzustellenden AD FS-Server ermitteln können. Außerdem enthält der Abschnitt Informationen zum Hinzufügen von Verbundservern, um die Leistungsfähigkeit zu erhöhen.
Empfohlene Topologie: Verbundserverfarm mit WID und Proxys
Erweiterte Option: Verbundserverfarm mit SQL Server und Proxys
Schätzungstabelle: Ermitteln der Anzahl der AD FS-Server, die in Ihrer Organisation bereitgestellt werden sollen
Hinzufügen von Verbundservern zum Erhöhen der Leistung
Empfohlene Topologie: Verbundserverfarm mit WID und Proxys
Die Standardtopologie für einen Microsoft-Clouddienst ist eine AD FS-Verbundserverfarm, die aus mehreren Servern besteht, die den Verbunddienst Ihrer Organisation hosten. In dieser Topologie wird WID von AD FS als AD FS-Konfigurationsdatenbank für alle Verbundserver verwendet, die mit der betreffenden Farm verbunden sind. Die Verbunddienstdaten in der Konfigurationsdatenbank werden von der Farm auf alle Server der Farm repliziert und dort verwaltet.
Beim Erstellen des ersten Verbundservers in einer Farm wird auch ein neuer Verbunddienst erstellt. Wenn WID als AD FS-Konfigurationsdatenbank verwendet wird, wird der erste in der Farm erstellte Verbundserver als primärer Verbundserver bezeichnet. Das bedeutet, dass dieser Computer mit einer Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank konfiguriert wird.
Alle anderen für diese Farm konfigurierten Verbundserver werden als sekundäre Verbundserver bezeichnet, da für diese sämtliche auf dem primären Verbundserver vorgenommenen Änderungen auf die lokal gespeicherten, schreibgeschützten Kopien der AD FS-Konfigurationsdatenbank repliziert werden müssen.
Hinweis
Es wird empfohlen, mindestens zwei Verbundserver in einer Konfiguration mit Lastenausgleich zu verwenden.
Das Einrichten dieser einfachen Verbundserverfarm-Topologie bildet die erste Phase der AD FS-Bereitstellung. In der zweiten Phase legen Sie fest, wie die Zugriffssteuerungsfunktion für externe Benutzer durch Bereitstellen folgender Komponenten implementiert wird:
Webanwendungsproxys bei Verwendung von AD FS in Windows Server 2012 R2
Verbundserverproxys bei Verwendung von AD FS 2.0 oder AD FS in Windows Server 2012
Phase 1: Bereitstellen ihrer Verbundserverfarm
Wenn Sie zum Bereitstellen der Farm bereit sind, sollten Sie planen, sämtliche Verbundserver im Unternehmensnetzwerk hinter einem NLB-Host (Network Load Balancing, Netzwerklastenausgleich) zu platzieren. Dieser kann bei einem NLB-Cluster mit einem dedizierten DNS-Namen und einer IP-Adresse für den Cluster konfiguriert werden.
Wichtig
Dieser DNS-Clustername muss mit dem Verbunddienstnamen (z. B. "fs.fabrikam.com") übereinstimmen und eine Internetweiterleitungsfunktion für die von Ihnen bereitgestellte AD FS-Instanz bieten. Wenn die Namen nicht übereinstimmen, wird die Authentifizierungsanforderung nicht an den richtigen DNS-Server oder Verbundserver weitergeleitet.
Anhand der in diesem NLB-Cluster definierten Einstellungen können Clientanforderungen vom NLB-Host den einzelnen Verbundservern zugeordnet werden. Das folgende Diagramm zeigt, wie bei Fabrikam, Inc. die erste Bereitstellungsphase mit einer Verbundserverfarm mit zwei Computern (fs1 und fs2) mit WID eingerichtet werden kann, sowie die Positionierung eines DNS-Servers und eines einzelnen NLB-Hosts mit Kabelverbindung zum Unternehmensnetzwerk.
Hinweis
Wenn bei diesem einzelnen NLB-Host ein Fehler auftritt, können Benutzer nicht auf den Clouddienst zugreifen. Fügen Sie weitere NLB-Hosts hinzu, wenn Ihre Geschäftsanforderungen eine einzelne Fehlerquelle nicht zulassen.
Phase 2: Bereitstellen Ihrer Proxys
Im Allgemeinen werden Proxyserver verwendet, um Clientauthentifizierungsanforderungen außerhalb Ihres Unternehmensnetzwerks an die Verbundserverfarm umzuleiten, d. h. zum Konfigurieren des Extranetzugriffs.
Wichtig
Je nach der verwendeten AD FS-Version können Sie entweder Webanwendungsproxys (in AD FS in Windows Server 2012 R2) oder Verbundserverproxys (in AD FS 2.0 und AD FS in Windows Server 2012) bereitstellen. Die Definitionen und die Beschreibungen der Funktionen eines Web-Anwendungsproxy und eines Verbundserverproxys finden Sie unter Überprüfen der AD FS-Terminologie.
Für einen Microsoft-Clouddienstkunden ist die Bereitstellung von Proxys in Ihrer vorhandenen AD FS-Infrastruktur erforderlich, um die folgenden Benutzerszenarien zu ermöglichen:
Arbeitscomputer, Roaming: Benutzer, die mit ihren Unternehmensanmeldeinformationen bei domänengebundenen Computern angemeldet sind, aber nicht mit dem Unternehmensnetzwerk verbunden sind (z. B. ein Arbeitscomputer zu Hause oder in einem Hotel), können auf den Clouddienst zugreifen.
Privater oder öffentlicher Computer: Wenn der Benutzer einen Computer verwendet, der nicht mit der Unternehmensdomäne verbunden ist, muss sich der Benutzer mit seinen Unternehmensanmeldeinformationen anmelden, um auf den Clouddienst zuzugreifen.
Smartphone: Auf einem Smartphone muss sich der Benutzer mit seinen Unternehmensanmeldeinformationen anmelden, um auf den Clouddienst wie z. B. Microsoft Exchange Online mit Microsoft Exchange ActiveSync zuzugreifen.
Microsoft Outlook oder andere E-Mail-Clients: Der Benutzer muss sich mit seinen Unternehmensanmeldeinformationen anmelden, um auf seine Office 365 E-Mail zuzugreifen, wenn er Outlook oder einen E-Mail-Client verwendet, der nicht Teil Office ist, z. B. ein IMAP- oder POP-Client.
Zur Unterstützung dieser Benutzerszenarien setzt diese zweite Phase auf der zuvor besprochenen Phase 1 der Bereitstellung auf. Dabei werden zwei Webanwendungsproxys oder zwei Verbundserverproxys hinzugefügt und der Zugriff auf einen DNS-Server im Umkreisnetzwerk sowie auf einen zweiten NLB-Host im Umkreisnetzwerk gewährt.
Der zweite NLB-Host muss mit einem NLB-Cluster konfiguriert werden, für den eine aus dem Internet zugängliche Cluster-IP-Adresse verwendet wird. Zudem muss für diesen die gleiche Cluster-DNS-Namenseinstellung wie für den vorherigen NLB-Cluster verwendet werden, den Sie in Phase 1 im Unternehmensnetzwerk konfiguriert haben („fs.fabrikam.com“). Die Webanwendungsproxys oder Verbundserverproxys werden ebenfalls mit aus dem Internet zugänglichen IP-Adressen konfiguriert.
Das folgende Diagramm zeigt die vorhandene Bereitstellung aus Phase 1 und außerdem, wie von Fabrikam, Inc. der Zugriff auf einen DNS-Server im Umkreisnetzwerk erteilt, ein zweiter NLB-Host mit dem gleichen DNS-Clusternamen („fs.fabrikam.com“) hinzugefügt werden kann und dem Umkreisnetzwerk zwei Verbundserverproxys (fsp1 und fsp2) hinzugefügt werden können.
Das folgende Diagramm zeigt die vorhandene Bereitstellung aus Phase 1 und außerdem, wie von Fabrikam, Inc. der Zugriff auf einen DNS-Server im Umkreisnetzwerk gewährt werden kann, ein zweiter NLB-Host mit dem gleichen DNS-Clusternamen ("fs.fabrikam.com") hinzugefügt werden kann und dem Umkreisnetzwerk zwei Webanwendungsproxys (wap1 and wap2) hinzugefügt werden können.
Hinweis
- Sie können eine HTTP-Reverseproxylösung eines Drittanbieters verwenden, um AD FS im Extranet zu veröffentlichen. Weitere Informationen dazu finden Sie unter Konfigurieren erweiterter Optionen für AD FS 2.0.
- Die gesamte AD FS-Kommunikation, die durch die Firewall geleitet wird, basiert auf HTTPS.
- Sie können benutzerdefinierte Anspruchsregeln in AD FS erstellen, die den Zugriff Ihrer Benutzer auf den Clouddienst basierend auf dem physischen Speicherort des Clientcomputers oder Clientgeräts einschränken, über den Der Benutzer Zugriff anfordert. Weitere Informationen zum Erstellen dieser Regeln finden Sie unter Limiting Access to Office 365 Services Based on Client Location (Beschränken des Zugriffs auf Office 365-Dienste anhand des Clientstandorts).
Erweiterte Option: Verbundserverfarm mit SQL Server und Proxys
Dabei handelt es sich um eine erweiterte Option für die AD FS-Bereitstellungstopologie, bei der Webanwendungsproxys oder Verbundserverproxys und eine SQL Server-Konfiguration verwendet werden, damit allen Verbundservern in der Farm das Lesen und Schreiben in einer gemeinsamen SQL Server-Datenbank ermöglicht wird. Die Verwendung einer SQL Server-Datenbank als AD FS-Konfigurationsdatenbank bietet gegenüber der internen Windows-Datenbank die folgenden Vorteile:
Funktionen für hohe Verfügbarkeit von SQL Server, die Administratoren verwenden können.
Zusätzliche Leistungsverbesserungen, einschließlich der Möglichkeit, mit mehr Verbundservern zu skalieren (eine WID-Farm verfügt über eine Beschränkung von 30 Verbundservern, wenn Sie über 100 oder weniger Vertrauensebenen verfügen. Wenn Sie über mehr als 100 Vertrauensebenen verfügen, verfügt eine WID-Farm über einen Grenzwert von 5 Verbundservern. ).
Geografischer Lastenausgleich, um standortabhängig Erhöhungen bei starkem Datenverkehr vornehmen zu können.
Hinweis
Da es sich bei dieser Topologie um eine erweiterte AD FS-Bereitstellungsoption handelt, werden die Details zur Funktionsweise sowie zur Bereitstellung dieser Topologie in diesem Artikel nicht behandelt.
Weitere Informationen zu dieser Topologie finden Sie unter Configuring Advanced Options for AD FS 2.0 (Konfigurieren von erweiterten Optionen für AD FS 2.0).
Schätzungstabelle: Ermitteln der Anzahl der AD FS-Server, die in Ihrer Organisation bereitgestellt werden sollen
Sie können die folgende Tabelle verwenden, um die Mindestanzahl der AD FS-Verbundserver und Webanwendungsproxys oder Verbundserverproxys zu schätzen, die Sie in einer Verbundserverfarm einrichten müssen, die mit WID in ihrer gesamten Unternehmensnetzwerkinfrastruktur konfiguriert ist, basierend auf der Anzahl der Benutzer, die einen einmaligen Anmeldezugriff erfordern, einschließlich Remotezugriff auf den Clouddienst.
Hinweis
Alle Computer, die für den Verbundserver oder die Verbundserverproxyrolle konfiguriert werden, müssen entweder die Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 Betriebssystem ausführen. Alle Computer, die für die Ausführung des Webanwendungsproxy-Rollendiensts konfiguriert werden, müssen unter dem Betriebssystem Windows Server 2012 R2 ausgeführt werden.
Es wird empfohlen, einen Verbundserver zu Redundanzzwecken zu verwenden. In der folgenden Tabelle wurde diese Empfehlung befolgt.
Anzahl der Benutzer, die auf den Clouddienst zugreifen | Mindestanzahl bereitzustellender Server | Empfehlung und Schritte |
---|---|---|
Weniger als 1.000 Benutzer |
0 dedizierte Verbundserver 0 dedizierte Proxys 1 dedizierter NLB-Server |
Verwenden Sie für die Verbundserver zwei vorhandene Active Directory-Domänencontroller (DCs), und konfigurieren Sie beide für die Partnerverbundserverrolle. Wählen Sie dazu zunächst zwei vorhandene Domänencontroller aus, und gehen Sie dann wie folgt vor:
Konfigurieren Sie für den Netzwerklastenausgleich einen vorhandenen NLB-Host, oder installieren Sie auf einem dedizierten Server die NLB-Server-Rolle, und konfigurieren Sie den NLB-Server. Verwenden Sie für die Proxys zwei vorhandene Web- oder Proxyserver, und konfigurieren Sie beide für die Verbundserverproxy-Rolle oder die Webanwendungsproxy-Rolle. Wählen Sie dazu zwei vorhandene Web- oder Proxyserver im Extranet aus, und gehen Sie dann wie folgt vor:
Hinweis Wenn Sie nicht über zwei vorhandene DCs und zwei Web- oder Proxyserver verfügen oder nicht Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 oder Windows Server 2012 R2 ausgeführt werden, sollten Sie stattdessen dedizierte Server bereitstellen, wie in der nächsten Zeile dieser Tabelle beschrieben. Wichtig Wenn Sie AD FS 2.0 oder AD FS in Windows Server 2012 verwenden, müssen Sie Verbundserverproxys bereitstellen und konfigurieren. Wenn Sie AD FS in Windows Server 2012 R2 verwenden, können Sie nur Webanwendungsproxys konfigurieren und bereitstellen. In Windows Server 2012 R2 wird ein Webanwendungsproxy verwendet, um AD FS für den Extranetzugriff zu konfigurieren. Dabei handelt es sich um einen neuen Rollendienst der Remotezugriffs-Serverrolle. |
1.000 bis 15.000 Benutzer |
2 dedizierte Verbundserver 2 dedizierte Proxys |
Verwenden Sie als Verbundserver zwei dedizierte Server, und gehen Sie dann wie folgt vor:
Verwenden Sie als Proxys zwei dedizierte Server, die Sie im Extranet platzieren können:
Wichtig Wenn Sie AD FS 2.0 oder AD FS in Windows Server 2012 verwenden, müssen Sie Verbundserverproxys bereitstellen und konfigurieren. Wenn Sie AD FS in Windows Server 2012 R2 verwenden, können Sie nur Webanwendungsproxys konfigurieren und bereitstellen. In Windows Server 2012 R2 wird ein Webanwendungsproxy verwendet, um AD FS für den Extranetzugriff zu konfigurieren. Dabei handelt es sich um einen neuen Rollendienst der Remotezugriffs-Serverrolle. |
15.000 bis 60.000 Benutzer |
3 bis 5 dedizierte Verbundserver Mindestens 2 dedizierte Proxys |
Von jedem dedizierten Verbundserver können etwa 15.000 Benutzer unterstützt werden. Fügen Sie daher dem zuvor beschriebenen Basis-zwei Verbundserver für alle 15.000 Benutzer einen zusätzlichen dedizierten Verbundserver hinzu, der Zugriff auf den Clouddienst erfordert, bis zu maximal fünf Verbundserver in der Farm oder 60.000 Benutzer. Hinweis Eine für die Verwendung von WID konfigurierte AD FS-Verbundserverfarm unterstützt maximal fünf Verbundserver. Wenn Sie mehr als fünf Verbundserver benötigen, müssen Sie zum Speichern der AD FS-Konfigurationsdatenbank eine SQL Server-Datenbank konfigurieren. Weitere Informationen zu dieser Option finden Sie unter Configuring Advanced Options for AD FS 2.0 (Konfigurieren von erweiterten Optionen für AD FS 2.0). |
Die empfohlene Mindestzahl von Benutzern pro Server in der obigen Tabelle wurden anhand der folgenden Hardware berechnet:
Hardware | Spezifikationen |
---|---|
CPU-Geschwindigkeit |
Dual Quad Core-CPU mit 2,27 GHz (8 Kerne) |
RAM |
4 Gigabyte (GB) |
Netzwerk |
Gbit |
Hinzufügen von Verbundservern zum Erhöhen der Leistung
Wenn zwei oder mehr Verbundserver in einer Farm mit der NLB-Technologie konfiguriert werden, können sie unabhängig voneinander betrieben werden, um die Last der für den AD FS-Verbunddienst eingehenden Benutzeranforderungen zu verarbeiten, ohne die Gesamtleistung des Diensts als Ganzes zu beeinträchtigen. Daher tritt wenig zusätzlicher Verwaltungsaufwand auf, wenn Sie nach dem strategischen Bereitstellen der anfänglichen Verbundserver im Netzwerk der vorhandenen Produktionsumgebung weitere Verbundserver hinzufügen.
Nächster Schritt
Nachdem Sie ihre AD FS-Bereitstellung geplant haben, besteht der nächste Schritt darin, die Anforderungen für die Bereitstellung von AD FS zu überprüfen.
Weitere Informationen
Konzepte
Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens