Überlegungen zur AD FS-Bereitstellungstopologie
In diesem Thema werden wichtige Überlegungen beschrieben, die Sie bei der Planung und dem Entwurf unterstützen, welche Bereitstellungstopologie für Active Directory-Verbunddienste (AD FS) Sie in Ihrer Produktionsumgebung verwenden sollten. Dieses Thema ist ein Ausgangspunkt für die Überprüfung und Bewertung von Überlegungen, die sich darauf auswirken, welche Funktionen Ihnen nach der Bereitstellung von AD FS zur Verfügung stehen. Beispielsweise bestimmt die Auswahl des Datenbanktyps zum Speichern der AD FS-Konfigurationsdatenbank letztendlich, ob Sie bestimmte Security Assertion Markup Language (SAML)-Funktionen implementieren können, für die SQL Server erforderlich ist.
Festlegen, welcher AD FS-Konfigurationsdatenbanktyp verwendet werden soll
AD FS verwendet eine Datenbank zum Speichern von Konfigurations- – und in einigen Fällen – Transaktionsdaten, die mit dem Verbunddienst zusammenhängen. Mit der AD FS-Software können Sie entweder die integrierte interne Windows-Datenbank oder Microsoft SQL Server 2005 oder höher auswählen, um die Daten im Verbunddienst zu speichern.
Für die meisten Zwecke sind die zwei Datenbanktypen relativ gleichwertig. Es gibt jedoch einige Unterschiede, die Ihnen bewusst sein sollten, bevor Sie mehr über die verschiedenen Bereitstellungstopologien erfahren, die Sie mit AD FS verwenden können. In der folgenden Tabelle sind die Unterschiede bei unterstützten Funktionen zwischen einer WID-Datenbank und einer SQL Server-Datenbank beschrieben.
AD FS-Features
| Feature | Unterstützt von WID? | Unterstützt von SQL Server? | Weitere Informationen zu diesem Feature |
|---|---|---|---|
| Bereitstellung einer Verbundserverfarm | Ja, mit einer Begrenzung von 30 Verbundservern für jede Farm | Ja. Es gibt keine erzwungene Begrenzung für die Anzahl der Verbundserver, die Sie in einer einzelnen Farm bereitstellen können. | Bestimmen der AD FS-Bereitstellungstopologie |
| SAML-Artefaktauflösung Hinweis: Dieses Feature ist für Szenarien mit Microsoft Online Services, Microsoft Office 365, Microsoft Exchange oder Microsoft Office SharePoint nicht erforderlich. | Nein | Ja | Rolle der AD FS-Konfigurationsdatenbank Bewährte Methoden für die sichere Planung und Bereitstellung von AD FS |
| Erkennung von SAML/WS-Verbundtokenwiederholungen | Nein | Ja | Rolle der AD FS-Konfigurationsdatenbank Bewährte Methoden für die sichere Planung und Bereitstellung von AD FS |
Datenbankfeatures
| Feature | Unterstützt von WID? | Unterstützt von SQL Server? | Weitere Informationen zu diesem Feature |
|---|---|---|---|
| Grundlegende Datenbankredundanz über eine Pullreplikation, bei der ein oder mehrere Server, auf denen eine schreibgeschützte Kopie der Datenbank gehostet ist, Änderungen anfordern, die auf einem Quellserver durchgeführt werden, auf dem eine Lese-/Schreibkopie der Datenbank gehostet ist | Ja | Nein | Rolle der AD FS-Konfigurationsdatenbank |
| Datenbankredundanz mithilfe von Hochverfügbarkeitslösungen, z. B. Failoverclustering oder Datenspiegelung (nur auf Datenbankebene) Hinweis: Alle AD FS-Bereitstellungstopologien unterstützen Clustering auf der AD FS-Dienstebene. | Nein | Ja | Rolle der AD FS-Konfigurationsdatenbank |
Überlegungen zu SQL Server
Sie sollten die folgenden Bereitstellungsfakten in Betracht ziehen, wenn Sie SQL Server als Konfigurationsdatenbank für Ihre AD FS-Bereitstellung auswählen.
SAML-Features und ihre Auswirkung auf Datenbankgröße und -wachstum. Wenn die SAML-Artefaktauflösung oder die Erkennung von SAML-Tokenwiederholungen aktiviert ist, speichert AD FS für jedes ausgestellt AD FS-Token Informationen in der SQL Server-Konfigurationsdatenbank. Das Wachstum der SQL Server-Datenbank als Ergebnis dieser Aktivität wird nicht als signifikant betrachtet und hängt von der konfigurierten Aufbewahrungsdateu für die Tokenwiederholung ab. Jeder Artefaktdatensatz hat eine Größe von rund 30 Kilobyte (KB).
Anzahl der für Ihre Bereitstellung erforderlichen Server. Sie müssen mindestens einen zusätzlichen Server hinzufügen (zu der Gesamtzahl der Server, die für die Bereitstellung Ihrer AD FS-Infrastruktur erforderlich ist), der als dedizierter Host für die SQL Server-Instanz agiert. Wenn Sie Failoverclustering oder Spiegelung verwenden möchten, um Fehlertoleranz und Skalierbarkeit für die SQL Server-Konfigurationsdatenbank bereitzustellen, sind mindestens zwei SQL-Server erforderlich.
Auswirkung des augewählten Konfigurationsdatenbanktyps auf Hardwareressourcen
Die Auswirkung auf Hardwareressourcen auf einem Verbundserver, der in einer Farm mit WID bereitgestellt wird, im Vergleich zu einem Verbundserver, der in einer Farm mit einer SQL Server-Datenbank bereitgestellt wird, ist nicht signifikant. Sie sollten jedoch unbedingt bedenken, dass bei der Verwendung von WID für die Farm jeder Verbundserver in dieser Farm Replikationsänderungen für seine lokale Kopie der AD FS-Konfigurationsdatenbank speichern, verwalten und warten, gleichzeitig aber auch weiterhin die normalen Abläufe bereitstellen muss, die für den Verbunddienst erforderlich sind.
Im Vergleich dazu müssen Verbundserver, die in einer Farm mit der SQL Server-Datenbank bereitgestellt werden, nicht unbedingt eine lokale Instanz der AD FS-Konfigurationsdatenbank enthalten. Daher stellen diese etwas geringere Ansprüche an die Hardwareressourcen.
Überprüfen, ob Ihre Produktionsumgebung eine AD FS-Bereitstellung unterstützen kann
Zusätzlich zu den Verbundservern, die Sie bereitstellen, und abhängig davon, wie Ihre vorhandene Produktionsumgebung eingerichtet ist, sind möglicherweise die folgenden zusätzlichen Server erforderlich, um die notwendige Infrastruktur zur Unterstützung Ihrer neuen AD FS-Bereitstellung zu bieten:
Active Directory-Domänencontroller
Zertifizierungsstelle
Webserver zum Hosten von Verbundmetadaten
Netzwerklastenausgleich (NLB)