Verbundserver-Farmen mit SQL Server in Legacyversionen von AD FS
Diese Topologie für Active Directory-Verbunddienste (AD FS) unterscheidet sich von der Verbundserver-Farm, die die interne Windows-Datenbank -Bereitstellungstopologie (WID) verwendet, da die Daten nicht auf jeden Verbundserver der Farm repliziert werden. Stattdessen können alle Verbundserver der Farm Daten lesen und in eine gemeinsame Datenbank schreiben, die auf einem Server mit Microsoft SQL Server gespeichert ist, welcher sich im Unternehmensnetzwerk befindet.
Wichtig
Wenn Sie eine AD FS-Farm erstellen und Ihre Konfigurationsdaten mithilfe von SQL Server speichern möchten, können Sie SQL Server 2008 und höhere Versionen, einschließlich SQL Server 2012 und SQL Server 2014, verwenden.
Überlegungen zur Bereitstellung
In diesem Abschnitt werden verschiedene Überlegungen zur Zielgruppe sowie die Vorteile und Einschränkungen beschrieben, die mit dieser Bereitstellungstopologie verbunden sind.
Zielgruppe dieser Topologie
Große Organisationen mit mehr als 100 Vertrauensstellungen, die sowohl ihren internen Benutzer:innen als auch externen Benutzer:innen Single Sign-On-Zugriff auf Verbundanwendungen oder -dienste bieten müssen
Organisationen, die bereits SQL Server verwenden und ihre vorhandenen Tools und ihr Know-how nutzen möchten
Welche Vorteile bietet diese Topologie?
Unterstützung für eine größere Anzahl an Vertrauensbeziehungen (mehr als 100)
Unterstützung der Erkennung einer Tokenmehrfachverwendung (einer Sicherheitsfunktion) oder einer Artefaktauflösung (Teil des SAML (Security Assertion Markup Language)- 2.0-Protokolls)
Unterstützung der vollen Vorteile von SQL Server, z. B. Datenbankspiegelung, Failoverclustering, Berichterstellung und Verwaltungstools
Welche Einschränkungen gibt es bei Verwendung dieser Topologie?
Diese Topologie bietet standardmäßig keine Datenbankredundanz. Obwohl eine Verbundserver-Farm mit WID-Topologie die WID-Datenbank auf jedem Verbundserver in der Farm automatisch repliziert, enthält die Verbundserver-Farm mit SQL Server Topologie nur eine Kopie der Datenbank
Hinweis
SQL Server unterstützt viele verschiedene Daten- und Anwendungsredundanz-Optionen, einschließlich Failoverclustering, Datenbankspiegelung und verschiedenen Arten von SQL Server-Replikation.
Die IT-Abteilung von Microsoft verwendet die SQL Server-Datenbankspiegelung im hochsicheren (synchronen) Modus und Failoverclustering, um Hochverfügbarkeitsunterstützung für die SQL Server-Instanz bereitzustellen. SQL Server Transaktionsreplikation (Peer-to-Peer) und Mergereplikation wurden vom AD FS-Produktteam bei Microsoft nicht getestet. Weitere Informationen zu SQL Server finden Sie unter Übersicht über Hochverfügbarkeitslösungen oder Auswählen des geeigneten Replikationstyps.
Unterstützte SQL Server-Versionen
Die folgenden SQL Server-Versionen werden von AD FS in Windows Server 2012 R2 unterstützt:
SQL Server 2008 / R2
SQL Server 2012
SQL Server 2014
Empfehlungen zu Serverplatzierung und zum Netzwerklayout
Ähnlich wie bei der Verbundserver-Farm mit WID-Topologie sind alle Verbundserver der Farm so konfiguriert, dass sie einen DNS (Domain Name System)-Namen des Clusters (d. h. den Namen des Verbunddiensts) und eine Cluster-IP-Adresse als Teil der NLB (Network Load Balancing)-Clusterkonfiguration verwenden. Dadurch kann der NLB-Host Clientanforderungen den einzelnen Verbundservern zuordnen. Verbundserver-Proxys können verwendet werden, um Clientanforderungen per Proxy an die Verbundserver-Farm zu übermitteln.
Die folgende Abbildung zeigt, wie das fiktive Unternehmen Contoso Pharmaceuticals seine Verbundserver-Farm mit SQL Server-Topologie im Unternehmensnetzwerk bereitgestellt hat. Zudem wird dargelegt, wie das Unternehmen das Perimeter-Netzwerk mit Zugriff auf einen DNS-Server, einen zusätzlichen NLB-Host, der denselben Cluster-DNS-Namen (fs.contoso.com) verwendet, welcher auch im NLB-Cluster des Unternehmensnetzwerks verwendet wird, sowie zwei Webanwendungs-Proxys (wap1 und wap2) konfiguriert hat.
Weitere Informationen zum Konfigurieren Ihrer Netzwerkumgebung für die Verwendung mit Verbundservern oder Webanwendungsproxys finden Sie im Abschnitt „Namensauflösungsanforderungen“ unter AD FS-Anforderungen und unter Planen der Infrastruktur für den Webanwendungsproxy (WAP).
Hochverfügbarkeits-Optionen für SQL Server Farmen
In Windows Server 2012 R2, AD FS gibt es zwei neue Optionen, um Hochverfügbarkeit in AD FS-Farmen mit SQL Server zu unterstützen.
Unterstützung für SQL Server AlwaysOn-Verfügbarkeitsgruppen
Unterstützung für geografisch verteilte Hochverfügbarkeit mithilfe von SQL Server Mergereplikation
In diesem Abschnitt wird jede dieser Optionen beschrieben, es wird erläutert, welche Probleme sie lösen, und es werden einige wichtige Überlegungen zur Entscheidung, welche Optionen bereitgestellt werden sollen, angestellt.
Hinweis
AD FS-Farmen, die interne Windows-Datenbank (WID) verwenden, bieten eine grundlegende Datenredundanz mit Lese-/Schreibzugriff auf den primären Verbundserver-Knoten und schreibgeschützten Zugriff auf sekundäre Knoten. Dies kann in einer geografisch lokalen oder einer geografisch verteilten Topologie verwendet werden.
Beachten Sie bei der Verwendung von WID die folgenden Einschränkungen:
- Bei maximal 100 Vertrauensstellungen der vertrauenden Seite ist eine WID-Farm auf 30 Verbundserver begrenzt.
- Eine WID-Farm unterstützt keine Erkennung einer Tokenmehrfachverwendung oder Artefaktauflösung – Teil des SAML-Protokolls (Security Assertion Markup Language).
Die folgende Tabelle enthält eine Zusammenfassung bezüglich der Verwendung einer WID-Farm:
| 1–100 Vertrauensstellungen der vertrauenden Seite (RP) | Mehr als 100 Vertrauensstellungen der vertrauenden Seite (RP) |
|---|---|
| 1–30 AD FS-Knoten: Von WID unterstützt | 1–30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich |
| Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich | Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich |
AlwaysOn-Verfügbarkeitsgruppen
Übersicht
AlwaysOn-Verfügbarkeitsgruppen wurden in SQL Server 2012 eingeführt und bieten eine neue Möglichkeit zum Erstellen einer hochverfügbaren SQL Server-Instanz. AlwaysOn-Verfügbarkeitsgruppen vereinen Elemente des Clusterings und der Datenbankspiegelung für Redundanz und Failover sowohl auf der SQL-Instanzebene als auch auf der Datenbankebene. Im Gegensatz zu früheren Hochverfügbarkeitsoptionen erfordern AlwaysOn-Verfügbarkeitsgruppen keinen gemeinsamen Speicher (bzw. kein gemeinsames Speicherbereichsnetzwerk) auf Datenbankebene.
Eine Verfügbarkeitsgruppe besteht aus einem primären Replikat (einer Reihe von primären Datenbanken mit Lese-/Schreibzugriff) und einem bis vier Verfügbarkeitsreplikaten (den Sätzen entsprechender sekundärer Datenbanken). Die Verfügbarkeitsgruppe unterstützt eine einzelne Lese-/Schreibkopie (das primäre Replikat) und ein bis vier schreibgeschützte Verfügbarkeitsreplikate. Jedes Verfügbarkeitsreplikat muss sich in einem anderen Knoten eines einzelnen WSFC-Clusters (Windows Server-Failoverclustering) befinden. Weitere Informationen zu SQL 2012 AlwaysOn-Verfügbarkeitsgruppen finden Sie unter Übersicht über AlwaysOn-Verfügbarkeitsgruppen (SQL Server).
Aus Sicht der Knoten einer AD FS-SQL Server-Farm ersetzt die AlwaysOn-Verfügbarkeitsgruppe die einzelne SQL Server-Instanz als Richtlinien-/Artefaktdatenbank. Der Client (der AD FS-Sicherheitstoken-Dienst) verwendet den Verfügbarkeitsgruppenlistener zum Herstellen einer Verbindung mit SQL.
Die folgende Abbildung zeigt eine AD FS-SQL Server-Farm mit Always On-Verfügbarkeitsgruppe.
Hinweis
AlwaysOn-Verfügbarkeitsgruppen erfordern, dass sich die SQL Server-Instanzen auf WSFC (Windows Server Failover Clustering)-Knoten befinden.
Hinweis
Nur ein Verfügbarkeitsreplikat kann als automatisches Failoverziel fungieren, die anderen drei sind abhängig von manuellen Failovern.
Wichtige Überlegungen zur Bereitstellung
Wenn Sie beabsichtigen, AlwaysOn-Verfügbarkeitsgruppen in Kombination mit SQL Server-Mergereplikation zu verwenden, beachten Sie bitte die unter „Wichtige Überlegungen zur Bereitstellung bezüglich der Verwendung von AD FS mit SQL Server-Mergereplikation“ beschriebenen Probleme. Wenn für eine AlwaysOn-Verfügbarkeitsgruppe, die eine Datenbank enthält, bei der es sich um einen Replikationsabonnenten handelt, ein Failover erfolgt, schlägt das Replikationsabonnement fehl. Zum Fortsetzen der Replikation muss ein Replikationsadministrator den Abonnenten manuell neu konfigurieren. Siehe die SQL Server-Beschreibung eines bestimmten Problems unter Replikationsabonnenten und AlwaysOn-Verfügbarkeitsgruppen (SQL Server) und die allgemeinen Support-Anweisungen für AlwaysOn-Verfügbarkeitsgruppen mit Replikationsoptionen unter Replikation, Änderungsnachverfolgung, Change Data Capture und AlwaysOn-Verfügbarkeitsgruppen (SQL Server).
Konfigurieren von AD FS für die Verwendung einer AlwaysOn-Verfügbarkeitsgruppe
Das Konfigurieren einer AD FS-Farm mit AlwaysOn-Verfügbarkeitsgruppen erfordert eine geringfügige Änderung des AD FS-Bereitstellungsverfahrens:
Die Datenbanken, die Sie sichern möchten, müssen erstellt werden, bevor die AlwaysOn-Verfügbarkeitsgruppen konfiguriert werden können. AD FS erstellt seine Datenbanken im Rahmen der Einrichtung und Erstkonfiguration des ersten Verbunddienstknotens einer neuen AD FS-SQL Server-Farm. Im Rahmen der AD FS-Konfiguration müssen Sie eine SQL-Verbindungszeichenfolge angeben. Daher müssen Sie den ersten AD FS-Farmknoten konfigurieren, um eine direkte Verbindung mit einer SQL-Instanz herzustellen (dies jedoch nur vorübergehend). Spezifische Anleitungen zum Konfigurieren einer AD FS-Farm, einschließlich des Konfigurierens eines AD FS-Farmknotens mit einer SQL Server-Verbindungszeichenfolge, finden Sie unter Konfigurieren eines Verbundservers.
Nachdem die AD FS-Datenbanken erstellt wurden, weisen Sie sie AlwaysOn-Verfügbarkeitsgruppen zu. Dann erstellen Sie den allgemeinen TCPIP-Listener mithilfe von SQL Server-Tools und -Prozessen unter Erstellen und Konfigurieren von Verfügbarkeitsgruppen (SQL Server).
Verwenden Sie schließlich PowerShell, um die AD FS-Eigenschaften zu bearbeiten und die SQL-Verbindungszeichenfolge so zu aktualisieren, dass sie die DNS-Adresse des Listeners der AlwaysOn-Verfügbarkeitsgruppe verwendet.
Beispiele für PSH-Befehle zum Aktualisieren der SQL-Verbindungszeichenfolge für die AD FS-Konfigurationsdatenbank:
PS:\>$temp= Get-WmiObject -namespace root/ADFS -class SecurityTokenService PS:\>$temp.ConfigurationdatabaseConnectionstring="data source=<SQLCluster\SQLInstance>; initial catalog=adfsconfiguration;integrated security=true" PS:\>$temp.put()Beispiele für PSH-Befehle zum Aktualisieren der SQL-Verbindungszeichenfolge für die AD FS-Datenbank des Artefaktauflösungs-Diensts:
PS:\> Set-AdfsProperties –artifactdbconnection "Data source=<SQLCluster\SQLInstance >;Initial Catalog=AdfsArtifactStore;Integrated Security=True"
SQL Server-Mergereplikation
Die Mergereplikation wurde ebenfalls in SQL Server 2012 eingeführt und ermöglicht eine AD FS-Richtliniendatenredundanz mit den folgenden Merkmalen:
Lese- und Schreibfunktion auf allen Knoten (nicht nur auf dem primären Knoten)
Asynchrones Replizieren kleinerer Datenmengen, um eine Latenz für das System zu vermeiden
Das folgende Diagramm zeigt eine geografisch redundante AD FS-SQL Server-Farmen mit Mergereplikation (1 Herausgeber, 2 Abonnenten):
Wichtige Überlegungen zur Bereitstellung bezüglich der Verwendung von AD FS mit SQL Server Mergereplikation (beachten Sie die Zahlen im Diagramm oben)
Die Verteilerdatenbank wird nicht für die Verwendung mit AlwaysOn-Verfügbarkeitsgruppen oder der Datenbankspiegelung unterstützt. Weitere Informationen finden Sie unter SQL Server-Supportanweisungen für AlwaysOn-Verfügbarkeitsgruppen mit Replikationsoptionen unter Replikation, Änderungsnachverfolgung, Change Data Capture und AlwaysOn-Verfügbarkeitsgruppen (SQL Server).
Wenn für eine AlwaysOn-Verfügbarkeitsgruppe, die eine Datenbank enthält, bei der es sich um einen Replikationsabonnenten handelt, ein Failover erfolgt, schlägt das Replikationsabonnement fehl. Zum Fortsetzen der Replikation muss ein Replikationsadministrator den Abonnenten manuell neu konfigurieren. Siehe die SQL Server-Beschreibung eines bestimmten Problems unter Replikationsabonnenten und AlwaysOn-Verfügbarkeitsgruppen (SQL Server) sowie die allgemeinen Support-Anweisungen für AlwaysOn-Verfügbarkeitsgruppen mit Replikationsoptionen unter Replikation, Änderungsnachverfolgung, Change Data Capture und AlwaysOn-Verfügbarkeitsgruppen (SQL Server).
Ausführlichere Anweisungen zum Konfigurieren von AD FS für die Verwendung einer SQL Server-Mergereplikation finden Sie unter Einrichten der geografischen Redundanz mit SQL Server-Replikation.
Weitere Informationen
Planen Ihrer AD FS-BereitstellungstopologieEntwurfshandbuch für AD FS unter Windows Server 2012 R2