Verbundserverfarmen mit WID in Legacyversionen von AD FS
Die Standardtopologie für Active Directory-Verbunddienste (AD FS) ist eine Verbundserverfarm mit der internen Windows-Datenbank (Windows Internal Database, WID). In dieser Topologie verwendet AD FS die interne Windows-Datenbank als Speicher für die AD FS-Konfigurationsdatenbank für alle in die Farm eingebundenen Verbundserver. Die Verbunddienstdaten in der Konfigurationsdatenbank werden von der Farm auf alle Server der Farm repliziert und dort verwaltet. AD FS unter Windows Server 2012 R2 ermöglicht Organisationen mit maximal 100 Vertrauensstellungen der vertrauenden Seite das Konfigurieren von Verbundserverfarmen mit der WID mit bis zu 30 Servern.
Beim Erstellen des ersten Verbundservers in einer Farm wird auch ein neuer Verbunddienst erstellt. Wenn Sie WID als AD FS-Konfigurationsdatenbank verwenden, wird der erste in der Farm erstellte Verbundserver als primärer Verbundserver bezeichnet. Das bedeutet, dass dieser Computer mit einer Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank konfiguriert wird.
Alle anderen von Ihnen für diese Farm konfigurierten Verbundserver werden als sekundäre Verbundserver bezeichnet, da für diese sämtliche auf dem primären Verbundserver vorgenommenen Änderungen auf die lokal gespeicherten, schreibgeschützten Kopien der AD FS-Konfigurationsdatenbank repliziert werden müssen.
Wichtig
Es wird empfohlen, mindestens zwei Verbundserver in einer Konfiguration mit Lastenausgleich zu verwenden.
Überlegungen zur Bereitstellung
In diesem Abschnitt werden verschiedene Überlegungen zur Zielgruppe sowie die Vorteile und Einschränkungen beschrieben, die mit dieser Bereitstellungstopologie verbunden sind.
Zielgruppe dieser Topologie
Organisationen mit 100 oder weniger konfigurierten Vertrauensstellungen, die ihren internen Benutzer*innen (die an Computern angemeldet sind, die physisch mit dem Unternehmensnetzwerk verbunden sind) SSO-Zugriff auf Verbundanwendungen oder -dienste bieten müssen
Organisationen, die ihren internen Benutzer*innen SSO-Zugriff auf Microsoft Online Services oder Microsoft Office 365 bieten möchten
Kleinere Organisationen, die redundante, skalierbare Dienste benötigen
Hinweis
Organisationen mit größeren Datenbanken sollten die Verwendung der Bereitstellungstopologie Verbundserverfarm mit SQL Server in Erwägung ziehen. Organisationen mit Benutzern, die sich von außerhalb des Netzwerks anmelden, sollten entweder die Topologie Verbundserverfarm mit WID und Proxys oder Verbundserverfarm mit SQL Server verwenden.
Welche Vorteile bietet diese Topologie?
Bietet SSO-Zugriff für interne Benutzer
Redundanz von Daten und Verbunddiensten (jeder Verbundserver repliziert Änderungen auf andere Verbundserver in derselben Farm)
WID ist in Windows enthalten, daher muss SQL Server nicht erworben werden.
Welche Einschränkungen gibt es bei der Verwendung dieser Topologie?
Bei maximal 100 Vertrauensstellungen der vertrauenden Seite ist eine WID-Farm auf 30 Verbundserver begrenzt.
Eine WID-Farm unterstützt keine Erkennung einer Tokenmehrfachverwendung oder Artefaktauflösung – Teil des SAML-Protokolls (Security Assertion Markup Language).
Die folgende Tabelle enthält eine Zusammenfassung der Verwendung einer WID-Farm. Verwenden Sie diese, um Ihre Implementierung zu planen.
| 1–100 Vertrauensstellungen der vertrauenden Seite (RP) | Mehr als 100 Vertrauensstellungen der vertrauenden Seite (RP) |
|---|---|
| 1–30 AD FS-Knoten: Von WID unterstützt | 1–30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich |
| Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich | Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich |
Empfehlungen für die Serverplatzierung und das Netzwerklayout
Wenn Sie zum Bereitstellen der Topologie in Ihrem Netzwerk bereit sind, sollten Sie planen, sämtliche Verbundserver im Unternehmensnetzwerk hinter einem NLB-Host (Network Load Balancing, Netzwerklastenausgleich) zu platzieren. Dieser kann bei einem NLB-Cluster mit einem dedizierten DNS-Namen (Domain Name System) und einer IP-Adresse für den Cluster konfiguriert werden.
Hinweis
Dieser Cluster-DNS-Name muss mit dem Namen des Verbunddiensts übereinstimmen, z. B. „fs.fabrikam.com“.
Anhand der in diesem NLB-Cluster definierten Einstellungen können Clientanforderungen vom NLB-Host den einzelnen Verbundservern zugeordnet werden. Die folgende Abbildung zeigt, wie das fiktive Unternehmen Fabrikam, Inc. die erste Phase seiner Bereitstellung mit einer Verbundserverfarm mit zwei Computern (fs1 und fs2) mit WID und der Positionierung eines DNS-Servers und eines einzelnen NLB-Hosts einrichtet, der über eine Kabelverbindung mit dem Unternehmensnetzwerk verbunden ist.
Hinweis
Bei einem Ausfall dieses einzelnen NLB-Hosts können die Benutzer*innen nicht auf die Verbundanwendungen oder -dienste zugreifen. Fügen Sie weitere NLB-Hosts hinzu, wenn Ihre Geschäftsanforderungen eine einzelne Fehlerquelle nicht zulassen.
Weitere Informationen zum Konfigurieren Ihrer Netzwerkumgebung für die Verwendung mit Verbundservern finden Sie im Abschnitt „Namensauflösungsanforderungen“ unter AD FS-Anforderungen.
Weitere Informationen
Planen Ihrer AD FS-BereitstellungstopologieEntwurfshandbuch für AD FS unter Windows Server 2012 R2