Legacy-AD FS-Verbundserverfarm mit WID

Die Standardtopologie für Active Directory-Verbunddienste (AD FS) (AD FS) ist eine Verbundserverfarm mit dem interne Windows-Datenbank (WID). In dieser Topologie verwendet AD FS WID als Speicher für die AD FS-Konfigurationsdatenbank für alle Verbundserver, die dieser Farm beigetreten sind. Die Verbunddienstdaten in der Konfigurationsdatenbank werden von der Farm auf alle Server der Farm repliziert und dort verwaltet. AD FS in Windows Server 2012 R2 ermöglicht Organisationen mit 100 oder weniger Vertrauensebenen, Verbundserverfarmen mithilfe von WID mit bis zu 30 Servern zu konfigurieren.

Beim Erstellen des ersten Verbundservers in einer Farm wird auch ein neuer Verbunddienst erstellt. Wenn Sie WID für die AD FS-Konfigurationsdatenbank verwenden, wird der erste Verbundserver, den Sie in der Farm erstellen, als primärer Verbundserver bezeichnet. Dies bedeutet, dass dieser Computer mit einer Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank konfiguriert ist.

Alle anderen Verbundserver, die Sie für diese Farm konfigurieren, werden als sekundäre Verbundserver bezeichnet, da sie alle Änderungen replizieren müssen, die auf dem primären Verbundserver vorgenommen werden, in die schreibgeschützten Kopien der AD FS-Konfigurationsdatenbank, die sie lokal speichern.

Wichtig

Es wird empfohlen, mindestens zwei Verbundserver in einer Konfiguration mit Lastenausgleich zu verwenden.

Überlegungen zur Bereitstellung

In diesem Abschnitt werden verschiedene Überlegungen zu der beabsichtigten Zielgruppe, den Vorteilen und Einschränkungen beschrieben, die dieser Bereitstellungstopologie zugeordnet sind.

Wer sollte diese Topologie verwenden?

  • Organisationen mit 100 oder weniger konfigurierten Vertrauensbeziehungen, die ihre internen Benutzer bereitstellen müssen (angemeldet bei Computern, die physisch mit dem Unternehmensnetzwerk verbunden sind) mit einmaligem Anmelden (Single Sign-On, SSO) zugriff auf Verbundanwendungen oder Dienste

  • Organisationen, die ihren internen Benutzern SSO-Zugriff auf Microsoft Online Services oder Microsoft Office 365

  • Kleinere Organisationen, die redundante, skalierbare Dienste erfordern

Hinweis

Organisationen mit größeren Datenbanken sollten die Verwendung der Verbundserverfarm mit SQL Server Bereitstellungstopologie in Betracht ziehen. Organisationen mit Benutzern, die sich außerhalb des Netzwerks anmelden, sollten entweder die Verbundserverfarm mit WID- und Proxies-Topologie oder die Verbundserverfarm mit SQL Server Topologie verwenden.

Welche Vorteile hat die Verwendung dieser Topologie?

  • Bietet SSO-Zugriff auf interne Benutzer

  • Daten- und Verbunddienst redundanz (jeder Verbundserver repliziert Änderungen an anderen Verbundservern in derselben Farm)

  • WID ist in Windows enthalten. Daher müssen sie keine SQL Server

Was sind die Einschränkungen der Verwendung dieser Topologie?

  • Eine WID-Farm hat einen Grenzwert von 30 Verbundservern, wenn Sie über 100 oder weniger Vertrauensebenen verfügen.

  • Eine WID-Farm unterstützt keine Token-Replay-Erkennung oder Artefakteauflösung (Teil des SAML-Protokolls (Security Assertion Markup Language).

Die folgende Tabelle enthält eine Zusammenfassung für die Verwendung einer WID-Farm. Verwenden Sie sie, um Ihre Implementierung zu planen.

1–100 Vertrauensstellungen der vertrauenden Seite (RP) Mehr als 100 Vertrauensstellungen der vertrauenden Seite (RP)
1–30 AD FS-Knoten: Von WID unterstützt 1–30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich
Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich

Empfehlungen zu Serverplatzierung und Netzwerklayout

Wenn Sie mit der Bereitstellung dieser Topologie in Ihrem Netzwerk beginnen möchten, sollten Sie planen, alle Verbundserver in Ihrem Unternehmensnetzwerk hinter einem NLB-Host (Network Load Balancing) zu platzieren, der für einen NLB-Cluster mit einem dedizierten DNS-Namen (Domain Name System) und einer Cluster-IP-Adresse konfiguriert werden kann.

Hinweis

Dieser Cluster-DNS-Name muss dem Namen des Verbunddiensts entsprechen, z. B. fs.fabrikam.com.

Der NLB-Host kann die Einstellungen verwenden, die in diesem NLB-Cluster definiert sind, um Clientanforderungen den einzelnen Verbundservern zuzuweisen. Die folgende Abbildung zeigt, wie das fiktive Fabrikam, Inc.-Unternehmen die erste Phase seiner Bereitstellung mit einer Zwei-Computer-Verbundserverfarm (fs1 und fs2) mit WID und die Positionierung eines DNS-Servers und eines einzelnen NLB-Hosts eingerichtet, der mit dem Unternehmensnetzwerk verbunden ist.

server farm using WID

Hinweis

Wenn auf diesem einzelnen NLB-Host ein Fehler auftritt, können Benutzer nicht auf Verbundanwendungen oder -dienste zugreifen. Fügen Sie weitere NLB-Hosts hinzu, wenn Ihre Geschäftsanforderungen eine einzelne Fehlerquelle nicht zulassen.

Weitere Informationen zum Konfigurieren Ihrer Netzwerkumgebung für die Verwendung mit Verbundservern finden Sie im Abschnitt "Anforderungen zur Namensauflösung" in AD FS-Anforderungen.

Weitere Informationen

Planen Ihres AD FS-BereitstellungstopologieADFS-Entwurfshandbuchs in Windows Server 2012 R2