Freigeben über


Legacy-AD FS-Verbundserverfarm mit WID

Die Standardtopologie für Active Directory-Verbunddienste (AD FS) ist eine Verbundserverfarm mit der internen Windows-Datenbank (WID). In dieser Topologie verwendet AD FS WID als Speicher für die AD FS-Konfigurationsdatenbank für alle Verbundserver, die dieser Farm beigetreten sind. Die Farm repliziert und verwaltet die Verbunddienstdaten in der Konfigurationsdatenbank auf jedem Server in der Farm. AD FS in Windows Server 2012 R2 ermöglicht Organisationen mit 100 oder weniger Vertrauensebenen, Verbundserverfarmen mit WID mit bis zu 30 Servern zu konfigurieren.

Durch die Erstellung des ersten Verbundservers in einer Farm wird auch ein neuer Verbunddienst erstellt. Wenn Sie WID für die AD FS-Konfigurationsdatenbank verwenden, wird der erste Verbundserver, den Sie in der Farm erstellen, als primären Verbundserver bezeichnet. Dies bedeutet, dass dieser Computer mit einer Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank konfiguriert ist.

Alle anderen Verbundserver, die Sie für diese Farm konfigurieren, werden als sekundäre Verbundserver bezeichnet, da sie alle Änderungen replizieren müssen, die auf dem primären Verbundserver vorgenommen werden, in die schreibgeschützten Kopien der AD FS-Konfigurationsdatenbank, die sie lokal speichern.

Wichtig

Es wird empfohlen, mindestens zwei Verbundserver in einer Konfiguration mit Lastenausgleich zu verwenden.

Bereitstellungsüberlegungen

In diesem Abschnitt werden verschiedene Überlegungen zu den vorgesehenen Zielgruppen, Vorteilen und Einschränkungen beschrieben, die dieser Bereitstellungstopologie zugeordnet sind.

Wer sollte diese Topologie verwenden?

  • Organisationen mit 100 oder weniger konfigurierten Vertrauensstellungen, die ihren internen Benutzern, die bei Computern angemeldet sind und physisch mit dem Unternehmensnetzwerk verbunden sind, einen SSO-Zugriff auf verknüpfte Anwendungen oder Dienste bereitstellen müssen

  • Organisationen, die ihren internen Benutzern SSO-Zugriff auf Microsoft Online Services oder Microsoft Office 365 gewähren möchten

  • Kleinere Organisationen, die redundante, skalierbare Dienste erfordern

Hinweis

Organisationen mit größeren Datenbanken sollten die Verwendung der Federation Server Farm Using SQL Server Bereitstellungstopologie in Betracht ziehen. Organisationen mit Benutzern, die sich außerhalb des Netzwerks anmelden, sollten entweder die Verbundserverfarm mit WID- und Proxystopologie oder die Verbundserverfarm mit SQL Server-Topologie verwenden.

Welche Vorteile bietet die Verwendung dieser Topologie?

  • Bietet SSO-Zugriff auf interne Benutzer

  • Daten- und Verbunddienstredundanz (jeder Verbundserver repliziert Änderungen an anderen Verbundservern in derselben Farm)

  • WID ist in Windows enthalten; daher müssen Sie SQL Server nicht kaufen.

Welche Einschränkungen gelten für die Verwendung dieser Topologie?

  • Eine WID-Farm hat einen Grenzwert von 30 Verbundservern, wenn Sie 100 oder weniger Vertrauensebenen haben.

  • Eine WID-Farm unterstützt keine Erkennung einer Tokenmehrfachverwendung oder Artefaktauflösung – Teil des SAML-Protokolls (Security Assertion Markup Language).

Die folgende Tabelle enthält eine Zusammenfassung für die Verwendung einer WID-Farm. Verwenden Sie sie, um Ihre Implementierung zu planen.

1–100 Vertrauensstellungen der vertrauenden Seite (RP) Mehr als 100 RP-Stiftungen
1–30 AD FS-Knoten: Von WID unterstützt 1-30 AD FS-Knoten: Nicht unterstützt bei Verwendung von WID – SQL erforderlich
Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich

Empfehlungen für Serverplatzierung und Netzwerklayout

Wenn Sie bereit sind, mit der Bereitstellung dieser Topologie in Ihrem Netzwerk zu beginnen, sollten Sie planen, alle Verbundserver in Ihrem Unternehmensnetzwerk hinter einem Netzwerklastenausgleichshost (Network Load Balancing, NLB) zu platzieren, der für einen NLB-Cluster mit einem dedizierten DNS-Namen (Cluster Domain Name System) und einer Cluster-IP-Adresse konfiguriert werden kann.

Hinweis

Dieser Cluster-DNS-Name muss dem Verbunddienstnamen entsprechen, z. B. fs.fabrikam.com.

Der NLB-Host kann die Einstellungen verwenden, die in diesem NLB-Cluster definiert sind, um Clientanforderungen den einzelnen Verbundservern zuzuweisen. Die folgende Abbildung zeigt, wie das fiktive Unternehmen Fabrikam, Inc., die erste Phase der Bereitstellung mithilfe einer Zwei-Computer-Verbundserverfarm (fs1 und fs2) mit WID und der Positionierung eines DNS-Servers und eines einzelnen NLB-Hosts einrichtet, der mit dem Unternehmensnetzwerk verbunden ist.

Serverfarm mit WID

Hinweis

Wenn auf diesem einzelnen NLB-Host ein Fehler auftritt, können Benutzer nicht auf Verbundanwendungen oder -dienste zugreifen. Fügen Sie zusätzliche NLB-Hosts hinzu, wenn Ihre Geschäftsanforderungen keinen einzelnen Fehlerpunkt zulassen.

Weitere Informationen zum Konfigurieren Ihrer Netzwerkumgebung für die Verwendung mit Verbundservern finden Sie im Abschnitt "Anforderungen zur Namensauflösung" in DEN AD FS-Anforderungen.

Siehe auch

Planen der AD FS-BereitstellungstopologieAD FS-Entwurfshandbuch in Windows Server 2012 R2