Verbundserverfarmen mit WID und Proxys in Legacyversionen von AD FS
Diese Bereitstellungstopologie für Active Directory-Verbunddienste (AD FS) entspricht der Topologie für Verbundserverfarmen mit interner Windows-Datenbank (Windows Internal Database, WID), sie umfasst jedoch zusätzlich Proxycomputer im Umkreisnetzwerk, um externe Benutzer zu unterstützen. Diese Proxys leiten von außerhalb Ihres Unternehmensnetzwerks gesendete Clientauthentifizierungsanforderungen an die Verbundserverfarm um. In früheren Versionen von AD FS wurden diese Proxys Verbundserverproxys genannt.
Wichtig
In Active Directory-Verbunddienste (AD FS) unter Windows Server 2012 R2 wird die Rolle eines Verbundserverproxys von einem neuen Rollendienst für Remotezugriff übernommen, der als Webanwendungsproxy bezeichnet wird. Damit der Zugriff auf Ihre AD FS-Instanz von außerhalb des Unternehmensnetzwerks möglich ist (worin der Zweck der Bereitstellung eines Verbundserverproxys in Legacyversionen von AD FS wie AD FS 2.0 und AD FS unter Windows Server 2012 bestand), können Sie mindestens einen Webanwendungsproxy für AD FS unter Windows Server 2012 R2 bereitstellen.
Im Kontext von AD FS fungiert der Webanwendungsproxy als AD FS-Verbundserverproxy. Darüber hinaus bietet der Webanwendungsproxy Reverseproxyfunktionen für Webanwendungen in Ihrem Unternehmensnetzwerk, damit Benutzer außerhalb des Unternehmensnetzwerks von allen Geräten auf die Anwendungen zugreifen können. Weitere Informationen zum Webanwendungsproxy-Rollendienst finden Sie unter „Übersicht über den Webanwendungsproxy“.
Bei der Planung die Bereitstellung von Web Application Proxy können Sie die Informationen in den folgenden Themen lesen:
Überlegungen zur Bereitstellung
In diesem Abschnitt werden verschiedene Überlegungen zur Zielgruppe sowie die Vorteile und Einschränkungen beschrieben, die mit dieser Bereitstellungstopologie verbunden sind.
Zielgruppe dieser Topologie
Organisationen mit maximal 100 konfigurierten Vertrauensstellungen, die ihren internen und externen Benutzern (die an Computern angemeldet sind, die sich physisch außerhalb des Unternehmensnetzwerks befinden) SSO-Zugriff auf Verbundanwendungen oder -dienste bieten müssen
Organisationen, die sowohl internen als auch externen Benutzern SSO-Zugriff auf Microsoft Office 365 bieten müssen
Kleinere Organisationen, die über externe Benutzer verfügen und redundante, skalierbare Dienste benötigen
Welche Vorteile bietet diese Topologie?
- Die gleichen Vorteile wie bei der Topologie Verbundserverfarm mit WID, sowie den Vorteil des zusätzlichen Zugriffs für externe Benutzer
Welche Einschränkungen gibt es bei der Verwendung dieser Topologie?
Es gelten die gleichen Einschränkungen wie für die Topologie Verbundserverfarm mit WID.
1–100 Vertrauensstellungen der vertrauenden Seite (RP) Mehr als 100 Vertrauensstellungen der vertrauenden Seite (RP) 1–30 AD FS-Knoten: Von WID unterstützt 1–30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich
Empfehlungen für die Serverplatzierung und das Netzwerklayout
Damit Sie diese Topologie bereitstellen können, müssen Sie zusätzlich zum Hinzufügen von zwei Webanwendungsproxys sicherstellen, dass Ihr Umkreisnetzwerk auch Zugriff auf einen Domain Name System-Server (DNS-Server) und einen zweiten Netzwerklastenausgleichshost (Network Load Balancing, NLB) bereitstellen kann. Der zweite NLB-Host muss mit einem NLB-Cluster konfiguriert werden, für den eine aus dem Internet zugängliche Cluster-IP-Adresse verwendet wird. Zudem muss für diesen die gleiche Cluster-DNS-Namenseinstellung wie für den vorherigen NLB-Cluster verwendet werden, den Sie im Unternehmensnetzwerk konfiguriert haben („fs.fabrikam.com“). Die Webanwendungsproxys sollten ebenfalls mit aus dem Internet zugänglichen IP-Adressen konfiguriert werden.
In der folgenden Abbildung sehen Sie die zuvor beschriebene Topologie der Verbundserverfarm mit WID. Außerdem ist darin dargestellt, wie das fiktive Unternehmen Fabrikam, Inc. Zugriff auf einen DNS-Umkreisserver bereitstellt, einen zweiten NLB-Host mit demselben Cluster-DNS-Namen („fs.fabrikam.com“) hinzufügt und dem Umkreisnetzwerk zwei Webanwendungsproxys („wap1“ und „wap2“) hinzufügt.
Weitere Informationen zum Konfigurieren Ihrer Netzwerkumgebung für die Verwendung mit Verbundservern oder Webanwendungsproxys finden Sie im Abschnitt „Namensauflösungsanforderungen“ unter AD FS-Anforderungen und unter Planen der Infrastruktur für den Webanwendungsproxy (WAP).
Weitere Informationen
Planen Ihrer AD FS-BereitstellungstopologieEntwurfshandbuch für AD FS unter Windows Server 2012 R2