Wann sollte eine Verbundserverfarm erstellt werden?
Ziehen Sie das Erstellen einer Verbundserverfarm in Active Directory-Verbunddienste (AD FS) in Betracht, wenn Sie eine größere AD FS-Bereitstellung besitzen und Fehlertoleranz, Lastenausgleich oder Skalierbarkeit für den Verbunddienst Ihrer Organisation bereitstellen möchten. Mit Erstellung von zwei oder mehr Verbundservern im gleichen Netzwerk, der Konfiguration aller zur Verwendung des gleichen Verbunddiensts und dem Hinzufügen der öffentlichen Schlüssel der Tokensignaturzertifikate der einzelnen Server zum AD FS-Verwaltungs-Snap-In wird eine Verbundserverfarm erstellt.
Um eine Verbundserverfarm zu erstellen oder zusätzliche Verbundserver in einer vorhandenen Farm zu installieren, können Sie den AD FS-Assistenten für die Konfiguration eines Verbundservers verwenden. Weitere Informationen finden Sie unter When to Create a Federation Server.
Hinweis
Wenn Sie die Option zum Erstellen einer Neuen Verbundserverfarm mithilfe des AD FS-Verbundserverkonfigurations-Assistenten wählen, versucht der Assistent, ein Containerobjekt (für die gemeinsame Nutzung von Zertifikaten) in Active Directory zu erstellen. Aus diesem Grund ist es wichtig, dass Sie sich zuerst bei dem Computer anmelden, auf dem Sie die Verbundserverrolle einrichten, und zwar mit einem Konto, das über ausreichende Berechtigungen zum Erstellen dieses Containerobjekts in Active Directory verfügt.
Bevor Verbundserver als Farm gruppiert werden können, müssen sie zuerst in Clustern platziert werden, damit die Anforderungen, die bei einem einzelnen vollständig qualifizierten Domänennamen (FQDN) ankommen, zu den verschiedenen Verbundservern der Serverfarm weitergeleitet werden. Sie können den Servercluster durch Bereitstellen des Netzwerklastenausgleichs (NLB) innerhalb des Unternehmensnetzwerks erstellen. Dieses Handbuch setzt voraus, dass der NLB so konfiguriert wurde, dass jeder Verbundserver in der Farm in einem Cluster untergebracht wird.
Weitere Informationen zum Konfigurieren eines Cluster-FQDN mit Microsoft NLB-Technologie finden Sie unter Angeben von Clusterparametern.
Bewährte Methoden zum Bereitstellen einer Verbundserverfarm
Die folgenden bewährten Methoden werden für die Bereitstellung eines Verbundservers in einer Produktionsumgebung empfohlen:
Wenn Sie mehrere Verbundserver zum gleichen Zeitpunkt bereitstellen möchten, oder Sie wissen, dass Sie der Farm mit der Zeit weitere Server hinzufügen werden, sollten Sie erwägen, ein Serverabbild von einem in der Farm vorhandenen Verbundserver zu erstellen, und installieren Sie dann von dem Abbild aus, wenn Sie schnell zusätzliche Verbundserver erstellen müssen.
Hinweis
Wenn Sie beschließen, die Serverimagemethode zur Bereitstellung zusätzlicher Verbundserver zu verwenden, müssen Sie nicht jedes Mal die Aufgaben der Checkliste: Einrichten eines Verbundservers ausführen, wenn Sie der Farm einen neuen Server hinzufügen möchten.
Verwenden Sie NLB oder eine andere Art des Clusterings, um eine einzelne IP-Adresse vielen Verbundservercomputern zuzuordnen.
Reservieren Sie eine statische IP-Adresse für jeden Verbundserver in der Farm, und fügen Sie, je nach Konfiguration des Domain Name Systems (DNS), einen Ausschluss für jede IP-Adresse in das Dynamic Host Configuration-Protokoll (DHCP) ein. Microsoft NLB-Technologie erfordert, dass jedem Server, der am NLB-Cluster teilnimmt, eine statische IP-Adresse zugewiesen wird.
Wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbank gespeichert wird, vermeiden Sie die gleichzeitige Bearbeitung der SQL-Datenbank von mehreren Verbundservern aus.
Konfigurieren von Verbundservern für eine Farm
In der folgenden Tabelle werden die Aufgaben beschrieben, die ausgeführt werden müssen, damit jeder Verbundserver in einer Farmumgebung teilnehmen kann.
| Aufgabe | BESCHREIBUNG |
|---|---|
| Wenn Sie SQL Server zum Speichern der AD FS-Konfigurationsdatenbank verwenden | Eine Verbundserverfarm besteht aus zwei oder mehr Verbundservern, die die gleiche AD FS-Konfigurationsdatenbank und die gleichen Tokensignaturzertifikate verwenden. Die Konfigurationsdatenbank kann in jeder internen Windows-Datenbank oder in einer SQL Server-Datenbank gespeichert werden. Wenn Sie die Konfigurationsdatenbank in einer SQL-Datenbank speichern möchten, stellen Sie sicher, dass der Zugriff auf die Konfigurationsdatenbank möglich ist, sodass alle neuen Verbundserver darauf zugreifen können, die an der Farm beteiligt sind. Hinweis: Für Farmszenarien ist wichtig, dass die Konfigurationsdatenbank sich auf einem Computer befindet, der in dieser Farm nicht auch als Verbundserver fungiert. Microsoft NLB erlaubt den Computern, die an einer Farm teilnehmen, nicht, miteinander zu kommunizieren. Hinweis: Stellen Sie sicher, dass die Identität des AD FS AppPool in Internet Information Services (IIS) auf jedem Verbundserver, der an der Farm beteiligt ist, über Lesezugriff auf die Konfigurationsdatenbank verfügt. |
| Abrufen und Freigeben von Zertifikaten | Sie können ein Einzelserver-Authentifizierungszertifikat von einer öffentlichen Zertifizierungsstelle (CA) erhalten – z. B. VeriSign. Dann können Sie das Zertifikat so konfigurieren, dass alle Verbundserver den gleichen privaten Teil des Zertifikatsschlüssels gemeinsam nutzen. Weitere Informationen zur gemeinsamen Nutzung des gleichen Zertifikats finden Sie unter Checklist: Setting Up a Federation Server. Hinweis: Im AD FS-Verwaltungs-Snap-In werden Serverauthentifizierungszertifikate für Verbundserver als Dienstkommunikationszertifikate bezeichnet. Weitere Informationen finden Sie unter Certificate Requirements for Federation Servers. |
| Zeigen auf die gleiche SQL Server-Instanz | Wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbank gespeichert wird, muss der neue Verbundserver auf die gleiche SQL Server-Instanz zeigen, die von anderen Verbundservern in der Farm verwendet wird, damit der neue Server an der Farm teilnehmen kann. |