Rolle der AD FS-Konfigurationsdatenbank
Die AD FS-Konfigurationsdatenbank speichert alle Konfigurationsdaten, die eine einzelne Instanz der Active Directory-Verbunddienste (AD FS) (d. h. den Verbunddienst) darstellen. In der AD FS-Konfigurationsdatenbank sind die Parameter definiert, die für einen Verbunddienst benötigt werden, um Partner, Zertifikate, Attributspeicher, Ansprüche und verschiedene Daten zu diesen zugeordneten Entitäten zu identifizieren. Sie können diese Konfigurationsdaten entweder in einer Microsoft SQL Server®-Datenbank oder in der internen Windows-Datenbank speichern, die in Windows Server 2012 oder höher verfügbar ist.
Hinweis
Sämtliche Inhalte der AD FS-Konfigurationsdatenbank können entweder in einer Instanz der internen Windows-Datenbank oder in einer Instanz der SQL-Datenbank gespeichert werden, jedoch nicht in beiden. Das bedeutet, Sie können nicht über einige Verbundserver verfügen, die die interne Windows-Datenbank verwenden, während andere Verbundserver eine SQL Server-Datenbank für dieselbe Instanz der AD FS-Konfigurationsdatenbank verwenden.
Weitere Informationen zu den Vor- und Nachteilen bei der Wahl zwischen interner Windows-Datenbank oder SQL Server zum Speichern der AD FS-Konfigurationsdatenbank erhalten Sie in den folgenden Informationen in diesem Abschnitt sowie in den unter Überlegungen zur AD FS-Bereitstellungstopologie bereitgestellten Inhalten:
Die interne Windows-Datenbank verwendet einen relationalen Datenspeicher und verfügt nicht über eine eigene Benutzeroberfläche für die Verwaltung. Stattdessen können die Inhalte der AD FS-Konfigurationsdatenbank von Administratoren entweder über das AD FS-Verwaltungs-Snap-In, "Fsconfig.exe", oder über Windows PowerShell™-Cmdlets geändert werden.
Verwenden der internen Windows-Datenbank zum Speichern der AD FS-Konfigurationsdatenbank
Sie können die AD FS-Konfigurationsdatenbank unter Verwendung der internen Windows-Datenbank als Speicher erstellen, indem Sie entweder das Befehlszeilentool „Fsconfig.exe“ oder den Assistenten zum Konfigurieren von AD FS-Verbundservern verwenden. Wenn Sie eines dieser Tools verwenden, können Sie eine der folgenden Optionen zum Erstellen Ihrer Verbundservertopologie auswählen. Jede dieser Optionen verwendet die interne Windows-Datenbank zum Speichern der AD FS-Konfigurationsdatenbank:
Erstellen eines eigenständigen Verbundservers
Erstellen des ersten Verbundservers in einer Verbundserverfarm
Hinzufügen eines Verbundservers zu einer Verbundserverfarm
Wenn Sie die eigenständige Option auswählen, wird eine einzelne Instanz der AD FS-Konfigurationsdatenbank in der internen Windows-Datenbank gespeichert. Diese Instanz kann nicht vom mehreren Verbundservern gemeinsam genutzt werden. Sie ist nur für Testumgebungen vorgesehen. Weitere Informationen zur Option der eigenständigen Verbundserver oder zum Einrichten eines eigenständigen Verbundservers finden Sie unter Eigenständiger Verbundserver mit interner Windows-Datenbank oder Erstellen eines eigenständigen Verbundservers.
Wenn Sie den ersten Verbundserver einer Verbundserverfarmoption auswählen, wird die interne Windows-Datenbank für die Skalierbarkeit konfiguriert, die das spätere Hinzufügen zusätzlicher Verbundserver zur Farm gestattet. Weitere Informationen zum Bereitstellen oder Einrichten einer internen Windows-Datenbankfarm finden Sie unter Verbundserverfarm mit WID oder Erstellen des ersten Verbundservers in einer Verbundserverfarm.
Wenn Sie die Option zum Hinzufügen eines Verbundservers auswählen, wird die interne Windows-Datenbank für die Replikation der Konfigurationsdatenbankänderungen in festgelegten Intervallen auf dem neuen Verbundserver konfiguriert. Weitere Informationen zum Hinzufügen eines Verbundservers zu einer internen Windows-Datenbankfarm finden Sie unter Verbundserverfarm mit WID oder Hinzufügen eines Verbundservers zu einer Verbundserverfarm.
Hinweis
Wenn Sie eine Verbundserverfarm mithilfe der internen Windows-Datenbank bereitstellen, stehen einige Features von AD FS möglicherweise nicht zur Verfügung. Damit Sie beim Konfigurieren Ihrer Serverfarm Zugriff auf die vollständige Featuregruppe haben, erwägen Sie stattdessen die Verwendung von Microsoft SQL Server zum Speichern der AD FS-Konfigurationsdatenbank. Weitere Informationen finden Sie unter Überlegungen zur AD FS-Bereitstellungstopologie.
Funktionsweise einer Verbundserverfarm mit internen Windows-Datenbanken
In diesem Abschnitt werden wichtige Konzepte erläutert, die beschreiben, wie die Verbundserverfarm mit internen Windows-Datenbanken Daten zwischen einem primären Verbundserver und sekundären Verbundservern replizieren. .
Primärer Verbundserver
Ein primärer Server ist ein Computer mit Windows Server 2012 oder höher, der mithilfe des Assistenten für die Konfiguration von AD FS-Verbundservern mit der Rolle „Verbundserver“ konfiguriert wurde und über eine Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank verfügt. Der primäre Verbundserver wird immer erstellt, wenn Sie den Konfigurations-Assistenten für den AD FS-Verbundserver verwenden, die Option zum Erstellen eines neuen Verbunddiensts auswählen und diesen Computer dann zum ersten Verbundserver in der Farm machen. Alle anderen Verbundserver in dieser Farm, die auch als sekundäre Verbundserver bezeichnet werden, müssen die am primären Verbundserver vorgenommenen Änderungen mit einer Kopie der AD FS-Konfigurationsdatenbank synchronisieren, die lokal gespeichert wird.
Sekundäre Verbundserver
Auf den sekundären Verbundservern wird eine Kopie der AD FS-Konfigurationsdatenbank des primären Verbundservers gespeichert, aber diese Kopien sind schreibgeschützt. Sekundäre Verbundserver stellen eine Verbindung zum primären Verbundserver in der Farm her und führen eine Synchronisierung durch, indem sie den Server in regelmäßigen Intervallen abfragen, um auf geänderte Daten zu prüfen. Die sekundären Verbundserver sind dafür vorgesehen, eine entsprechende Fehlertoleranz für den primären Verbundserver bereitzustellen, während sie auf Zugriffsanforderungen für den Lastenausgleich reagieren, die in der gesamten Netzwerkumgebung an verschiedenen Standorten gesendet werden.
Synchronisieren der AD FS-Konfigurationsdatenbank
Da die AD FS-Konfigurationsdatenbank eine wichtige Rolle spielt, wird sie auf allen Verbundservern im Netzwerk bereitgestellt, um beim Verarbeiten von Anforderungen (bei Verwendung eines Netzwerklastenausgleichs) entsprechende Fehlertoleranz- und Lastenausgleichsfunktionen zu bieten. Die auf dem primären Verbundserver gespeicherte AD FS-Konfigurationsdatenbank muss jedoch synchronisiert werden, damit die sekundären Verbundserver diese Aufgabe übernehmen können.
Wenn Sie einen Verbundserver zur Farm hinzufügen, stellt der neue Computer, der zu einem sekundären Verbundserver wird, eine Verbindung zum primären Verbundserver her, um die Kopie der AD FS-Konfigurationsdatenbank zu replizieren. Von diesem Punkt an ruft der neue Verbundserver regelmäßig Aktualisierungen vom primären Verbundserver ab, wie in der folgenden Abbildung veranschaulicht.
Jeder sekundäre Verbundserver prüft den primären Verbundserver alle fünf Minuten auf Änderungen. Sie können diesen Standardwert anpassen oder mithilfe eines Windows PowerShell-Cmdlets jederzeit eine sofortige Synchronisierung erzwingen. Weitere Informationen dazu finden Sie unter AD FS-Verwaltung mit Windows PowerShell.
Der Synchronisierungsprozess der internen Windows-Datenbank unterstützt auch inkrementelle Übertragungen, um zwischenzeitliche Änderungen effizienter zu übertragen. Der inkrementelle Übertragungsprozess erzeugt erheblich weniger Datenverkehr im Netzwerk und die Übertragungen sind dadurch wesentlich schneller abgeschlossen.
Hinweis
Die Migration einer AD FS-Konfigurationsdatenbank aus einer internen Windows-Datenbank zu einer Instanz von SQL Server wird unterstützt. Weitere Informationen dazu finden Sie auf der TechNet-Wiki-Website unter AD FS: Migrieren Ihrer AD FS-Konfigurationsdatenbank zu SQL Server.
So verwalten Sie die AD FS-Synchronisierungseigenschaften
In diesem Abschnitt wird beschrieben, wie Sie die Synchronisierungseigenschaften der AD FS-Konfigurationsdatenbank anzeigen und bearbeiten. .
Das Cmdlet Get-ADFSSyncProperties ruft die Synchronisierungseigenschaften für die Konfigurationsdatenbank der Active Directory-Verbunddienste (AD FS) ab.
PS C:\> Get-ADFSSyncProperties
Auf dem primären AD FS-Server zeigt dieses Cmdlet nur an, dass die Rolle der primäre Computer ist. Bei einem sekundären Mitglied wird der Rest der Konfiguration angezeigt, einschließlich des vollqualifizierten Domänennamens der letzten Synchronisierung vom primären Computer, des Status und der Uhrzeit der letzten Synchronisierung, der Umfragedauer, des aktuell konfigurierten primären Computenamens, des Ports des primären Computers und der Rolle des sekundären Computers.
Das Cmdlet Set-ADFSSyncProperties ändert die Häufigkeit der Synchronisierung für die Konfigurationsdatenbank der Active Directory-Verbunddienste (AD FS). Das Cmdlet gibt auch an, welcher Verbundserver der primäre Server in der Verbundserverfarm ist.
Hinweis
Wenn ein primärer Verbundserver abstürzt und offline ist, werden Anforderungen weiterhin von allen sekundären Verbundservern verarbeitet. Es können jedoch keine neuen Änderungen am Verbunddienst vorgenommen werden, bis der primäre Verbundserver wieder online ist. Sie können mithilfe von Windows PowerShell auch einen sekundären Verbundserver als neuen primären Verbundserver festlegen. Wenn Sie einen neuen primären Server bestimmen, müssen die übrigen Server geändert werden, um den neuen primären Server widerzuspiegeln. Der Einsatz von zwei primären Servern in einer WID-Farm beeinträchtigt die Stabilität der Farm und birgt die Gefahr von Datenverlusten.
Ändern der Umfragedauer für eine Farm
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Mit diesem Befehl ändern Sie die Datenbanksynchronisierung auf 3600 Sekunden. Der Befehl nimmt die Änderung am primären Verbundserver vor.
Ändern eines Servers von sekundär zu primär
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Dieser Befehl ändert einen AD FS-Server in einer WID-Farm von sekundär zu primär.
Ändern eines primären Servers in einen sekundären Server
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Dieser Befehl ändert einen primären AD FS-Server in einer WID-Farm in einen sekundären Server. Sie müssen den vollqualifizierten Domänennamen des primären Servers angeben. Dies kann dazu führen, dass nicht alle sekundären AD FS-Server ordnungsgemäß synchronisiert werden. Hinweis: Der primäre Server muss über HTTP auf Port 80 vom sekundären Server aus erreichbar sein.
Weitere Informationen finden Sie unter: Set-AdfsSyncProperties
Verwenden von SQL Server zum Speichern der AD FS-Konfigurationsdatenbank
Mit dem Befehlszeilentool "Fsconfig.exe" können Sie die AD FS-Konfigurationsdatenbank mithilfe einer einzelnen SQL Server-Datenbankinstanz als Speicher erstellen. Die Verwendung einer SQL Server-Datenbank als AD FS-Konfigurationsdatenbank bietet gegenüber der internen Windows-Datenbank die folgenden Vorteile:
Administratoren können die Features für hohe Verfügbarkeit von SQL Server nutzen.
Sie bietet zusätzliche Leistungssteigerungen bei hohem Datenverkehr.
Sie bietet die Featureunterstützung für die SAML-Artefaktauflösung und die Tokenwiedergabeerkennung für den SAML-/WS-Verbund (im Folgenden beschrieben).
Der Begriff „primärer Verbundserver“ trifft nicht zu, wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbankinstanz gespeichert wird, da alle Verbundserver gleichermaßen aus der AD FS-Konfigurationsdatenbank lesen bzw. in diese schreiben können, die dieselbe SQL Server-Clusterinstanz verwendet, wie in der folgenden Abbildung veranschaulicht.
Sie können mit SQL Server mindestens zwei Server für die Zusammenarbeit als Servercluster konfigurieren, um sicherzustellen, dass AD FS für die Bearbeitung eingehender Clientanforderungen eine hohe Verfügbarkeit aufweist. Die hohe Verfügbarkeit bietet eine Architektur mit horizontaler Skalierung, in der Sie die Serverkapazität durch Hinzufügen weiterer Server erhöhen können. Einzelne Fehlerquellen werden durch automatische Clusterfailover verringert.
Sie können die hohe Verfügbarkeit durch den Netzwerklastenausgleich und durch Failoverdienste erreichen, die von der SQL-Clustertechnologie bereitgestellt werden. Weitere Informationen zum Konfigurieren von SQL Server für Hochverfügbarkeit finden Sie unter Hochverfügbarkeitslösungen – Übersicht.
SAML-Artefaktauflösung
Die SAML-Artefaktauflösung (Security Assertion Markup Language) ist ein Endpunkt, der auf dem Abschnitt des SAML 2.0-Protokolls basiert, in dem beschrieben wird, wie eine vertrauende Seite ein Token direkt von einem Anspruchsanbieter abrufen kann. In der ersten Phase des Auflösungsprozesses kontaktiert ein Browserclient einen Ressourcenverbundserver und stellt diesem ein Artefakt bereit. In der zweiten Phase wird das Artefakt von Ressourcenverbundservern zum Auflösen der Artefaktnachricht an die URL eines SAML-Artefaktendpunkts gesendet, der in einer Kontopartnerorganisation gehostet wird. In der letzten Phase sendet der Kontoverbundserver das Token im Namen des Browserclients an den Verbundserver.
Hinweis
Wenn Sie Administrator in einer Kontopartnerorganisation sind, stellen Sie sicher, dass Sie ein SSL-Zertifikat, das mit einem Stammzertifikat eines Mitglieds des Windows-Programms für Stammzertifikate verknüpft ist, zur passiven Website des Verbunds in IIS („<ComputerName>\Sites\Default Web Site\adfs\ls“) auf allen Kontoverbundservern in der Farm zuweisen oder es an diese binden. Dies ist wichtig, um zu verhindern, dass Ressourcenverbundserver das SSL-Zertifikat manuell zum Zertifikatspeicher für vertrauenswürdige Personen des lokalen Computers hinzufügen müssen. Zudem soll es verhindern, dass Sie das in Ihrer Organisation veröffentlichte Artefakt nicht auflösen können.
SAML/WS: Wiedergabeerkennung für das Verbundtoken
Der Begriff Tokenwiedergabe bezieht sich auf den Vorgang, bei dem ein Browserclient in einer Kontopartnerorganisation versucht, dasselbe Token zu senden, das er von einem Kontoverbundserver mehrmals erhalten hat, um sich für einen Ressourcenverbundserver zu authentifizieren. Dieser Vorgang tritt auf, wenn ein Benutzer auf die Schaltfläche Zurück seines Browsers klickt, um die Authentifizierungsseite erneut zu übermitteln.
AD FS stellt das Feature Tokenwiedergabeerkennung bereit, mit dem mehrere Tokenanforderungen erkannt und verworfen werden können, die dasselbe Token verwenden. Wenn dieses Feature aktiviert ist, wird die Integrität von Authentifizierungsanforderungen sowohl im passiven WS-Verbundprofil als auch im SAML WebSSO-Profil durch die Tokenwiedergabeerkennung geschützt, indem sichergestellt wird, dass ein Token jeweils nur einmal verwendet werden kann. Dieses Feature sollte in Situationen aktiviert sein, in denen die Sicherheit eine wichtige Rolle spielt, z. B. bei der Verwendung von Kioskcomputern.
Im Kioskbeispiel kann sich ein Benutzer bei allen Websites abmelden und ein böswilliger Benutzer später versuchen, den Browserverlauf zu verwenden, um die Verbundauthentifizierungsseite erneut zu übermitteln, die vom vorherigen Benutzer geladen wurde. Dieses Feature entschärft dieses Problem, indem zusätzliche Informationen zu den einzelnen erfolgreichen Authentifizierungen einer Kontopartnerorganisation gespeichert werden, um die nachfolgende Wiedergabe des Tokens zu erkennen und zu verhindern, dass mehrere Authentifizierungsversuche erfolgreich ausgeführt werden.