Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In der AD FS-Konfigurationsdatenbank werden alle Konfigurationsdaten gespeichert, die eine einzelne Instanz von Active Directory-Verbunddiensten (AD FS) (d. h. dem Verbunddienst) darstellen. Die AD FS-Konfigurationsdatenbank definiert den Satz von Parametern, die ein Verbunddienst zum Identifizieren von Partnern, Zertifikaten, Attributspeichern, Ansprüchen und verschiedenen Daten zu diesen zugeordneten Entitäten benötigt. Sie können diese Konfigurationsdaten entweder in einer Microsoft SQL Server-Datenbank® oder in der Windows Internal Database (WID)-Funktion speichern, die in Windows Server 2012 oder höher enthalten ist.
Hinweis
Der gesamte Inhalt der AD FS-Konfigurationsdatenbank kann entweder in einer Instanz von WID oder in einer Instanz der SQL-Datenbank gespeichert werden, aber nicht beides. Dies bedeutet, dass Sie nicht über einige Verbundserver verfügen können, die WID verwenden und andere eine SQL Server-Datenbank für dieselbe Instanz der AD FS-Konfigurationsdatenbank verwenden.
Sie können die folgenden Informationen in diesem Thema zusammen mit den inhalten der AD FS-Bereitstellungstopologieüberlegungen verwenden, um mehr über die Vor- und Nachteile der Auswahl von WID oder SQL Server zum Speichern der AD FS-Konfigurationsdatenbank zu erfahren:
WID verwendet einen relationalen Datenspeicher und verfügt nicht über eine eigene Verwaltungsbenutzerschnittstelle (UI). Stattdessen können Administratoren den Inhalt der AD FS-Konfigurationsdatenbank mithilfe des AD FS-Verwaltungs-Snap-Ins, Fsconfig.exeoder der Windows PowerShell-Cmdlets™ ändern.
Verwenden von WID zum Speichern der AD FS-Konfigurationsdatenbank
Sie können die AD FS-Konfigurationsdatenbank mithilfe von WID als Speicher erstellen, indem Sie entweder das Befehlszeilentool Fsconfig.exe oder den AD FS-Verbundserverkonfigurations-Assistenten verwenden. Wenn Sie eines dieser Tools verwenden, können Sie eine der folgenden Optionen auswählen, um die Verbundservertopologie zu erstellen. Jede dieser Optionen verwendet WID zum Speichern der AD FS-Konfigurationsdatenbank:
Erstellen eines eigenständigen Verbundservers
Erstellen des ersten Verbundservers in einer Verbundserverfarm
Hinzufügen eines Verbundservers zu einer Verbundserverfarm
Wenn Sie die eigenständige Option auswählen, wird WID verwendet, um eine einzelne Instanz der AD FS-Konfigurationsdatenbank zu speichern. Diese Instanz kann nicht auf mehreren Verbundservern freigegeben werden. Sie ist nur für Testlaborumgebungen vorgesehen. Weitere Informationen zur eigenständigen Verbundserveroption oder zum Einrichten eines Verbundservers finden Sie unter Stand-Alone Verbundserver mit WID oder Erstellen eines Stand-Alone Verbundservers.
Wenn Sie den ersten Verbundserver in einer Verbundserverfarmoption auswählen, wird WID für skalierbarkeit konfiguriert, sodass der Farm zu einem späteren Zeitpunkt zusätzliche Verbundserver hinzugefügt werden können. Weitere Informationen zum Bereitstellen einer WID-Farm oder zum Einrichten einer Farm finden Sie unter Verbundserverfarm mit WID oder Erstellen des ersten Verbundservers in einer Verbundserverfarm
Wenn Sie die Option zum Hinzufügen eines Verbundservers auswählen, wird WID so konfiguriert, dass Konfigurationsdatenbankänderungen in festgelegten Intervallen auf den neuen Verbundserver repliziert werden. Weitere Informationen zum Hinzufügen eines Verbundservers zu einer WID-Farm finden Sie unter Verbundserverfarm mit WID oder Hinzufügen eines Verbundservers zu einer Verbundserverfarm.
Hinweis
Wenn Sie eine Verbundserverfarm mit WID bereitstellen, sind einige Features von AD FS möglicherweise nicht verfügbar. Wenn Sie zugriff auf den vollständigen Featuresatz haben möchten, wenn Sie Ihre Serverfarm konfigurieren, sollten Sie stattdessen Microsoft SQL Server verwenden, um die AD FS-Konfigurationsdatenbank zu speichern. Weitere Informationen finden Sie in den Überlegungen zur AD FS-Bereitstellungstopologie.
Funktionsweise einer WID-Verbundserverfarm
In diesem Abschnitt werden wichtige Konzepte beschrieben, die beschreiben, wie die WID-Verbundserverfarm Daten zwischen einem primären Verbundserver und sekundären Verbundservern repliziert. .
Primärer Verbundserver
Ein primärer Verbundserver ist ein Computer mit Windows Server 2012 oder höher, der mit der Verbundserverrolle mithilfe des AD FS-Verbundserverkonfigurations-Assistenten konfiguriert wurde und über eine Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank verfügt. Der primäre Verbundserver wird immer erstellt, wenn Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden und die Option auswählen, einen neuen Verbunddienst zu erstellen und diesen Computer zum ersten Verbundserver in der Farm zu machen. Alle anderen Verbundserver in dieser Farm, auch als sekundäre Verbundserver bezeichnet, müssen Änderungen synchronisieren, die auf dem primären Verbundserver vorgenommen werden, mit einer Kopie der AD FS-Konfigurationsdatenbank, die lokal gespeichert ist.
Sekundäre Verbundserver
Sekundäre Verbundserver speichern eine Kopie der AD FS-Konfigurationsdatenbank vom primären Verbundserver, diese Kopien sind jedoch schreibgeschützt. Sekundäre Verbundserver verbinden sich mit dem primären Verbundserver in der Farm und synchronisieren die Daten, indem sie in regelmäßigen Abständen abfragen, ob sich diese geändert haben. Die sekundären Verbundserver sind dafür vorgesehen, eine entsprechende Fehlertoleranz für den primären Verbundserver bereitzustellen, während sie auf Zugriffsanforderungen für den Lastenausgleich reagieren, die in der gesamten Netzwerkumgebung an verschiedenen Standorten gesendet werden.
Wie die AD FS-Konfigurationsdatenbank synchronisiert wird
Aufgrund der wichtigen Rolle, die die AD FS-Konfigurationsdatenbank spielt, wird sie auf allen Verbundservern im Netzwerk zur Verfügung gestellt, um Fehlertoleranz und Lastenausgleichsfunktionen beim Verarbeiten von Anforderungen bereitzustellen (wenn Netzwerklastenausgleichsgeräte verwendet werden). Damit sekundäre Verbundserver in dieser Kapazität bereitgestellt werden können, muss die AD FS-Konfigurationsdatenbank, die auf dem primären Verbundserver gespeichert ist, synchronisiert werden.
Wenn Sie der Farm einen Verbundserver hinzufügen, stellt der neue Computer, der zu einem sekundären Verbundserver wird, eine Verbindung mit dem primären Verbundserver her, um die Kopie der AD FS-Konfigurationsdatenbank zu replizieren. Ab diesem Zeitpunkt ruft der neue Verbundserver regelmäßig Updates vom primären Verbundserver ab, wie in der folgenden Abbildung dargestellt.
Jeder sekundäre Verbundserver fragt den primären Verbundserver alle fünf Minuten nach Änderungen ab. Sie können diesen fünfminütigen Standardwert anpassen oder eine sofortige Synchronisierung jederzeit mithilfe eines Windows PowerShell-Cmdlets erzwingen. Weitere Informationen dazu finden Sie unter AD FS-Verwaltung mit Windows PowerShell.
Der WID-Synchronisierungsprozess unterstützt auch inkrementelle Übertragungen für effizientere Übertragungen von Zwischenänderungen. Der inkrementelle Übertragungsprozess erfordert wesentlich weniger Datenverkehr in einem Netzwerk, und Übertragungen werden viel schneller abgeschlossen.
Hinweis
Die Migration einer AD FS-Konfigurationsdatenbank von WID zu einer Instanz von SQL Server wird unterstützt. Weitere Informationen dazu finden Sie unter AD FS: Migrieren der AD FS-Konfigurationsdatenbank zu SQL Server auf der TechNet-Wiki-Website.
So verwalten Sie die AD FS-Synchronisierungseigenschaften
In diesem Abschnitt wird beschrieben, wie die AD FS-Konfigurationsdatenbanksynchronisierungseigenschaften angezeigt und bearbeitet werden. .
Das Cmdlet Get-ADFSSyncProperties ruft die Synchronisierungseigenschaften für die Konfigurationsdatenbank von Active Directory-Verbunddiensten (AD FS) ab.
PS C:\> Get-ADFSSyncProperties
Auf dem primären AD FS-Server zeigt dieses Cmdlet nur an, dass es sich bei der Rolle um den primären Computer handelt. Bei einem sekundären Mitglied wird der Rest der Konfiguration angezeigt, einschließlich des vollqualifizierten Domänennamens der letzten Synchronisierung vom primären Computer, des Status und der Uhrzeit der letzten Synchronisierung, der Umfragedauer, des aktuell konfigurierten primären Computenamens, des Ports des primären Computers und der Rolle des sekundären Computers.
Das Cmdlet Set-ADFSSyncProperties ändert die Häufigkeit der Synchronisierung für die Active Directory-Verbunddienste (AD FS)-Konfigurationsdatenbank. Das Cmdlet gibt auch an, welcher Verbundserver der primäre Server in der Verbundserverfarm ist.
Hinweis
Wenn ein primärer Verbundserver abstürzt und offline ist, verarbeiten alle sekundären Verbundserver weiterhin Anforderungen wie gewohnt. Es können jedoch keine neuen Änderungen am Verbunddienst vorgenommen werden, bis der primäre Verbundserver wieder online gestellt wurde. Sie können auch einen sekundären Verbundserver benennen, um mithilfe von Windows PowerShell zum primären Verbundserver zu werden. Wenn Sie einen neuen primären Server benennen, müssen die verbleibenden Server geändert werden, um den neuen primären Server widerzuspiegeln. Der Einsatz von zwei primären Servern in einer WID-Farm beeinträchtigt die Stabilität der Farm und birgt die Gefahr von Datenverlusten.
Ändern der Umfragedauer für eine Farm
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Mit diesem Befehl wird die Datenbanksynchronisierung auf 3600 Sekunden geändert. Der Befehl nimmt die Änderung am primären Verbundserver vor.
Ändern eines Servers von sekundär in primär
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Dieser Befehl ändert einen AD FS-Server in einer WID-Farm von sekundär in primär.
Ändern eines primären Servers auf einen sekundären Server
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Dieser Befehl ändert einen primären AD FS-Server in einer WID-Farm auf einen sekundären Server. Sie müssen den vollqualifizierten Domänennamen des primären Servers angeben. Dies kann dazu führen, dass nicht alle sekundären AD FS-Server ordnungsgemäß synchronisiert werden. Hinweis: Auf den primären Server muss über HTTP auf Port 80 vom sekundären Server zugegriffen werden kann.
Weitere Informationen finden Sie unter : Set-AdfsSyncProperties
Verwenden von SQL Server zum Speichern der AD FS-Konfigurationsdatenbank
Sie können die AD FS-Konfigurationsdatenbank mithilfe einer einzelnen SQL Server-Datenbankinstanz als Speicher erstellen, indem Sie das Befehlszeilentool Fsconfig.exe verwenden. Die Verwendung einer SQL Server-Datenbank als AD FS-Konfigurationsdatenbank bietet die folgenden Vorteile gegenüber WID:
Administratoren können die Features für hohe Verfügbarkeit von SQL Server nutzen.
Es bietet zusätzliche Leistungsverbesserungen für hohes Verkehrsaufkommen.
Sie bietet die Featureunterstützung für die SAML-Artefaktauflösung und die Tokenwiedergabeerkennung für den SAML-/WS-Verbund (im Folgenden beschrieben).
Der Begriff "primärer Verbundserver" gilt nicht, wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbankinstanz gespeichert wird, da alle Verbundserver dieselbe AD FS-Konfigurationsdatenbank lesen und schreiben können, die dieselbe gruppierte SQL Server-Instanz verwendet, wie in der folgenden Abbildung dargestellt.
Sie können SQL Server verwenden, um zwei oder mehr Server so zu konfigurieren, dass sie als Servercluster zusammenarbeiten, um sicherzustellen, dass AD FS für eingehende Clientanforderungen hoch verfügbar gemacht wird. Hohe Verfügbarkeit bietet eine Skalierungsarchitektur, in der Sie die Serverkapazität erhöhen können, indem Sie zusätzliche Server hinzufügen. Einzelne Fehlerpunkte werden durch automatisches Clusterfailover abgemildert.
Sie können hohe Verfügbarkeit erreichen, indem Sie die Netzwerklastenausgleichs- und Failoverdienste verwenden, die SQL-Clusteringtechnologien bereitstellen. Weitere Informationen zum Konfigurieren von SQL Server für hohe Verfügbarkeit finden Sie unter Übersicht über Lösungen für hohe Verfügbarkeit.
SAML-Artefaktauflösung
Die SAML-Artefaktauflösung (Security Assertion Markup Language) ist ein Endpunkt basierend auf dem Teil des SAML 2.0-Protokolls, der beschreibt, wie eine vertrauende Seite ein Token direkt von einem Anspruchsanbieter abrufen kann. In der ersten Phase des Auflösungsprozesses nimmt ein Browser-Client Kontakt mit einem Ressourcenverbundserver auf und übermittelt ihm ein Artefakt. In der zweiten Phase senden Ressourcenverbundserver das Artefakt an eine SAML-Artefakt-Endpunkt-URL, die irgendwo in einer Kontopartnerorganisation gehostet wird, um die Artefaktnachricht aufzulösen. In der letzten Phase gibt der Kontoverbundserver das Token im Auftrag des Browserclients an den Verbundserver aus.
Hinweis
Wenn Sie Administrator in einer Kontopartnerorganisation sind, stellen Sie sicher, dass Sie ein SSL-Zertifikat, das mit einem Stammzertifikat eines Mitglieds des Windows-Programms für Stammzertifikate verknüpft ist, zur passiven Website des Verbunds in IIS („<ComputerName>\Sites\Default Web Site\adfs\ls“) auf allen Kontoverbundservern in der Farm zuweisen oder es an diese binden. Dies ist wichtig, um zu verhindern, dass Ressourcenverbundserver das SSL-Zertifikat manuell zum Zertifikatspeicher für vertrauenswürdige Personen für lokale Computer hinzufügen oder das in Ihrer Organisation veröffentlichte Artefakt nicht auflösen können.
SAML/WS: Wiedergabeerkennung für das Verbundtoken
Die Token-Wiedergabe bezeichnet den Vorgang, bei dem ein Browserclient in einer Kontopartnerorganisation versucht, dasselbe Token, das es von einem Kontoverbundserver erhalten hat, mehrfach zu senden, um sich bei einem Ressourcenverbundserver zu authentifizieren. Dieser Vorgang tritt auf, wenn ein Benutzer auf die Schaltfläche " Zurück " seines Browsers klickt, um die Authentifizierungsseite erneut zu übermitteln.
AD FS stellt ein Feature bereit, das als Token replay detection bezeichnet wird, mit dem mehrere Tokenanforderungen mit demselben Token erkannt und dann verworfen werden können. Wenn dieses Feature aktiviert ist, schützt die Erkennung der Tokenreplay die Integrität von Authentifizierungsanforderungen sowohl im passiven WS-Federation profil als auch im SAML WebSSO-Profil, indem sichergestellt wird, dass dasselbe Token nie mehr als einmal verwendet wird. Dieses Feature sollte in Situationen aktiviert werden, in denen sicherheit ein sehr hohes Problem darstellt, z. B. bei der Verwendung von Kiosken.
Im Kiosk-Beispiel kann sich ein Benutzer von allen Websites abmelden, und später kann ein böswilliger Benutzer versuchen, den Browserverlauf zu verwenden, um die Verbundauthentifizierungsseite erneut zu übermitteln, die vom vorherigen Benutzer geladen wurde. Dieses Feature entschärft diese Sorge, indem zusätzliche Informationen zu jeder erfolgreichen Authentifizierung von einer Kontopartnerorganisation gespeichert werden, um nachfolgende Wiedergaben des Tokens zu erkennen und zu verhindern, dass mehrere Authentifizierungsversuche erfolgreich ausgeführt werden.