Granja de servidores de federación de AD FS heredada con WID
La topología predeterminada de Servicios de federación de Active Directory (AD FS) es una granja de servidores de federación que usa Windows Internal Database (WID). En esta topología, AD FS utiliza WID como almacenamiento para la base de datos de configuración de AD FS de todos los servidores de federación unidos a esa granja. La granja replica y mantiene los datos del Servicio de federación de la base de datos de configuración de todos los servidores de la granja. AD FS en Windows Server 2012 R2 permite a las organizaciones con 100 o menos relaciones de confianza de usuario autenticado configurar granjas de servidores de federación mediante WID con hasta 30 servidores.
Al crear el primer servidor de federación en una granja, se crea también un nuevo Servicio de federación. Cuando se usa WID con la base de datos de configuración de AD FS, el primer servidor de federación que crea en la granja se denomina servidor de federación principal. Esto significa que el equipo se configura con una copia de lectura/escritura de la base de datos de configuración de AD FS.
Todos los demás servidores de federación que configure para esta granja se denominan servidores de federación secundarios, ya que deben replicar todos los cambios que se realizan en el servidor de federación principal en las copias de solo lectura de la base de datos de configuración de AD FS que almacenan de forma local.
Importante
Recomendamos usar al menos dos servidores de federación en las configuraciones de carga equilibrada.
Consideraciones de la implementación
En esta sección se describen varias consideraciones sobre el público a la que está dirigida, así como las ventajas y las limitaciones asociadas a esta topología de implementación.
¿Quién debe usar esta topología?
Organizaciones con 100 o menos relaciones de confianza configuradas que necesitan proporcionar a sus usuarios internos (que han iniciado sesión en equipos conectados físicamente a la red corporativa) acceso de inicio de sesión único (SSO) a aplicaciones o servicios federados
Organizaciones que quieran proporcionar a sus usuarios internos acceso SSO a Microsoft Online Services o Microsoft Office 365
Organizaciones pequeñas que requieren servicios redundantes y escalables
Nota
Las organizaciones con bases de datos más grandes deben considerar el uso de la topología de implementación de la granja de servidores de federación con SQL Server. Las organizaciones con usuarios que inician sesión desde fuera de la red deben considerar el uso de la topología de la granja de servidores de federación con WID y servidores proxy o la topología de la granja de servidores de federación con SQL Server.
¿Cuáles son las ventajas de usar esta topología?
Proporciona acceso de SSO a usuarios internos.
La redundancia del servicio de federación y de datos (cada servidor de federación replica los cambios en otros servidores de federación de la misma granja).
WID se incluye con Windows, por lo que no es necesario comprar SQL Server.
¿Cuáles son las limitaciones de usar esta topología?
Una granja de servidores WID tiene un límite de 30 servidores de federación si tiene 100 o menos confianzas para usuario autenticado.
Una granja WID no admite la detección de reproducción de tokens ni la resolución de artefactos (parte del protocolo SAML [Lenguaje de marcado de aserción de seguridad]).
En la siguiente tabla se proporciona un resumen del uso de una granja de WID: Úselo para planear la implementación.
| 1-100 relaciones de confianza para usuario autenticado | Más de 100 relaciones de confianza para usuario autenticado |
|---|---|
| 1-30 nodos de AD FS: Compatible con WID | 1-30 nodos de AD FS: No compatible con WID, se requiere SQL |
| Más de 30 nodos de AD FS: No compatible con WID, se requiere SQL | Más de 30 nodos de AD FS: No compatible con WID, se requiere SQL |
Recomendaciones de ubicación del servidor y de distribución de la red
Cuando lo tenga todo listo para iniciar la implementación de esta topología en su red, deberá planear la ubicación de todos los servidores de federación de su red corporativa detrás de un host de Equilibrio de carga de red (NLB) que puede configurarse para un clúster de NLB con un nombre DNS (Sistema de nombres de dominio) de clúster dedicado y una dirección IP de clúster.
Nota
Este nombre DNS del clúster debe coincidir con el nombre del Servicio de federación, por ejemplo, fs.fabrikam.com.
El host de NLB puede usar la configuración definida en este clúster de NLB para asignar solicitudes de cliente a los servidores de federación individuales. En la siguiente ilustración se muestra cómo la empresa ficticia Fabrikam, Inc. configura la primera fase de su implementación mediante una granja de servidores de federación de dos equipos (fs1 y fs2) con WID y el posicionamiento de un servidor DNS y un único host de NLB conectado a la red corporativa.
Nota:
Si se produce un error en este host de NLB único, los usuarios no podrán acceder a las aplicaciones o los servicios federados. Agregue más hosts de NLB si sus necesidades empresariales no le permiten tener un único punto de error.
Para obtener más información sobre cómo configurar el entorno de red para su uso con servidores de federación, vea la sección Requisitos de resolución de nombres de Requisitos de AD FS.
Consulte también
Planeamiento de la topología de la implementación de AD FSGuía de diseño de AD FS en Windows Server 2012 R2
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de