Merencanakan penyebaran Layanan Federasi Direktori Aktif Anda
Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune
Langkah pertama dalam merencanakan penyebaran Layanan Federasi Direktori Aktif untuk layanan cloud Microsoft adalah memilih topologi penyebaran yang tepat untuk memenuhi kebutuhan akses menyeluruh organisasi Anda. Layanan Federasi Direktori Aktif mengharuskan Anda menggunakan Database Internal Windows (WID) atau database SQL Server untuk menyimpan data konfigurasi Layanan Federasi Direktori Aktif yang digunakan oleh Layanan Federasi.
Topologi Layanan Federasi Direktori Aktif yang direkomendasikan untuk sebagian besar pelanggan layanan cloud Microsoft adalah menggunakan farm server federasi dengan topologi WID dan proksi yang mengikutinya. Ada juga opsi lanjutan untuk membuat farm server federasi dengan proksi SQL Server, yang disebutkan kemudian di bagian ini.
Selain itu, bagian ini juga menyediakan tabel untuk menentukan jumlah server Layanan Federasi Direktori Aktif untuk disebarkan di organisasi Anda, serta informasi tentang menambahkan server federasi untuk meningkatkan performa.
Topologi yang direkomendasikan: Farm server federasi dengan WID dan proksi
Opsi tingkat lanjut: Farm server federasi dengan SQL Server dan proksi
Tabel estimasi: Menentukan jumlah server LAYANAN Federasi Direktori Aktif yang akan disebarkan di organisasi Anda
Menambahkan server federasi untuk meningkatkan performa
Topologi yang direkomendasikan: Farm server federasi dengan WID dan proksi
Topologi default untuk layanan cloud Microsoft adalah farm server federasi LAYANAN Federasi Direktori Aktif yang terdiri dari beberapa server yang menghosting Layanan Federasi organisasi Anda. Dalam topologi ini, Layanan Federasi Direktori Aktif menggunakan WID sebagai database konfigurasi Layanan Federasi Direktori Aktif untuk semua server federasi yang bergabung ke farm tersebut. Farm mereplikasi dan memelihara data Layanan Federasi dalam database konfigurasi di setiap server di farm.
Tindakan membuat server federasi pertama di farm juga membuat Layanan Federasi baru. Ketika WID digunakan sebagai database konfigurasi Layanan Federasi Direktori Aktif, server federasi pertama yang dibuat di farm disebut sebagai server federasi utama. Ini berarti bahwa komputer ini akan dikonfigurasi dengan salinan baca/tulis database konfigurasi Layanan Federasi Direktori Aktif.
Semua server federasi lain yang dikonfigurasi untuk farm ini disebut sebagai server federasi sekunder, karena mereka harus mereplikasi perubahan apa pun yang dibuat di server federasi utama ke salinan baca-saja dari database konfigurasi Ad FS yang mereka simpan secara lokal.
Catatan
Kami merekomendasikan penggunaan setidaknya dua server federasi dalam konfigurasi yang seimbang.
Menyiapkan topologi farm server federasi dasar ini adalah fase pertama penyebaran Layanan Federasi Direktori Aktif Anda. Fase kedua terdiri dari menentukan cara menyediakan fungsionalitas kontrol akses untuk pengguna eksternal dengan menyebarkan:.
Proksi Aplikasi Web, jika Anda menggunakan LAYANAN Federasi Direktori Aktif di Windows Server 2012 R2
Proksi server federasi, jika Anda menggunakan LAYANAN Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di Windows Server 2012
Fase 1: Sebarkan farm server federasi Anda
Ketika Anda siap untuk mulai menyebarkan farm, Anda harus berencana menempatkan semua server federasi di jaringan perusahaan Anda di belakang host Network Load Balancing (NLB) yang dapat dikonfigurasi untuk kluster NLB dengan nama DNS kluster khusus dan alamat IP kluster.
Penting
Nama DNS kluster ini harus cocok dengan nama Layanan Federasi (misalnya, fs.fabrikam.com) dan dapat dirutekan Internet untuk instans LAYANAN Federasi Direktori Aktif yang Anda sebarkan. Jika nama tidak cocok, permintaan autentikasi tidak akan dirutekan ke server DNS yang benar atau server federasi yang benar.
Host NLB dapat menggunakan pengaturan yang ditentukan dalam kluster NLB ini untuk mengalokasikan permintaan klien ke server federasi individual. Diagram berikut menggambarkan bagaimana Fabrikam, Inc. mungkin menyiapkan fase pertama penyebaran mereka menggunakan farm server federasi dua komputer (fs1 dan fs2) dengan WID dan posisi server DNS dan satu host NLB yang terhubung ke jaringan perusahaan.
.gif "Federation Server Farm with WID")
Catatan
Jika ada kegagalan pada host NLB tunggal ini, maka pengguna tidak akan dapat mengakses layanan cloud. Tambahkan host NLB tambahan jika persyaratan bisnis Anda tidak memungkinkan satu titik kegagalan.
Fase 2: Sebarkan proksi Anda
Secara umum, server proksi digunakan untuk mengalihkan permintaan autentikasi klien yang berasal dari luar jaringan perusahaan Anda ke farm server federasi, dengan kata lain, untuk mengonfigurasi akses ekstranet.
Penting
Bergantung pada versi Layanan Federasi Direktori Aktif yang ingin Anda gunakan, Anda dapat menyebarkan Proksi Aplikasi Web (di Layanan Federasi Direktori Aktif di Windows Server 2012 R2) atau proksi server federasi (di LAYANAN Federasi Direktori Aktif 2.0 dan Layanan Federasi Direktori Aktif di Windows Server 2012). Untuk definisi dan deskripsi fungsi Proksi Aplikasi Web dan proksi server federasi, lihat Meninjau terminologi Layanan Federasi Direktori Aktif.
Untuk pelanggan layanan cloud Microsoft, menyebarkan proksi di infrastruktur LAYANAN Federasi Direktori Aktif yang ada diperlukan untuk mengaktifkan skenario pengguna berikut:
Komputer kerja, roaming: Pengguna yang masuk ke komputer yang bergabung dengan domain dengan kredensial perusahaan mereka, tetapi yang tidak terhubung ke jaringan perusahaan (misalnya, komputer kerja di rumah atau di hotel), dapat mengakses layanan cloud.
Komputer rumah atau publik: Ketika pengguna menggunakan komputer yang tidak bergabung ke domain perusahaan, pengguna harus masuk dengan kredensial perusahaan mereka untuk mengakses layanan awan.
Ponsel pintar: Di ponsel pintar, untuk mengakses layanan cloud seperti Microsoft Exchange Online menggunakan Microsoft Exchange ActiveSync, pengguna harus masuk dengan kredensial perusahaan mereka.
Microsoft Outlook atau klien email lainnya: Pengguna harus masuk dengan kredensial perusahaan mereka untuk mengakses email Office 365 mereka jika mereka menggunakan Outlook atau klien email yang bukan bagian dari Office; misalnya, klien IMAP atau POP.
Untuk mendukung skenario pengguna ini, fase kedua ini akan dibangun pada Fase 1 penyebaran yang dibahas sebelumnya, dengan menambahkan dua Proksi Aplikasi Web atau dua proksi server federasi, menyediakan akses ke server DNS di jaringan perimeter, dan akses ke host NLB kedua di jaringan perimeter.
Host NLB kedua harus dikonfigurasi dengan kluster NLB yang menggunakan alamat IP kluster yang dapat diakses Internet dan harus menggunakan pengaturan nama DNS kluster yang sama dengan kluster NLB sebelumnya yang Anda konfigurasikan di jaringan perusahaan untuk Fase 1 (fs.fabrikam.com). Proksi Aplikasi Web atau proksi server federasi juga akan dikonfigurasi dengan alamat IP yang dapat diakses Internet.
Diagram berikut menunjukkan penyebaran Fase 1 yang ada dan bagaimana Fabrikam, Inc. mungkin menyediakan akses ke server DNS perimeter, menambahkan host NLB kedua dengan nama DNS kluster yang sama (fs.fabrikam.com), dan menambahkan dua proksi server federasi (fsp1 dan fsp2) ke jaringan perimeter.
Diagram berikut menunjukkan penyebaran Fase 1 yang ada dan bagaimana Fabrikam, Inc. mungkin menyediakan akses ke server DNS perimeter, menambahkan host NLB kedua dengan nama DNS kluster yang sama (fs.fabrikam.com), dan menambahkan dua Proksi Aplikasi Web (wap1 dan wap2) ke jaringan perimeter.
.gif "ADFSProxyDeploymentSSO")
Catatan
- Anda dapat menggunakan solusi proksi terbalik HTTP pihak ketiga untuk menerbitkan LAYANAN Federasi Direktori Aktif ke ekstranet. Untuk informasi selengkapnya tentang cara melakukannya, lihat Mengonfigurasi Opsi Tingkat Lanjut untuk Layanan Federasi Direktori Aktif 2.0.
- Semua komunikasi Layanan Federasi Direktori Aktif yang melakukan perjalanan melalui firewall didasarkan pada HTTPS.
- Anda dapat membuat aturan klaim kustom di Layanan Federasi Direktori Aktif yang akan membatasi akses pengguna Anda ke layanan cloud berdasarkan lokasi fisik komputer klien atau perangkat klien tempat pengguna Anda meminta akses. Untuk informasi selengkapnya tentang cara membuat aturan ini, lihat Membatasi Akses ke Layanan Office 365 Berdasarkan Lokasi Klien.
Opsi tingkat lanjut: Farm server federasi dengan SQL Server dan proksi
Ini adalah opsi topologi penyebaran Layanan Federasi Direktori Aktif tingkat lanjut yang menggunakan proksi aplikasi web atau proksi server federasi dan konfigurasi SQL Server untuk memungkinkan semua server federasi di farm untuk membaca dan menulis ke database SQL Server umum. Menggunakan database SQL Server sebagai database konfigurasi Layanan Federasi Direktori Aktif memberikan manfaat berikut melalui WID:
Fitur ketersediaan tinggi SQL Server yang dapat digunakan administrator.
Peningkatan performa tambahan, termasuk kemampuan untuk meluaskan skala menggunakan lebih banyak server federasi (farm WID memiliki batas 30 server federasi jika Anda memiliki 100 atau lebih sedikit kepercayaan pihak yang mengandalkan. Jika Anda memiliki lebih dari 100 kepercayaan pihak yang mengandalkan, farm WID memiliki batas 5 server federasi. ).
Penyeimbangan beban geografis untuk membantu memberikan peningkatan lalu lintas tinggi berdasarkan lokasi.
Catatan
Karena topologi ini adalah opsi penyebaran Layanan Federasi Direktori Aktif tingkat lanjut, detail tentang cara kerja topologi ini dan cara menyebarkannya tidak tercakup dalam artikel ini.
Untuk informasi selengkapnya tentang opsi topologi ini, lihat Mengonfigurasi Opsi Tingkat Lanjut untuk Layanan Federasi Direktori Aktif 2.0.
Tabel estimasi: Menentukan jumlah server LAYANAN Federasi Direktori Aktif yang akan disebarkan di organisasi Anda
Anda dapat menggunakan tabel berikut untuk membantu Anda memperkirakan jumlah minimum server federasi Ad FS dan proksi aplikasi web atau proksi server federasi yang perlu Anda tempatkan di farm server federasi yang dikonfigurasi dengan WID di seluruh infrastruktur jaringan perusahaan Anda berdasarkan jumlah pengguna yang akan memerlukan akses menyeluruh, termasuk akses jarak jauh, ke layanan cloud.
Catatan
Semua komputer yang akan dikonfigurasi untuk server federasi atau peran proksi server federasi harus menjalankan sistem operasi Windows Server 2008, Windows Server 2008 R2, atau Windows Server 2012. Semua komputer yang akan dikonfigurasi untuk menjalankan layanan peran Web Proksi Aplikasi hanya menjalankan sistem operasi Windows Server 2012 R2.
Kami menyarankan agar Anda menggunakan satu server federasi untuk mempertanyakan redundansi. Tabel berikut mengikuti rekomendasi ini.
| Jumlah pengguna yang mengakses layanan awan | Jumlah minimum server yang akan disebarkan | Rekomendasi dan langkah-langkah |
|---|---|---|
Kurang dari 1.000 pengguna |
0 server federasi khusus 0 proksi khusus 1 server NLB khusus |
Untuk server federasi, gunakan dua pengendali domain Direktori Aktif (DC) yang ada dan konfigurasikan keduanya untuk peran server federasi. Untuk melakukan ini, pertama-tama pilih dua DC yang ada, lalu:
Untuk NLB, konfigurasikan host NLB yang ada atau dapatkan server khusus lalu instal peran server NLB di atasnya lalu konfigurasikan server NLB. Untuk proksi, gunakan dua server web atau proksi yang ada dan konfigurasikan keduanya untuk peran proksi server federasi atau peran Proksi Aplikasi Web. Untuk melakukan ini, pilih dua server web atau proksi yang ada yang berada di ekstranet, lalu:
Catatan Jika Anda tidak memiliki dua DC yang ada dan dua server web atau proksi atau tidak menjalankan Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, atau Windows Server 2012 R2, Anda harus menyebarkan server khusus sebagai gantinya, seperti yang dibahas di baris berikutnya dari tabel ini. Penting Jika Anda menggunakan Layanan Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di Windows Server 2012, Anda harus menyebarkan dan mengonfigurasi proksi server federasi. Jika Anda menggunakan LAYANAN Federasi Direktori Aktif di Windows Server 2012 R2, Anda hanya dapat mengonfigurasi dan menyebarkan Proksi Aplikasi Web. Di Windows Server 2012 R2, Proksi Aplikasi Web, layanan peran baru dari peran server Akses Jarak Jauh, digunakan untuk mengonfigurasi Layanan Federasi Direktori Aktif untuk akses ekstranet. |
1.000 hingga 15.000 pengguna |
2 server federasi khusus 2 proksi khusus |
Untuk server federasi, dapatkan dua server khusus, lalu:
Untuk proksi, dapatkan dua server khusus yang dapat Anda tempatkan di ekstranet:
Penting Jika Anda menggunakan Layanan Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di Windows Server 2012, Anda harus menyebarkan dan mengonfigurasi proksi server federasi. Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda hanya dapat mengonfigurasi dan menyebarkan Proksi Aplikasi Web. Di Windows Server 2012 R2, Proksi Aplikasi Web, layanan peran baru dari peran server Akses Jarak Jauh, digunakan untuk mengonfigurasi Layanan Federasi Direktori Aktif untuk akses ekstranet. |
15.000 hingga 60.000 pengguna |
Antara 3 dan 5 server federasi khusus Setidaknya 2 proksi khusus |
Setiap server federasi khusus dapat mendukung sekitar 15.000 pengguna. Oleh karena itu, tambahkan server federasi khusus tambahan ke dua penyebaran server federasi dasar yang dijelaskan sebelumnya untuk setiap 15.000 pengguna yang akan memerlukan akses ke layanan cloud, hingga maksimum lima server federasi di farm atau 60.000 pengguna. Catatan Farm server federasi Layanan Federasi Direktori Aktif yang dikonfigurasi untuk menggunakan WID mendukung maksimal lima server federasi. Jika Anda memerlukan lebih dari lima server federasi, Anda perlu mengonfigurasi database SQL Server untuk menyimpan database konfigurasi Layanan Federasi Direktori Aktif. Untuk informasi selengkapnya tentang opsi ini, lihat Mengonfigurasi Opsi Tingkat Lanjut untuk Layanan Federasi Direktori Aktif 2.0. |
Jumlah minimum pengguna ke rekomendasi server yang disediakan dalam tabel sebelumnya dihitung berdasarkan perangkat keras berikut:
| Perangkat Keras | Spesifikasi |
|---|---|
Kecepatan CPU |
CPU Dual Quad Core 2.27GHz (8 core) |
RAM |
4 gigabyte (GB) |
Jaringan |
Gigabit |
Menambahkan server federasi untuk meningkatkan performa
Ketika dua atau beberapa server federasi dikonfigurasi di farm menggunakan teknologi NLB, mereka dapat beroperasi secara independen untuk membantu memproses beban permintaan pengguna masuk yang dibuat ke Layanan Federasi Direktori Aktif tanpa menurunkan performa keseluruhan layanan secara keseluruhan. Oleh karena itu, ada sedikit overhead yang terlibat dengan penambahan server federasi tambahan ke lingkungan produksi yang ada setelah Anda menyebarkan server federasi awal secara strategis di jaringan Anda.
Langkah selanjutnya
Sekarang setelah Anda merencanakan penyebaran Layanan Federasi Direktori Aktif, langkah selanjutnya adalah Meninjau persyaratan untuk menyebarkan Layanan Federasi Direktori Aktif.