Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De standaardtopologie voor Active Directory Federation Services (AD FS) is een federatieserverfarm met behulp van de Interne Database van Windows (WID). In deze topologie gebruikt AD FS WID als het archief voor de AD FS-configuratiedatabase voor alle federatieservers die zijn toegevoegd aan die farm. De farm repliceert en onderhoudt de Federation Service-gegevens in de configuratiedatabase op elke server in de farm. AD FS in Windows Server 2012 R2 stelt organisaties met 100 of minder relying party vertrouwensrelaties in staat om federatieserverfarms te configureren met behulp van WID met maximaal 30 servers.
Bij het maken van de eerste federatieserver in een farm wordt ook een nieuwe Federation-service gemaakt. Wanneer u WID gebruikt voor de AD FS-configuratiedatabase, wordt de eerste federatieserver die u in de farm maakt, aangeduid als de primaire federatieserver. Dit betekent dat deze computer is geconfigureerd met een lees-/schrijfkopie van de AD FS-configuratiedatabase.
Alle andere federatieservers die u voor deze farm configureert, worden aangeduid als secundaire federatieservers omdat ze wijzigingen die op de primaire federatieserver worden aangebracht, moeten repliceren naar de alleen-lezen kopieën van de AD FS-configuratiedatabase die ze lokaal opslaan.
Belangrijk
U wordt aangeraden ten minste twee federatieservers te gebruiken in een configuratie met gelijke taakverdeling.
Overwegingen bij de implementatie
In deze sectie worden verschillende overwegingen beschreven over de beoogde doelgroep, voordelen en beperkingen die zijn gekoppeld aan deze implementatietopologie.
Wie moet deze topologie gebruiken?
Organisaties met 100 of minder geconfigureerde vertrouwensrelaties die hun interne gebruiker (aangemeld op computers die fysiek zijn verbonden met het bedrijfsnetwerk) moeten voorzien van enkelvoudige aanmelding (SSO) voor toegang tot federatieve toepassingen of services.
Organisaties die hun interne gebruikers Single Sign-On (SSO) toegang willen bieden tot Microsoft Online Services of Microsoft Office 365
Kleinere organisaties die redundante, schaalbare services nodig hebben
Notitie
Organisaties met grotere databases moeten overwegen de Federation Server-farm te gebruiken met behulp van SQL Server implementatietopologie. Organisaties met gebruikers die zich buiten het netwerk aanmelden, moeten overwegen om de Federation Server-farm te gebruiken met behulp van WID en proxy's topologie of de Federatieserverfarm met behulp van SQL Server topologie.
Wat zijn de voordelen van het gebruik van deze topologie?
Biedt SSO-toegang tot interne gebruikers
Gegevens- en Federation Service-redundantie (elke federatieserver repliceert wijzigingen naar andere federatieservers in dezelfde farm)
WID is opgenomen in Windows; daarom hoeft u geen SQL Server aan te schaffen
Wat zijn de beperkingen van het gebruik van deze topologie?
Een WID-farm heeft een limiet van 30 federatieservers als u 100 of minder vertrouwensrelaties van relying party's hebt.
Een WID-farm biedt geen ondersteuning voor replay-detectie van tokens of artifactresolutie (onderdeel van het Security Assertion Markup Language (SAML)-protocol).
De volgende tabel bevat een samenvatting voor het gebruik van een WID-farm. Gebruik deze om uw implementatie te plannen.
| 1-100 RP Trusts | Meer dan 100 RP-trusts |
|---|---|
| 1-30 AD FS-knooppunten: WID-ondersteuning | 1-30 AD FS-knooppunten: Niet ondersteund met WID - SQL vereist |
| meer dan 30 AD FS-knooppunten: niet ondersteund met WID - SQL vereist | meer dan 30 AD FS-knooppunten: niet ondersteund met WID - SQL vereist |
Aanbevelingen voor serverplaatsing en netwerkindeling
Wanneer u klaar bent om deze topologie in uw netwerk te implementeren, moet u van plan zijn om alle federatieservers in uw bedrijfsnetwerk achter een NLB-host (Network Load Balancing) te plaatsen die kunnen worden geconfigureerd voor een NLB-cluster met een toegewezen DNS-naam (Domain Name System) en ip-adres van het cluster.
Notitie
Deze DNS-naam van het cluster moet overeenkomen met de naam van de Federation Service, bijvoorbeeld fs.fabrikam.com.
De NLB-host kan de instellingen gebruiken die zijn gedefinieerd in dit NLB-cluster om clientaanvragen toe te wijzen aan de afzonderlijke federatieservers. In de volgende afbeelding ziet u hoe het fictieve bedrijf Fabrikam, Inc.de eerste fase van de implementatie instelt met behulp van een federatieve serverfarm met twee computers (fs1 en fs2) met WID en de plaatsing van een DNS-server en één NLB-host die is bekabeld met het bedrijfsnetwerk.
Notitie
Als er een fout optreedt op deze ene NLB-host, hebben gebruikers geen toegang tot federatieve toepassingen of services. Voeg extra NLB-hosts toe als uw bedrijfsvereisten geen single point of failure toestaan.
Zie de sectie Naamomzettingsvereisten in AD FS-vereistenvoor meer informatie over het configureren van uw netwerkomgeving voor gebruik met federatieservers.
Zie ook
uw AD FS-implementatietopologie plannenAD FS-ontwerphandleiding in Windows Server 2012 R2