Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Considere a criação de um farm de servidores de federação nos Serviços de Federação do Active Directory (AD FS) quando você tiver uma implantação maior do AD FS e quiser fornecer tolerância a falhas, balanceamento de carga ou escalabilidade ao Serviço de Federação da sua organização. O ato de criar dois ou mais servidores de federação na mesma rede, configurar cada um deles para usar o mesmo Serviço de Federação e adicionar a chave pública dos certificados de assinatura de token de cada servidor ao snap-in de Gerenciamento do AD FS cria um farm de servidores de federação.
Você pode criar um farm de servidores de federação ou instalar servidores de federação adicionais em um farm existente usando o Assistente de Configuração do Servidor de Federação do AD FS. Para obter mais informações, consulte Quando criar um servidor de federação.
Observação
Quando você escolhe a opção de criar um novo farm de servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS, o assistente tentará criar um objeto de contêiner (para compartilhamento de certificados) no Active Directory. Portanto, é importante que você faça logon primeiro no computador, onde está configurando a função de servidor de federação, com uma conta que tenha permissões suficientes no Active Directory para criar esse objeto de contêiner.
Antes que os servidores de federação possam ser agrupados como uma fazenda, eles devem primeiro ser agrupados em clusters para que as solicitações que chegam a um único FQDN (nome de domínio totalmente qualificado) sejam roteadas para os vários servidores de federação na fazenda de servidores. Você pode criar o cluster de servidor implantando o NLB (Balanceamento de Carga de Rede) dentro da rede corporativa. Este guia pressupõe que NLB foi configurado corretamente para armazenar em cluster cada um dos servidores de federação no farm.
Para obter mais informações sobre como configurar um FQDN de cluster usando a tecnologia NLB da Microsoft, consulte Especificando os parâmetros de cluster.
Práticas recomendadas para implantar um farm de servidores de federação
Recomendamos as seguintes práticas recomendadas para implantar um servidor de federação em um ambiente de produção:
Se você implantar vários servidores de federação ao mesmo tempo ou souber que adicionará mais servidores ao farm ao longo do tempo, considere criar uma imagem de servidor de um servidor de federação existente no farm e, em seguida, instalar a partir dessa imagem quando precisar criar servidores de federação adicionais rapidamente.
Observação
Se você decidir usar o método de imagem do servidor para implantar servidores de federação adicionais, não precisará concluir as tarefas na Lista de Verificação: configurando um servidor de federação sempre que quiser adicionar um novo servidor ao farm.
Use o NLB ou alguma outra forma de cluster para alocar um único endereço IP a vários computadores do servidor de federação.
Reserve um endereço IP estático para cada servidor de federação no farm e, dependendo da configuração do DNS (Sistema de Nomes de Domínio), insira uma exclusão para cada endereço IP no DHCP (Dynamic Host Configuration Protocol). A tecnologia NLB da Microsoft exige que cada servidor que participa do cluster NLB receba um endereço IP estático.
Se o banco de dados de configuração do AD FS for armazenado em um banco de dados SQL, evite editar o banco de dados SQL de vários servidores de federação ao mesmo tempo.
Configurando servidores de federação para um farm
A tabela a seguir descreve as tarefas que devem ser concluídas para que cada servidor de federação possa participar de um ambiente compartilhado.
| Tarefa | Descrição |
|---|---|
| Se você estiver usando o SQL Server para armazenar o banco de dados de configuração do AD FS | Um farm de servidores de federação consiste em dois ou mais servidores de federação que compartilham o mesmo banco de dados de configuração do AD FS e certificados de assinatura de token. O banco de dados de configuração pode ser armazenado no Banco de Dados Interno do Windows ou em um banco de dados do SQL Server. Se você planeja armazenar o banco de dados de configuração em um banco de dados SQL, verifique se o banco de dados de configuração está acessível para que ele possa ser acessado por todos os novos servidores de federação que participam do farm. Observação: para cenários de farm, é importante que o banco de dados de configuração esteja localizados em um computador que não participe como um servidor de federação no farm. O NLB da Microsoft não permite que nenhum dos computadores que participam de um farm se comuniquem entre si. Observação: certifique-se de que a identidade do AppPool do AD FS no IIS (Serviços de Informações da Internet ) de cada servidor de federação que participa do farm tenha acesso de leitura ao banco de dados de configuração. |
| Obter e compartilhar certificados | Você pode obter um certificado de autenticação de servidor único de uma AC (autoridade de certificação pública) — por exemplo, VeriSign. Em seguida, você pode configurar o certificado para que todos os servidores de federação compartilhem a mesma parte de chave privada do certificado. Para obter mais informações sobre como compartilhar o mesmo certificado, consulte Checklist: Configurando um servidor de federação. Observação: o snap-in de gerenciamento do AD FS refere-se a certificados de autenticação de servidor para servidores de federação como certificados de comunicação de serviço. Para obter mais informações, consulte Os requisitos de certificado para servidores de federação. |
| Apontar para a mesma instância do SQL Server | Se o banco de dados de configuração do AD FS for armazenado em um banco de dados SQL, o novo servidor de federação deverá apontar para a mesma instância do SQL Server usada por outros servidores de federação no farm para que o novo servidor possa participar do farm. |