Quando criar um farm de servidor de federação
Crie um farm de servidores de federação nos Serviços de Federação do Active Directory (AD FS) quando você tiver uma implantação maior do AD FS e quiser fornecer tolerância a falhas, balanceamento de carga ou escalabilidade ao Serviço de Federação da sua organização. O ato de criar dois ou mais servidores de federação na mesma rede, configurar cada um para usar o mesmo Serviço de Federação e adicionar chave pública de certificados de assinatura de token de cada servidor ao snap-in de gerenciamento do AD FS, cria um farm de servidores de federação.
Você pode criar um farm de servidor de federação ou instalar servidores de federação adicionais a um farm existente usando o Assistente de Configuração do Servidor de Federação do AD FS. Para obter mais informações, consulte When to Create a Federation Server.
Observação
Quando você escolhe a opção de criar um novo farm de servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS, o assistente tentará criar um objeto de contêiner (para compartilhamento de certificados) no Active Directory. Portanto, é importante que você primeiro faça logon no computador em que está configurando a função do servidor de federação com uma conta que tenha permissões suficientes no Active Directory para criar o objeto de contêiner.
Antes que os servidores de federação possam ser agrupados como um farm, eles devem primeiro ser clusterizados para que as solicitações que chegam a um único FQDN (Nome de Domínio Totalmente Qualificado) sejam roteadas para os vários servidores de federação no farm de servidores. Você pode criar o cluster de servidor implantando o NLB (Balanceamento de Carga de Rede) dentro da rede corporativa. Este guia pressupõe que NLB foi configurado corretamente para armazenar em cluster cada um dos servidores de federação no farm.
Para obter mais informações sobre como configurar um FQDN de cluster usando a tecnologia Microsoft NLB, consulte Especificar os parâmetros do cluster.
Práticas recomendadas para implantação de um farm de servidores de federação
Recomendamos as seguintes práticas para implantar um servidor de federação em um ambiente de produção:
Se você estiver implantando vários servidores de federação ao mesmo tempo ou sabe que estará adicionando mais servidores ao farm ao longo do tempo, considere a criação de uma imagem de servidor de um servidor de federação existente no farm e, em seguida, instalar por meio dessa imagem quando você precisa criar servidores de federação adicionais rapidamente.
Observação
Se você decidir usar o método de imagem do servidor para implantação de servidores de federação adicionais, não precisa concluir as tarefas no Checklist: como configura um servidor de federação toda vez que quiser adicionar um novo servidor ao farm.
Use o NLB ou alguma outra forma de cluster para alocar um único endereço IP a vários computadores do servidor de federação.
Reserve um endereço IP estático para cada servidor de federação no farm e, dependendo da configuração de DNS (Sistema de Nome de Domínio), insira uma exclusão para cada endereço IP no protocolo DHCP. A tecnologia NLB da Microsoft requer que a cada servidor que participa do cluster NLB seja atribuído um endereço IP estático.
Se o banco de dados de configuração do AD FS for armazenado em um banco de dados SQL, evite editar o banco de dados SQL de vários servidores de federação ao mesmo tempo.
Configurando servidores de federação para um farm
A tabela a seguir descreve as tarefas que deverão ser concluídas para que cada servidor de federação possa participar de um ambiente em farm.
| Tarefa | Descrição |
|---|---|
| Se você estiver usando o SQL Server para armazenar o banco de dados de configuração do AD FS | Um farm de servidores de federação consiste em dois ou mais servidores de federação que compartilham a mesma configuração do banco de dados e certificados de assinatura de token do AD FS. O banco de dados de configuração pode ser armazenado em um banco de dados interno do Windows ou em um banco de dados do SQL Server. Se você planeja armazenar o banco de dados de configuração em um banco de dados SQL, certifique-se de que o banco de dados de configuração esteja acessível e possa ser acessado por todos os novos servidores de federação que participam do farm. Observação: para cenários de farm, é importante que o banco de dados de configuração esteja localizados em um computador que não participe como um servidor de federação no farm. O NLB da Microsoft não permite que nenhum dos computadores que participam de um farm se comuniquem entre si. Observação: certifique-se de que a identidade do AppPool do AD FS no IIS (Serviços de Informações da Internet ) de cada servidor de federação que participa do farm tenha acesso de leitura ao banco de dados de configuração. |
| Obter e compartilhar certificados | Você pode obter um único certificado de autenticação de servidor de uma CA (Autoridade de Certificação) pública, por exemplo, VeriSign. Você pode configurar o certificado para que todos os servidores de federação compartilhem a mesma parte de chave privada do certificado. Para obter mais informações sobre como compartilhar o mesmo certificado, consulte Checklist: Setting Up a Federation Server. Observação: o snap-in de gerenciamento do AD FS refere-se a certificados de autenticação de servidor para servidores de federação como certificados de comunicação de serviço. Para obter mais informações, consulte Certificate Requirements for Federation Servers. |
| Apontar para a mesma instância do SQL Server | Se o banco de dados de configuração do AD FS for armazenado em um banco de dados SQL, o novo servidor de federação deve apontar para a mesma instância do SQL Server que é usada por outros servidores de federação no farm para que o novo servidor possa participar do farm. |