Когда следует создавать ферму серверов федерации
Рекомендуется создать ферму серверов федерации в службы федерации Active Directory (AD FS) (AD FS) при наличии более крупного развертывания AD FS и обеспечить отказоустойчивость, балансировку нагрузки или масштабируемость службы федерации организации. Процесс создания двух или нескольких серверов федерации в одной сети, настройки каждого из них для использования одной службы федерации и добавления открытого ключа сертификатов подписи маркеров каждого сервера в оснастки ad FS Management создает ферму серверов федерации.
Вы можете создать ферму серверов федерации или установить дополнительные серверы федерации в существующую ферму с помощью мастера настройки сервера федерации AD FS. Дополнительные сведения см. в разделе When to Create a Federation Server.
Примечание.
Если выбран вариант создания новой фермы серверов федерации с помощью мастера настройки сервера служб федерации AD FS, то мастер попытается создать объект-контейнер (для совместного использования сертификатов) в Active Directory. Таким образом, важно при первом входе на компьютер, где настраивается роль сервера федерации, использовать учетную запись, которая имеет достаточные разрешения в Active Directory, чтобы создать этот объект-контейнер.
Прежде чем серверы федерации можно сгруппировать как ферму, сначала их необходимо кластеризировать, чтобы запросы, поступающие на одно полное доменное имя (FQDN), перенаправлялись на различные серверы федерации в ферме серверов. Вы можете создать кластер серверов, развернув балансировку сетевой нагрузки (NLB) в корпоративной сети. В этом руководстве предполагается, что NLB настроена соответствующим образом для кластеризации каждого сервера федерации в ферме.
Дополнительные сведения о настройке полного доменного имени кластера с помощью технологии NLB Майкрософт см. в разделе "Указание параметров кластера".
Рекомендации по развертыванию фермы серверов федерации
Мы рекомендуем использовать следующие рекомендации по развертыванию сервера федерации в рабочей среде:
Если вы будете развертывать несколько серверов федерации одновременно или знаете, что с течением времени вы добавите в ферму больше серверов, рассмотрите возможность создания образа сервера существующего сервера федерации в ферме, а затем установки из этого образа, когда необходимо быстро создать дополнительные серверы федерации.
Примечание.
Если вы решите использовать метод образа сервера для развертывания дополнительных серверов федерации, вам не нужно выполнять задачи в контрольном списке. Настройка сервера федерации при каждом добавлении нового сервера в ферму.
Используйте NLB или другую форму кластеризация, чтобы выделить один IP-адрес для многих компьютеров сервера федерации.
Зарезервируйте статический IP-адрес для каждого сервера федерации в ферме и в зависимости от конфигурации системы доменных имен (DNS) вставьте исключение для каждого IP-адреса в протоколе конфигурации динамических узлов (DHCP). Технология балансировки сетевой нагрузки Майкрософт требует, чтобы каждому серверу, входящему в кластер NLB, был назначен статический IP-адрес.
Если база данных конфигурации AD FS будет храниться в базе данных SQL, не изменяйте базу данных SQL с нескольких серверов федерации одновременно.
Настройка серверов федерации для фермы
В следующей таблице описываются задачи, которые необходимо выполнить, чтобы каждый сервер федерации смог участвовать в ферме.
| Задача | Description |
|---|---|
| При использовании SQL Server для хранения базы данных конфигурации AD FS | Ферма серверов федерации состоит из двух или нескольких серверов федерации, использующих одну и ту же базу данных конфигурации AD FS и сертификаты подписи маркеров. База данных конфигурации может храниться в любой внутренней базе данных Windows или в базе данных SQL Server. Если вы планируете хранить базу данных конфигурации в базе данных SQL, убедитесь, что база данных конфигурации доступна, чтобы получить доступ ко всем новым серверам федерации, участвующим в ферме. Примечание. Для сценариев фермы важно, чтобы база данных конфигурации находилась на компьютере, который не участвует в качестве сервера федерации в этой ферме. Microsoft NLB не допускает взаимодействие друг с другом компьютеров, участвующих в ферме. Примечание. Убедитесь, что удостоверение ad FS AppPool в службы IIS (IIS)) на каждом сервере федерации, который участвует в ферме, имеет доступ на чтение к базе данных конфигурации. |
| Получение и совместное использование сертификатов | Вы можете получить один сертификат проверки подлинности сервера из общедоступного центра сертификации (ЦС) — например, из VeriSign. Затем вы можете настроить сертификат, чтобы все серверы федерации совместно используют одну и ту же часть закрытого ключа сертификата. Дополнительные сведения о совместном использовании сертификатов см. в статье Checklist: Setting Up a Federation Server. Примечание. Оснастка управления AD FS ссылается на сертификаты проверки подлинности сервера для серверов федерации в качестве сертификатов связи службы. Дополнительные сведения см. в разделе Certificate Requirements for Federation Servers. |
| Указание одного и того же экземпляра SQL Server | Если база данных конфигурации AD FS будет храниться в базе данных SQL, новый сервер федерации должен указывать на тот же экземпляр SQL Server, который используется другими серверами федерации в ферме, чтобы новый сервер может участвовать в ферме. |
См. также
Руководство по разработке служб федерации Active Directory в Windows Server 2012