Когда следует создавать ферму прокси-серверов федерации
Рекомендуется установить дополнительные прокси-серверы федерации при наличии большого развертывания службы федерации Active Directory (AD FS) (AD FS) и обеспечить отказоустойчивость, балансировку нагрузки и масштабируемость для развертывания прокси-сервера. Процесс создания двух или нескольких прокси-серверов федерации в одной сети периметра и настройки каждого из них для защиты одной и той же службы федерации AD FS создает ферму прокси-сервера федерации федерации.
Вы можете создать ферму прокси-сервера федерации или установить дополнительные прокси-серверы федерации в существующую ферму с помощью мастера настройки прокси-сервера федерации AD FS. Дополнительные сведения см. в разделе When to Create a Federation Server Proxy.
Прежде чем все прокси-серверы федерации могут работать вместе в качестве фермы, необходимо сначала кластеризовыть их под одним IP-адресом и одним полным доменным именем (FQDN). Чтобы объединить серверы в кластер, можно развернуть подсистему балансировки сетевой нагрузки Майкрософт в сети периметра. Задачи в следующей таблице требуют настройки NLB соответствующим образом для кластеризации прокси-серверов федерации в ферме.
Дополнительные сведения о настройке полного доменного имени для кластера с помощью технологии NLB Майкрософт см. в разделе "Указание параметров кластера".
Настройка прокси-серверов федерации для фермы
В следующей таблице описываются задачи, которые необходимо выполнить, чтобы каждый прокси-сервер федерации смог участвовать в ферме.
| Задача | Description |
|---|---|
| Укажите все прокси-серверы в ферме с тем же именем службы федерации AD FS | При создании прокси-серверов федерации необходимо ввести то же имя службы федерации в мастере настройки прокси-сервера федерации AD FS для всех прокси-серверов федерации, которые будут участвовать в ферме. Прокси-сервер федерации использует URL-адрес, составляющий это имя узла DNS, чтобы определить, какой экземпляр службы федерации AD FS он связывает. Дополнительные сведения см. в разделе Configure a Computer for the Federation Server Proxy Role. |
| Получение и совместное использование сертификатов | Вы можете получить сертификат проверки подлинности сервера из общедоступного центра сертификации (ЦС), например VeriSign, а затем настроить сертификат, чтобы все прокси-серверы федерации совместно используют одну и ту же часть закрытого ключа на веб-сайте по умолчанию для каждого прокси-сервера федерации. Чтобы предоставить общий доступ к сертификату, необходимо установить один и тот же сертификат проверки подлинности сервера на веб-сайте по умолчанию для каждого прокси-сервера федерации. Дополнительные сведения см. в разделе "Импорт сертификата проверки подлинности сервера" на веб-сайт по умолчанию. Дополнительные сведения см. в разделе Certificate Requirements for Federation Server Proxies. |
Дополнительные сведения о добавлении новых прокси-серверов федерации для создания фермы прокси-серверов федерации см. в разделе Контрольный список. Настройка прокси-сервера федерации.
См. также
Руководство по разработке служб федерации Active Directory в Windows Server 2012