使用 WID 和 Proxy 的同盟伺服器陣列
此 Active Directory 同盟服務(AD FS) 的部署拓撲,與具有 Windows 內部資料庫 (WID) 拓撲的同盟伺服器陣列相同,但其會將同盟伺服器 Proxy 新增至周邊網路以支援外部使用者。 同盟伺服器 Proxy 可將來自公司網路外部的用戶端驗證要求重新導向至同盟伺服器陣列。
部署考量
本節描述與此部署拓撲相關聯的預定對象、權益和限制的各種考量。
誰應該使用此拓撲?
具有 100 或更少設定之信任關係的組織,這些組織需要為其內部使用者和外部使用者 (已登入實際位於公司網路外部的電腦) 提供同盟應用程式或服務的單一登入 (SSO) 存取權
需要為其內部使用者和外部使用者提供 Microsoft Office 365 SSO 存取權的組織
具有外部使用者且需要備援、可調整服務的小型組織
使用此拓撲有哪些優點?
- 與使用 WID 同盟伺服器陣列拓撲列出的優點相同,還能為外部使用者提供額外的存取權
使用此拓撲有何限制?
- 與使用 WID 同盟伺服器陣列拓撲列出的限制相同
伺服器放置和網路配置建議
若要部署此拓撲,除了新增兩個同盟伺服器 Proxy 之外,您還必須確定周邊網路也可以提供網域名稱系統 (DNS) 伺服器的存取權,以及第二部網路負載平衡 (NLB) 主控件的存取權。 第二部 NLB 主控件必須透過使用可存取網際網路之叢集 IP 位址的 NLB 叢集來設定,而且必須使用與您先前在公司網路 (fs.fabrikam.com) 上設定的 NLB 叢集相同的叢集 DNS 名稱來設定。 也應會使用可存取網際網路的 IP 位址設定同盟伺服器 Proxy。
下圖顯示先前描述的現有同盟伺服器陣列 (包含 WID 拓撲),以及虛構的 Fabrikam, Inc.公司如何提供周邊 DNS 伺服器的存取權、新增具有相同叢集 DNS 名稱 (fs.fabrikam.com) 的第二部 NLB 主控件,並將兩個同盟伺服器 Proxy (fsp1 和 fsp2) 新增至周邊網路。
如需如何設定網路環境,以與同盟伺服器或同盟伺服器 Proxy 搭配使用的詳細資訊,請參閱同盟伺服器的名稱解析需求或同盟伺服器 Proxy 的名稱解析需求。