AD FS 部署拓扑注意事项
本主题介绍了重要的注意事项,可帮助你规划和设计在生产环境中使用哪种 Active Directory 联合身份验证服务 (AD FS) 部署拓扑。 本主题是一个起始点,将查看和评估会影响哪些将在部署 AD FS 后可供你使用的功能的注意事项。 例如,根据你选择哪种数据库类型来存储 AD FS 配置数据库,将最终确定是否可以实现需要 SQL Server 的某些安全声明标记语言 (SAML) 功能。
确定要使用哪种类型的 AD FS 配置数据库
AD FS 使用一个数据库来存储配置,并在某些情况下存储与联合身份验证服务相关的事务数据。 你可以使用 AD FS 软件选择内置的 Windows 内部数据库 (WID) 或 Microsoft SQL Server 2005 或更高版本,用以存储联合身份验证服务中的数据。
大多数情况下,这两个数据库类型是相对等效的。 但是,在开始阅读有关可用于 AD FS 的各种部署拓扑的详细信息之前,有一些不同之处需要注意。 下表描述了在受支持的功能中,WID 数据库和 SQL Server 数据库之间的差异。
AD FS 功能
| 功能 | WID 支持吗? | SQL Server 支持吗? | 有关此功能的详细信息 |
|---|---|---|---|
| 联合服务器场部署 | 是,每个服务器场限制为 30 个联合服务器 | 是的。 对可以在单个服务器场中部署的联合服务器数目没有强制限制 | 确定 AD FS 部署拓扑 |
| SAML 项目解析注意:此功能不是 Microsoft Online Services、Microsoft Office 365、Microsoft Exchange 或 Microsoft Office SharePoint 方案所必需的。 | 否 | 是 | AD FS 配置数据库的角色 |
| SAML/WS 联合身份验证令牌重放检测 | 否 | 是 | AD FS 配置数据库的角色 |
数据库功能
| 功能 | WID 支持吗? | SQL Server 支持吗? | 有关此功能的详细信息 |
|---|---|---|---|
| 使用“拉”复制的基本数据库冗余,其中承载数据库只读副本的一个或多个服务器,将请求在承载该数据库的读/写副本的源服务器上所进行的更改 | 是 | 否 | AD FS 配置数据库的角色 |
| 使用高可用性解决方案的数据库冗余,例如故障转移群集或镜像(仅在数据库层)注意:所有 AD FS 部署拓扑都支持在 AD FS 服务层创建群集。 | 否 | 是 | AD FS 配置数据库的角色 |
SQL Server 注意事项
如果你选择 SQL Server 作为用于 AD FS 部署的配置数据库,你应该考虑以下部署事实。
SAML 功能以及它们对数据库大小和增长的影响。 当启用 SAML 项目解析或 SAML 令牌重放检测功能时,AD FS 将在 SQL Server 配置数据库中存储发出的每个 AD FS 令牌的信息。 并不会特别重视此活动所带来的 SQL Server 数据库的增长,并且它取决于已配置的令牌重播保留期。 每个项目记录的大小大约为 30 千字节 (KB)。
部署所需的服务器数目。 你将需要添加至少一台其他服务器(最多为部署 AD FS 基础结构所需的服务器总数目)作为 SQL Server 实例的专用主机。 如果你打算使用故障转移群集或镜像为 SQL Server 配置数据库提供容错和可伸缩性,则需要至少两个 SQL 服务器。
你选择的配置数据库类型可能会影响硬件资源的方式
对在使用 WID 服务器场中部署的联合服务器(而不是在使用 SQL Server 数据库的服务器场中部署的联合服务器)上的硬件资源的影响并不重要。 但重要的是,当你为服务器场使用 WID 时,在该场中的每个联合服务器必须存储、管理和维护其 AD FS 配置数据库的本地副本的复制更改,同时还要继续提供此联合身份验证服务所需的正常操作。
比较而言,在使用 SQL Server 数据库的服务器场中部署的联合服务器不一定包含 AD FS 配置数据库的本地实例。 因此,它们可能会对硬件资源提出略少的要求。
验证你的生产环境是否可以支持 AD FS 部署
除了将要部署的联合服务器,根据现有的生产环境的设置方式,可能还需要以下其他服务器提供必要的基础结构以支持新 AD FS 部署:
Active Directory 域控制器
证书颁发机构 (CA)
承载联合元数据的 Web 服务器
网络负载平衡 (NLB)