联合服务器代理容量规划

联合服务器代理的容量规划有助于您估算:

  • 每个联合服务器代理的相应硬件要求。

  • 要放在每个组织中的联合服务器和联合服务器代理的数量。

联合服务器代理将安全令牌从企业网络中受保护的联合服务器重定向到联合用户。 部署联合服务器代理的目的是允许外部用户连接到联合服务器。 它不会对令牌进行实际签名,也不会在 AD FS 配置数据库中写入数据。 因此,联合服务器代理的硬件要求通常低于联合服务器的硬件要求。

由于对联合服务器代理的每个请求都会导致向联合服务器或联合服务器场发出请求,因此必须并行执行联合服务器和联合服务器代理的容量规划。

估计联合服务器代理每秒的峰值登录数需要了解将通过联合服务器代理登录的联合用户的使用模式。 在许多部署中,使用联合服务器代理登录的联合用户位于 Internet 上。 可以通过在将受 AD FS 保护的现有 Web 应用程序上查看这些联合用户的使用模式,来估算每秒的峰值登录数。

注意

对于生产部署,我们建议为每个部署的联合服务器场实例至少使用两个联合服务器代理。

估计组织所需的联合服务器代理的数目

你首先需要确定要在组织中部署的联合服务器的总数,然后才能估算所需的 AD FS 联合服务器代理计算机的数量。 有关如何执行此操作的详细信息,请参阅 规划联合服务器容量

一旦你决定了联合服务器的数目,就会将此数量的服务器乘以你预计将从位于企业网络外部的外部用户 () 的传入联合身份验证请求的百分比。 此计算的值将向你提供要处理外部用户的传入身份验证请求的预计联合服务器代理数。

例如,如果建议的联合服务器数为3,并且你预计将从外部用户发出的身份验证请求总数大约为联合身份验证请求总数的60%,则计算结果将等于 1.8 (3 X 60) ,你可以将此值舍入到2。 因此,在这种情况下,需要部署两个联合服务器代理计算机,以容纳三个联合服务器的外部用户身份验证请求的负载。

在 AD FS 产品团队执行的测试中,发现每个联合服务器代理上的总体 CPU 利用率明显低于同一场的联合服务器上观察到的 CPU 使用率。 在一个测试中,当一台联合服务器 CPU 指示它已完全饱和时,为同一场提供代理服务的联合服务器代理的 CPU 的使用率仅为20%。 因此,我们的测试表明,联合服务器代理的 CPU 上的负载(使用本部分前面所述的类似硬件规范)可以合理地处理大约三台联合服务器的处理负载。

但出于容错目的,我们建议为每个部署的联合服务器场至少使用两个联合服务器代理。

另请参阅

Windows Server 2012 中的 AD FS 设计指南