規劃 AD FS 部署
適用于:Azure、Office 365、Power BI、Windows Intune
規劃 Microsoft 雲端服務的 AD FS 部署的第一個步驟是選取正確的部署拓撲,以符合您組織的單一登入需求。 AD FS 需要您使用 Windows Internal Database (WID) 或 SQL Server 資料庫,來儲存同盟服務所使用的 AD FS 組態資料。
大部分 Microsoft 雲端服務的建議 AD FS 拓撲為使用同盟伺服器陣列與隨後的 WID 和 Proxy 拓撲搭配。 另一種進階選項則為建立具有 SQL Server Proxy 的同盟伺服器陣列,將於本節稍後提及。
此外,本節也提供一個表格,決定要在貴組織中部署的 AD FS 伺服器數目,以及新增同盟伺服器以增加效能的相關資訊。
建議的拓撲:使用 WID 和 Proxy 同盟伺服器陣列
進階選項:使用 SQL Server 和 Proxy 同盟伺服器陣列
估計資料表:決定組織中要部署的 AD FS 伺服器數目
新增同盟伺服器以提升效能
建議的拓撲:使用 WID 和 Proxy 同盟伺服器陣列
Microsoft 雲端服務的預設拓撲是 AD FS 同盟伺服器陣列,其中包含裝載您組織同盟服務的多部伺服器。 在這個拓撲中,對於所有加入該伺服器陣列的同盟伺服器,AD FS 會使用 WID 作為 AD FS 組態資料庫。 伺服器陣列會複寫並維護伺服器陣列中每部伺服器之設定資料庫的 Federation Service 資料。
在伺服器陣列中建立第一部同盟伺服器時,也會建立新的 Federation Service。 當 WID 作為 AD FS 組態資料庫時,伺服器陣列中建立的第一部同盟伺服器稱為「主要同盟伺服器」。 這表示將設定的這部電腦具有 AD FS 組態資料庫的讀取/寫入複本。
針對這個伺服器陣列設定的其他所有同盟伺服器稱為「次要同盟伺服器」,因為它們必須將任何在主要同盟伺服器上進行的變更複寫至它們在本機儲存之 AD FS 組態資料庫的唯讀複本。
注意
建議您在負載平衡的組態中至少使用兩部同盟伺服器。
設定這個基本同盟伺服器陣列拓撲為 AD FS 部署的第一個階段。 第二個階段包括決定如何提供存取控制功能給外部使用者,方法為部署下列其中一項:
Web 應用程式 Proxy (如果您是在 Windows Server 2012 R2 使用 AD FS)
同盟伺服器 Proxy (如果您是在 Windows Server 2012 使用 AD FS 2.0 或 AD FS)
階段 1:部署同盟伺服器陣列
當您準備好開始部署伺服器陣列時,應該規劃將公司網路中的所有同盟伺服器,放在可以針對網路負載平衡叢集 (NLB) (具有專屬的叢集 DNS 名稱和叢集 IP 位址) 設定的 NLB 主機後方。
重要
這個叢集 DNS 名稱必須符合同盟服務名稱 (例如,fs.fabrikam.com),而且可透過網際網路路由傳送給您部署的 AD FS 執行個體。 如果名稱不相符,驗證要求將不會路由傳送至正確的 DNS 伺服器或是正確的同盟伺服器。
NLB 主機可以使用此 NLB 叢集中定義的設定,將用戶端要求配置給個別的同盟伺服器。 下圖描述 Fabrikam, Inc. 如何搭配 WID 使用兩部電腦的同盟伺服器陣列 (fs1 和 fs2),以及連線到公司網路的 DNS 伺服器和單一 NLB 主機的位置,藉此設定其部署的第一個階段。
.gif "Federation Server Farm with WID")
注意
如果此單一 NLB 主機上發生失敗,則使用者將無法存取雲端服務。 如果您的業務需求不允許有單一失敗點,請加入其他 NLB 主機。
階段 2:部署 Proxy
通常,Proxy 伺服器是用來將來自公司網路外的用戶端驗證要求重新導向至同盟伺服器陣列,換言之,是用來設定外部網路存取。
重要
根據您要使用的 AD FS 版本,您可以部署 Web 應用程式 Proxy (在 Windows Server 2012 R2 的 AD FS 中) 或同盟伺服器 Proxy (在 Windows Server 2012 的 AD FS 2.0 和 AD FS 中)。 如需 Web 應用程式 Proxy和同盟伺服器 Proxy 函式的定義和描述,請參閱檢閱 AD FS 術語。
針對 Microsoft 雲端服務客戶,您必須在現有的 AD FS 基礎結構中部署 Proxy,才能啟用下列使用者案例:
工作電腦,漫遊: 使用公司認證登入已加入網域的電腦,但未連線到公司網路的使用者 (例如,在家工作電腦或旅館) 可以存取雲端服務。
家用或公用電腦: 當使用者使用未加入公司網域的電腦時,使用者必須使用其公司認證登入,才能存取雲端服務。
智慧型手機:在智慧型手機上,若要使用 Microsoft Exchange ActiveSync 存取雲端服務,例如Microsoft Exchange Online,使用者必須使用其公司認證登入。
Microsoft Outlook或其他電子郵件用戶端:如果使用者使用Outlook或不屬於Office的電子郵件用戶端,使用者必須使用其公司認證登入,才能存取其Office 365電子郵件;例如 IMAP 或 POP 用戶端。
若要支援這些使用者案例,第二個階段將根據先前討論之部署的階段 1 來建置,方法為新增兩個 Web 應用程式 Proxy 或兩個同盟伺服器 Proxy、提供周邊網路上 DNS 伺服器的存取,以及存取周邊網路上的第二個 NLB 主機。
第二部 NLB 主機必須透過使用可存取網際網路之叢集 IP 位址的 NLB 叢集來設定,而且必須使用與您先前在階段 1 之公司網路上設定的 NLB 叢集相同的叢集 DNS 名稱來設定 (fs.fabrikam.com)。 Web 應用程式 Proxy 或同盟伺服器 Proxy 也將與可透過網際網路存取的 IP 位址一起設定。
下圖顯示現有的階段 1 部署,以及 Fabrikam, Inc. 如何提供對周邊 DNS 伺服器的存取、如何加入與叢集 DNS 名稱 (fs.fabrikam.com) 相同的第二部 NLB 主機,以及如何將兩個同盟伺服器 Proxy (fsp1 和 fsp2) 新增至周邊網路。
下圖顯示現有的階段 1 部署,以及 Fabrikam, Inc. 如何提供周邊 DNS 伺服器的存取、新增第二個具有相同叢集 DNS 名稱 (fs.fabrikam.com) 的 NLB 主機,以及新增兩個 Web 應用程式 Proxy (wap1 和 wap2) 至周邊網路。
.gif "ADFSProxyDeploymentSSO")
注意
- 您可以使用協力廠商 HTTP 反向 Proxy 解決方案,將 AD FS 發佈至外部網路。 如需如何執行這項操作的詳細資訊,請參閱 設定 AD FS 2.0 的進階選項。
- 所有透過防火牆流動的 AD FS 通訊是根據 HTTPS。
- 您可以在 AD FS 中建立自訂宣告規則,以根據使用者要求存取權的用戶端電腦或用戶端裝置實體位置,限制使用者對雲端服務的存取。 如需如何建立這些規則的詳細資訊,請參閱根據用戶端位置限制對Office 365服務的存取。
進階選項:使用 SQL Server 和 Proxy 同盟伺服器陣列
這是進階 AD FS 部署拓撲選項,可使用 Web 應用程式 Proxy 或同盟伺服器 Proxy 和 SQL Server 組態,來啟用伺服器陣列中的所有同盟伺服器,以讀取和寫入至一般 SQL Server 資料庫。 相較於 WID,使用 SQL Server 資料庫做為 AD FS 設定資料庫提供下列優點:
SQL Server 賦予高可用性功能,系統管理員可多加利用。
其他效能增強功能,包括使用更多同盟伺服器 (WID 伺服器陣列有 30 部同盟伺服器的限制,如果您有 100 個或較少的信賴憑證者信任。如果您有超過 100 個信賴憑證者信任,WID 伺服器陣列的限制為 5 部同盟伺服器。) 。
地理負載平衡,有助於增加以地點為根據的高流量。
注意
因為這個拓撲為進階 AD FS 部署選項,所以這個拓撲如何運作以及如何部署它的詳細資料未涵蓋在本文章中。
如需此拓撲選項的詳細資訊,請參閱 設定 AD FS 2.0 的進階選項。
估計資料表:決定組織中要部署的 AD FS 伺服器數目
您可以使用下表來協助您根據需要單一登入存取的使用者數目,預估 AD FS 同盟伺服器和 Web 應用程式 Proxy 或同盟伺服器 Proxy 數目,您必須放在以 WID 設定的同盟伺服器陣列中, 包括遠端存取雲端服務。
注意
將針對同盟伺服器或同盟伺服器 Proxy 角色設定的所有電腦都必須執行 Windows Server 2008、Windows Server 2008 R2 或Windows Server 2012作業系統。 所有將設定為執行 Web 應用程式 Proxy 的電腦只會執行 Windows Server 2012 R2 作業系統。
為了備援的考量,建議您使用一部同盟伺服器。 下表遵循此建議。
| 存取雲端服務的使用者數目 | 要部署的伺服器數目下限 | 建議和步驟 |
|---|---|---|
少於 1,000 名使用者 |
0 部專屬的同盟伺服器 0 個專用 Proxy 1 部專屬的 NLB 伺服器 |
針對同盟伺服器,請使用兩個現有的 Active Directory 網域控制站 (DC) ,並為同盟伺服器角色設定兩者。 若要執行這項作業,請先選取兩個現有的 DC,然後:
若是 NLB,請設定現有的 NLB 主機或取得專屬的伺服器,然後在其上安裝 NLB 伺服器角色,並設定 NLB 伺服器。 若為 Proxy,請使用現有的 Web 或 Proxy 伺服器,並針對同盟伺服器 Proxy 角色或 Web 應用程式 Proxy 角色同時設定它們。 若要執行這項作業,請選取位於外部網路的兩部現有的 Web 或 Proxy 伺服器,然後:
注意 如果您沒有兩個現有的 DC 和兩部 Web 或 Proxy 伺服器,或它們未執行Windows Server 2008、Windows Server 2008 R2、Windows Server 2012或Windows Server 2012 R2,您應該改為部署專用伺服器,如下表的下一列所述。 重要 如果您是在 Windows Server 2012 使用 AD FS 2.0 或 AD FS,則必須部署和設定同盟伺服器 Proxy。 如果您是在 Windows Server 2012 R2 使用 AD FS,則只能設定和部署 Web 應用程式 Proxy。 在 Windows Server 2012 R2,Web 應用程式 Proxy (遠端存取伺服器角色的新角色服務) 是用來設定 AD FS 進行外部網路存取。 |
1,000 到 15,000 位使用者 |
2 部專用同盟伺服器 2 個專用 Proxy |
若是同盟伺服器,請取得兩部專屬的伺服器,然後:
若為 Proxy,請取得兩部您可以放置在外部網路的專用伺服器:
重要 如果您是在 Windows Server 2012 使用 AD FS 2.0 或 AD FS,則必須部署和設定同盟伺服器 Proxy。 如果您是在 Windows Server 2012 R2 使用 AD FS,則只能設定和部署 Web 應用程式 Proxy。 在 Windows Server 2012 R2,Web 應用程式 Proxy (遠端存取伺服器角色的新角色服務) 是用來設定 AD FS 進行外部網路存取。 |
15,000 到 60,000 個使用者 |
在 3 和 5 部專屬的同盟伺服器之間 至少 2 個專用 Proxy |
每部專屬的同盟伺服器可支援大約 15,000 位使用者。 因此,將額外的專用同盟伺服器新增至先前針對每 15,000 名需要存取雲端服務之使用者所描述的基底兩個同盟伺服器部署,伺服器陣列或 60,000 位使用者最多可達 5 部同盟伺服器。 注意 設定為使用 WID 的 AD FS 同盟伺服器陣列最多支援五部同盟伺服器。 如果需要超過五部的同盟伺服器,您需要設定 SQL Server 資料庫,以儲存 AD FS 組態資料庫。 如需此選項的詳細資訊,請參閱 設定 AD FS 2.0 的進階選項。 |
上表中提供的使用者對伺服器數目下限的建議是根據下列硬體來計算:
| 硬體 | 規格 |
|---|---|
CPU 速度 |
雙四核心 2.27GHz CPU (8 核心) |
RAM |
4 GB |
網路 |
Gigabit |
新增同盟伺服器以提升效能
當使用 NLB 技術在伺服器陣列中設定兩部以上的同盟伺服器時,它們可以獨立運作,以協助處理 AD FS 同盟服務所提出之傳入使用者要求的負載,而不會降低整個服務的整體效能。 因此,從策略方面來說,在網路中部署初始同盟伺服器之後,將其他同盟伺服器新增到現有的生產環境中幾乎不會產生額外的負擔。
後續步驟
既然您已規劃 AD FS 部署,下一個步驟是 檢閱部署 AD FS 的需求。