建立同盟伺服器陣列的時機
當您有較大的 AD FS 部署,且想要為組織的同盟服務提供容錯、負載平衡或延展性時,請考慮在 Active Directory 同盟服務 (AD FS) 中建立同盟伺服器陣列。 在相同網路中建立兩個以上的同盟伺服器,將之設定為使用相同的同盟服務,然後將每一部伺服器的權杖簽署憑證的公開金鑰新增至 AD FS 管理嵌入式管理單元,這一連串的動作便可建立同盟伺服器伺服器陣列。
您可以使用 AD FS [同盟伺服器設定精靈] 建立同盟伺服器陣列,或將其他的同盟伺服器安裝到現有陣列。 如需詳細資訊,請參閱< When to Create a Federation Server>。
注意
當您選擇使用 AD FS [同盟伺服器設定精靈] 建立 新的同盟伺服器陣列,精靈就會嘗試在 Active Directory 中建立容器物件 (適用於共用憑證)。 因此,第一次登入您要在其中設定同盟伺服器角色的電腦時,請務必使用在 Active Directory 中具有足夠權限的帳戶,以便建立這個容器物件。
在將同盟伺服器組成伺服器陣列之前,必須先使用它們建立叢集,如此送達單一完整網域名稱 (FQDN) 的要求才會路由傳送至伺服器陣列中的各個同盟伺服器。 您可以在公司網路內部署網路負載平衡 (NLB) 以建立伺服器叢集。 本指南假設 NLB 已適當設定為將伺服器陣列中的每個同盟伺服器納入叢集。
如需如何使用 Microsoft NLB 技術設定叢集 FQDN 的相關資訊,請參閱指定叢集參數。
部署同盟伺服器陣列的最佳作法
針對在生產環境中部署同盟伺服器,我們建議以下的最佳作法:
如果您同時要部署多個同盟伺服器,或您知道日後還會在伺服器陣列中加入更多伺服器,請考慮建立陣列中現有同盟伺服器的伺服器映像,然後在需要快速建立其他同盟伺服器時從該映像進行安裝。
注意
如果您決定使用伺服器映像方法來部署其他同盟伺服器,則在每次您想要將新伺服器新增至伺服器陣列時,不需要完成檢查清單:設定同盟伺服器中的工作。
使用 NLB 或其他形式的叢集,將單一 IP 位址配置給許多同盟伺服器電腦。
請為伺服器陣列中每個同盟伺服器保留靜態 IP 位址,然後根據網域名稱系統 (DNS) 的設定,為動態主機設定通訊協定 (DHCP) 中的每個 IP 位址插入排除。 Microsoft NLB 技術要求參與 NLB 叢集的每部伺服器都要有指派的靜態 IP 位址。
如果 AD FS 設定資料庫會儲存在 SQL 資料庫中,請避免同時從多個同盟伺服器編輯 SQL 資料庫。
設定伺服器陣列的同盟伺服器
下表描述讓每個同盟伺服器可以參與陣列環境必須完成的工作。
| Task | 描述 |
|---|---|
| 如果您使用 SQL Server 來儲存 AD FS 設定資料庫 | 同盟伺服器陣列是由兩部以上的同盟伺服器所組成,這些伺服器共用相同的 AD FS 組態資料庫和權杖簽署憑證。 設定資料庫可以存放在 Windows 內部資料庫或 SQL Server 資料庫中。 如果您打算將設定資料庫存放在 SQL 資料庫,請確定設定資料庫是可存取的狀態,如此所有參與伺服器陣列的新同盟伺服器才能存取內容。 注意:在伺服器陣列的案例中,重要的是設定資料庫所在電腦不可以是該陣列中的同盟伺服器一員。 Microsoft NLB 不允許參與伺服器陣列中的任何電腦互相通訊。 注意:請確定在參與伺服器陣列的每個同盟伺服器上,網際網路資訊服務 (IIS) 中 AD FS AppPool 的身分具有對設定資料庫的「讀取」權限。 |
| 取得及共用憑證 | 您可以從公開憑證授權單位 (CA) ( 例如 VeriSign) 取得單一伺服器驗證憑證。 之後您可以設定憑證,讓所有同盟伺服器共用憑證的同一個私用金鑰部分。 如需有關如何共用相同憑證的詳細資訊,請參閱< Checklist: Setting Up a Federation Server>。 注意:AD FS 管理嵌入式管理單元會將同盟伺服器的伺服器驗證憑證視為服務通訊憑證。 如需詳細資訊,請參閱< Certificate Requirements for Federation Servers>。 |
| 指向相同的 SQL Server 執行個體 | 如果 AD FS 設定資料庫會存放在 SQL 資料庫中,新同盟伺服器必須指向伺服器陣列中其他同盟伺服器使用的同一 SQL Server 執行個體,如此新的伺服器才可以參與伺服器陣列。 |