Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта топология для служб федерации Active Directory (AD FS) отличается от фермы серверов федерации, использующей топологию развертывания внутренней базы данных Windows (WID), поскольку она не реплицирует данные на каждый сервер федерации в ферме. Вместо этого все серверы федерации в ферме могут считывать и записывать данные в общую базу данных, которая хранится на сервере под управлением Microsoft SQL Server, расположенном в корпоративной сети.
Important
Если вы хотите создать ферму AD FS и использовать SQL Server для хранения данных конфигурации, можно использовать SQL Server 2008 и более новые версии, включая SQL Server 2012 и SQL Server 2014.
Рекомендации по развертыванию
В этом разделе описаны различные рекомендации по предполагаемой аудитории, преимуществам и ограничениям, связанным с этой топологией развертывания.
Кто должен использовать эту топологию?
Крупные организации с более чем 100 отношениями доверия, которые должны предоставлять как внутренним, так и внешним пользователям единый вход (SSO) для доступа к федеративным приложениям или службам.
Организации, которые уже используют SQL Server и хотят воспользоваться своими существующими инструментами и опытом
Каковы преимущества использования этой топологии?
Поддержка большего числа отношений доверия (более 100)
Поддержка обнаружения повторного использования токенов (функция безопасности) и разрешения артефактов (часть протокола Security Assertion Markup Language (SAML) 2.0)
Поддержка полных преимуществ SQL Server, таких как зеркальное отображение базы данных, отказоустойчивая кластеризация, отчеты и средства управления
Каковы ограничения использования этой топологии?
Эта топология по умолчанию не обеспечивает избыточность базы данных. Хотя ферма серверов федерации с топологией WID автоматически реплицирует базу данных WID на каждом сервере федерации в ферме, ферма серверов федерации с топологией SQL Server содержит только одну копию базы данных.
Note
SQL Server поддерживает множество различных вариантов резервирования данных и приложений, включая кластеризацию отказоустойчивости, зеркальное отображение базы данных и несколько различных типов репликации SQL Server.
Отдел Microsoft Information Technology (IT) использует зеркальное отображение базы данных SQL Server в режиме высокой безопасности (синхронном) и отказоустойчивой кластеризации для обеспечения высокой доступности экземпляра SQL Server. Транзакционная репликация SQL Server (одноранговая) и репликация слиянием не были протестированы командой продукта AD FS в корпорации Майкрософт. Дополнительные сведения о SQL Server см. в обзоре решений высокой доступности или выборе соответствующего типа репликации.
Поддерживаемые версии SQL Server
Следующие версии SQL Server поддерживаются с AD FS в Windows Server 2012 R2:
SQL Server 2008 / R2
SQL Server 2012
SQL Server 2014
Рекомендации по размещению сервера и макету сети
Как и в ферме серверов федерации с топологией WID, все серверы федерации в ферме настроены на использование одного имени домена кластера (DNS) (который представляет имя службы федерации) и один IP-адрес кластера в рамках конфигурации кластера балансировки нагрузки сети (NLB). Это помогает узлу NLB выделять клиентские запросы на отдельные серверы федерации. Прокси-сервер федерации можно использовать для прокси-запросов клиента к ферме серверов федерации.
На следующем рисунке показано, как вымышленной компанией Contoso Pharmaceuticals была развернута ферма серверов федерации с топологией SQL Server в корпоративной сети. В нем также показано, как компания настроила сеть периметра с доступом к DNS-серверу, дополнительным узлом NLB, который использует то же DNS-имя кластера (fs.contoso.com), что и в корпоративной сети NLB-кластера, а также с двумя прокси-серверами веб-приложений (wap1 и wap2).
Дополнительные сведения о настройке сетевой среды для использования с серверами федерации или прокси-серверами веб-приложений см. в разделе "AD FS Requirements Требования к разрешению имен" и "Plan the Web Application Proxy Infrastructure (WAP); Планирование инфраструктуры прокси-сервера веб-приложений (WAP)".
Параметры высокого уровня доступности для ферм SQL Server
В Windows Server 2012 R2 AD FS появились два новых варианта для поддержки высокой доступности в фермах AD FS, используя SQL Server.
Поддержка групп доступности AlwaysOn SQL Server
Поддержка географически распределенной высокой доступности с помощью репликации слияния SQL Server
В этом разделе описывается каждый из этих вариантов, какие проблемы они решают соответственно, и некоторые ключевые рекомендации по выбору вариантов развертывания.
Note
Фермы AD FS, использующие внутреннюю базу данных Windows (WID), обеспечивают базовую избыточность данных с доступом на чтение и запись на узле сервера основной федерации и доступ только для чтения на вторичных узлах. Это можно использовать в географической или географическо распределенной топологии.
При использовании WID следует учитывать следующие ограничения:
- Ферма WID имеет ограничение в 30 серверов федерации, если количество доверенных сторон равно 100 или меньше.
- Кластер WID не поддерживает обнаружение повторного воспроизведения токенов или разрешение артефактов (часть протокола языка разметки утверждений безопасности (SAML)).
В следующей таблице приведена сводка по использованию фермы WID:
| 1-100 доверительных фондов RP | Более 100 трастов RP |
|---|---|
| 1–30 узлов AD FS: поддержка WID | 1–30 узлов AD FS: не поддерживается с помощью WID — требуется SQL |
| Более 30 узлов AD FS: не поддерживается с использованием WID — требуется SQL. | Более 30 узлов AD FS: не поддерживается с использованием WID — требуется SQL. |
Группы доступности AlwaysOn
Overview
Группы доступности AlwaysOn появились в SQL Server 2012 и предоставляют новый способ создания экземпляра SQL Server с высоким уровнем доступности. Группы доступности AlwaysOn объединяют элементы кластеризации и зеркального отображения базы данных для обеспечения избыточности и отказоустойчивости как на уровне SQL-инстанции, так и на уровне самой базы данных. В отличие от предыдущих параметров высокой доступности, группы доступности AlwaysOn не требуют общего хранилища (или сети зоны хранения) на уровне базы данных.
Группа доступности состоит из основной реплики (набора первичных баз данных для чтения и записи) и от одной до четырех реплик доступности (наборов соответствующих вторичных баз данных). Группа доступности поддерживает одну реплику для чтения и записи (основную реплику) и от одной до четырех реплик доступности только для чтения. Каждая реплика доступности должна размещаться на отдельном узле одного отказоустойчивого кластера Windows Server (WSFC). Дополнительные сведения о группах доступности AlwaysOn см. в обзоре групп доступности AlwaysOn (SQL Server).
С точки зрения узлов фермы SQL Server AD FS, группа доступности AlwaysOn заменяет собой единственный экземпляр SQL Server в роли базы данных политики или артефактов. Прослушиватель группы доступности — это то, что клиент (служба токенов безопасности AD FS) использует для подключения к SQL.
На следующей схеме показана ферма SQL Server AD FS с группой доступности AlwaysOn.
Note
Группы доступности AlwaysOn требуют, чтобы экземпляры SQL Server располагались на узлах отказоустойчивой кластеризации Windows Server (WSFC).
Note
Только одна реплика доступности может быть целью автоматического переключения в случае отказа, остальные три будут полагаться на переключение вручную.
Ключевые аспекты развертывания
Если вы планируете использовать группы доступности AlwaysOn в сочетании с репликацией слиянием SQL Server, обратите внимание на проблемы, описанные ниже в разделе "Ключевые соображения по развертыванию для использования AD FS с репликацией слиянием SQL Server". В частности, если происходит отказ группы доступности AlwaysOn, содержащей базу данных, которая является подписчиком репликации, подписка репликации не удается. Чтобы возобновить репликацию, администратор репликации должен вручную перенастроить подписчика. См. описание конкретной проблемы в документации Подписчики репликации и группы доступности AlwaysOn (SQL Server) и общие инструкции поддержки для групп доступности AlwaysOn с параметрами репликации в документации Репликация, отслеживание изменений, захват изменений данных и группы доступности AlwaysOn (SQL Server).
Настройка AD FS для использования группы доступности AlwaysOn
Для настройки фермы AD FS с группами доступности AlwaysOn требуется небольшое изменение процедуры развертывания AD FS:
Перед настройкой групп доступности AlwaysOn базы данных, которые необходимо скопировать, должны быть созданы. AD FS создает свои базы данных в рамках настройки и начальной настройки первого узла службы федерации новой фермы SQL Server AD FS. В рамках конфигурации AD FS необходимо указать строку подключения SQL, поэтому необходимо настроить первый узел фермы AD FS для подключения к экземпляру SQL напрямую (это только временно). Инструкции по настройке фермы AD FS, включая настройку узла фермы AD FS со строкой подключения к SQL Server, см. в статье Настройка сервера федерации.
После создания баз данных AD FS назначьте их группам доступности AlwaysOn и создайте общий прослушиватель TCPIP с помощью средств SQL Server и процесса при создании и настройке групп доступности (SQL Server).
Наконец, используйте PowerShell для изменения свойств AD FS и обновления строки подключения SQL с использованием DNS-адреса прослушивателя группы доступности AlwaysOn.
Примеры команд PSH для обновления строки подключения SQL для базы данных конфигурации AD FS:
PS:\>$temp= Get-WmiObject -namespace root/ADFS -class SecurityTokenService PS:\>$temp.ConfigurationdatabaseConnectionstring="data source=<SQLCluster\SQLInstance>; initial catalog=adfsconfiguration;integrated security=true" PS:\>$temp.put()Примеры команд PSH для обновления строки подключения SQL для базы данных службы разрешения артефактов AD FS:
PS:\> Set-AdfsProperties –artifactdbconnection "Data source=<SQLCluster\SQLInstance >;Initial Catalog=AdfsArtifactStore;Integrated Security=True"
Репликация слиянием SQL Server
Кроме того, в SQL Server 2012 репликация слиянием обеспечивает избыточность данных политики AD FS со следующими характеристиками:
Возможность чтения и записи на всех узлах (а не только основной)
Меньшие объемы данных, реплицируемые асинхронно, чтобы избежать задержки в системе
На следующей схеме показаны географически резервные фермы SQL Server AD FS с репликацией слиянием (1 издатель, 2 подписчика):
серверная ферма 
Ключевые факторы развертывания при использовании AD FS с репликацией слияния SQL Server (ссылки на схему выше)
База данных распространителя не поддерживается для использования с группами доступности AlwaysOn или зеркальным отображением базы данных. См. заявления о поддержке SQL Server для групп доступности AlwaysOn с параметрами репликации в репликация, отслеживание изменений, фиксация изменений данных и группы доступности AlwaysOn (SQL Server).
Если происходит отказ группы доступности AlwaysOn, содержащей базу данных, которая является подписчиком репликации, подписка репликации завершается ошибкой. Чтобы возобновить репликацию, администратор репликации должен вручную перенастроить подписчика. См. описание SQL Server для конкретной проблемы в подписчиках репликации и группах доступности AlwaysOn (SQL Server) и общие заявления поддержки для групп доступности AlwaysOn с параметрами репликации, отслеживания изменений, захвата изменений данных и групп доступности AlwaysOn (SQL Server).
Более подробные инструкции по настройке AD FS для использования технологии репликации слияния SQL Server смотрите в разделе "Настройка географической избыточности с помощью репликации SQL Server".
См. также
Планирование топологии развертывания AD FSРуководство по проектированию AD FS в Windows Server 2012 R2