Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Первым шагом в планировании развертывания служб федерации Active Directory (AD FS) является определение правильной топологии развертывания в соответствии с потребностями вашей организации.
Прежде чем читать эту статью, ознакомьтесь с тем, как данные AD FS хранятся и реплицируются на другие серверы федерации в ферме серверов федерации, и убедитесь, что вы понимаете назначение и методы репликации, которые можно использовать для базовых данных, хранящихся в базе данных конфигурации AD FS.
Существует два типа баз данных, которые можно использовать для хранения данных конфигурации AD FS: внутренней базы данных Windows (WID) и Microsoft SQL Server. Дополнительные сведения см. в статье The Role of the AD FS Configuration Database (Роль базы данных конфигурации AD FS). Ознакомьтесь с различными преимуществами и ограничениями, связанными с использованием WID или SQL Server в качестве базы данных конфигурации AD FS, а также различных сценариев приложений, которые они поддерживают, а затем сделайте выбор.
Important
Чтобы реализовать базовую избыточность, балансировку нагрузки и возможность масштабирования службы федерации (при необходимости), рекомендуется развернуть по крайней мере два сервера федерации на ферму серверов федерации для всех рабочих сред независимо от типа используемой базы данных.
Определение типа используемой базы данных конфигурации AD FS
AD FS использует базу данных для хранения конфигурации и (в некоторых случаях) транзакционных данных, связанных со службой федерации. Программное обеспечение AD FS можно использовать для выбора встроенной внутренней базы данных Windows (WID) или Microsoft SQL Server 2008 или более поздней версии для хранения данных в службе федерации.
В большинстве случаев два типа баз данных относительно эквивалентны. Однако перед началом работы с различными топологиями развертывания, которые можно использовать с AD FS, следует учитывать некоторые различия. В следующей таблице описываются различия в поддерживаемых функциях между базой данных WID и базой данных SQL Server.
| Description | Feature | Поддерживается ли WID? | Поддерживается ли это SQL Server? |
|---|---|---|---|
| Функции AD FS | Развертывание фермы серверов федерации | Yes. Ферма WID имеет ограничение в 30 серверов федерации, если у вас есть 100 или меньше доверяющих сторон. Ферма WID не поддерживает обнаружение повторного воспроизведения маркеров или разрешение артефактов (часть протокола языка разметки утверждений безопасности (SAML)). |
Yes. Не существует принудительного ограничения на количество серверов федерации, которые можно развернуть в одной ферме. |
| Функции AD FS | Разрешение артефактов SAML Примечание: Эта функция не требуется для сценариев Microsoft Online Services, Microsoft Office 365, Microsoft Exchange или Microsoft Office SharePoint. |
No | Yes |
| Функции AD FS | Обнаружение повторного использования токена SAML/WS-Federation | No | Yes |
| Функции базы данных | Базовая избыточность базы данных с использованием пул репликации, где один или несколько серверов, на которых размещена копия базы данных только для чтения, запрашивают изменения, сделанные на исходном сервере, на котором размещена копия базы данных для чтения и записи. | Yes | No |
| Функции базы данных | Избыточность базы данных с помощью высокодоступных решений, таких как отказоустойчивая кластеризация или зеркальное отображение (только на уровне базы данных) Примечание. Все топологии развертывания AD FS поддерживают кластеризацию на уровне службы AD FS. | No | Yes |
Рекомендации по SQL Server
При выборе SQL Server в качестве базы данных конфигурации для развертывания AD FS следует учитывать следующие факты развертывания.
функции SAML и их влияние на размер базы данных и рост. Если включены функции разрешения артефактов SAML или обнаружения повторного использования токена SAML, AD FS хранит информацию в базе данных конфигурации SQL Server для каждого выданного маркера AD FS. Рост базы данных SQL Server в результате этой активности не считается значительным и зависит от настроенного периода сохранения воспроизведения токена. Каждая запись артефакта имеет размер около 30 килобайт (КБ).
количество серверов, необходимых для вашего развертывания. Необходимо добавить по крайней мере один дополнительный сервер (в общее количество серверов, необходимых для развертывания инфраструктуры AD FS), который будет выступать в качестве выделенного узла экземпляра SQL Server. Если планируется использовать отказоустойчивую кластеризацию или зеркальное отображение для обеспечения отказоустойчивости и масштабируемости для базы данных конфигурации SQL Server, требуется не менее двух серверов SQL.
Выбор выбранного типа базы данных конфигурации может повлиять на аппаратные ресурсы
Влияние на аппаратные ресурсы на сервер федерации, развернутый в ферме с помощью WID, а не на сервер федерации, развернутый в ферме с использованием базы данных SQL Server, не является значительным. Однако важно учитывать, что при использовании WID для фермы каждый сервер федерации в этой ферме должен хранить, управлять и поддерживать изменения репликации для локальной копии базы данных конфигурации AD FS, а также продолжать предоставлять обычные операции, необходимые службе федерации.
Для сравнения серверы федерации, развернутые в ферме, использующая базу данных SQL Server, не обязательно содержат локальный экземпляр базы данных конфигурации AD FS. Таким образом, они могут немного уменьшить спрос на аппаратные ресурсы.
Место размещения сервера федерации
В качестве рекомендации по обеспечению безопасности поместите серверы федерации AD FS за брандмауэром и подключите их к корпоративной сети, чтобы предотвратить воздействие из Интернета. Это важно, так как серверы федерации имеют полную авторизацию для предоставления маркеров безопасности. Таким образом, они должны иметь ту же защиту, что и контроллер домена. Если сервер федерации скомпрометирован, злоумышленник может выдавать маркеры полного доступа всем веб-приложениям и серверам федерации, защищенным AD FS.
Note
В рамках обеспечения безопасности рекомендуется избегать, чтобы серверы федерации были напрямую доступными в Интернете. Рекомендуется предоставлять серверам федерации прямой доступ к Интернету только при настройке тестовой лабораторной среды или когда в вашей организации отсутствует пограничная сеть.
Для типичных корпоративных сетей брандмауэр, подключенный к интрасети, устанавливается между корпоративной сетью и сетью периметра, а брандмауэр, подключенный к Интернету, часто устанавливается между сетью периметра и Интернетом. В этой ситуации сервер федерации находится внутри корпоративной сети, и он недоступен напрямую интернет-клиентами.
Note
Клиентские компьютеры, подключенные к корпоративной сети, могут напрямую взаимодействовать с сервером федерации через встроенную проверку подлинности Windows.
Прокси-сервер для федерационного сервера следует поместить в сеть периметра, прежде чем настраивать межсетевые экраны для использования с AD FS.
Поддерживаемые топологии развертывания
В следующих статьях описаны различные топологии развертывания, которые можно использовать с AD FS. Они также описывают преимущества и ограничения, связанные с каждой топологией развертывания, чтобы выбрать наиболее подходящую топологию для конкретных бизнес-потребностей.