计划 AD FS 部署
适用于:Azure、Office 365、Power BI、Windows Intune
规划 Microsoft 云服务的 AD FS 部署的第一步是选择正确的部署拓扑以满足组织的单一登录需求。 AD FS 要求使用 Windows 内部数据库 (WID) 或 SQL Server 数据库来存储联合身份验证服务使用的 AD FS 配置数据。
对于大多数 Microsoft 云服务客户,建议使用的 AD FS 拓扑是如下所述的包含 WID 和代理的联合服务器场拓扑。 同时还有高级选项,可以使用 SQL Server 代理创建联合服务器场,将在下文中介绍。
此外,本部分还提供了一个用于确定要在组织中部署的 AD FS 服务器数量的表格,以及有关添加联合服务器以提高性能的信息。
建议的拓扑:使用 WID 和代理联合服务器场
高级选项:使用 SQL Server 和代理的联合服务器场
估计表:确定在组织中部署的 AD FS 服务器数
添加联合服务器以提高性能
建议的拓扑:使用 WID 和代理联合服务器场
Microsoft 云服务的默认拓扑是一个 AD FS 联合服务器场,由托管组织的联合身份验证服务的多个服务器组成。 在此拓扑中,AD FS 使用 WID 作为已加入到该场的所有联合服务器的 AD FS 配置数据库。 该场针对场中的每台服务器,在此配置数据库中复制和维护联合身份验证服务数据。
在场中创建第一台联合服务器的操作也将创建一项新的联合身份验证服务。 将 WID 用作 AD FS 配置数据库时,在场中创建的第一台联合服务器称为主联合服务器。 这意味着此计算机将配置为具有 AD FS 配置数据库的读/写副本。
为此场配置的其他所有联合服务器称为辅助联合服务器,因为它们必须将主联合服务器上发生的所有更改复制到它们在本地存储的 AD FS 配置数据库只读副本中。
注意
我们建议在负载平衡配置中至少使用两台联合服务器。
设置这个基本联合服务器场拓扑是部署 AD FS 的第一阶段。 第二阶段的操作包括通过部署下列任一组件,确定如何针对外部用户提供访问控制功能:
Web 应用程序代理(如果你在 Windows Server 2012 R2 中使用 AD FS)
联合服务器代理(如果你在 Windows Server 2012 中使用 AD FS 2.0 或 AD FS)
阶段 1:部署联合服务器场
当你准备好开始部署场时,应规划将所有联合服务器放在公司网络中为网络负载平衡 (NLB) 群集(具有专用的群集 DNS 名称和群集 IP 地址)配置的 NLB 主机之后。
重要
此群集 DNS 名称必须与联合身份验证服务名称(例如 fs.fabrikam.com)匹配,并且可以针对你要部署的 AD FS 实例在 Internet 中路由。 如果名称不匹配,则验证请求将不会路由到正确的 DNS 服务器或正确的联合服务器。
NLB 主机可以使用在此 NLB 群集中定义的设置,将客户端请求分配给各个联合服务器。 下图描绘 Fabrikam, Inc. 如何使用由两台计算机组成的联合服务器场(fs1 和 fs2)以及 WID,并确定与公司网络相连的 DNS 服务器和单个 NLB 主机的位置,从而设置其部署的第一阶段。
.gif "Federation Server Farm with WID")
注意
如果此单个 NLB 主机上发生故障,则用户将无法访问云服务。 如果你的业务要求不允许存在单点故障,则应添加其他 NLB 主机。
阶段 2:部署代理
通常,代理服务器用于将来自公司网络外部的客户端身份验证请求重定向到联合服务器场,换句话说,用于配置 Extranet 访问。
重要
根据你要使用的 AD FS 版本,可以部署 Web 应用程序代理(如果在 Windows Server 2012 R2 中使用 AD FS)或联合服务器代理(如果在 Windows Server 2012 中使用 AD FS 2.0 和 AD FS)。 有关 Web 应用程序代理和联合服务器代理的功能的定义和说明,请参阅查看 AD FS 术语。
对于 Microsoft 云服务客户,需要在现有 AD FS 基础结构中部署代理才能启用以下用户方案:
工作计算机,漫游: 使用其公司凭据登录到已加入域的计算机的用户,但未连接到公司网络的用户 (例如,家庭或酒店) 的工作计算机可以访问云服务。
家庭或公共计算机: 当用户使用未加入公司域的计算机时,用户必须使用其公司凭据登录才能访问云服务。
智能手机:在智能手机上,若要使用 Microsoft Exchange ActiveSync 访问云服务(如 Microsoft Exchange Online),用户必须使用其公司凭据登录。
Microsoft Outlook或其他电子邮件客户端:如果用户使用的是Outlook或不属于Office的电子邮件客户端,则用户必须使用其公司凭据登录才能访问其Office 365电子邮件;例如 IMAP 或 POP 客户端。
若要支持这些用户方案,需要通过添加两个 Web 应用程序代理或两个联合服务器代理,并提供对外围网络中某台 DNS 服务器的访问以及对外围网络中另一台 NLB 主机的访问,在此前讨论的部署阶段 1 的基础上构建此第二阶段。
必须将第二台 NLB 主机配置为加入 NLB 群集,此群集使用可通过 Internet 访问的群集 IP 地址,并且它必须与你在第 1 阶段中在公司网络 (fs.fabrikam.com) 上配置的前一 NLB 群集使用相同的群集 DNS 名称设置。 Web 应用程序代理或联合服务器代理也同样要配置为使用可通过 Internet 访问的 IP 地址。
下图说明现有的第 1 阶段部署,并介绍 Fabrikam, Inc. 如何提供对外围网络 DNS 服务器的访问,如何添加具有相同群集 DNS 名称 (fs.fabrikam.com) 的第二台 NLB 主机,以及如何向外围网络添加两台联合服务器代理(fsp1 和 fsp2)。
下图显示了现有的阶段 1 部署,以及 Fabrikam, Inc. 如何提供对外围 DNS 服务器的访问、添加具有相同群集 DNS 名称 (fs.fabrikam.com) 的另一台 NLB 主机,并向外围网络添加两个 Web 应用程序代理(wap1 和 wap2)。
.gif "ADFSProxyDeploymentSSO")
注意
- 你可以使用第三方 HTTP 反向代理解决方案将 AD FS 发布到 Extranet。 有关如何执行此操作的详细信息,请参阅 配置 AD FS 2.0 的高级选项。
- 通过防火墙的所有 AD FS 通信都是基于 HTTPS 进行的。
- 可以在 AD FS 中创建自定义声明规则,根据用户请求访问权限的客户端计算机或客户端设备的物理位置限制用户对云服务的访问。 有关如何创建这些规则的详细信息,请参阅限制对基于客户端位置Office 365服务的访问。
高级选项:使用 SQL Server 和代理的联合服务器场
这是一个高级 AD FS 部署拓扑选项,它使用 Web 应用程序代理或联合服务器代理以及 SQL Server 配置,使场中的所有联合服务器都能够读取和写入某个通用 SQL Server 数据库。 使用 SQL Server 数据库作为 AD FS 配置数据库,通过 WID 提供以下优势:
管理员可以使用 SQL Server 的高可用性功能。
其他性能增强功能,包括使用更多联合服务器进行横向扩展的功能, (如果拥有 100 个或更少的信赖方信任,则 WID 场限制为 30 个联合服务器。如果拥有 100 多个信赖方信任,WID 场的限制为 5 个联合服务器。) 。
地理范围的负载平衡,以帮助改善基于位置的高流量。
注意
由于此拓扑是一个高级 AD FS 部署选项,本文将不会详细阐述此拓扑的工作原理及其部署方法。
有关此拓扑选项的详细信息,请参阅 配置 AD FS 2.0 的高级选项。
估计表:确定在组织中部署的 AD FS 服务器数
可以使用下表,根据需要单一登录访问的用户数,估算在企业网络基础结构中配置了 WID 的联合服务器场中所需的最小 AD FS 联合服务器和 Web 应用程序代理数, 包括对云服务的远程访问。
注意
将为联合服务器或联合服务器代理角色配置的所有计算机都必须运行 Windows Server 2008、Windows Server 2008 R2 或Windows Server 2012操作系统。 配置为运行 Web 应用程序代理角色服务的所有计算机必须运行 Windows Server 2012 R2 操作系统。
我们建议你使用一台联合服务器来提供冗余性。 下表遵循此建议。
| 访问云服务的用户数 | 要部署的最小服务器数量 | 建议和步骤 |
|---|---|---|
少于 1,000 名用户 |
0 台专用联合服务器 0 个专用代理 一台专用 NLB 服务器 |
对于联合服务器,请使用两个现有的 Active Directory 域控制器 (DC) ,并为联合服务器角色配置它们。 为此,首先选择两台现有 DC,然后:
对于 NLB,配置一台现有 NLB 主机或获取一台专用服务器,接着在其上安装 NLB 服务器角色,然后配置 NLB 服务器。 对于代理,请使用两台现有的 Web 服务器或代理服务器,并将其配置给联合服务器代理角色或 Web 应用程序代理角色。 为此,选择位于 Extranet 中的两台现有 Web 服务器或代理服务器,然后:
注意 如果没有两个现有的 DC 和两个 Web 或代理服务器,或者它们未运行 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2,则应改为部署专用服务器,如下表的下一行所述。 重要 如果你在 Windows Server 2012 中使用 AD FS 2.0 或 AD FS,则必须部署并配置联合服务器代理。 如果你在 Windows Server 2012 R2 中使用 AD FS,则只能配置并部署 Web 应用程序代理。 在 Windows Server 2012 R2 中,将使用 Web 应用程序代理(远程访问服务器角色的一个新角色服务)来配置 AD FS 以进行 Extranet 访问。 |
1,000 到 15,000 名用户 |
2 个专用联合服务器 2 个专用代理 |
对于联合服务器,获取两台专用服务器,然后:
对于代理,请获取两台可放置到 Extranet 中的专用服务器:
重要 如果你在 Windows Server 2012 中使用 AD FS 2.0 或 AD FS,则必须部署并配置联合服务器代理。 如果你在 Windows Server 2012 R2 中使用 AD FS,则只能配置并部署 Web 应用程序代理。 在 Windows Server 2012 R2 中,将使用 Web 应用程序代理(远程访问服务器角色的一个新角色服务)来配置 AD FS 以进行 Extranet 访问。 |
15,000 到 60,000 个用户 |
3 台至 5 台专用联合服务器 至少 2 个专用代理 |
每台专用联合服务器大约可以支持 15,000 名用户。 因此,将额外的专用联合服务器添加到前面描述的每个 15,000 个需要访问云服务的用户(最多 5 个服务器场中的 5 个联合服务器或 60,000 个用户)所述的基本联合服务器部署。 注意 配置为使用 WID 的 AD FS 联合服务器场最多支持五台联合服务器。 如果需要五台以上的联合服务器,则需要配置一个 SQL Server 数据库,用于存储 AD FS 配置数据库。 有关此选项的详细信息,请参阅 配置 AD FS 2.0 的高级选项。 |
此时将基于以下硬件计算前一表格中提供的最小用户数与服务器数量的建议:
| 硬件 | 规范 |
|---|---|
CPU 速度 |
两个四核 2.27 GHz CPU(8 核) |
RAM |
4 千兆字节 (GB) |
网络 |
千兆位 |
添加联合服务器以提高性能
使用 NLB 技术在场中配置两台或更多的联合服务器后,这些服务器可以独立运行,以帮助处理向 AD FS 联合身份验证服务发出的传入用户请求的负载,并且不会降低服务的总体性能。 因此,当你在网络中以战略方式部署了首批联合服务器之后,向现有生产环境中添加其他联合服务器几乎不占什么开销。
后续步骤
规划 AD FS 部署后,下一步是 查看部署 AD FS 的要求。