Table of contents
TOC
Comprimi il sommario
Espandi il sommario
Bill Mathers|Ultimo aggiornamento: 14/04/2017
|
1 Collaboratore

Si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Il ruolo del Database di configurazione di Active Directory FS

Il database di configurazione di ADFS archivia tutti i dati di configurazione che rappresenta una singola istanza di Active Directory Federation Services (ADFS)(, il servizio federativo). Il database di configurazione di ADFS definisce l'insieme di parametri che richiede un servizio federativo per identificare partner, certificati, archivi di attributo, attestazioni e vari dati relativi a queste entità associate. È possibile memorizzare questi dati in un database Microsoft SQL Server® o il Database interno di Windows (WID) funzionalità inclusa in Windows Server® 2008, Windows Server 2008 R2 e Windows Server® 2012.

Nota

L'intero contenuto del database di configurazione di ADFS può essere stored in un'istanza di WID o in un'istanza del database SQL, ma non entrambi. Questo significa che è Impossibile alcuni server federativi utilizzando WID e altri utenti di un database di SQL Server per la stessa istanza del database di configurazione di ADFS.

È possibile utilizzare le seguenti informazioni in questo argomento insieme al contenuto di cui considerazioni sulla topologia di distribuzione di Active Directory FS per scoprire i vantaggi e svantaggi derivanti dalla scelta WID o SQL Server per memorizzare il database di configurazione di ADFS:

WID utilizza un archivio di dati relazionali e non dispone dell'interfaccia utente di gestione (dell'interfaccia Utente). Al contrario, gli amministratori possono modificare il contenuto del database di configurazione di ADFS da utilizzando lo snap-gestione FS AD-in, Fsconfig.exe o Windows PowerShell™ cmdlet.

Utilizzando WID per memorizzare il database di configurazione di ADFS

È possibile creare il database di configurazione di ADFS utilizza WID come archivio di utilizzando il comando Fsconfig.exe-strumento linea o configurazione guidata Server federativo AD FS. Quando si utilizza uno di questi strumenti, è possibile scegliere una delle seguenti opzioni per creare la topologia di server federativo. Ognuna di queste opzioni utilizza WID per archiviare il database di configurazione di ADFS:

  • Creare un supporto-server federativo da solo

  • Creare il primo server federativo in una server farm federativa

  • Aggiungere un server federativo a una server farm federativa

Se si seleziona il cavalletto-opzione da sola, WID viene utilizzato per archiviare una singola istanza del database di configurazione di ADFS. Questa istanza non può essere condiviso tra più server federativi. Si tratta di test di laboratorio solo per ambienti. Per ulteriori informazioni su stand-da solo l'opzione server federativo o come impostare uno, vedere autonomo Federation Server utilizzando WID o creare un Server federativo autonomo.

Se si seleziona il primo server federativo in un'opzione di farm di server federativo, WID è configurato per la scalabilità che permette al server federativo aggiuntivi da aggiungere alla farm in un secondo momento. Per ulteriori informazioni sulla distribuzione di una farm WID o sull'impostazione di uno, vedere Federation Server Farm utilizzando WID o il primo Server federativo di creare una federazione di Server farm

Se si selezionano l'opzione Aggiungi una federazione server, WID è configurato per replicare le modifiche del database di configurazione per il nuovo server federativo a intervalli predefiniti. Per ulteriori informazioni sull'aggiunta di un server federativo a una farm WID, vedere Federation Server Farm utilizzando WID o aggiungere un Server federativo a una Server Farm federativa.

Nota

Quando si distribuisce una server farm federativa utilizzando WID, alcune funzionalità di ADFS potrebbero non essere disponibili. Per accedere alla funzionalità completa impostato quando si configura la server farm, è consigliabile utilizzare Microsoft SQL Server per memorizzare il database di configurazione di ADFS invece. Per ulteriori informazioni, vedere considerazioni sulla topologia di distribuzione di Active Directory FS.

Funzionamento di una server farm federativa WID

In questa sezione vengono descritti i concetti importanti che descrivono la modalità server farm federativa WID replica i dati tra un server federativo primario e server federativi secondario. .

Server federativo primario

Un server federativo primario è un computer che esegue Windows Server 2008, Windows Server 2008 R2 o Windows Server® 2012 che è stato configurato nel ruolo del server federativo con configurazione guidata Server federativo AD FS e che include una copia in lettura/scrittura del database di configurazione di ADFS. Il server federativo primario viene sempre creato quando si utilizza configurazione guidata Server federativo AD FS e selezionare l'opzione per creare un nuovo servizio federativo e rendere il computer, il primo server federativo della farm. Tutti gli altri server federativo della farm, noto anche come server secondario della federazione, è necessario sincronizzare le modifiche apportate nel server federativo primaria a una copia del database di configurazione di ADFS archiviato localmente.

Server federativi secondario

I server federativi secondario archiviano una copia del database di configurazione di ADFS dal server primario della federazione, ma queste copie vengono lette-solo. I server federativi secondario connettersi e sincronizzare i dati con il server federativo primario della farm per il polling a intervalli regolari per verificare se i dati sono stati modificati. Il server federativo secondario disponibili per fornire la tolleranza d'errore per il server federativo primario quando agisce per caricare-bilanciare le richieste di accesso che vengono effettuate in diversi siti in tutto l'ambiente di rete.

Nota

Se un server federativo primario si blocca e non è in linea, tutti i server federativi secondario continuano a elaborare le richieste come normale. Nessuna modifica può essere tuttavia al servizio federativo fino a quando il server federativo primario è stato portato nuovamente in linea. È inoltre possibile nominano un server federativo secondario diventi il server federativo primario utilizzando Windows PowerShell. Per ulteriori informazioni, vedere la AD FS amministrazione con Windows PowerShell.

La modalità di sincronizzazione del database di configurazione di ADFS

A causa dell'importante ruolo svolto dal database di configurazione di ADFS, renderlo disponibile su tutti i server federativo nella rete per fornire la tolleranza d'errore e carico-bilanciamento del carico di capacità durante l'elaborazione di richieste (quando carico di rete-vengono utilizzati sistemi di bilanciamento del). Tuttavia svolgere questo ruolo server federativo secondario, il database di configurazione di ADFS archiviato nel server federativo primario deve essere sincronizzato.

Quando si aggiunge un server federativo della farm, il nuovo computer che diventerà un server federativo secondario si connette al server federativo primario per replicare la copia del database di configurazione di ADFS. Da questo punto in poi, il nuovo server federativo continua a scaricare gli aggiornamenti dal server federativo principale a intervalli regolari, come mostrato nella figura riportata di seguito.

Ruoli AD FS

Ogni server federativo secondario il polling sul server di federazione primaria ogni cinque minuti per le modifiche. È possibile modificare questa impostazione predefinita cinque-valore minute o imporre la sincronizzazione immediata in qualsiasi momento utilizzando un cmdlet di Windows PowerShell. Per ulteriori informazioni su come effettuare questa operazione, vedere amministrazione FS Active Directory con Windows PowerShell.

Il processo di sincronizzazione WID supporta inoltre i trasferimenti incrementali per i trasferimenti più efficienti delle modifiche intermedie. I trasferimenti sono completati in modo più rapido il processo di trasferimento incrementale richiede traffico notevolmente inferiore sulla rete.

Nota

È supportata la migrazione di un database di configurazione di ADFS da WID a un'istanza di SQL Server. Per ulteriori informazioni su come effettuare questa operazione, vedere ADFS: eseguire la migrazione del Database di configurazione AD FS a SQL Server sul sito TechNet Wiki.

Utilizzo di SQL Server per memorizzare il database di configurazione di ADFS

È possibile creare il database di configurazione di ADFS utilizzando una singola istanza di database di SQL Server come archivio utilizzando il comando Fsconfig.exe-strumento della riga. Utilizzo di un database di SQL Server del database di configurazione di ADFS offre i seguenti vantaggi rispetto WID:

  • Gli amministratori possono sfruttare le funzionalità di elevata disponibilità di SQL Server

  • Fornisce un aumento delle prestazioni aggiuntive per il traffico elevato.

  • Fornisce il supporto per funzionalità di risoluzione artefatto SAML e SAML/WS-rilevamento riproduzione token federazione (descritto di seguito).

Il termine "server federativo primario" non si applica quando il database di configurazione di ADFS è memorizzato in un'istanza di database SQL, perché tutti i server federativi possono ugualmente lettura e scrittura al database di configurazione di ADFS che utilizza la stessa istanza di SQL Server in cluster, come mostrato nella figura riportata di seguito.

Ruoli AD FS

È possibile utilizzare SQL Server per configurare due o più server di funzionare insieme come un cluster di server per garantire una disponibilità elevata alle richieste dei client in ingresso del servizio ADFS. Disponibilità elevata fornisce una scala-all'architettura in cui è possibile aumentare la capacità del server aggiungendo altri server. Singoli punti di errore sono ridotti mediante il failover automatico del cluster.

È possibile ottenere un'elevata disponibilità utilizzando il carico di rete-servizi di bilanciamento del carico e failover che forniscono le tecnologie di clustering di SQL. Per ulteriori informazioni su come configurare SQL Server per la disponibilità elevata, vedere panoramica delle soluzioni a disponibilità elevata.

Risoluzione dell'elemento SAML

Linguaggio di Markup di asserzione di protezione (SAML) risoluzione dell'elemento è un endpoint di base da parte del protocollo SAML 2.0 che descrive come relying party può recuperare un token direttamente da un provider di attestazioni. Nella prima fase del processo di risoluzione, un browser client contatta un server federativo di risorsa e con un elemento. Nella seconda fase, server federativo di risorsa inviare l'elemento a un URL di endpoint elemento SAML ospitato in un punto qualsiasi in un'organizzazione partner account per risolvere il messaggio dell'elemento. Nella fase finale, il server rilascia il token al server federativo il client browser.

Nota

Se sei un amministratore in un'organizzazione partner account, assicurarsi di assegnare o associare un certificato SSL, che è concatenato a un certificato radice di un membro del programma Root Certificate Windows, il sito Web passivo di federazione in IIS (\siti\sito Web predefinito\adfs\ls) su tutti i server federativo di account della farm. Questo è importante impedire server federativo di risorsa è necessario aggiungere manualmente il certificato SSL per l'archivio certificati persone attendibili locale di computer o in grado di risolvere l'elemento che viene pubblicata nell'organizzazione.

SAML/WS - rilevamento riproduzione token federazione

Il termine riproduzione token si intende l'atto con cui un browser client in un'organizzazione partner account tenta di inviare lo stesso token ricevuto da un server federativo di account più volte per l'autenticazione a un server federativo di risorsa. Questo atto si verifica quando un utente fa clic il il pulsante del browser in grado di inviare nuovamente la pagina di autenticazione.

ADFS offre una funzionalità denominata di rilevamento riproduzione token per le richieste più token utilizzando lo stesso token può essere rilevato e quindi eliminato. Quando questa funzionalità è attivata, il rilevamento riproduzione token protegge l'integrità delle richieste di autenticazione in entrambi WS-profilo passivo federazione e il profilo di SAML WebSSO verificando che lo stesso token non viene mai utilizzato più volte. Questa funzionalità deve essere abilitata in situazioni in cui protezione è un requisito molto importante ad esempio quando si utilizzano i chioschi multimediali.

Nell'esempio kiosk, un utente può disconnettersi da tutti i siti Web e successivamente un utente malintenzionato può tentare di utilizzare la cronologia del browser per inviare di nuovo la pagina di autenticazione federata che è stata caricata dall'utente precedente. Questa funzionalità consente di ridurre questo problema memorizzando informazioni aggiuntive su ogni autenticazione effettuata da un'organizzazione partner account per poter rilevare repliche successive del token e impedire l'esito positivo più tentativi di autenticazione.

© 2017 Microsoft