Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Wanneer een federatieserverfarm maken

Bill Mathers|Laatst bijgewerkt: 10-3-2017
|
1 Inzender

Van toepassing op: Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012

Houd rekening met een federatieserverfarm maken in Active Directory Federation Services (AD FS) wanneer u een grotere AD FS-implementatie hebt en u wilt bieden fouttolerantie, taakverdeling-taakverdeling of schaalbaarheid aan Federation-Service van uw organisatie. De handeling van twee of meer federatieservers in hetzelfde netwerk maken, configureren van deze dezelfde Federation Service gebruiken en toevoegen van de openbare sleutel van elke server's token-handtekeningcertificaten om de module Beheer van AD FS-maakt in een federatieserverfarm.

U kunt een federatieserverfarm maken of extra federatieservers installeren voor een bestaande farm met behulp van de wizard AD FS-Federation-configuratie. Zie voor meer informatie wanneer maakt u een federatieserver.

Opmerking

Wanneer u de optie voor het maken van een nieuwe federatieserverfarm met behulp van de wizard AD FS-Federation-configuratie, de wizard probeert te maken van een containerobject (voor het delen van certificaten) in Active Directory. Het is daarom belangrijk dat u eerst bij de computer aanmelden, waarbij het instellen van de federation-serverrol, met een account met voldoende machtigingen heeft in Active Directory om dit containerobject te maken.

Voordat de federation-servers kunnen worden gegroepeerd als een farm, moeten eerst worden geclusterd zodat aanvragen die op één volledig binnenkomen domeinnaam gekwalificeerde (FQDN-NAAM) worden doorgestuurd naar de verschillende federation-servers in de server-farm. U kunt het servercluster maken door het implementeren van Network Load Balancing (NLB) binnen het bedrijfsnetwerk. Deze handleiding wordt ervan uitgegaan dat NLB op de juiste wijze is geconfigureerd voor het cluster elk van de federatieservers in de farm.

Zie voor meer informatie over het configureren van de FQDN-NAAM van een cluster met Microsoft NLB-technologie Specifying the Cluster Parameters.

Aanbevolen procedures voor het implementeren van een federatieserverfarm

De volgende best practices voor het implementeren van een federatieserver in een productieomgeving raden we aan:

  • Als u meerdere federatieservers op hetzelfde moment implementeren of u weet dat u meer servers aan de farm na verloop van tijd toevoegt, kunt u een installatiekopie van een bestaande federatieserver in de farm maken en vervolgens vanuit die installatiekopie kopiëren wanneer u moet extra federatieservers om snel te maken.

    Opmerking

    Als u met de server-installatiekopie methode voor het implementeren van extra federatieservers, hoeft u niet aan de taken in Checklist: instelling van een federatieserver elke keer dat u wilt een nieuwe server toevoegen aan de farm.

  • Gebruik NLB of een andere vorm van clusteren voor het toewijzen van een enkel IP-adres voor veel federatieve server-computers.

  • Reserveer een statisch IP-adres voor elke federatieserver in de farm en, afhankelijk van uw Domain Name System (DNS) configuratie, een uitzondering voor elk IP-adres in Dynamic Host Configuration Protocol invoegen (DHCP). Microsoft NLB-technologie is vereist dat elke server die deel uitmaakt van het NLB-cluster een statisch IP-adres worden toegewezen.

  • Als de AD FS-configuratiedatabase wordt opgeslagen in een SQL-database, te voorkomen dat de SQL-database van meerdere federatieservers tegelijk bewerken.

Federatieservers voor een farm configureren

De volgende tabel beschrijft de taken die moeten worden uitgevoerd zodat elke federatieserver in een farmomgeving deelnemen kan.

TaakBeschrijving
Als u SQL Server gebruikt voor het opslaan van de AD FS-configuratiedatabaseEen federatieserverfarm bestaat uit twee of meer federatieservers die gebruikmaken van dezelfde AD FS-configuratiedatabase en token-handtekeningcertificaten. De configuratiedatabase kan worden opgeslagen in de interne Database van Windows of in een SQL Server-database. Als u van plan bent voor het opslaan van de configuratiedatabase in een SQL-database, zorg ervoor dat de configuratiedatabase toegankelijk is zodat deze toegankelijk is voor alle nieuwe federatieservers die deel uitmaken van de farm. Opmerking: voor farmscenario's is het belangrijk dat de configuratiedatabase zich bevinden op een computer die ook niet als een federatieserver in de farm deelneemt. Microsoft NLB staat niet toe dat een van de computers die deel uitmaken van een farm met elkaar communiceren. Opmerking: Zorg ervoor dat de identiteit van de AD FS AppPool in Internet Information Services (IIS)) op elke federatieve server die deel van de farm uitmaakt leestoegang heeft tot de configuratiedatabase.
Certificaten ophalen en delenU kunt één server serververificatiecertificaat verkrijgen van een openbare certificeringsinstantie (CA), bijvoorbeeld VeriSign. U kunt vervolgens het certificaat zodanig configureren dat alle federation-servers dezelfde persoonlijke sleutel van het certificaat delen. Zie voor meer informatie over het delen van hetzelfde certificaat Checklist: instelling van een federatieserver. Opmerking: de module Beheer van AD FS-in verwijst naar certificaten voor serververificatie voor federatieservers als certificaten communicatie.

Zie voor meer informatie certificaatvereisten voor federatieservers.
Verwijzen naar hetzelfde exemplaar van SQL ServerAls de AD FS-configuratiedatabase wordt opgeslagen in een SQL-database, moet de nieuwe federation-server verwijzen naar hetzelfde exemplaar van SQL Server die wordt gebruikt door andere federatieservers in de farm zodat de nieuwe server in de farm kan deelnemen.

Zie ook

AD Guide FS Design in WindowsServer 2012

© 2017 Microsoft