Планирование развертывания служб федерации Active Directory

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

Первым шагом в планировании развертывания AD FS для облачной службы Майкрософт является выбор правильной топологии развертывания для удовлетворения потребностей единого входа в организации. AD FS требует использования внутренней базы данных Windows (WID) или базы данных SQL Server для хранения данных конфигурации AD FS, используемой службой федерации.

Рекомендуемой топологией AD FS для большинства клиентов облачных служб Microsoft является использование фермы серверов федерации с WID и сопутствующей топологией прокси. Кроме того, существует дополнительная возможность создания фермы серверов федерации с прокси SQL Server, которая описывается ниже.

Кроме того, в данном разделе также приведена таблица для определения числа серверов AD FS для развертывания в вашей организации, а также информация о добавлении серверов федерации для повышения производительности.

  • Рекомендуемая топология: ферма серверов федерации с WID и прокси-серверами

  • Дополнительный вариант: ферма серверов федерации с SQL Server и прокси-серверами

  • Таблица оценки: определение количества серверов AD FS для развертывания в организации

  • Добавление серверов федерации для повышения производительности

Топология по умолчанию для облачной службы Майкрософт — это ферма серверов федерации AD FS, состоящая из нескольких серверов, на котором размещена служба федерации вашей организации. В этой топологии AD FS использует WID в качестве базы данных конфигурации AD FS для всех серверов федерации, которые объединяются в эту ферму. Ферма выполняет репликацию и обслуживание данных службы федерации в базе данных конфигурации на всех своих серверах.

При создании первого сервера федерации в ферме также создается новая служба федерации. Когда WID используется в качестве базы данных конфигурации AD FS, первый сервер федерации, созданный в ферме, называется сервером-источником федерации. Это означает, что компьютер будет настроен с экземпляром базы данных конфигурации AD FS с поддержкой чтения и записи.

Все другие серверы федерации, настроенные для данной фермы, называются вторичными серверами федерации, поскольку они должны реплицировать любые изменения, которые находятся на сервере-источнике федерации с их копий базы данных конфигурации AD FS, доступных только для чтения, которые они хранят локально.

Примечание

Рекомендуется использовать не менее двух серверов федерации с балансировкой нагрузки.

Настройка топологии этой базового сервера фермы федерации является первым этапом развертывания AD FS. Второй этап заключается в определении функции порядка управления доступа для внешних пользователей путем развертывания:

  • прокси веб-приложения, при использовании AD FS на Windows Server 2012 R2

  • прокси сервера федерации, при использовании AD FS 2.0 или AD FS на Windows Server 2012

Этап 1. Развертывание фермы серверов федерации

Перед развертыванием фермы следует предусмотреть размещение всех серверов федерации в сети организации таким образом, чтобы связь с ними шла через узел балансировки сетевой нагрузки (NLB), на основе которого можно настроить кластер балансировки сетевой нагрузки с выделенным DNS-именем и IP-адресом.

Важно!

Этот кластер имен DNS должен совпадать с именем службы федерации (например, fs.fabrikam.com) и интернет-маршрутизируемым для экземпляра AD FS, который вы развертываете. Если имя не соответствует, то запрос на проверку подлинности не будет перенаправлен на верный DNS-сервер или сервер федерации.

Узел балансировки сетевой нагрузки может использовать параметры, определенные в таком кластере, для распределения клиентских запросов между отдельными серверами федерации. На следующей схеме показано, как организация Fabrikam может провести первый шаг развертывания, создав ферму серверов федерации из двух компьютеров (fs1 и fs2) с использованием внутренней базы данных Windows и размещением DNS-сервера и одиночного узла балансировки сетевой нагрузки в сети организации.

Federation Server Farm with WID

Примечание

Если на этом одном узле NLB произошел сбой, пользователи не смогут получить доступ к облачной службе. Если требования бизнес-деятельности организации не допускают наличия подобных узких мест, добавьте дополнительные узлы балансировки сетевой нагрузки.

Этап 2. Развертывание прокси-серверов

Как правило, прокси-серверы используются для перенаправления запросов проверки подлинности клиента, поступающих извне корпоративной сети, в ферму серверов федерации, другими словами, для настройки доступа экстрасети.

Важно!

В зависимости от версии AD FS, которые планируется использовать, можно или развернуть прокси веб-приложений (в AD FS на Windows Server 2012 R2) или прокси сервера федерации (в AD FS 2.0 и AD FS на Windows Server 2012). Определения и описания функций веб-Application Proxy и прокси-сервера федерации см. в разделе "Обзор терминологии AD FS".

Для клиента облачной службы Майкрософт развертывание прокси-серверов в существующей инфраструктуре AD FS необходимо для включения следующих пользовательских сценариев:

  • Рабочий компьютер, перемещаемый: Пользователи, которые вошли на присоединенные к домену компьютеры с корпоративными учетными данными, но которые не подключены к корпоративной сети (например, рабочий компьютер дома или в отеле), могут получить доступ к облачной службе.

  • Домашний или общедоступный компьютер: Если пользователь использует компьютер, который не присоединен к корпоративному домену, пользователь должен войти с помощью корпоративных учетных данных для доступа к облачной службе.

  • Смартфон: Чтобы получить доступ к облачной службе, например Microsoft Exchange Online с помощью Microsoft Exchange ActiveSync, пользователь должен войти с помощью корпоративных учетных данных.

  • Microsoft Outlook или другие почтовые клиенты: пользователь должен войти с корпоративными учетными данными, чтобы получить доступ к Office 365 электронной почте, если они используют Outlook или почтовый клиент, который не входит в Office; например, IMAP или POP-клиент.

Для поддержания этих пользовательских сценариев этот второй этап будет основываться на этапе 1 развертывания, рассмотренном ранее, путем добавления двух прокси веб-приложения или двух прокси серверов федерации, обеспечивая доступ к серверу DNS в пограничной сети, и осуществлять доступ ко второму размещению NLB в пограничной сети.

На втором узле балансировки сетевой нагрузки следует настроить кластер балансировки сетевой нагрузки, использующий доступный из Интернета IP-адрес и то же DNS-имя, что было задано в предыдущем кластере балансировки сетевой нагрузки, настроенном в сети организации на первом шаге (fs.fabrikam.com). Прокси веб-приложений или прокси сервера федерации будут также настроены с IP-адресами, доступными из интернета.

На следующей схеме показана структура развертывания на первом шаге и то, как компания Fabrikam может предоставить доступ к DNS-серверу периметра, а также добавить второй узел балансировки нагрузки с уже использовавшимся DNS-именем кластера (fs.fabrikam.com) и два прокси-сервера федерации (fsp1 и fsp2) в сети периметра.

На следующей диаграмме изображено существующее развертывание на этапе 1 и как Fabrikam, Inc. может обеспечить доступ к пограничному серверу DNS server, добавить второе размещение NLB с тем же именем кластера DNS (fs.fabrikam.com) и добавить два прокси веб-приложения (wap1 и wap2) к пограничной сети.

ADFSProxyDeploymentSSO

Примечание

  • Для публикации AD FS за пределами корпоративной сети можно использовать сторонние решения обратного прокси HTTP. Дополнительные сведения о том, как это сделать, см. в разделе "Настройка дополнительных параметров" для AD FS 2.0.

  • Весь обмен данными AD FS, проходящий через брандмауэр, основан на HTTPS.

  • Вы можете создать настраиваемые правила утверждений в AD FS, которые ограничивают доступ пользователей к облачной службе в зависимости от физического расположения клиентского компьютера или клиентского устройства, через которое пользователь запрашивает доступ. Дополнительные сведения о создании этих правил см. в разделе "Ограничение доступа к службам Office 365 на основе расположения клиента".

Дополнительный вариант: ферма серверов федерации с SQL Server и прокси-серверами

Это расширенные параметры топологии развертывания AD FS, в которых используются прокси веб-приложения или прокси сервера федерации и конфигурация SQL Server, чтобы все серверы федерации в ферме могли считывать и записывать в обычную базу данных SQL Server. Использование базы данных SQL Server в качестве базы данных конфигурации AD FS имеет следующие преимущества по сравнению с внутренней базой данных Windows.

  • функции высокой доступности SQL Server, которые могут использоваться администраторами;

  • Дополнительные улучшения производительности, включая возможность горизонтального масштабирования с помощью дополнительных серверов федерации (ферма WID имеет ограничение в 30 серверов федерации, если у вас есть 100 или меньше доверия проверяющей стороны. Если у вас более 100 отношений доверия с проверяющей стороной, ферма WID имеет ограничение в 5 серверов федерации. ).

  • территориальная балансировка нагрузки помогает скомпенсировать рост объемов трафика в зависимости от расположения.

Примечание

Поскольку данная топология является расширенным параметром развертывания AD FS, подробные сведения о функционировании этой топологии и порядке ее развертывания не рассматриваются в данной статье.

Дополнительные сведения об этом параметре топологии см. в разделе "Настройка дополнительных параметров" для AD FS 2.0.

Таблица оценки: определение количества серверов AD FS для развертывания в организации

Следующую таблицу можно использовать для оценки минимального количества серверов федерации AD FS и прокси-серверов веб-приложений или прокси-серверов федерации, которые необходимо разместить в ферме серверов федерации, настроенной с WID в корпоративной сетевой инфраструктуре на основе количества пользователей, которым требуется доступ к единому входу. включая удаленный доступ к облачной службе.

Примечание

Все компьютеры, которые будут настроены для сервера федерации или роли прокси-сервера федерации, должны работать под управлением операционной системы Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012. Все компьютеры, которые будут настроены на выполнение службы роли прокси веб-приложения, должны работать на ОС Windows Server 2012 R2.

Рекомендуется отвести один сервер федерации на обеспечение достаточного уровня избыточности. Эта рекомендация учтена в следующей таблице.

Число пользователей, обращаюющихся к облачной службе Минимальное число развертываемых серверов Шаги и рекомендации

Менее 1000 пользователей

0 выделенных сервера федерации

0 выделенных прокси

1 выделенный сервер балансировки сетевой нагрузки

Для серверов федерации используйте два существующих контроллера домена Active Directory (DCs) и настройте их для роли сервера федерации. Для этого выберите два имеющихся контроллера домена и выполните следующие действия.

  1. Установить AD FS на оба контроллера домена.

  2. Настройте один из них в качестве первого сервера федерации в составе новой фермы.

  3. Добавьте второй контроллер в состав фермы серверов федерации.

Для обеспечения балансировки сетевой нагрузки настройте имеющийся в наличии узел балансировки сетевой нагрузки или выделите дополнительный сервер, установив на нем роль сервера балансировки сетевой нагрузки и настроив его соответствующим образом.

Для прокси использовать два существующих веб- или прокси-сервера и настроить их на роль прокси сервера федерации или роль прокси веб-приложения. Для этого выберите два имеющихся веб-сервера или прокси-сервера в экстрасети и выполните следующие действия.

  1. На оба сервера установить AD FS.

  2. Настроить их на роль прокси веб-приложения или на роль прокси сервера федерации.

  3. Установить роль сервера NLB на один из настроенных прокси или настроить существующее размещение NLB.

Примечание

Если у вас нет двух существующих контроллеров домена и двух веб-серверов или прокси-серверов или они не работают либо Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2, то следует развернуть выделенные серверы, как описано в следующей строке этой таблицы.

Важно!

При использовании AD FS 2.0 или AD FS на Windows Server 2012, следует развернуть и настроить прокси сервера федерации.

При использовании AD FS на Windows Server 2012 R2 можно только настроить и развернуть прокси веб-приложения. На Windows Server 2012 R2 прокси веб-приложения, новая служба роли серверной роли удаленного доступа, используется для настройки AD FS для доступа за пределами корпоративной сети.

От 1000 до 15 000 пользователей

2 выделенных сервера федерации

2 выделенных прокси-серверов

В качестве серверов федерации выделите два новых сервера, выполнив над ними следующие действия.

  1. На оба сервера установить AD FS.

  2. Настройте один из них в качестве первого сервера федерации в составе новой фермы.

  3. Добавьте второй сервер в состав фермы серверов федерации.

  4. Установите роль сервера балансировки сетевой нагрузки на одном из серверов или настройте для этого имеющийся узел балансировки сетевой нагрузки.

Для прокси, организовать два выделенных сервера, которые можно разместить за пределами корпоративной сети:

  1. На оба сервера установить AD FS.

  2. Настроить их на роль прокси веб-приложения или на роль прокси сервера федерации.

  3. Установить роль сервера NLB на один из настроенных прокси или настроить существующее размещение NLB.

Важно!

При использовании AD FS 2.0 или AD FS на Windows Server 2012, следует развернуть и настроить прокси сервера федерации.

При использовании AD FS на Windows Server 2012 R2 можно только настроить и развернуть прокси веб-приложения. На Windows Server 2012 R2 прокси веб-приложения, новая служба роли серверной роли удаленного доступа, используется для настройки AD FS для доступа за пределами корпоративной сети.

От 15 000 до 60 000 пользователей

От 3 до 5 выделенных серверов федерации

Не менее 2 выделенных прокси

Каждый выделенный сервер федерации может поддерживать около 15 000 пользователей. Таким образом, добавьте дополнительный выделенный сервер федерации в базовое развертывание двух серверов федерации, описанное ранее для каждых 15 000 пользователей, которым потребуется доступ к облачной службе, до пяти серверов федерации в ферме или 60 000 пользователей.

Примечание

Ферма сервера федерации AD FS, настроенная на использование WID, поддерживает до пяти серверов федерации. Если требуется более пяти серверов федерации, то следует настроить базу данных SQL Server для хранения базы данных конфигурации AD FS. Дополнительные сведения об этом параметре см. в разделе "Настройка дополнительных параметров" для AD FS 2.0.

Минимальное рекомендуемое соотношение числа пользователей и серверов, представленное в предыдущей таблице, дано в расчете на следующее оборудование.

Оборудование Спецификации

Скорость ЦП

Восьмиядерный процессор Dual Quad Core частотой 2,27 ГГц

ОЗУ

4 ГБ

Сеть

Гигабитная

Добавление серверов федерации для повышения производительности

Когда в ферме настроено два или более сервера федерации с использованием топологии NLB, они могут работать независимо для упрощения обработки нагрузки от входящих пользовательских запросов, обращенных к службе федерации AD FS без учета общей производительности службы в целом. Соответственно, добавление дополнительных серверов федерации в имеющуюся рабочую среду при условии стратегического развертывания исходных серверов федерации в сети не налагает излишних нагрузок на среду.

Следующий шаг

Теперь, когда вы планируете развертывание AD FS, следующим шагом является проверка требований к развертыванию AD FS.

См. также:

Основные понятия

Контрольный список: использование AD FS для внедрения и управления единым входом