Quand créer une batterie de serveurs proxy de fédération
Envisagez l’installation d’autres serveurs proxy de fédération lorsque vous avez un déploiement Services ADFS de grande taille et que vous souhaitez fournir la tolérance aux pannes, l’équilibrage de charge et l’évolutivité à votre déploiement de proxy. L’opération de création de deux ou plusieurs serveurs proxy de fédération dans le même réseau de périmètre et la configuration de chacun d’eux pour protéger le même Service de fédération AD FS crée une batterie de serveurs proxy de fédération.
Vous pouvez créer une batterie de serveurs proxy de fédération ou installer des serveurs proxy de fédération supplémentaires dans une batterie existante à l’aide de l’Assistant de configuration de serveur proxy de fédération AD FS. Pour plus d'informations, voir When to Create a Federation Server Proxy.
Avant que la totalité des serveurs proxy de fédération puissent fonctionner ensemble comme une batterie de serveurs, vous devez tout d’abord les mettre en cluster sous une seule adresse IP et un seul nom de domaine complet DNS. Vous pouvez mettre en cluster les serveurs en déployant l’équilibrage de charge réseau Microsoft (NLB) à l’intérieur du réseau de périmètre. Les tâches dans le tableau suivant nécessitent NLB pour être correctement configurées et mettre en cluster les serveurs proxy de fédération dans la batterie de serveurs.
Pour plus d’informations sur la configuration d’un FQDN pour un cluster à l’aide de la technologie Microsoft NLB, voir Specifying the Cluster Parameters.
Configuration des serveurs proxy de fédération pour une batterie de serveurs
Le tableau suivant décrit les tâches qui doivent être effectuées pour que chaque serveur proxy de fédération puisse participer à une batterie de serveurs.
| Tâche | Description |
|---|---|
| Pointez tous les proxys de la batterie de serveurs sur le même nom de service de fédération AD FS | Lorsque vous créez les serveurs proxy de fédération, vous devez taper le même nom de service de fédération dans l’Assistant de configuration de serveur proxy de fédération AD FS pour tous les serveurs proxy de fédération qui participeront à la batterie de serveurs. Le serveur proxy de fédération utilise l’URL qui constitue ce nom d’hôte DNS pour déterminer quelle instance de service de fédération AD FS contacter. Pour plus d'informations, voir Configure a Computer for the Federation Server Proxy Role. |
| Obtenir et partager des certificats | Vous pouvez obtenir un certificat d’authentification serveur auprès d’une autorité de certification publique (CA), par exemple, VeriSign, puis configurer le certificat afin que tous les serveurs proxy de fédération partagent la même partie de clé privée du même certificat sur le site web par défaut pour chaque serveur proxy de fédération. Pour partager le certificat, vous devez installer le même certificat d’authentification serveur sur le site web par défaut pour chaque serveur proxy de fédération. Pour plus d'informations, consultez Importer un certificat d'authentification serveur vers le site web par défaut. Pour plus d'informations, voir Certificate Requirements for Federation Server Proxies. |
Pour plus d’informations sur l’ajout de nouveaux serveurs proxy de fédération pour créer une batterie de serveurs proxy de fédération, consultez Liste de vérification : Configuration d’un serveur proxy de fédération.