AD FS dağıtımınızı planlama

Şunlar için geçerlidir: Azure, Office 365, Power BI Windows Intune

Bir Microsoft bulut hizmeti için AD FS dağıtımı planlamanın ilk adımı, kuruluşunuzun çoklu oturum açma gereksinimlerini karşılamak için doğru dağıtım topolojisini seçmektir. AD FS, Federasyon Hizmeti tarafından kullanılan AD FS yapılandırma verilerini depolamak için Windows İç Veritabanı (WID) veya SQL Server veritabanı kullanmanızı gerektirir.

Microsoft bulut hizmetleri müşterilerinin çoğu için önerilen AD FS topolojisi, aşağıdaki WID ve ara sunucular topolojisi ile federasyon sunucusu grubunu kullanmaktır. Bu bölümün devamında bahsedilen SQL Server proxy'lerle federasyon sunucusu grubu oluşturmanın gelişmiş bir seçeneği de vardır.

Ayrıca bu bölümde, kuruluşunuzda dağıtılacak AD FS sunucularının sayısını belirlemeye yönelik bir tablo ve performansı artırmak için federasyon sunucuları ekleme hakkında bilgiler de sağlanır.

  • Önerilen topoloji: WID ve ara sunucuları olan federasyon sunucusu grubu

  • Gelişmiş seçenek: SQL Server ve ara sunucuları olan federasyon sunucusu grubu

  • Tahmin tablosu: Kuruluşunuzda dağıtılacak AD FS sunucularının sayısını belirleme

  • Performansı artırmak için federasyon sunucuları ekleme

Microsoft bulut hizmeti için varsayılan topoloji, kuruluşunuzun Federasyon Hizmeti'ni barındıran birden çok sunucudan oluşan bir AD FS federasyon sunucusu grubudur. Bu topolojide AD FS, söz konusu gruba katılan tüm federasyon sunucuları için AD FS yapılandırma veritabanı olarak WID kullanır. Grup, yapılandırma veritabanındaki Federasyon Hizmeti verilerini grup içindeki her sunucu arasında çoğaltır ve tutar.

Bir grup içinde ilk federasyon sunucusunu oluşturma eylemi de yeni bir Federasyon Hizmeti oluşturur. WID AD FS yapılandırma veritabanı olarak kullanıldığında, grup içinde oluşturulan ilk federasyon sunucusu birincil federasyon sunucusu olarak adlandırılır. Bu, bu bilgisayarın AD FS yapılandırma veritabanının okuma/yazma kopyasıyla yapılandırılacağı anlamına gelir.

Birincil federasyon sunucusunda yapılan değişiklikleri yerel olarak depoladıkları AD FS yapılandırma veritabanının salt okunur kopyalarına çoğaltmaları gerektiğinden, bu grup için yapılandırılan diğer tüm federasyon sunucuları ikincil federasyon sunucuları olarak adlandırılır.

Not

Yük dengeli bir yapılandırmada en az iki federasyon sunucusu kullanılmasını öneririz.

Bu temel federasyon sunucusu grubu topolojisini ayarlamak, AD FS dağıtımınızın ilk aşamasıdır. İkinci aşama şunlardan birini dağıtarak dış kullanıcılara erişim denetimi işlevselliği sağlamayı belirlemektir:

  • Windows Server 2012 R2'de AD FS kullanıyorsanız Web Uygulaması proxy'leri

  • Windows Server 2012'de AD FS 2.0 veya AD FS kullanıyorsanız federasyon sunucusu proxy'leri

1. Aşama: Federasyon sunucusu grubunuzu dağıtma

Grubunuzu dağıtmaya hazır olduğunuzda, şirket ağınızdaki tüm federasyon sunucularını ayrılmış bir küme DNS adı ve küme IP adresi ile bir NLB kümesi için yapılandırılabilir bir Ağ Yükü Dengeleme (NLB) konağının arkasına yerleştirmeyi planlamanız gerekir.

Önemli

Bu küme DNS adı Federasyon Hizmeti adıyla (örneğin, fs.fabrikam.com) eşleşmeli ve dağıttığınız AD FS örneği için İnternet'e yönlendirilebilir olmalıdır. Ad eşleşmiyorsa, kimlik doğrulama isteği doğru DNS sunucusuna veya doğru federasyon sunucusuna yönlendirilmez.

NLB konağı, istemci isteklerini tek tek federasyon sunucularına ayırmak için bu NLB kümesinde tanımlanan ayarları kullanabilir. Aşağıdaki diyagramda Fabrikam, Inc.'in WID ile iki bilgisayarlı federasyon sunucusu grubu (fs1 ve fs2) kullanarak dağıtımlarının ilk aşamasını nasıl ayarlayabileceği ve kurumsal ağa kablolu bir DNS sunucusu ile tek bir NLB ana bilgisayarının konumlandırılması gösterilmektedir.

Federation Server Farm with WID

Not

Bu tek NLB ana bilgisayarında bir hata varsa, kullanıcılar bulut hizmetine erişemez. İş gereksinimleriniz tek bir hata noktasına izin vermiyorsa ek NLB konakları ekleyin.

2. Aşama: Proxy'lerinizi dağıtma

Genel olarak, proxy sunucuları şirket ağınızın dışından gelen istemci kimlik doğrulama isteklerini, extranet erişimini yapılandırmak için federasyon sunucusu grubuna yeniden yönlendirmek için kullanılır.

Önemli

Kullanmak istediğiniz AD FS sürümüne bağlı olarak, Web Uygulaması Proxy'lerini (Windows Server 2012 R2'de AD FS'de) veya federasyon sunucusu proxy'lerini (Windows Server 2012 AD FS 2.0 ve AD FS'de) dağıtabilirsiniz. Web Uygulama Ara Sunucusu ve federasyon sunucusu ara sunucusunun işlevlerinin tanımları ve açıklamaları için bkz. AD FS terminolojisini gözden geçirme.

Bir Microsoft bulut hizmeti müşterisi için, aşağıdaki kullanıcı senaryolarını etkinleştirmek için mevcut AD FS altyapınızda proxy dağıtmak gerekir:

  • İş bilgisayarı, dolaşım: Etki alanına katılmış bilgisayarlarda şirket kimlik bilgileriyle oturum açan ancak şirket ağına (örneğin, evde veya otelde çalışan bir iş bilgisayarı) bağlı olmayan kullanıcılar bulut hizmetine erişebilir.

  • Ev veya ortak bilgisayar: Kullanıcı şirket etki alanına katılmayan bir bilgisayar kullandığında, kullanıcının bulut hizmetine erişmek için kurumsal kimlik bilgileriyle oturum açması gerekir.

  • Akıllı telefon: Akıllı telefonda, Microsoft Exchange ActiveSync kullanarak Microsoft Exchange Online gibi bulut hizmetine erişmek için kullanıcının kurumsal kimlik bilgileriyle oturum açması gerekir.

  • Microsoft Outlook veya diğer e-posta istemcileri: Kullanıcı, Outlook veya Office parçası olmayan bir e-posta istemcisi (örneğin, bir IMAP veya POP istemcisi) kullanıyorsa Office 365 e-postasına erişmek için kurumsal kimlik bilgileriyle oturum açmalıdır.

Bu kullanıcı senaryolarını desteklemek için bu ikinci aşama, iki Web Uygulaması Proxy'si veya iki federasyon sunucusu proxy'si ekleyerek, çevre ağındaki bir DNS sunucusuna ve çevre ağındaki ikinci bir NLB konağına erişim sağlayarak, daha önce ele alınan dağıtımın 1. Aşaması'nı oluşturur.

İkinci NLB konağı, İnternet'te erişilebilir bir küme IP adresi kullanan bir NLB kümesiyle yapılandırılmalıdır ve 1. Aşama (fs.fabrikam.com) için şirket ağında yapılandırdığınız önceki NLB kümesiyle aynı küme DNS adı ayarını kullanmalıdır. Web Uygulaması Proxy'leri veya federasyon sunucusu proxy'leri de İnternet'e erişilebilen IP adresleriyle yapılandırılır.

Aşağıdaki diyagramda mevcut 1. Aşama dağıtımı ve Fabrikam, Inc.'in bir çevre DNS sunucusuna nasıl erişim sağlayabileceği, aynı küme DNS adına (fs.fabrikam.com) sahip ikinci bir NLB konağı ekleyip çevre ağına iki federasyon sunucusu proxy'sinin (fsp1 ve fsp2) nasıl ekleneceği gösterilmektedir.

Aşağıdaki diyagramda mevcut 1. Aşama dağıtımı ve Fabrikam, Inc.'in bir çevre DNS sunucusuna nasıl erişim sağlayabileceği, aynı küme DNS adına (fs.fabrikam.com) sahip ikinci bir NLB konağı ekleyip çevre ağına iki Web Uygulaması Proxy'sinin (wap1 ve wap2) nasıl ekleneceği gösterilmektedir.

ADFSProxyDeploymentSSO

Not

  • Ad FS'yi extranet'e yayımlamak için üçüncü taraf HTTP ters ara sunucu çözümlerini kullanabilirsiniz. Bunun nasıl yapacağı hakkında daha fazla bilgi için bkz. AD FS 2.0 için Gelişmiş Seçenekleri Yapılandırma.

  • Güvenlik duvarı üzerinden geçen tüm AD FS iletişimi HTTPS'yi temel alır.

  • AD FS'de, kullanıcılarınızın bulut hizmetine erişimini, kullanıcınızın erişim istediği istemci bilgisayarın veya istemci cihazının fiziksel konumuna göre sınırlayacak özel talep kuralları oluşturabilirsiniz. Bu kuralları oluşturma hakkında daha fazla bilgi için bkz. İstemci Konumuna Göre Office 365 Hizmetlerine Erişimi Sınırlama.

Gelişmiş seçenek: SQL Server ve ara sunucuları olan federasyon sunucusu grubu

Bu, gruptaki tüm federasyon sunucularının ortak bir SQL Server veritabanına okumasını ve yazmasını sağlamak için web uygulaması proxy'lerini veya federasyon sunucusu proxy'lerini ve SQL Server bir yapılandırmayı kullanan gelişmiş bir AD FS dağıtım topolojisi seçeneğidir. AD FS yapılandırma veritabanı olarak SQL Server veritabanı kullanmanın, WID'e göre aşağıdaki yararları vardır:

  • Yöneticilerin kullanabileceği SQL Server yüksek kullanılabilirlik özellikleri.

  • Daha fazla federasyon sunucusu kullanarak ölçeği genişletme özelliği de dahil olmak üzere ek performans iyileştirmeleri (100 veya daha az bağlı olan taraf güveni varsa WID grubu 30 federasyon sunucusu sınırına sahiptir. 100'den fazla bağlı olan taraf güveni varsa, WID grubu 5 federasyon sunucusu sınırına sahiptir. ).

  • Konuma göre yüksek trafik artışları sağlamaya yardımcı olmak için coğrafi yük dengeleme.

Not

Bu topoloji gelişmiş bir AD FS dağıtım seçeneği olduğundan, bu topolojinin nasıl çalıştığına ve nasıl dağıtılacağına ilişkin ayrıntılar bu makalede ele alınmamıştır.

Bu topoloji seçeneği hakkında daha fazla bilgi için bkz . AD FS 2.0 için Gelişmiş Seçenekleri Yapılandırma.

Tahmin tablosu: Kuruluşunuzda dağıtılacak AD FS sunucularının sayısını belirleme

Çoklu oturum açma erişimi gerektiren kullanıcı sayısına bağlı olarak, kurumsal ağ altyapınız genelinde WID ile yapılandırılmış bir federasyon sunucusu grubuna yerleştirmeniz gereken en az AD FS federasyon sunucusu ve web uygulaması proxy'leri veya federasyon sunucusu proxy'leri sayısını tahmin etmenize yardımcı olması için aşağıdaki tabloyu kullanabilirsiniz. bulut hizmetine uzaktan erişim dahil.

Not

Federasyon sunucusu veya federasyon sunucusu proxy rolü için yapılandırılacak tüm bilgisayarlar Windows Server 2008, Windows Server 2008 R2 veya Windows Server 2012 işletim sistemini çalıştırıyor olmalıdır. Web Uygulama Ara Sunucusu rol hizmetini çalıştıracak şekilde yapılandırılacak tüm bilgisayarlar yalnızca Windows Server 2012 R2 işletim sistemini çalıştırıyor olabilir.

Yedekliliği hesaba katmak için bir federasyon sunucusu kullanmanızı öneririz. Aşağıdaki tablo bu öneriyi izler.

Bulut hizmetine erişen kullanıcı sayısı Dağıtılacak en az sunucu sayısı Öneri ve adımlar

1.000'den az kullanıcı

0 ayrılmış federasyon sunucusu

0 ayrılmış proxy

1 ayrılmış NLB sunucusu

Federasyon sunucuları için iki mevcut Active Directory etki alanı denetleyicisini (DC) kullanın ve her ikisini de federasyon sunucusu rolü için yapılandırın. Bunu yapmak için önce mevcut iki DC'yi seçin ve ardından:

  1. AD FS'yi her iki etki alanı denetleyicisine de yükleyin.

  2. Birini yeni bir grup içindeki ilk federasyon sunucusu olarak yapılandırın.

  3. İkincisini federasyon sunucusu grubuna ekleyin.

NLB için, var olan bir NLB konağı yapılandırın veya ayrılmış bir sunucu alın, sonra NLB sunucusu rolünü yükleyin ve ardından NLB sunucusunu yapılandırın.

Ara sunucular için iki mevcut web veya ara sunucu kullanın ve bunları hem federasyon sunucusu proxy rolü hem de Web Uygulama Ara Sunucusu rolü için yapılandırın. Bunu yapmak için extranette bulunan mevcut iki web veya proxy sunucusunu seçin ve ardından:

  1. AD FS'yi her iki sunucuya da yükleyin.

  2. Bunları Web Uygulama Ara Sunucusu rolü veya federasyon sunucusu proxy rolü için yapılandırın.

  3. NLB sunucu rolünü yapılandırılan proxy'lerden birine yükleyin veya mevcut bir NLB konağına yapılandırın.

Not

Mevcut iki DC'niz ve iki web veya proxy sunucunuz yoksa veya bunlar Server 2008 Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 veya Windows Server 2012 R2 çalıştırmıyorsa, bu tablonun sonraki satırında açıklandığı gibi, bunun yerine ayrılmış sunucuları dağıtmanız gerekir.

Önemli

Windows Server 2012'da AD FS 2.0 veya AD FS kullanıyorsanız, federasyon sunucusu proxy'lerini dağıtmanız ve yapılandırmanız gerekir.

Windows Server 2012 R2'de AD FS kullanıyorsanız, yalnızca Web Uygulaması Proxy'lerini yapılandırabilir ve dağıtabilirsiniz. Windows Server 2012 R2'de, Ad FS'yi extranet erişimi için yapılandırmak üzere Uzaktan Erişim sunucusu rolünün yeni bir rol hizmeti olan Web Uygulama Ara Sunucusu kullanılır.

1.000 - 15.000 kullanıcı

2 ayrılmış federasyon sunucusu

2 ayrılmış proxy

Federasyon sunucuları için iki ayrılmış sunucu edinin ve ardından:

  1. AD FS'yi her iki sunucuya da yükleyin.

  2. Birini yeni bir grup içindeki ilk federasyon sunucusu olarak yapılandırın.

  3. İkinci gruba katılın.

  4. NLB sunucu rolünü federasyon sunucularından birine yükleyin veya mevcut bir NLB konağına yapılandırın.

Proxy'ler için extranet'e yerleştirebileceğiniz iki ayrılmış sunucu edinin:

  1. AD FS'yi her iki sunucuya da yükleyin.

  2. Bunları Web Uygulama Ara Sunucusu rolü veya federasyon sunucusu proxy rolü için yapılandırın.

  3. NLB sunucu rolünü yapılandırılan proxy'lerden birine yükleyin veya mevcut bir NLB konağına yapılandırın.

Önemli

Windows Server 2012'da AD FS 2.0 veya AD FS kullanıyorsanız, federasyon sunucusu proxy'lerini dağıtmanız ve yapılandırmanız gerekir.

Windows Server 2012 R2'de AD FS kullanıyorsanız, yalnızca Web Uygulaması Proxy'lerini yapılandırabilir ve dağıtabilirsiniz. Windows Server 2012 R2'de, AD FS'yi extranet erişimi için yapılandırmak üzere Uzaktan Erişim sunucusu rolünün yeni bir rol hizmeti olan Web Uygulama Ara Sunucusu kullanılır.

15.000 - 60.000 kullanıcı

3 ile 5 arasında ayrılmış federasyon sunucusu

En az 2 ayrılmış proxy

Her ayrılmış federasyon sunucusu yaklaşık 15.000 kullanıcıyı destekleyebilir. Bu nedenle, her 15.000 kullanıcı için daha önce açıklanan temel iki federasyon sunucusu dağıtımına, grupta en fazla beş federasyon sunucusu veya 60.000 kullanıcı olmak üzere bulut hizmetine erişim gerektirecek ek bir ayrılmış federasyon sunucusu ekleyin.

Not

WID kullanmak üzere yapılandırılmış bir AD FS federasyon sunucusu grubu en fazla beş federasyon sunucusunu destekler. Beşten fazla federasyon sunucusuna ihtiyacınız varsa, AD FS yapılandırma veritabanını depolamak için bir SQL Server veritabanı yapılandırmanız gerekir. Bu seçenek hakkında daha fazla bilgi için bkz. AD FS 2.0 için Gelişmiş Seçenekleri Yapılandırma.

Önceki tabloda sağlanan sunucu önerilerine yönelik en az kullanıcı sayısı aşağıdaki donanıma göre hesaplanır:

Donanım Belirtimler

CPU hızı

Çift Dört çekirdekli 2,27 GHz CPU (8 çekirdek)

RAM

4 gigabayt (GB)

Gigabit

Performansı artırmak için federasyon sunucuları ekleme

NLB teknolojisi kullanılarak bir grupta iki veya daha fazla federasyon sunucusu yapılandırıldığında, AD FS Federasyon Hizmeti'ne yapılan gelen kullanıcı isteklerinin yükünün bir bütün olarak hizmetin genel performansını düşürmeden işlenmesine yardımcı olmak için bağımsız olarak çalışabilirler. Bu nedenle, ilk federasyon sunucularınızı ağınıza stratejik olarak dağıttıktan sonra mevcut üretim ortamınıza ek federasyon sunucuları ekleme konusunda çok az ek yük vardır.

Sonraki adım

AD FS dağıtımınızı planladığınıza göre, sonraki adım AD FS'yi dağıtma gereksinimlerini gözden geçirmektir.

Ayrıca Bkz.

Kavramlar

Denetim listesi: Çoklu oturum açmayı uygulamak ve yönetmek için AD FS kullanma