使用 WID 的旧版 AD FS 联合服务器场
Active Directory 联合身份验证服务 (AD FS) 的默认拓扑是使用 Windows 内部数据库 (WID) 的联合服务器场。 在此拓扑中,AD FS 使用 WID 作为已加入到该场的所有联合服务器的 AD FS 配置数据库的存储。 该场针对场中的每台服务器,在此配置数据库中复制和维护联合身份验证服务数据。 Windows Server 2012 R2 中的 AD FS 使信赖方信任数不超过 100 的组织能够使用 WID 配置最多具有 30 台服务器的联合服务器场。
在场中创建第一台联合服务器的操作也将创建一项新的联合身份验证服务。 将 WID 用作 AD FS 配置数据库时,在场中创建的第一台联合服务器称为主联合服务器。 这意味着此计算机将配置有 AD FS 配置数据库的读/写副本。
为此场配置的其他所有联合服务器称为辅助联合服务器,因为它们必须将主联合服务器上发生的所有更改复制到它们在本地存储的 AD FS 配置数据库只读副本中。
重要
我们建议在负载平衡配置中至少使用两台联合服务器。
部署注意事项
本部分介绍与此部署拓扑关联的预期受众、优势和限制的各种注意事项。
哪些用户应使用此拓扑?
配置了 100 个或更少信任关系的组织,需要为其内部用户(登录到以物理方式连接到公司网络的计算机)提供对联合应用程序或服务的单一登录 (SSO) 访问权限
希望为其内部用户提供对 Microsoft Online Services 或 Microsoft Office 365 的 SSO 访问权限的组织
需要冗余、可缩放服务的小型组织
注意
具有较大数据库的组织应考虑使用采用 SQL Server 的联合服务器场部署拓扑。 具有从网络外部登录的用户的组织应考虑使用采用 WID 和代理的联合服务器场拓扑或采用 SQL Server 的联合服务器场拓扑。
使用此拓扑有什么好处?
向内部用户提供 SSO 访问权限
数据和联合身份验证服务冗余(每台联合服务器会将更改复制到同一场中的其他联合服务器)
WID 包含在 Windows 中;因此,无需购买 SQL Server
使用此拓扑有什么限制?
如果你的信赖方信任数为 100 个或更少,则 WID 场的限制为 30 台联合服务器。
WID 场不支持令牌重播检测或项目解析(安全断言标记语言 (SAML) 协议的一部分)。
下表提供了有关使用 WID 场的摘要。 使用它来规划你的实现。
| 1-100 个 RP 信任 | 100 个以上的 RP 信任 |
|---|---|
| 1-30 AD FS 节点: WID 受支持 | 1-30 AD FS 节点: 不支持使用 WID - 需要 SQL |
| 超过 30 个 AD FS 节点: 不支持使用 WID - 需要 SQL | 超过 30 个 AD FS 节点: 不支持使用 WID - 需要 SQL |
服务器放置和网络布局建议
当你准备好开始在网络中部署此拓扑时,你应规划将所有联合服务器放在公司网络中为网络负载平衡 (NLB) 群集(具有专用的群集域名系统 (DNS) 名称和群集 IP 地址)配置的 NLB 主机之后。
注意
此群集 DNS 名称必须与联合身份验证服务名称匹配,例如,fs.fabrikam.com。
NLB 主机可以使用在此 NLB 群集中定义的设置,将客户端请求分配给各个联合服务器。 下图展示了虚构的 Fabrikam, Inc. 公司如何设置其部署的第一阶段:使用由两台计算机组成的联合服务器场(fs1 和 fs2)以及 WID,并决定与公司网络相连的 DNS 服务器和单台 NLB 主机的位置。
注意
如果此单一 NLB 主机上出现故障,用户将无法访问联合应用程序或服务。 如果你的业务要求不允许存在单点故障,则应添加其他 NLB 主机。
有关如何配置网络环境以用于联合服务器的详细信息,请参阅 AD FS 要求中的“名称解析要求”部分。