Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze topologie voor Active Directory Federation Services (AD FS) verschilt van de federatieserverfarm met behulp van de wid-implementatietopologie (Windows Internal Database) omdat de gegevens niet worden gerepliceerd naar elke federatieserver in de farm. In plaats daarvan kunnen alle federatieservers in de farm gegevens lezen en schrijven naar een gemeenschappelijke database die is opgeslagen op een server met Microsoft SQL Server die zich in het bedrijfsnetwerk bevindt.
Important
Als u een AD FS-farm wilt maken en SQL Server wilt gebruiken om uw configuratiegegevens op te slaan, kunt u SQL Server 2008 en nieuwere versies gebruiken, waaronder SQL Server 2012 en SQL Server 2014.
Overwegingen bij de implementatie
In deze sectie worden verschillende overwegingen beschreven over de beoogde doelgroep, voordelen en beperkingen die zijn gekoppeld aan deze implementatietopologie.
Wie moet deze topologie gebruiken?
Grote organisaties met meer dan 100 vertrouwensrelaties die zowel hun interne gebruikers als externe gebruikers toegang moeten bieden tot federatieve toepassingen of services
Organisaties die al gebruikmaken van SQL Server en willen profiteren van hun bestaande hulpprogramma's en expertise
Wat zijn de voordelen van het gebruik van deze topologie?
Ondersteuning voor grotere aantallen vertrouwensrelaties (meer dan 100)
Ondersteuning voor replaydetectie van tokens (een beveiligingsfunctie) en artefactomzetting (onderdeel van het SAML-protocol (Security Assertion Markup Language) 2.0)
Ondersteuning voor de volledige voordelen van SQL Server, zoals databasespiegeling, failoverclustering, rapportage en beheerhulpprogramma's
Wat zijn de beperkingen van het gebruik van deze topologie?
Deze topologie biedt standaard geen databaseredundantie. Hoewel een federatieserverfarm met WID-topologie automatisch de WID-database repliceert op elke federatieserver in de farm, bevat de federatieserverfarm met SQL Server-topologie slechts één kopie van de database
Note
SQL Server ondersteunt veel verschillende opties voor gegevens- en toepassingredundantie, waaronder failoverclustering, databasespiegeling en verschillende typen SQL Server-replicatie.
De it-afdeling (Microsoft Information Technology) maakt gebruik van SQL Server-databasespiegeling in de modus high-safety (synchrone) en failoverclustering om ondersteuning voor hoge beschikbaarheid te bieden voor het SQL Server-exemplaar. Transactionele SQL Server-replicatie (peer-to-peer) en samenvoegingsreplicatie zijn niet getest door het AD FS-productteam van Microsoft. Zie Overzicht van oplossingen voor hoge beschikbaarheid of Het juiste type replicatieselecteren voor meer informatie over SQL Server.
Ondersteunde SQL Server-versies
De volgende SQL Server-versies worden ondersteund met AD FS in Windows Server 2012 R2:
SQL Server 2008 /R2
SQL Server 2012
SQL Server 2014
Aanbevelingen voor serverplaatsing en netwerkindeling
Net als bij de federatieserverfarm met WID-topologie zijn alle federatieservers in de farm geconfigureerd voor het gebruik van één DNS-naam (Cluster Domain Name System) (die de naam van de Federation Service vertegenwoordigt) en één cluster-IP-adres als onderdeel van de netwerktaakverdelingsclusterconfiguratie (NLB). Dit helpt de NLB-host clientaanvragen toe te wijzen aan de afzonderlijke federatieservers. Federatieserver-proxy's kunnen worden gebruikt om clientaanvragen naar de federatieserverfarm door te sturen.
In de volgende afbeelding ziet u hoe het fictieve bedrijf Contoso Pharmaceuticals de federatieserverfarm heeft geïmplementeerd met SQL Server-topologie in het bedrijfsnetwerk. Ook ziet u hoe dat bedrijf het perimeternetwerk heeft geconfigureerd met toegang tot een DNS-server, een extra NLB-host die gebruikmaakt van dezelfde DNS-naam (fs.contoso.com) van het cluster van het bedrijfsnetwerk, en met twee webtoepassingsproxy's (wap1 en wap2).
Zie het gedeelte 'Vereisten voor naamomzetting' in AD FS-vereisten en Plan de Web Application Proxy Infrastructure (WAP)voor meer informatie over hoe u uw netwerkomgeving configureert voor gebruik met federatieservers of webtoepassingsproxy's.
Opties voor hoge beschikbaarheid voor SQL Server-farms
In Windows Server 2012 R2, AD FS zijn er twee nieuwe opties voor de ondersteuning van hoge beschikbaarheid in AD FS-farms met behulp van SQL Server.
Ondersteuning voor SQL Server AlwaysOn-beschikbaarheidsgroepen
Ondersteuning voor geografisch gedistribueerde hoog beschikbaarheid gebruikmakend van SQL Server-samenvoegreplicatie
In deze sectie wordt elk van deze opties beschreven, welke problemen ze respectievelijk oplossen en enkele belangrijke overwegingen voor het bepalen van welke opties u wilt implementeren.
Note
AD FS-farms die gebruikmaken van Windows Internal Database (WID) bieden basisgegevensredundantie met lees-/schrijftoegang op het primaire federatieserverknooppunt en alleen-lezentoegang op secundaire knooppunten. Dit kan worden gebruikt in een geografisch lokale of geografisch gedistribueerde topologie.
Wanneer u WID gebruikt, moet u rekening houden met de volgende beperkingen:
- Een WID-farm heeft een limiet van 30 federatieservers als u 100 of minder vertrouwensrelaties van relying party's hebt.
- Een WID-farm biedt geen ondersteuning voor token replay-detectie of artifactresolutie (beide onderdelen van het SAML-protocol, Security Assertion Markup Language).
De volgende tabel bevat een samenvatting voor het gebruik van een WID-farm:
| 1-100 RP-vertrouwensrelaties | Meer dan 100 RP-trusts |
|---|---|
| 1-30 AD FS-knooppunten: WID ondersteund | 1-30 AD FS-knooppunten: Niet ondersteund met WID - SQL vereist |
| meer dan 30 AD FS-knooppunten: niet ondersteund met WID - SQL vereist | meer dan 30 AD FS-knooppunten: niet ondersteund met WID - SQL vereist |
AlwaysOn-beschikbaarheidsgroepen
Overview
AlwaysOn-beschikbaarheidsgroepen zijn geïntroduceerd in SQL Server 2012 en bieden een nieuwe manier om een SQL Server-exemplaar met hoge beschikbaarheid te maken. AlwaysOn-beschikbaarheidsgroepen combineren elementen van clustering en databasespiegeling voor redundantie en failover op zowel de SQL-exemplaarlaag als de databaselaag. In tegenstelling tot eerdere opties voor hoge beschikbaarheid is voor AlwaysOn-beschikbaarheidsgroepen geen algemene opslag (of storage area network) op de databaselaag vereist.
Een beschikbaarheidsgroep bestaat uit een primaire replica (een set primaire databases voor lezen/schrijven) en één tot vier beschikbaarheidsreplica's (sets met bijbehorende secundaire databases). De beschikbaarheidsgroep ondersteunt één exemplaar van lezen/schrijven (de primaire replica) en één tot vier alleen-lezen beschikbaarheidsreplica's. Elke beschikbaarheidsreplica moet zich op een ander knooppunt van één WSFC-cluster (Windows Server Failover Clustering) bevinden. Zie Overzicht van AlwaysOn-beschikbaarheidsgroepen (SQL Server)voor meer informatie over AlwaysOn-beschikbaarheidsgroepen.
Vanuit het perspectief van de knooppunten van een AD FS SQL Server-farm vervangt de AlwaysOn-beschikbaarheidsgroep het enkele SQL Server-exemplaar als de beleids-/artefactdatabase. De listener van de beschikbaarheidsgroep is wat de client (de AD FS-beveiligingstokenservice) gebruikt om verbinding te maken met SQL.
In het volgende diagram ziet u een AD FS SQL Server-farm met AlwaysOn-beschikbaarheidsgroep.
Note
AlwaysOn-beschikbaarheidsgroepen vereisen dat de SQL Server-exemplaren zich bevinden op WSFC-knooppunten (Windows Server Failover Clustering).
Note
Slechts één beschikbaarheidsreplica kan fungeren als een automatisch failoverdoel, de andere drie zijn afhankelijk van handmatige failovers.
Essentiële overwegingen voor uitrol
Als u AlwaysOn-beschikbaarheidsgroepen in combinatie met sql Server-samenvoegreplicatie wilt gebruiken, moet u rekening houden met de problemen die worden beschreven onder 'Belangrijke overwegingen voor implementatie van AD FS met SQL Server-samenvoegreplicatie' hieronder. Met name wanneer een AlwaysOn-beschikbaarheidsgroep, die een database bevat die als replicatieabonnee fungeert, een failover uitvoert, mislukt de replicatie-abonnement. Als u de replicatie wilt hervatten, moet een replicatiebeheerder de abonnee handmatig opnieuw configureren. Zie de sql Server-beschrijving van een specifiek probleem bij Replicatieabonnees en AlwaysOn-beschikbaarheidsgroepen (SQL Server) en algemene ondersteuningsinstructies voor AlwaysOn-beschikbaarheidsgroepen met replicatieopties op Replicatie, Wijzigingen bijhouden, Gegevens vastleggen en AlwaysOn-beschikbaarheidsgroepen (SQL Server).
AD FS configureren voor het gebruik van een AlwaysOn-beschikbaarheidsgroep
Voor het configureren van een AD FS-farm met AlwaysOn-beschikbaarheidsgroepen is een kleine wijziging in de AD FS-implementatieprocedure vereist:
De databases die u wilt back-uppen, moeten worden gemaakt voordat de AlwaysOn-beschikbaarheidsgroepen kunnen worden geconfigureerd. AD FS maakt de databases als onderdeel van de installatie en initiële configuratie van het eerste federation-serviceknooppunt van een nieuwe AD FS SQL Server-farm. Als onderdeel van de AD FS-configuratie moet u een SQL-verbindingsreeks opgeven, zodat u het eerste AD FS-farmknooppunt moet configureren om rechtstreeks verbinding te maken met een SQL-exemplaar (dit is alleen tijdelijk). Zie Een federatieserver configurerenvoor specifieke richtlijnen voor het configureren van een AD FS-farmknooppunt, waaronder het configureren van een AD FS-farmknooppunt met een SQL-serververbindingsreeks.
Zodra de AD FS-databases zijn gemaakt, wijst u deze toe aan AlwaysOn-beschikbaarheidsgroepen en maakt u de algemene TCPIP-listener met behulp van SQL Server-hulpprogramma's en verwerkt bij maken en configureren van beschikbaarheidsgroepen (SQL Server).
Ten slotte gebruikt u PowerShell om de AD FS-eigenschappen te bewerken om de SQL-verbindingsreeks bij te werken om het DNS-adres van de listener van de AlwaysOn-beschikbaarheidsgroep te gebruiken.
Voorbeeld van PSH-opdrachten voor het bijwerken van de SQL-verbindingsreeks voor de AD FS-configuratiedatabase:
PS:\>$temp= Get-WmiObject -namespace root/ADFS -class SecurityTokenService PS:\>$temp.ConfigurationdatabaseConnectionstring="data source=<SQLCluster\SQLInstance>; initial catalog=adfsconfiguration;integrated security=true" PS:\>$temp.put()Voorbeeld van PSH-opdrachten voor het bijwerken van de SQL-verbindingsreeks voor de AD FS-artefactomzettingsservicedatabase:
PS:\> Set-AdfsProperties –artifactdbconnection "Data source=<SQLCluster\SQLInstance >;Initial Catalog=AdfsArtifactStore;Integrated Security=True"
Merge-replicatie van SQL Server
Ook geïntroduceerd in SQL Server 2012 stelt samenvoegreplicatie je in staat AD FS-beleidsgegevensredundantie te bereiken met de volgende kenmerken:
Lees- en schrijfmogelijkheden op alle knooppunten (niet alleen de primaire)
Kleinere hoeveelheden gegevens worden asynchroon gerepliceerd om te voorkomen dat er latentie in het systeem ontstaat.
In het volgende diagram ziet u een geografisch redundante AD FS SQL Server-farm met mergereplicatie (1 publisher, 2 subscribers):
Belangrijke Overwegingen voor het gebruik van AD FS met SQL Server-Samenvoegreplicatie (notenummers in het bovenstaande diagram)
De distributeurdatabase wordt niet ondersteund voor gebruik met AlwaysOn-beschikbaarheidsgroepen of databasespiegeling. Zie sql Server-ondersteuningsinstructies voor AlwaysOn-beschikbaarheidsgroepen met replicatieopties op Replicatie, Wijzigingen bijhouden, Change Data Capture en AlwaysOn-beschikbaarheidsgroepen (SQL Server).
Wanneer een AlwaysOn-beschikbaarheidsgroep met een database die als replicatieabonnee dient een failover ondergaat, mislukt het replicatieabonnement. Als u de replicatie wilt hervatten, moet een replicatiebeheerder de abonnee handmatig opnieuw configureren. Zie de sql Server-beschrijving van een specifiek probleem bij replicatieabonnees en AlwaysOn-beschikbaarheidsgroepen (SQL Server) en algemene ondersteuningsinstructies voor AlwaysOn-beschikbaarheidsgroepen met replicatieopties Replicatie, Wijzigingen bijhouden, Gegevens vastleggen en AlwaysOn-beschikbaarheidsgroepen (SQL Server).
Zie Geografische redundantie instellen met SQL Server-replicatievoor gedetailleerde instructies over het configureren van AD FS voor het gebruik van een samenvoegreplicatie van SQL Server.
Zie ook
uw AD FS-implementatietopologie plannenAD FS-ontwerphandleiding in Windows Server 2012 R2