Conjunto de Servidores de Federação Legado do AD FS utilizando o SQL Server

Essa topologia para os Serviços de Federação do Active Directory (AD FS) difere do grupo de servidores de federação que usa o modelo de implementação do Banco de Dados Interno do Windows (WID) no sentido de que não replica os dados para cada servidor de federação no grupo. Em vez disso, todos os servidores de federação no farm podem ler e gravar dados em um banco de dados comum armazenado em um servidor que executa o Microsoft SQL Server localizado na rede corporativa.

Important

Se quiser criar um farm do AD FS e usar o SQL Server para armazenar seus dados de configuração, você pode usar o SQL Server 2008 e versões mais recentes, incluindo o SQL Server 2012 e o SQL Server 2014.

Considerações sobre implantação

Esta seção descreve várias considerações sobre o público-alvo, os benefícios e as limitações associados a essa topologia de implantação.

Quem deve usar essa topologia?

  • Grandes organizações com mais de 100 relações de confiança que precisam fornecer aos usuários internos e externos acesso de logon único (SSO) a aplicativos ou serviços federados

  • Organizações que já usam o SQL Server e desejam aproveitar suas ferramentas e conhecimentos existentes

Quais são os benefícios de usar essa topologia?

  • Suporte para um maior número de relações de confiança (mais de 100)

  • Suporte para deteção de repetição de token (um recurso de segurança) e resolução de artefatos (parte do protocolo SAML (Security Assertion Markup Language) 2.0)

  • Suporte para todos os benefícios do SQL Server, como espelhamento de banco de dados, clustering com failover, relatórios e ferramentas de gestão.

Quais são as limitações do uso dessa topologia?

  • Essa topologia não fornece redundância de banco de dados por padrão. Embora um grupo de servidores de federação com topologia WID replique automaticamente a base de dados WID em cada servidor de federação no grupo, o grupo de servidores de federação com topologia com SQL Server contém apenas uma cópia da base de dados.

    Note

    O SQL Server suporta muitas opções diferentes de redundância de dados e aplicativos, incluindo failover clustering, espelhamento de base de dados e vários tipos de replicação do SQL Server.

O departamento de Tecnologia da Informação (TI) da Microsoft usa o espelhamento de banco de dados do SQL Server no modo de alta segurança (síncrono) e cluster de failover para fornecer suporte à alta disponibilidade para a instância do SQL Server. A replicação transacional (ponto a ponto) e de mesclagem do SQL Server não foi testada pela equipe de produto do AD FS na Microsoft. Para obter mais informações sobre o SQL Server, consulte Visão geral soluções de alta disponibilidade ou Selecionando o tipo apropriado de replicação.

Versões suportadas do SQL Server

As seguintes versões do SQL Server são suportadas com o AD FS no Windows Server 2012 R2:

  • SQL Server 2008 / R2

  • SQL Server 2012

  • SQL Server 2014

Recomendações de posicionamento do servidor e layout de rede

Similar ao grupo de servidores de federação com topologia WID, todos os servidores de federação no grupo são configurados para usar um nome de sistema de nomes de domínio (DNS) do cluster (que representa o nome do Serviço de Federação) e um endereço IP do cluster como parte da configuração do cluster de Balanceamento de Carga de Rede (NLB). Isso ajuda o host NLB a alocar solicitações de cliente para os servidores de federação individuais. Os proxies do servidor de federação podem ser usados para redirecionar solicitações de clientes para a farm de servidores de federação.

A ilustração a seguir mostra como a empresa fictícia da Contoso Pharmaceuticals implantou seu farm de servidores de federação com topologia do SQL Server na rede corporativa. Ele também mostra como essa empresa configurou a rede de perímetro com acesso a um servidor DNS, um host NLB adicional que usa o mesmo nome DNS do cluster (fs.contoso.com) usado no cluster NLB da rede corporativa e com dois proxies de aplicativo Web (wap1 e wap2).

Ilustração que mostra como a empresa fictícia da Contoso Pharmaceuticals implantou seu farm de servidores de federação com topologia do SQL Server na rede corporativa.

Para obter mais informações sobre como configurar o seu ambiente de rede para uso com servidores de federação ou proxies de aplicações Web, consulte a seção "Requisitos de Resolução de Nomes" em Requisitos do AD FS e Planejar a Infraestrutura de Proxy de Aplicação Web (WAP).

Opções de alta disponibilidade para fazendas de SQL Server

No Windows Server 2012 R2, AD FS, há duas novas opções para oferecer suporte à alta disponibilidade em farms do AD FS usando o SQL Server.

  • Suporte para grupos de disponibilidade AlwaysOn do SQL Server

  • Suporte para alta disponibilidade distribuída geograficamente usando replicação de mesclagem do SQL Server

Esta seção descreve cada uma dessas opções, quais problemas elas resolvem, respectivamente, e algumas considerações importantes para decidir quais opções implantar.

Note

Os grupos do AD FS que usam o Banco de Dados Interno do Windows (WID) fornecem redundância básica de dados com acesso de leitura e escrita no nó do servidor de federação primário e acesso somente leitura nos nós secundários.  Isso pode ser usado em uma topologia geograficamente local ou geograficamente distribuída.

Ao usar WID, esteja ciente das seguintes limitações:

  • Uma farm WID tem um limite de 30 servidores de federação se tiver 100 ou menos entidades confiáveis.
  • Um farm WID não oferece suporte à deteção de repetição de token ou resolução de artefatos (parte do protocolo SAML (Security Assertion Markup Language)).

A tabela seguinte fornece um resumo para o uso de uma fábrica WID.

1-100 RP Fundações Mais de 100 RP Trusts
1-30 AD FS Nodes: WID suportado 1-30 nós AD FS: Não é suportado quando usado WID - SQL obrigatório
Mais de 30 nós do AD FS: Não suportado ao utilizar o WID - SQL é necessário Mais de 30 nós do AD FS: Não suportado ao utilizar o WID - SQL é necessário

Grupos de disponibilidade AlwaysOn

Overview

Os grupos de Disponibilidade AlwaysOn foram introduzidos no SQL Server 2012 e fornecem uma nova maneira de criar uma instância do SQL Server de alta disponibilidade.  Os grupos de Disponibilidade AlwaysOn combinam elementos de agrupamento e espelhamento de bases de dados para redundância e failover na camada de instância SQL e na camada de bases de dados.  Ao contrário das opções anteriores de alta disponibilidade, os grupos de Disponibilidade AlwaysOn não exigem um armazenamento comum (ou rede de área de armazenamento) na camada de banco de dados.

Um grupo de disponibilidade é composto por uma réplica primária (um conjunto de bancos de dados primários de leitura-gravação) e uma a quatro réplicas de disponibilidade (conjuntos de bancos de dados secundários correspondentes).  O grupo de disponibilidade oferece suporte a uma única cópia de leitura-gravação (a réplica primária) e entre uma e quatro réplicas de disponibilidade apenas de leitura.  Cada réplica de disponibilidade deve residir em nós diferentes de um só cluster WSFC (Cluster de Failover do Windows Server).  Para obter mais informações sobre grupos de disponibilidade AlwaysOn, consulte Visão geral dos grupos de disponibilidade AlwaysOn (SQL Server).

Na perspetiva dos nós de um farm de SQL Server do AD FS, o grupo de Disponibilidade AlwaysOn substitui a instância única do SQL Server como o banco de dados de política/artefato.  O listener do grupo de disponibilidade é o componente que o cliente (o serviço de token de segurança do AD FS) utiliza para se ligar ao SQL.

O diagrama a seguir mostra uma Farm de Servidores SQL do AD FS com um Grupo de Disponibilidade AlwaysOn.

Diagrama que mostra um Farm de SQL Server do AD FS com um grupo de Disponibilidade AlwaysOn.

Note

Grupos de Disponibilidade AlwaysOn requerem que as instâncias do SQL Server residam nos nós do Cluster de Failover do Windows Server (WSFC).

Note

Apenas uma réplica de disponibilidade pode atuar como um destino de failover automático, as outras três dependerão de failovers manuais.

principais considerações de implantação

Se você planeja usar grupos de Disponibilidade AlwaysOn em combinação com a replicação de mesclagem do SQL Server, tome nota dos problemas descritos em "Principais considerações de implantação para usar o AD FS com a replicação de mesclagem do SQL Server" abaixo.  Em particular, quando um grupo de disponibilidade AlwaysOn que contém uma base de dados que é um assinante de replicação faz failover, a assinatura de replicação falha. Para retomar a replicação, um administrador de replicação deve reconfigurar manualmente o assinante.  Consulte a descrição do problema específico no SQL Server em "Assinantes de Replicação e Grupos de Disponibilidade AlwaysOn (SQL Server)" e as declarações gerais de suporte para grupos de Disponibilidade AlwaysOn com opções de replicação em "Replicação, Rastreamento de Alterações, Captura de Dados de Alterações e Grupos de Disponibilidade AlwaysOn (SQL Server)" .

Configurar o AD FS para utilizar um grupo de Disponibilidade AlwaysOn

Configurar um farm do AD FS com grupos de Disponibilidade AlwaysOn requer uma pequena modificação no procedimento de implantação do AD FS:

  1. Os bancos de dados dos quais você deseja fazer backup devem ser criados antes que os grupos de Disponibilidade AlwaysOn possam ser configurados.  O AD FS cria os bancos de dados como parte da instalação e configuração inicial do primeiro nó do serviço de federação de uma nova fazenda do SQL Server do AD FS.  Como parte da configuração do AD FS, você deve especificar uma cadeia de conexão SQL, portanto, terá que configurar o primeiro nó do farm do AD FS para se conectar diretamente a uma instância SQL (isso é apenas temporário).   Para obter orientações específicas sobre como configurar um grupo do AD FS, incluindo a configuração de um nó de grupo do AD FS com uma cadeia de ligação do SQL Server, consulte Configurar um servidor de federação.

  2. Depois que os bancos de dados do AD FS tiverem sido criados, atribua-os aos Grupos de Disponibilidade Always On e crie a escuta TCP/IP comum usando as ferramentas e o processo do SQL Server em Criação e Configuração de Grupos de Disponibilidade (SQL Server).

  3. Por fim, use o Windows PowerShell para editar as propriedades do AD FS e atualizar a cadeia de conexão SQL de modo a utilizar o endereço DNS do listener do grupo de Disponibilidade AlwaysOn.

    Exemplo de comandos PSH para atualizar a cadeia de conexão SQL para o banco de dados de configuração do AD FS:

    PS:\>$temp= Get-WmiObject -namespace root/ADFS -class SecurityTokenService
PS:\>$temp.ConfigurationdatabaseConnectionstring="data source=<SQLCluster\SQLInstance>; initial catalog=adfsconfiguration;integrated security=true"
PS:\>$temp.put()

  4. Exemplo de comandos PSH para atualizar a cadeia de conexão SQL para o banco de dados do serviço de resolução de artefatos do AD FS:

    PS:\> Set-AdfsProperties –artifactdbconnection "Data source=<SQLCluster\SQLInstance >;Initial Catalog=AdfsArtifactStore;Integrated Security=True"

Replicação de mesclagem do SQL Server

Também introduzida no SQL Server 2012, a replicação por mesclagem permite a redundância de dados de política do AD FS com as seguintes características:

  • Capacidade de leitura e gravação em todos os nós (não apenas no principal)

  • Quantidades menores de dados replicados de forma assíncrona para evitar a introdução de latência no sistema

O diagrama a seguir mostra farms de SQL Server de AD FS geograficamente redundantes com replicação por mesclagem (1 editor, 2 assinantes):

farm de servidores usando SQL

Principais considerações de implantação para usar o AD FS com a replicação de mesclagem do SQL Server (observe os números no diagrama acima)

Para obter instruções mais detalhadas sobre como configurar o AD FS para usar uma replicação por mesclagem do SQL Server, consulte Configurar Redundância Geográfica com SQL Server Replication.

Ver também

Planejar sua topologia de implantação do AD FSGuia de Design do AD FS no Windows Server 2012 R2

  • Last updated on