Active Directory 联合身份验证服务(AD FS)的此拓扑不同于使用 Windows 内部数据库(WID)部署拓扑的联合服务器场,因为它不会将数据复制到场中的每个联合服务器。 而场中的所有联合服务器都可以将数据读取和写入一个公共数据库,该数据库存储在企业网络中运行 Microsoft SQL Server 的服务器上。
部署注意事项
本部分介绍与此部署拓扑关联的预期受众、优势和限制的各种注意事项。
谁应该使用此拓扑?
具有 100 多个信任关系的大型组织,需要为其内部用户和外部用户提供对联合应用程序或服务的单一登录(SSO)访问权限
已使用 SQL Server 并希望利用其现有工具和专业知识的组织
使用此拓扑有什么好处?
支持更多信任关系(超过 100 个)
支持令牌重放检测(安全功能)和工件解析(安全断言标记语言(SAML) 2.0 协议的一部分)
支持 SQL Server 的全部优势,例如数据库镜像、故障转移群集、报告和管理工具
使用此拓扑有什么限制?
- 默认情况下,此拓扑不提供数据库冗余。 尽管具有 WID 拓扑的联合服务器场会自动复制场中每个联合服务器上的 WID 数据库,但具有 SQL Server 拓扑的联合服务器场仅包含数据库的一个副本
注释
SQL Server 支持许多不同的数据和应用程序冗余选项,包括故障转移群集、数据库镜像和多种不同类型的 SQL Server 复制。
Microsoft信息技术(IT)部门使用高安全性(同步)模式下的 SQL Server 数据库镜像和故障转移群集为 SQL Server 实例提供高可用性支持。 SQL Server 事务(对等)和合并复制尚未经过 Microsoft 的 AD FS 产品团队的测试。 有关 SQL Server 的详细信息,请参阅 高可用性解决方案概述 或 选择适当的复制类型。
支持的 SQL Server 版本
安装了 Windows Server 2012 的 AD FS 支持以下 SQL Server 版本:
SQL Server 2008 / R2
SQL Server 2012
服务器放置和网络布局建议
与 WID 拓扑的联合服务器场类似,服务器场中的所有联合服务器都配置为使用一个群集域名系统(DNS)名称(表示联合身份验证服务名称)和一个群集 IP 地址作为网络负载均衡(NLB)群集配置的一部分。 这有助于 NLB 主机向单个联合服务器分配客户端请求。 联合服务器代理可用于将客户端请求代理到联合服务器场。
下图显示了虚构的 Contoso Pharmaceuticals 公司如何在公司网络中部署其联合服务器场与 SQL Server 拓扑。 它还显示了该公司如何配置外围网络,使其可以访问 DNS 服务器(这是一个附加的 NLB 主机,使用与企业网络 NLB 群集相同的群集 DNS 名称 (fs.contoso.com)),并具有两个联合服务器代理(fsp1 和 fsp2)。
有关如何配置网络环境以用于联合服务器或联合服务器代理的详细信息,请参阅 联合服务器的名称解析要求 或 联合服务器代理的名称解析要求。
另请参阅
Windows Server 2012 中的 AD FS 设计指南