联合服务器代理的容量规划有助于估算:
每个联合服务器代理的相应硬件要求。
在每个组织中放置的联合服务器和联合服务器代理数。
联合服务器代理将安全令牌从企业网络中受保护的联合服务器重定向到联合用户。 部署联合服务器代理的目的是允许外部用户连接到联合服务器。 它实际上不会对令牌进行签名或写入 AD FS 配置数据库中的数据。 因此,联合服务器代理的硬件要求通常低于联合服务器的硬件要求。
由于对联合服务器代理的每个请求都会导致对联合服务器或联合服务器场的请求,因此必须并行执行联合服务器和联合服务器代理的容量规划。
估算联合服务器代理每秒的峰值登录数需要了解将通过联合服务器代理登录的联合用户的使用模式。 在许多部署中,使用联合服务器代理登录的联合用户位于 Internet 上。 可以通过查看受 AD FS 保护的现有 Web 应用程序上的这些联合用户的使用模式来估计每秒的峰值登录数。
注释
对于生产部署,我们建议为每个部署的联合服务器场实例至少两个联合服务器代理。
估计组织所需的联合服务器代理数
在估算所需的 AD FS 联合服务器代理服务器数之前,首先需要确定将在组织中部署的联合服务器总数。 有关如何执行此作的详细信息,请参阅 规划联合服务器容量。
决定联合服务器的数量后,将此数量乘以你预计会从联邦网络之外的外部用户发起的传入联合身份验证请求百分比。 此计算的值将提供估计的联合服务器代理数,这些代理将处理外部用户的传入身份验证请求。
例如,如果建议的联合服务器数为 3,并且你预计从外部用户发出的身份验证请求总数大约是联合身份验证请求总数的 60%,则计算将等于 1.8 (3 X .60),可向上舍入到 2。 因此,在这种情况下,需要部署两个联合服务器代理服务器,以适应三个联合服务器的外部用户身份验证请求的负载。
在 AD FS 产品团队执行的测试中,发现每个联合身份验证服务器代理上的 CPU 总体使用率明显低于相同群集的联合服务器上观察到的 CPU 利用率。 在一项测试中,虽然一个联合服务器 CPU 指示它已完全饱和,但观察到为同一个场提供代理服务的联合服务器代理的 CPU 利用率仅为 20%。 因此,我们的测试显示,联合服务器代理的 CPU 负载(使用本部分前面讨论的类似硬件规范)可以合理处理大约三个联合服务器的处理负载。
但是,出于容错目的,我们建议为部署的每个联合服务器场至少两个联合服务器代理。