如果部署了大型 Active Directory 联合身份验证服务(AD FS),并且想要为代理部署提供容错、负载均衡和可伸缩性,请考虑安装其他联合服务器代理。 在同一外围网络中创建两个或多个联合服务器代理,并配置每个代理以保护同一 AD FS 联合身份验证服务,这样的行为创建了一个联合服务器代理场。
可以使用 AD FS 联合服务器代理配置向导创建联合服务器代理服务器场,或将其他联合服务器代理安装到现有服务器场。 有关详细信息,请参阅 “何时创建联合服务器代理”。
必须先在一个 IP 地址和一个域名系统 (DNS) 完全限定的域名 (FQDN) 下使所有联合身份验证服务器代理形成群集,然后它们才能以场的形式一起工作。 可以通过在外围网络内部署Microsoft网络负载均衡(NLB)来群集服务器。 下表中的任务要求正确配置 NLB 以便使场中的联合身份验证服务器代理形成群集。
有关如何使用 Microsoft NLB 技术为群集配置 FQDN 的详细信息,请参阅 指定群集参数。
为场配置联合服务器代理
下表介绍了让每台联合身份验证服务器代理都可以加入场而必须完成的任务。
| 任务 | DESCRIPTION |
|---|---|
| 使场中的所有代理指向相同的 AD FS 联合身份验证服务名称 | 创建联合身份验证服务器代理时,必须为将参与场的所有联合身份验证服务器代理,在 AD FS 联合身份验证服务器代理配置向导中输入相同的联合身份验证服务名称。 联合身份验证服务器使用组成此 DNS 主机名的 URL 来确定它联系的 AD FS 联合身份验证服务实例。 有关详细信息,请参阅 为联合服务器代理角色配置计算机。 |
| 获取并共享证书 | 可以从公共证书颁发机构(例如 VeriSign)获取服务器身份验证证书,然后配置证书,以便所有联合服务器代理在每个联合服务器代理的默认网站上共享同一证书的相同私钥部分。 若要共享证书,必须在每个联合服务器代理的默认网站上安装相同的服务器身份验证证书。 有关详细信息,请参阅 将服务器身份验证证书导入默认网站。 有关详细信息,请参阅 联合服务器代理的证书要求。 |
有关添加新的联合服务器代理以创建联合服务器代理服务器场的详细信息,请参阅 清单:设置联合服务器代理。
另请参阅
Windows Server 2012 中的 AD FS 设计指南