Planeie a sua implantação de FS AD
Aplica-se a: Azure, Office 365, Power BI, Windows Intune
O primeiro passo para planear uma implementação de FS AD para um serviço de nuvem da Microsoft é selecionar a topologia de implementação certa para atender às necessidades de sinalização única da sua organização. O AD FS requer que utilize Base de Dados Interna do Windows (WID) ou uma base de dados SQL Server para armazenar os dados de configuração AD FS utilizados pelo Serviço da Federação.
A topologia recomendada do AD FS para a maioria dos clientes dos serviços de nuvem da Microsoft é usar a fazenda de servidores da federação com WID e proxies topology que se segue. Existe também uma opção avançada de criação de uma fazenda de servidores da federação com proxies SQL Server, mencionados mais tarde nesta secção.
Além disso, esta secção também fornece uma tabela para determinar o número de servidores AD FS para implementar na sua organização, bem como informações sobre a adição de servidores da federação para aumentar o desempenho.
Topologia recomendada: Fazenda de servidores da Federação com WID e proxies
Opção avançada: Fazenda de servidores da Federação com SQL Server e proxies
Tabela de estimativas: Determine o número de servidores AD FS para implementar na sua organização
Adicionar servidores da federação para aumentar o desempenho
Topologia recomendada: Fazenda de servidores da Federação com WID e proxies
A topologia padrão para um serviço de nuvem Microsoft é uma fazenda de servidores da federação AD FS que consiste em vários servidores que hospedam o Serviço de Federação da sua organização. Nesta topologia, a AD FS utiliza o WID como base de dados de configuração AD FS para todos os servidores da federação que se unem a essa quinta. A quinta replica e mantém os dados do Serviço da Federação na base de dados de configuração em cada servidor da quinta.
O ato de criar o primeiro servidor da federação numa quinta também cria um novo Serviço da Federação. Quando o WID é usado como base de dados de configuração AD FS, o primeiro servidor da federação que é criado na fazenda é referido como o servidor da federação primária. Isto significa que este computador será configurado com uma cópia de leitura/escrita da base de dados de configuração AD FS.
Todos os outros servidores da federação configurados para esta quinta são referidos como servidores da federação secundária, uma vez que devem replicar quaisquer alterações que sejam feitas no servidor da federação primária para as suas cópias apenas de leitura da base de dados de configuração AD FS que armazenam localmente.
Nota
Recomendamos a utilização de pelo menos dois servidores da federação numa configuração equilibrada de carga.
A configuração desta topologia da fazenda de servidores da federação base é a primeira fase da sua implantação de FS AD. A segunda fase consiste em determinar como fornecer funcionalidade de controlo de acesso aos utilizadores externos através da implementação de:
Proxies de Aplicação Web, se estiver a usar AD FS em Windows Server 2012 R2
Proxies do servidor da Federação, se estiver a usar FS AD 2.0 ou AD FS em Windows Server 2012
Fase 1: Implementar a sua fazenda de servidores da federação
Quando estiver pronto para começar a implantar a sua quinta, deverá planear colocar todos os servidores da federação na sua rede corporativa por trás de um anfitrião network load balancing (NLB) que pode ser configurado para um cluster NLB com um nome DNS de cluster dedicado e endereço IP cluster.
Importante
Este nome DNS do cluster deve corresponder ao nome do Serviço da Federação (por exemplo, fs.fabrikam.com) e ser roteado pela Internet para o caso de FS AD que implementa. Se o nome não corresponder, o pedido de autenticação não será encaminhado para o servidor DNS correto ou para o servidor correto da federação.
O anfitrião NLB pode usar as definições definidas neste cluster NLB para alocar pedidos de clientes aos servidores individuais da federação. O diagrama seguinte mostra como Fabrikam, Inc. pode configurar a primeira fase da sua implementação usando uma fazenda de servidores de duas federaçãos de computadores (fs1 e fs2) com WID e o posicionamento de um servidor DNS e um único anfitrião NLB ligado à rede corporativa.
.gif "Federation Server Farm with WID")
Nota
Se houver uma falha neste único anfitrião NLB, então os utilizadores não poderão aceder ao serviço de cloud. Adicione anfitriões NLB adicionais se os requisitos do seu negócio não permitirem ter um único ponto de falha.
Fase 2: Implementar os seus proxies
Em geral, os servidores proxy são usados para redirecionar os pedidos de autenticação do cliente vindos de fora da sua rede corporativa para a fazenda de servidores da federação, por outras palavras, para configurar o acesso à extranet.
Importante
Dependendo da versão do AD FS que pretende utilizar, pode implementar Proxies de Aplicações Web (em AD FS em Windows Server 2012 R2) ou proxies do servidor da federação (em AD FS 2.0 e AD FS em Windows Server 2012). Para as definições e descrições das funções de um web Proxy de Aplicações e de um servidor de federação proxy, consulte a terminologia de FS de revisão.
Para um cliente de serviço na nuvem da Microsoft, é necessário implementar proxies na sua infraestrutura AD FS existente para permitir os seguintes cenários de utilizador:
Computador de trabalho, roaming: Os utilizadores que estejam ligados a computadores ligados ao domínio com as suas credenciais corporativas, mas que não estejam ligados à rede corporativa (por exemplo, um computador de trabalho em casa ou num hotel), podem aceder ao serviço de cloud.
Computador doméstico ou público: Quando o utilizador está a utilizar um computador que não está ligado ao domínio corporativo, o utilizador deve iniciar sôs-se com as suas credenciais corporativas para aceder ao serviço de cloud.
Telefone inteligente: Num telefone inteligente, para aceder ao serviço de cloud, como Microsoft Exchange Online que utilizam o Microsoft Exchange ActiveSync, o utilizador deve iniciar sedução com as suas credenciais corporativas.
Microsoft Outlook ou outros clientes de e-mail: O utilizador deve iniciar sômpa com as suas credenciais corporativas para aceder aos seus Office 365 e-mail se estiver a utilizar Outlook ou um cliente de e-mail que não faça parte de Office; por exemplo, um cliente IMAP ou POP.
Para suportar estes cenários de utilizador, esta segunda fase será construída na Fase 1 da implementação discutida anteriormente, adicionando dois Proxies de Aplicação Web ou dois proxies de servidores da federação, fornecendo acesso a um servidor DNS na rede de perímetro, e acesso a um segundo anfitrião NLB na rede de perímetro.
O segundo anfitrião NLB deve ser configurado com um cluster NLB que utilize um endereço IP de cluster acessível à Internet e deve utilizar a mesma definição de nome DNS do cluster que o anterior cluster NLB que configuraste na rede corporativa para a Fase 1 (fs.fabrikam.com). Os proxies de aplicações web ou proxies de servidores da federação também serão configurados com endereços IP acessíveis à Internet.
O diagrama que se segue mostra a implantação da Fase 1 existente e como a Fabrikam, Inc. pode fornecer acesso a um servidor DNS de perímetro, adicionar um segundo anfitrião NLB com o mesmo nome DNS do cluster (fs.fabrikam.com), e adicionar dois proxies de servidor da federação (fsp1 e fsp2) à rede do perímetro.
O diagrama que se segue mostra a implementação da Fase 1 existente e como a Fabrikam, Inc. pode fornecer acesso a um servidor DNS do perímetro, adicionar um segundo anfitrião NLB com o mesmo nome DNS do cluster (fs.fabrikam.com), e adicionar dois Proxies de Aplicação Web (wap1 e wap2) à rede do perímetro.
.gif "ADFSProxyDeploymentSSO")
Nota
- Pode utilizar soluções de procuração inversa http de terceiros para publicar FS AD na extranet. Para obter mais informações sobre como fazê-lo, consulte Configurar Opções Avançadas para AD FS 2.0.
- Toda a comunicação AD FS que viaja através da firewall é baseada em HTTPS.
- Pode criar regras de reclamação personalizadas em FS AD que limitarão o acesso dos seus utilizadores ao serviço de nuvem com base na localização física do computador cliente ou dispositivo cliente através do qual o seu utilizador está a solicitar acesso. Para obter mais informações sobre como criar estas regras, consulte limitar o acesso a serviços de Office 365 baseado na localização do cliente.
Opção avançada: Fazenda de servidores da Federação com SQL Server e proxies
Esta é uma opção avançada de topologia de implementação de FS que usa proxies de aplicações web ou proxies de servidores de federação e uma configuração de SQL Server para permitir que todos os servidores da federação na fazenda leiam e escrevam para uma base de dados comum SQL Server. Utilizar uma base de dados do SQL Server como a base de dados de configuração do AD FS oferece os seguintes benefícios relativamente à WID:
Funcionalidades de alta disponibilidade de SQL Server que os administradores podem usar.
Melhorias de desempenho adicionais, incluindo a capacidade de escalar usando mais servidores da federação (uma fazenda WID tem um limite de 30 servidores da federação se você tiver 100 ou menos confianças partidárias. Se tiver mais de 100 fundos de partidos, uma fazenda wid tem um limite de 5 servidores da federação. ).
O equilíbrio geográfico de carga para ajudar a proporcionar aumentos para o tráfego elevado com base na localização.
Nota
Como esta topologia é uma opção avançada de implantação de FS AD, os detalhes de como esta topologia funciona e como implantá-la não são cobertos neste artigo.
Para obter mais informações sobre esta opção topologia, consulte Opções Avançadas de Configuração para AD FS 2.0.
Tabela de estimativas: Determine o número de servidores AD FS para implementar na sua organização
Pode utilizar a tabela seguinte para o ajudar a estimar o número mínimo de servidores da federação AD FS e proxies de aplicações web ou proxies de servidores de federação que terá de colocar numa quinta de servidores da federação configurada com WID em toda a sua infraestrutura de rede corporativa com base no número de utilizadores que exigirão um único acesso de sinal-on, incluindo acesso remoto, ao serviço de nuvem.
Nota
Todos os computadores que serão configurados para o servidor da federação ou para o servidor da federação devem estar a executar o Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 sistema operativo. Todos os computadores que serão configuras para executar o serviço de função web Proxy de Aplicações apenas estão a funcionar Windows Server 2012 sistema operativo R2.
Recomendamos que utilize um servidor da federação para responder à redundância. Segue-se esta seguinte recomendação.
| Número de utilizadores que acedem ao serviço na nuvem | Número mínimo de servidores a implementar | Recomendação e passos |
|---|---|---|
Menos de 1.000 utilizadores |
0 servidores dedicados da federação 0 proxies dedicados 1 servidor NLB dedicado |
Para os servidores da federação, utilize dois controladores de domínio ative (DCs) existentes e configuure-os para o papel do servidor da federação. Para isso, primeiro selecione dois DCs existentes, e depois:
Para o NLB, configurar um anfitrião NLB existente ou obter um servidor dedicado e, em seguida, instalar a função do servidor NLB nele e, em seguida, configurar o servidor NLB. Para os proxies, utilize dois servidores web ou proxy existentes e configuure-os tanto para o papel de procuração do servidor da federação como para o papel de web Proxy de Aplicações. Para isso, selecione dois servidores web ou proxy existentes que residem na extranet e, em seguida,:
Nota Se não tiver dois DCs existentes e dois servidores web ou proxy ou não estiverem a funcionar Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2, deverá implementar servidores dedicados, como discutido na próxima linha desta tabela. Importante Se estiver a utilizar O FS FS 2.0 ou AD FS em Windows Server 2012, tem de implementar e configurar os proxies do servidor da federação. Se estiver a utilizar O FS AD em Windows Server 2012 R2, só pode configurar e implantar Proxies de Aplicações Web. Em Windows Server 2012 R2, um Web Proxy de Aplicações, um novo serviço de função da função do servidor De Acesso Remoto, é usado para configurar AD FS para acesso à extranet. |
1.000 a 15.000 utilizadores |
2 servidores dedicados da federação 2 proxies dedicados |
Para os servidores da federação, obtenha dois servidores dedicados e, em seguida, :
Para os proxies, obtenha dois servidores dedicados que pode colocar na extranet:
Importante Se estiver a utilizar O FS FS 2.0 ou AD FS em Windows Server 2012, tem de implementar e configurar os proxies do servidor da federação. Se estiver a utilizar O FS AD em Windows Server 2012 R2, só pode configurar e implantar Proxies de Aplicações Web. Em Windows Server 2012 R2, um Web Proxy de Aplicações, um novo serviço de função da função do servidor De Acesso Remoto, é usado para configurar AD FS para acesso à extranet. |
15.000 a 60.000 utilizadores |
Entre 3 e 5 servidores dedicados da federação Pelo menos 2 proxies dedicados |
Cada servidor dedicado da federação pode suportar aproximadamente 15.000 utilizadores. Por isso, adicione um servidor adicional dedicado à federação base de dois servidores da federação descrito anteriormente para cada 15.000 utilizadores que exigirão acesso ao serviço na nuvem, até um máximo de cinco servidores da federação na fazenda ou 60.000 utilizadores. Nota Uma fazenda de servidores da federação AD FS configurada para usar WID suporta um máximo de cinco servidores da federação. Se precisar de mais de cinco servidores da federação, precisa de configurar uma base de dados SQL Server para armazenar a base de dados de configuração AD FS. Para obter mais informações sobre esta opção, consulte Configurar Opções Avançadas para AD FS 2.0. |
O número mínimo de utilizadores para as recomendações dos servidores fornecidas na tabela anterior é calculado com base no seguinte hardware:
| Hardware | Especificações |
|---|---|
Velocidade da CPU |
Dual Quad Core 2.27GHz CPU (8 núcleos) |
RAM |
4 gigabytes (GB) |
Rede |
Gigabit |
Adicionar servidores da federação para aumentar o desempenho
Quando dois ou mais servidores da federação são configurados numa fazenda usando a tecnologia NLB, eles podem operar independentemente para ajudar a processar a carga de pedidos de utilizador incoming feitos para o Serviço de Federação FS AD sem degradar o desempenho geral do serviço como um todo. Portanto, há pouca sobrecarga envolvida em adicionar servidores adicionais da federação ao seu ambiente de produção existente depois de ter implantado os seus servidores iniciais da federação estrategicamente na sua rede.
Passo seguinte
Agora que planeou a sua implementação de FS AD, o próximo passo é rever os requisitos para a implementação de FS AD.
Consulte também
Conceitos
Lista de verificação: Utilize FS AD para implementar e gerir um único sinal