Freigeben über

Erweitern lokaler Active Directory-Verbunddienste auf Azure

Azure-Lastenausgleich
Microsoft Entra
Microsoft Entra ID

Diese Referenzarchitektur implementiert ein sicheres Hybridnetzwerk, das Ihr lokales Netzwerk auf Azure erweitert und Active Directory-Verbunddienste (AD FS) verwendet, um Verbundauthentifizierung und Autorisierung für Komponenten auszuführen, die in Azure ausgeführt werden.

Architecture

Diagramm, das ein Beispiel für eine sichere Hybridnetzwerkarchitektur mit AD FS zeigt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Der folgende Workflow entspricht dem vorherigen Diagramm:

  • Active Directory Domain Services (AD DS)-Subnetz: Die AD DS-Server sind in ihrem eigenen Subnetz enthalten, in dem NSG-Regeln (Network Security Group) als Firewall dienen.

  • AD DS-Server: Domänencontroller, die als virtuelle Computer (VMs) in Azure ausgeführt werden. Diese Server bieten Authentifizierung von lokalen Identitäten in der Domäne.

  • AD FS-Subnetz: Die AD FS-Server befinden sich in ihrem eigenen Subnetz und verwenden NSG-Regeln als Firewall.

  • AD FS-Server: Die AD FS-Server stellen Verbundautorisierung und Authentifizierung bereit. In dieser Architektur führen sie die folgenden Aufgaben aus:

    • Empfangen von Sicherheitstoken, die Ansprüche eines Partnerverbundservers im Namen eines Partnerbenutzers enthalten. AD FS überprüft, ob die Token gültig sind, bevor sie die Ansprüche an die Webanwendung übergibt, die in Azure ausgeführt wird, um Anforderungen zu autorisieren.

      Die Anwendung, die in Azure ausgeführt wird, wird als vertrauende Seite bezeichnet. Der Partnerverbundserver muss Ansprüche ausgeben, die die Webanwendung versteht. Die Partnerverbundserver werden als Kontopartner bezeichnet, da sie Zugriffsanforderungen im Namen authentifizierter Konten in der Partnerorganisation senden. Die AD FS-Server werden als Ressourcenpartner bezeichnet, da sie Zugriff auf Ressourcen (die Webanwendung) bieten.

    • Authentifizieren und Autorisieren eingehender Anforderungen von externen Benutzern, die einen Webbrowser oder ein Gerät ausführen, der Zugriff auf Webanwendungen mithilfe von AD DS und dem Active Directory-Geräteregistrierungsdienst (DRS) benötigt.

    Die AD FS-Server sind als eine Farm konfiguriert, auf die über einen Azure-Lastenausgleich zugegriffen wird. Diese Implementierung verbessert die Verfügbarkeit und die Skalierbarkeit. Die AD FS-Server werden nicht direkt im Internet verfügbar gemacht. Der gesamte Internetdatenverkehr wird über AD FS-Webanwendungsproxyserver (WAP) und eine demilitarisierte Zone (DMZ) gefiltert, die auch als Umkreisnetzwerk bezeichnet wird.

    Weitere Informationen finden Sie in der AD FS-Übersicht.

  • AD FS-Proxysubnetz: Die AD FS-Proxyserver können in ihrem eigenen Subnetz enthalten sein und NSG-Regeln für den Schutz verwenden. Die Server in diesem Subnetz werden über eine Reihe virtueller Netzwerkgeräte, die eine Firewall zwischen Ihrem virtuellen Azure-Netzwerk und dem Internet bereitstellen, für das Internet verfügbar gemacht.

  • AD FS WAP-Server: Diese virtuellen Computer dienen als AD FS-Server für eingehende Anforderungen von Partnerorganisationen und externen Geräten. Die WAP-Server fungieren als Filter, der die AD FS-Server vom direkten Zugriff aus dem Internet abschirmt. Wie bei den AD FS-Servern bietet die Bereitstellung der WAP-Server in einer Farm mit Lastenausgleich mehr Verfügbarkeit und Skalierbarkeit als die Bereitstellung einer Sammlung von eigenständigen Servern. Weitere Informationen finden Sie unter Installieren und Konfigurieren des WAP-Servers.

  • Partnerorganisation: Eine Partnerorganisation führt eine Webanwendung aus, die den Zugriff auf eine Webanwendung anfordert, die in Azure ausgeführt wird. Der Partnerverbundserver in der Partnerorganisation authentifiziert Anforderungen lokal und sendet Sicherheitstoken, die Ansprüche an AD FS enthalten, die in Azure ausgeführt werden. AD FS in Azure überprüft die Sicherheitstoken. Wenn die Token gültig sind, kann AD FS die Ansprüche an die Webanwendung übergeben, die in Azure ausgeführt wird, um sie zu autorisieren.

    Note

    Sie können einen VPN-Tunnel auch mithilfe eines Azure-Gateways konfigurieren, um direkten Zugriff auf AD FS für vertrauenswürdige Partner bereitzustellen. Anforderungen, die von diesen Partnern empfangen werden, werden nicht über die WAP-Server weitergeleitet.

Components

Diese Architektur erweitert die implementierung, die in Deploy AD DS in einem virtuellen Azure-Netzwerk beschrieben wird. Sie enthält die folgenden Komponenten:

  • Ein AD DS-Subnetz ist ein Objekt, das einem Standort einen IP-Adressbereich zuordnet. Diese Zuordnung ermöglicht es Domänencontrollern, die Authentifizierung und Replikation basierend auf dem Netzwerkstandort eines Clients effizient zu leiten.

  • AD DS-Server sind Domänencontroller, die Active Directory-Domänendienste hosten. Sie bieten zentralisierte Authentifizierung, Richtlinienerzwingung und Verzeichnisdatenreplikation über Unternehmensnetzwerke hinweg.

  • Ein AD FS-Subnetz ist ein definierter IP-Adressbereich innerhalb des Netzwerks oder der virtuellen Infrastruktur, in dem AD FS-Server oder WAP-Server gehostet werden. Dieser IP-Adressbereich ermöglicht den sicheren Datenverkehrsfluss und die standortbasierte Authentifizierung.

  • AD FS-Server sind interne Verbundserver, die Sicherheitstoken ausstellen und Authentifizierungsanforderungen mithilfe von anspruchsbasierten Identitätsprotokollen verarbeiten.

  • Ein AD FS-Proxysubnetz ist ein Netzwerksegment, das in der Regel in einer DMZ, die WAP-Server hostet. Es ermöglicht das sichere Relay des externen Authentifizierungsdatenverkehrs an interne AD FS-Server.

  • AD FS-WAP-Server sind Reverseproxyserver, die in Umkreisnetzwerken bereitgestellt werden, die externe Benutzeranforderungen vorab authentifizieren und sicher an AD FS weiterleiten, um Verbundzugriff zu erhalten.

Szenariodetails

AD FS kann lokal gehostet werden, aber wenn Ihre Anwendung eine hybride Anwendung ist, in der einige Teile in Azure implementiert sind, kann es effizienter sein, AD FS in der Cloud zu replizieren.

Das vorherige Diagramm zeigt die folgenden Szenarien:

  • Der Anwendungscode einer Partnerorganisation greift auf eine Webanwendung zu, die in Ihrem virtuellen Azure-Netzwerk gehostet wird.

  • Ein externer, registrierter Benutzer mit anmeldeinformationen, die in Active Directory Domain Services (AD DS) gespeichert sind, greift auf eine Webanwendung zu, die in Ihrem virtuellen Azure-Netzwerk gehostet wird.

  • Ein Benutzer, der über ein autorisiertes Gerät mit Ihrem virtuellen Netzwerk verbunden ist, führt eine Webanwendung aus, die in Ihrem virtuellen Azure-Netzwerk gehostet wird.

Diese Referenzarchitektur konzentriert sich auf den passiven Partnerverbund, in dem die Verbundserver entscheiden, wie und wann ein Benutzer authentifiziert werden soll. Der Benutzer stellt Anmeldeinformationen bereit, wenn die Anwendung gestartet wird. Dieser Mechanismus wird am häufigsten von Webbrowsern verwendet und beinhaltet ein Protokoll, das den Browser zu einer Website umleitet, auf der sich der Benutzer authentifiziert. AD FS unterstützt auch einen aktiven Partnerverbund, bei dem eine Anwendung die Verantwortung für die Bereitstellung von Anmeldeinformationen ohne weitere Benutzerinteraktion übernimmt, dieses Szenario jedoch außerhalb des Umfangs dieser Architektur liegt.

Weitere Überlegungen finden Sie unter Integrieren lokaler Active Directory-Domänen mit Microsoft Entra ID.

Mögliche Anwendungsfälle

Typische Einsatzmöglichkeiten für diese Architektur sind:

  • Hybridanwendungen, in denen Workloads teilweise lokal und teilweise in Azure ausgeführt werden.

  • Lösungen, in denen Verbundautorisierung verwendet wird, um Webanwendungen für Partnerorganisationen verfügbar zu machen

  • Systeme, die Zugriff über Webbrowser ermöglichen, die außerhalb der Firewall der Organisation ausgeführt werden

  • Systeme, die Benutzern Zugriff auf Webanwendungen ermöglichen, indem sie eine Verbindung von einem autorisierten externen Gerät herstellen, etwa ein Remotecomputer, ein Notebook oder ein anderes mobiles Gerät

Recommendations

Sie können die folgenden Empfehlungen auf die meisten Szenarien anwenden. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Netzwerkempfehlungen

Konfigurieren Sie die Netzwerkschnittstelle für die einzelnen VMs, die AD FS- und WAP-Server mit statischen privaten IP-Adressen hosten.

Geben Sie den AD FS-VMs keine öffentlichen IP-Adressen. Weitere Informationen finden Sie im Abschnitt " Sicherheitsüberlegungen ".

Legen Sie die IP-Adresse der bevorzugten und sekundären DNS-Server (Domain Name Service) für die Netzwerkschnittstellen für jede AD FS- und WAP-VM fest, um auf die AD DS-VMs zu verweisen. Die AD DS-VMs sollten DNS ausführen. Dieser Schritt ist notwendig, damit jeder virtuelle Computer der Domäne beitreten kann.

AD FS-Installation

Der Artikel Bereitstellen einer Verbundserverfarm enthält detaillierte Anweisungen zum Installieren und Konfigurieren von AD FS. Führen Sie die folgenden Aufgaben aus, bevor Sie den ersten AD FS-Server in Ihrer Farm konfigurieren:

  1. Rufen Sie ein öffentlich vertrauenswürdiges Zertifikat ab, mit dem eine Serverauthentifizierung vorgenommen wird. Der Antragstellername muss den Namen enthalten, den Clients für den Zugriff auf den Verbunddienst verwenden. Dieser Bezeichner kann der FÜR das Lastenausgleichsmodul registrierte DNS-Name sein, z adfs.contoso.com. B. . Vermeiden Sie die Verwendung von Wildcardnamen, z *.contoso.com . B. aus Sicherheitsgründen. Verwenden Sie auf allen virtuellen Computern, die als AD FS-Server fungieren, dasselbe Zertifikat. Sie können ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erwerben, aber wenn Ihre Organisation Active Directory-Zertifikatdienste verwendet, können Sie Eigene erstellen.

    Das DRS verwendet den alternativen Antragstellernamen , um den Zugriff von externen Geräten zu ermöglichen. Dieser DNS-Name sollte dem Format enterpriseregistration.contoso.comfolgen.

    Weitere Informationen finden Sie unter Abrufen und Konfigurieren eines Secure Sockets Layer-Zertifikats für AD FS.

  2. Generieren Sie auf dem Domänencontroller einen neuen Stammschlüssel für den Schlüsselverteilungsdienst (Key Distribution Service, KDS). Legen Sie die Effektive Zeit auf die aktuelle Uhrzeit minus 10 Stunden fest. Diese Konfiguration reduziert die Verzögerung, die beim Verteilen und Synchronisieren von Schlüsseln in der gesamten Domäne auftreten kann. Dieser Schritt ist erforderlich, um die Erstellung des Gruppendienstkontos zu unterstützen, das zum Ausführen des AD FS-Diensts verwendet wird. Der folgende PowerShell-Befehl veranschaulicht, wie ein neuer KDS-Stammschlüssel mit einem Zeitversatz generiert wird:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

  3. Fügen Sie jeden virtuellen Computer, der als AD FS-Server fungiert, zur Domäne hinzu.

Note

Zum Installieren von AD FS muss der Domänencontroller, der den primären Domänencontroller-Emulator ausführt, eine flexible Einzelmasteroperationsrolle für die Domäne ausführen und über die AD FS-VMs darauf zugreifen können.

AD FS-Vertrauensstellung

Richten Sie die Verbundvertrauensstellung zwischen Ihrer AD FS-Installation und den Verbundservern aller Partnerorganisationen ein. Konfigurieren Sie alle erforderlichen Anspruchsfilterung und -zuordnungen.

  • DevOps-Mitarbeiter in jeder Partnerorganisation müssen eine Vertrauensstellung der vertrauenden Seite für die Webanwendungen hinzufügen, auf die über Ihre AD FS-Server zugegriffen werden kann.

  • DevOps-Mitarbeiter in Ihrer Organisation müssen eine Anspruchsanbieter-Vertrauensstellung konfigurieren, damit Ihre AD FS-Server den Ansprüchen vertrauen können, die von Partnerorganisationen bereitgestellt werden.

  • DevOps-Mitarbeiter in Ihrer Organisation müssen außerdem AD FS so konfigurieren, dass Ansprüche an die Webanwendungen Ihrer Organisation übergeben werden.

Weitere Informationen finden Sie unter Einrichten einer Verbundvertrauensstellung.

Veröffentlichen Sie die Webanwendungen Ihrer Organisation, und machen Sie diese für externe Partner verfügbar, indem Sie Präauthentifizierung durch die WAP-Server verwenden. Weitere Informationen finden Sie unter Veröffentlichen von Anwendungen mithilfe der AD FS-Vorauthentifizierung.

AD FS unterstützt Tokentransformation und -ergänzung. Microsoft Entra-ID stellt dieses Feature nicht bereit. Wenn Sie ad FS verwenden, können Sie beim Einrichten der Vertrauensstellungen die folgenden Aufgaben ausführen:

  • Anspruchstransformationen für Autorisierungsregeln konfigurieren. Sie können z. B. gruppensicherheit von einer Darstellung zuordnen, die von einer Nicht-Microsoft-Partnerorganisation verwendet wird, einer Darstellung, die AD DS in Ihrer Organisation autorisieren kann.

  • Ansprüche aus einem Format in ein anderes transformieren. Beispielsweise können Sie von SAML 2.0 zu SAML 1.1 zuordnen, wenn Ihre Anwendung nur SAML 1.1-Ansprüche unterstützt.

AD FS-Überwachung

Das Microsoft System Center Management Pack für AD FS 2012 R2 bietet sowohl proaktive als auch reaktive Überwachung Ihrer AD FS-Bereitstellung für den Verbundserver. Dieses Management Pack überwacht die folgenden Aspekte Ihrer AD FS-Bereitstellung:

  • Ereignisse, die der AD FS-Dienst in seinen Ereignisprotokollen aufzeichnet

  • Die Leistungsdaten, die von den AD FS-Leistungsindikatoren erfasst werden

  • Die allgemeine Integrität des AD FS-Systems und webanwendungen (vertrauende Parteien) und für kritische Probleme und Warnungen

Eine weitere Option besteht darin, AD FS mithilfe von Microsoft Entra Connect Health zu überwachen. Connect Health stellt die Überwachung Ihrer lokalen Identitätsinfrastruktur bereit. Es ermöglicht Ihnen, eine zuverlässige Verbindung zu Microsoft 365- und Microsoft-Onlinediensten aufrechtzuerhalten. Sie erreicht diese Zuverlässigkeit durch die Bereitstellung von Überwachungsfunktionen für Ihre wichtigsten Identitätskomponenten. Außerdem werden die wichtigsten Datenpunkte zu diesen Komponenten barrierefrei.

Considerations

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Well-Architected Framework.

Reliability

Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

Erstellen Sie eine AD FS-Farm mit mindestens zwei Servern, um die Verfügbarkeit des Diensts zu erhöhen. Verwenden Sie verschiedene Speicherkonten für jeden virtuellen AD FS-Computer in der Farm. Mit diesem Ansatz wird sichergestellt, dass ein Fehler in einem einzelnen Speicherkonto nicht auf die gesamte Farm zugreifen kann.

Erstellen Sie getrennte Azure-Verfügbarkeitsgruppen für die virtuellen AD FS- und WAP-Computer. Stellen Sie sicher, dass in jedem Satz mindestens zwei VMs vorhanden sind. Jeder Verfügbarkeitssatz muss mindestens zwei Updatedomänen und zwei Fehlerdomänen aufweisen.

Konfigurieren Sie die Lastenausgleichsgeräte für die AD FS-VMs und WAP-VMs, indem Sie die folgenden Schritte ausführen:

  • Verwenden Sie einen Azure-Lastenausgleich, um externen Zugriff auf die WAP-VMs und einen internen Lastenausgleich bereitzustellen, um die Last über die AD FS-Server in der Farm zu verteilen.

  • Übergeben Sie nur Datenverkehr, der auf Port 443 (HTTPS) an die AD FS- oder WAP-Server angezeigt wird.

  • Geben Sie dem Lastenausgleich eine statische IP-Adresse.

  • Erstellen Sie eine Integritätssonde mithilfe von HTTP für /adfs/probe. Weitere Informationen finden Sie unter Create a custom HTTP/HTTPS health probe for Azure Load Balancer.

    Note

    AD FS-Server verwenden das Protokoll "Server Name Indication", wodurch HTTPS-Endpunktsonden aus dem Lastenausgleich fehlschlagen.

  • Fügen Sie der Domäne für den AD FS-Lastenausgleich einen DNS-A-Eintrag hinzu. Geben Sie die IP-Adresse des Lastenausgleichs an, und geben Sie ihm einen Namen in der Domäne, z adfs.contoso.com. B. . Dieser DNS-Eintrag ist der Name, den Clients und die WAP-Server für den Zugriff auf die AD FS-Serverfarm verwenden.

Sie können entweder SQL Server oder die interne Windows-Datenbank verwenden, um die AD FS-Konfigurationsinformationen zu speichern. Die interne Windows-Datenbank bietet grundlegende Redundanz. Änderungen werden direkt nur in eine der AD FS-Datenbanken im AD FS-Cluster geschrieben, während die anderen Server Pullreplikation verwenden, um ihre Datenbanken auf dem neuesten Stand zu halten. Mithilfe von SQL Server können vollständige Datenbankredundanz und hohe Verfügbarkeit mithilfe von Failoverclustering oder Spiegelung bereitgestellt werden.

Security

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für sicherheitsrelevante.

AD FS verwendet HTTPS. Stellen Sie daher sicher, dass die NSG-Regeln für das Subnetz, das die VMs der Webebene enthält, HTTPS-Anforderungen zulassen. Diese Anforderungen können aus dem lokalen Netzwerk, den Subnetzen stammen, die die Webebene, die Geschäftsebene, datenebene, private DMZ, öffentliche DMZ und das Subnetz enthalten, das die AD FS-Server enthält.

Verhindern Sie die direkte Gefährdung der AD FS-Server im Internet. AD FS-Server sind zur Domäne gehörende Computer, die die vollständige Autorisierung haben, Sicherheitstoken zu gewähren. Wenn ein Server kompromittiert ist, kann ein böswilliger Benutzer Token für Vollzugriff auf alle Webanwendungen und alle Verbundserver ausgeben, die durch AD FS geschützt sind. Wenn Ihr System Anforderungen von Gästen verarbeiten muss, die keine Verbindung von vertrauenswürdigen Partnerwebsites herstellen, verwenden Sie WAP-Server, um diese Anforderungen zu verarbeiten. Weitere Informationen finden Sie unter Where to place a federation server proxy.

Platzieren Sie AD FS-Server und WAP-Server in separaten Subnetzen, die über eigene Firewalls verfügen. Sie können NSG-Regeln verwenden, um Firewallregeln zu definieren. Alle Firewalls müssen Datenverkehr über den Port 443 (HTTPS) zulassen.

Einschränken des direkten Anmeldezugriffs auf die AD FS- und WAP-Server. Nur DevOps-Mitarbeiter sollten Verbindungen herstellen können. Binden Sie die WAP-Server nicht in die Domäne ein.

Erwägen Sie die Verwendung einer Gruppe virtueller Netzwerkgeräte, die detaillierte Informationen zum Datenverkehr protokollieren, der den Edge Ihres virtuellen Netzwerks zu Überwachungszwecken durchläuft.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Prüfliste für die Überprüfung der Kostenoptimierung.

Microsoft Entra Domain Services

Erwägen Sie, Microsoft Entra Domain Services als gemeinsamen Dienst zu verwenden, den mehrere Workloads für niedrigere Kosten verbrauchen. Weitere Informationen finden Sie unter Domain Services-Preise.

AD FS

Informationen zu den von Microsoft Entra ID bereitgestellten Editionen finden Sie unter Microsoft Entra-Preise. Das AD FS-Feature ist in allen Editionen verfügbar.

Operative Exzellenz

Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie unter Prüfliste für die Überprüfung von Operational Excellence.

DevOps-Mitarbeiter sollten darauf vorbereitet sein, die folgenden Aufgaben auszuführen:

  • Verwalten der Verbundserver, einschließlich der Verwaltung der AD FS-Farm, Verwalten von Vertrauensrichtlinien auf den Verbundservern und Verwalten der Zertifikate, die von den Verbunddiensten verwendet werden

  • Verwalten der WAP-Server, einschließlich der Verwaltung der WAP-Farm und Zertifikate

  • Verwalten von Webanwendungen, einschließlich Konfigurieren von vertrauenden Parteien, Authentifizierungsmethoden und Anspruchszuordnungen

  • Sichern von AD FS-Komponenten

Weitere Überlegungen zu DevOps finden Sie unter Bereitstellen von AD DS in einem virtuellen Azure-Netzwerk.

Leistungseffizienz

Die Leistungseffizienz bezieht sich auf die Fähigkeit Ihrer Workload, die Anforderungen der Benutzer effizient zu erfüllen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für die Leistungseffizienz.

Die folgenden Aspekte, die aus dem Artikel Planen der AD FS-Bereitstellung zusammengefasst sind, bieten einen Ausgangspunkt zum Anpassen der Größe von AD FS-Farmen:

  • Wenn Sie weniger als 1.000 Benutzer haben, erstellen Sie keine dedizierten Server. Installieren Sie stattdessen AD FS auf jedem der AD DS-Server in der Cloud. Stellen Sie sicher, dass Sie über mindestens zwei AD DS-Server verfügen, um die Verfügbarkeit aufrechtzuerhalten. Erstellen Sie einen einzelnen WAP-Server.

  • Wenn Sie zwischen 1.000 und 15.000 Benutzern verfügen, erstellen Sie zwei dedizierte AD FS-Server und zwei dedizierte WAP-Server.

  • Wenn Sie zwischen 15 000 und 60 000 Benutzer haben, erstellen Sie drei bis fünf dedizierte AD FS-Server und mindestens zwei dedizierte WAP-Server.

Diese Überlegungen gehen davon aus, dass Sie in Azure VMs mit dualem Quad-Core (Standard D4_v2 oder besser) verwenden.

Wenn Sie die interne Windows-Datenbank zum Speichern von AD FS-Konfigurationsdaten verwenden, sind Sie auf acht AD FS-Server in der Farm beschränkt. Wenn Sie der Meinung sind, dass Sie in Zukunft mehr benötigen, verwenden Sie SQL Server. Weitere Informationen finden Sie in der Rolle der AD FS-Konfigurationsdatenbank.

Contributors

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautor:

Um nicht-öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.

Nächste Schritte