Share via

フェデレーション サーバー用にネットワーク インフラストラクチャを準備する

  • [アーティクル]

適用対象: Azure、Office 365、Power BI、Windows Intune

次のチェックリストには、フェデレーション サーバー ファームを配置するために実行する必要がある準備作業が掲載されています。

注意

  • このチェックリストのタスクを順番に実行します。 参照リンクによって手順に移動した場合は、このチェックリストの残りのタスクを進めることができるように、その手順の作業が完了したらこのトピックに戻ります。

  • 特に規定がない限り、このセクションの手順を使用してすべてのタスクを完了するには、最初に Administrators グループのメンバーとしてコンピューターにログインするか、同等のアクセス許可を委任されている必要があります。

Checklistチェックリスト: フェデレーション サーバー用のネットワーク インフラストラクチャを準備する

展開タスク このセクションのトピックへのリンク 完了

1. フェデレーション サーバーになるコンピューターを、Active Directory ユーザーが認証されるドメインに参加させます。

注意

既存のドメイン コントローラーをフェデレーション サーバーとして使用する場合は、この手順を無視してもかまいません。

Checkbox

2. 新しい NLB クラスター DNS 名を作成して構成するか、新しいフェデレーション サーバー ファームで使用される企業ネットワーク内の既存の NLB クラスターを使用します。 次に、フェデレーション サーバー コンピューターを NLB クラスターに追加します。 現在の NLB ホストに Windows Server テクノロジを使用している場合は、ご使用のオペレーティング システムのバージョンに基づいて、右側の適切なリンクを選択します。

注意

この手順は、この SSO ソリューションで単一の AD FS フェデレーション サーバーを使用するテスト展開では省略可能です。

Windows Server 2003 および Windows Server 2003 R2 で NLB クラスターを作成して構成するには、「チェックリスト: ネットワーク負荷分散の有効化と構成」を参照してください。 Windows Server 2008 で NLB クラスターを作成して構成するには、「ネットワーク負荷分散クラスターの作成」を参照してください。

Windows Server 2008 R2 で NLB クラスターを作成して構成するには、「ネットワーク負荷分散クラスターの作成」を参照してください。

 Checkbox

3. NLB クラスターの FQDN 名をそのクラスター IP アドレスにポイントする、企業ネットワーク DNS 内のクラスター DNS 名の新しいリソース レコードを作成します。

会社の NLB ホストに構成されたクラスター DNS 名のリソース レコードを会社の DNS に追加する

 Checkbox

4. ファーム内の各フェデレーション サーバーの既定の Web サイトにサーバー認証証明書をインポートします。

注意

AD FS フェデレーション サーバー構成ウィザードを使用する前に、この証明書を既定の Web サイトにインストールすることが必要です。

サーバー認証証明書を既定の Web サイトにインポートする

 Checkbox

5. フェデレーション サーバー ファームが存在する Active Directory に専用サービス アカウントを作成して構成し、このアカウントを使用するようにファーム内の各フェデレーション サーバーを構成します。

フェデレーション サーバー ファームのサービス アカウントを手動で構成する

 Checkbox

コンピューターをドメインに参加させる

AD FS が機能するには、フェデレーション サーバーとして機能する各コンピューターをドメインに参加させる必要があります。 フェデレーション サーバー プロキシがドメインに参加している場合がありますが、これは要件ではありません。

Windows Server 2012 R2 で AD FS を使用する場合、Active Directory ドメインを以下のいずれかで実行する必要があります:

  • Windows Server

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

コンピューターをドメインに参加させるには

  1. ドメインに参加させるコンピューターで、[スタート][コントロール パネル] の順にクリックして、[システム] をダブルクリックします。

  2. [コンピューター名、ドメインおよびワークグループの設定] で [設定の変更] をクリックします。

  3. [コンピューター名] タブで、[変更] をクリックします。

  4. [メンバー] の下で [ドメイン] をクリックし、このコンピューターが参加するドメイン名を入力し、[OK] をクリックします。

  5. [OK] をクリックし、コンピューターを再起動します。

会社の NLB ホストに構成されたクラスター DNS 名のリソース レコードを会社の DNS に追加する

会社のネットワーク上のクライアントがフェデレーション サービスに正常にアクセスするには、まず、会社のドメイン ネーム システム (DNS) にホスト (A) のリソース レコードを作成し、フェデレーション サービスのクラスター DNS 名 (fs.fabrikam.com など) を会社のネットワークのクラスター IP アドレス (172.16.1.3 など) に変換する必要があります。 以下の手順を使用して、ホスト (A) のリソース レコードを NLB クラスター用に会社の DNS に追加できます。

会社の NLB ホストに構成されたクラスター DNS 名のリソース レコードを会社の DNS に追加するには

  1. 会社のネットワークの DNS サーバーで、DNS スナップインを開きます。

  2. コンソール ツリーで、該当する前方参照ゾーン (fabrikam.com など) を右クリックし、[新しいホスト (A または AAAA)] をクリックします。

  3. [名前] に、フェデレーション サーバーまたはフェデレーション サーバー クラスターのコンピューター名のみを入力します (たとえば完全修飾ドメイン名 (FQDN) が fs.fabrikam.com の場合は、「fs」と入力します)。

  4. [IP アドレス] にフェデレーション サーバーまたはフェデレーション サーバー クラスターの IP アドレス (172.16.1.3 など) を入力します。

  5. [ホストの追加] をクリックします。

    重要

    DNS ゾーンを制御するには、DNS サーバー サービスを使用して、WINDOWS 2000 Server、Windows Server 2003、または Windows Server 2008 を実行している DNS サーバーを使用していることを前提としています。

サーバー認証証明書を既定の Web サイトにインポートする

証明機関 (CA) からサーバー認証証明書を入手したら、ファームの各フェデレーション サーバーの既定の Web サイトにその証明書を手動でインストールする必要があります。

この証明書は AD FS のクライアントと Microsoft クラウド サービスに信頼される必要があるため、公的な (サードパーティ) CA ないしは、VeriSign や Thawte などの公的に信頼されるルートに属する CA が発行する SSL 証明書を使用します。 公的な CA から証明書をインストールする方法については、「インターネット サーバー証明書を要求する (IIS 7)」を参照してください。

注意

このサーバー認証証明書のサブジェクト名は、NLB ホストで以前に作成したクラスターの DNS 名 (例: fs.fabrikam.com) の FQDN と一致している必要があります。 インターネット インフォメーション サービス (IIS) がインストールされていない場合、このタスクを完了するには、最初に IIS をインストールする必要があります。 IIS を初めてインストールする場合は、サーバーの役割のインストール中に表示されるダイアログで、既定の機能オプションを使用することをお勧めします。

サーバー認証証明書を既定の Web サイトにインポートするには

  1. [スタート] をクリックし、[すべてのプログラム] を指し、[管理ツール] を指し、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

  2. コンソール ツリーで、[コンピューター名] をクリックします。

  3. 中央のペインで、[サーバー証明書] をダブルクリックします。

  4. [アクション] ペインで、[インポート] をクリックします。

  5. [証明書のインポート] ダイアログ ボックスで、[] ボタンをクリックします。

  6. pfx 証明書ファイルの場所に移動し、ファイルを強調表示し、[開く] をクリックします。

  7. 証明書のパスワードを入力し、[OK] をクリックします。

フェデレーション サーバー ファーム専用のサービス アカウントを作成する

AD FS でフェデレーション サーバー ファーム環境を構成するには、ファームが存在する Active Directory に専用のサービス アカウントを作成して構成する必要があります。 この専用サービス アカウントは、AD FS ファームが必要とするすべてのリソースに対して、ファーム内の各フェデレーション サーバーへのアクセス権限が付与されていることを確認するために必要です。

その後で、ファーム内の各フェデレーション サーバーが同じサービス アカウントを使用するように構成します。 たとえば、作成されたサービス アカウントが fabrikam\ADFS2SVC である場合、ファームが機能するには、フェデレーション サーバーの役割用に構成され同じファームに参加する各コンピューターが、フェデレーション サーバーの構成ウィザードのこの手順で、fabrikam\ADFS2SVC を指定する必要があります。

注意

この手順のタスクは、フェデレーション サーバー ファーム全体で 1 回のみ実行する必要があります。 後になって、AD FS フェデレーション サーバーの構成ウィザードを使ってフェデレーション サーバーを作成する場合、ファーム内のフェデレーション サーバーごとに、[サービス アカウント] ウィザード ページでこれと同じアカウントを指定する必要があります。

フェデレーション サーバー ファーム専用のサービス アカウントを作成するには

  1. 組織で使用する Active Directory フォレストに専用のユーザー/サービス アカウントを作成します。

  2. ユーザー アカウントのプロパティを編集し、[パスワードを無期限にする] チェック ボックスをオンにします。 この操作によって、ドメイン パスワードの変更要件によってサービス アカウントの機能が中断されることはなくなります。

    注意

    • サービス アカウントのパスワードを定期的に変更する必要がある場合は、「 AD FS 2.0 の詳細オプションの構成」を参照してください。

    • この専用アカウントにネットワーク サービス アカウントを使用すると、Kerberos チケットがサーバー間で検証されないために、統合 Windows 認証を使用してアクセスしようとした場合にランダムにエラーが発生します。

次のステップ

これで AD FS を配置するための要件が確認できたため、次のステップは使用する AD FS のバージョンに応じて、以下のチェックリストのいずれかに掲載されているタスクを完了することです。

参照

概念

チェックリスト: AD FS を使用してシングル サインオンを実装および管理する