フェデレーション サーバー プロキシ ファームをいつ作るべきか
大規模な Active Directory フェデレーション サービス (AD FS) 2.0 の展開で、プロキシの展開に対してフォールト トレランス、負荷分散、およびスケーラビリティを提供する場合は、追加のActive Directory 2. 0 フェデレーション サービス プロキシをインストールすることを検討してください。Active Directory 2. 0 フェデレーション サービスp ファームを作成するには、同じ境界ネットワーク内に 2 つ以上のAD FS 2.0 プロキシを作成し、各サーバーが同じ AD FS 2.0 フェデレーション サービスを保護するように構成します。
AD FS 2.0 フェデレーション サーバー構成ウィザードを使用して、フェデレーション サーバー プロキシ ファームを作成したり、既存のファームに追加のフェデレーション サーバー プロキシをインストールすることができます。詳細については、「フェデレーション サーバー プロキシを作成する場合」を参照してください。
すべてのActive Directory 2. 0 フェデレーション サービス プロキシをまとめてファームとして機能させるには、最初に、1 つの IP アドレスと 1 つのドメイン ネーム システム (DNS) 完全修飾ドメイン名 (FQDN) を持つクラスターにまとめる必要があります。サーバーをクラスター化するには、境界ネットワーク内に Microsoft ネットワーク負荷分散 (NLB) を展開します。次の表に示すタスクでは、NLB を適切に構成し、ファーム内のActive Directory 2. 0 フェデレーション サービス プロキシをクラスター化する必要があります。
Microsoft NLB 技術を使用してクラスターの FQDN を構成する方法の詳細については、「クラスター パラメーターを指定する」(https://go.microsoft.com/fwlink/?linkid=74651) (英語) を参照してください。
ファームのフェデレーション サーバー プロキシを構成する
次の表では、ファーム環境に各Active Directory 2. 0 フェデレーション サービスpを参加させるために実行する必要のあるタスクについて説明します。
| タスク | 説明 |
| ファーム内のすべてのプロキシが同じ AD FS 2.0 フェデレーション サービス名を参照するようにする | Active Directory 2. 0 フェデレーション サービス プロキシを作成する場合は、ファームに参加させるすべてのActive Directory 2. 0 フェデレーション サービス プロキシに対して、AD FS 2.0 フェデレーション サーバー プロキシの構成ウィザードで同じフェデレーション サービス名を入力する必要があります。Active Directory 2. 0 フェデレーション サービスp は、この DNS ホスト名を構成する URL を使用して、接続先の AD FS 2.0 フェデレーション サービス インスタンスを決定します。 詳細については、「コンピューターをフェデレーション サーバー プロキシの役割用に構成する」(英語) を参照してください。 |
| 証明書を取得および共有する | VeriSign などの公的な証明機関 (CA) からサーバー認証証明書を取得してから、すべてのActive Directory 2. 0 フェデレーション サービス プロキシが各Active Directory 2. 0 フェデレーション サービスpの既定の Web サイトで同じ証明書の同じ秘密キー部分を共有できるように、その証明書を構成できます。証明書を共有するには、各Active Directory 2. 0 フェデレーション サービスpの既定の Web サイトに、同じサーバー認証証明書をインストールする必要があります。詳細については、「サーバー認証証明書を既定の Web サイトにインポートする [Deploy2]」(英語) を参照してください。 詳細については、「フェデレーション サーバー プロキシの証明書の要件」を参照してください。 |
Active Directory 2. 0 フェデレーション サービスp ファームを作成するために新しいActive Directory 2. 0 フェデレーション サービス プロキシを追加する方法の詳細については、「チェックリスト: フェデレーション サーバー プロキシのセットアップ」(英語) を参照してください。