チェックリスト: レガシ バージョンの Windows Server で AD FS のエクストラネット アクセスを構成する

適用対象: Azure、Office 365、Power BI、Windows Intune

次のチェックリストには、新しいフェデレーション サーバー ファームのフェデレーション サーバーに認証要求をリダイレクトする 2 つのフェデレーション サーバー プロキシを展開するために必要な展開タスクが含まれています。

チェックリスト: フェデレーション サーバー プロキシ を展開する

デプロイ タスク	このセクションのトピックへのリンク	完了
1. フェデレーション サーバー プロキシになるコンピューターに AD FS ソフトウェアをインストールします。	プロキシ コンピューターに AD FS ソフトウェアをインストール	チェックボックスチェックボックス を する
2. AD FS フェデレーション サーバー プロキシ構成ウィザードを使用して、フェデレーション サーバー プロキシの役割で動作するように、コンピューター上の AD FS ソフトウェアを構成します。	フェデレーション サーバー プロキシの役割 用にコンピューターを構成する	チェックボックスチェックボックス を する
3. イベント ビューアーを使用して、フェデレーション サーバー プロキシ サービスが開始されたことを確認します。	フェデレーション サーバー プロキシが操作可能であることを確認	チェックボックスチェックボックス を する
4. オプションの手順 -Optimize、Web アプリケーション プロキシと AD FS サーバー間の輻輳制御設定です。		フェデレーション サーバー プロキシとフェデレーション サーバー間の待機時間が特定のしきい値を超えると、エクストラネットに接続されているフェデレーション サーバー プロキシはエクストラネットからの要求を調整できます。 この機能に基づいて、フェデレーション サーバー プロキシとフェデレーション サーバー間の認証要求に対するフェデレーション サーバー間の待機時間によってフェデレーション サーバーが過剰に検出された場合、フェデレーション サーバー プロキシは外部クライアント認証要求を拒否します。 これは、TCP の輻輳制御に使用される同様のアルゴリズムと密接に関連しています。これは、加法増加乗算減少 (AIMD) と呼ばれます。 このソリューションは、フェデレーション サーバー プロキシへの各受信要求にリースするトークンのプールによって表される輻輳ウィンドウを使用して機能します。 待ち時間の長い DMZ ネットワークまたは高度に読み込まれたフェデレーション サーバー プロキシでは、フェデレーション サーバーがこのアルゴリズムを制御する既定の設定に基づいてこれらの要求を正常に満たすことができる場合でも、認証要求が拒否される可能性があります。 このような環境では、次の手順を実行して設定を変更することを強くお勧めします。 フェデレーション サーバー プロキシ コンピューターで、管理者特権のコマンド ウィンドウを起動します。 ADFS ディレクトリに移動します。 Windows Server 2012 の場合は、\ADFS%windir%にあります。 Windows Server 2008 および Windows Server 2008 R2 の場合は、%programfiles%\Active Directory フェデレーション サービス 2.0にあります。 輻輳制御の設定を既定値から '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'に変更します。 ファイルを保存して閉じます。 "net stop adfssrv" 実行し、'net start adfssrv'を して、AD FS サービスを再起動します。

関連項目

概念

チェックリスト: AD FS を使用してシングル サインオン を実装および管理する