チェックリスト: Windows Server のレガシ バージョンで AD FS のエクストラネット アクセスを構成する
適用対象: Azure、Office 365、Power BI、Windows Intune
以下のチェックリストには、新しいフェデレーション サーバー ファームのフェデレーション サーバーに認証要求をリダイレクトする 2 台のフェデレーション サーバー プロキシを展開する場合に必要な展開タスクが含まれます。
チェックリスト: フェデレーション サーバー プロキシを展開する
展開タスク | このセクションのトピックへのリンク | 完了 |
---|---|---|
1. フェデレーション サーバー プロキシになるコンピューターに AD FS ソフトウェアをインストールします。 |
||
2. AD FS フェデレーション サーバー プロキシ構成ウィザードを使用して、フェデレーション サーバー プロキシの役割で動作するように、コンピューター上の AD FS ソフトウェアを構成します。 |
||
3. イベント ビューアーを使用して、フェデレーション サーバー プロキシ サービスが開始されたことを確認します。 |
||
4. 省略可能な手順 - Web アプリケーション プロキシと AD FS サーバー間の輻輳制御設定を最適化します。 |
フェデレーション サーバー プロキシとフェデレーション サーバー間の遅延が増大して特定のしきい値を超えた場合、フェデレーション サーバー プロキシに接続されているエクストラネットでは、エクストラネットからの要求を調整することができます。 この機能に基づいて、フェデレーション サーバー プロキシとフェデレーション サーバー間の遅延によりフェデレーション サーバーが過負荷であると検出され、認証要求に対応できない場合、フェデレーション サーバー プロキシは外部クライアントの認証要求を拒否します。 これは、AIMD (Additive Increase Multiplicative Decrease) と呼ばれる、TCP の輻輳制御に採用されている類似のアルゴリズムに密接に関係しています。 ソリューションは、フェデレーション サーバー プロキシへの各着信要求に対してリースされるトークンのプールにより表現される、輻輳ウィンドウを使用することで機能します。 遅延が長い DMZ ネットワークまたは高負荷のフェデレーション サーバー プロキシでは、このアルゴリズムを制御する既定の設定に基づいてフェデレーション サーバーがこれらの要求を正常に満たすことができる場合であっても、認証要求が拒否される可能性があります。 そのような環境では、次の手順を実行して、より緩やかな設定に変更することを強く推奨します。
|