フェデレーション サーバー用のネットワーク インフラストラクチャを準備する
適用対象: Azure、Office 365、Power BI、Windows Intune
次のチェックリストには、フェデレーション サーバー ファームを展開するために実行する必要がある準備タスクが含まれています。
手記
- これらのチェックリストのタスクを順番に完了します。 参照リンクがプロシージャに移動したら、その手順の手順を完了した後にこのトピックに戻り、このチェックリストの残りのタスクに進むことができます。
- 特に明記されていない限り、このセクションの手順を使用してすべてのタスクを完了するには、まず、Administrators グループのメンバーとしてコンピューターにログインするか、同等のアクセス許可が委任されている必要があります。
.gif "チェックリスト")
チェックリスト: フェデレーション サーバー 用にネットワーク インフラストラクチャを準備する
| デプロイ タスク | このセクションのトピックへのリンク | 完了 |
|---|---|---|
1. フェデレーション サーバーになるコンピューターを、Active Directory ユーザーが認証されるドメインに参加させます。 手記 既存のドメイン コントローラーをフェデレーション サーバーとして使用する場合は、この手順を無視できます。 |
チェックボックス |
|
2. 新しい NLB クラスター DNS 名を作成して構成するか、新しいフェデレーション サーバー ファームで使用される企業ネットワーク内の既存の NLB クラスターを使用します。 次に、フェデレーション サーバー コンピューターを NLB クラスターに追加します。 現在の NLB ホストに Windows Server テクノロジを使用している場合は、オペレーティング システムのバージョンに基づいて適切なリンクを選択します。 手記 この手順は、単一の AD FS フェデレーション サーバーを使用してこの SSO ソリューションをテスト展開する場合は省略可能です。 |
Windows Server 2003 および Windows Server 2003 R2 で NLB クラスターを作成および構成するには、「チェックリスト: ネットワーク負荷分散の有効化と構成」を参照してください。 Windows Server 2008 で NLB クラスターを作成して構成するには、「ネットワーク負荷分散クラスターの作成」を参照してください。 Windows Server 2008 R2 で NLB クラスターを作成して構成するには、「ネットワーク負荷分散クラスターの作成 |
チェックボックス |
3. NLB クラスターの FQDN 名をクラスター IP アドレスにポイントする、企業ネットワーク DNS のクラスター DNS 名の新しいリソース レコードを作成します。 |
会社の NLB ホスト で構成されたクラスター DNS 名のリソース レコードを企業 DNS に追加します。 |
チェックボックス |
4. ファーム内の各フェデレーション サーバーの既定の Web サイトにサーバー認証証明書をインポートします。 手記 AD FS フェデレーション サーバー構成ウィザードを使用するには、この証明書を既定の Web サイトにインストールする必要があります。 |
サーバー認証証明書を既定の Web サイト にインポートする |
チェックボックス |
5. フェデレーション サーバー ファームが存在する Active Directory に専用のサービス アカウントを作成して構成し、このアカウントを使用するようにファーム内の各フェデレーション サーバーを構成します。 |
フェデレーション サーバー ファーム のサービス アカウントを手動で構成する |
チェックボックス |
コンピューターをドメインに参加させる
AD FS を機能させるには、フェデレーション サーバーとして機能する各コンピューターをドメインに参加させる必要があります。 フェデレーション サーバー プロキシはドメインに参加できますが、必須ではありません。
Windows Server 2012 R2 で AD FS を使用する場合は、Active Directory ドメインで次のいずれかを実行する必要があります。
Windows Server
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
コンピューターをドメインに参加するには
ドメインに参加するコンピューターで、[スタート]
クリックし、[コントロール パネル ] をクリックし、[システム ダブルクリックします。 コンピューター名、ドメイン、ワークグループの設定 で、[設定の変更]クリックします。 [コンピューター名] タブで、[の変更] をクリックします。
[のメンバーの
] で、[ドメイン ] をクリックし、このコンピューターが参加するドメインの名前を入力して、[OK] クリックします。 [OK]
クリックし、コンピューターを再起動します。
企業 NLB ホストで構成されたクラスター DNS 名のリソース レコードを企業 DNS に追加する
企業ネットワーク上のクライアントがフェデレーション サービスに正常にアクセスするには、まず、フェデレーション サービスのクラスター DNS 名 (たとえば、fs.fabrikam.com) を企業ネットワーク内のクラスター IP アドレス (172.16.1.3 など) に解決するホスト (A) リソース レコードを企業ドメイン ネーム システム (DNS) に作成する必要があります。 次の手順を使用して、NLB クラスターの企業 DNS にホスト (A) リソース レコードを追加できます。
会社の NLB ホストで構成されたクラスター DNS 名のリソース レコードを企業 DNS に追加するには
企業ネットワークの DNS サーバーで、DNS スナップインを開きます。
コンソール ツリーで、該当する前方参照ゾーン (fabrikam.com など) を右クリックし、[新しいホスト (A または AAAA)]をクリックします。
[名]に、フェデレーション サーバーまたはフェデレーション サーバー クラスターのコンピューター名のみを入力します。たとえば、完全修飾ドメイン名 (FQDN) fs.fabrikam.com に「fs」と入力します。
IP アドレスで、フェデレーション サーバーまたはフェデレーション サーバー クラスターの IP アドレスを入力します。たとえば、172.16.1.3 などです。
[ホスト
追加] をクリックします。 大事な
DNS ゾーンを制御するために、DNS サーバーを使用し、WINDOWS 2000 Server、Windows Server 2003、または Windows Server 2008 を DNS サーバー サービスと共に実行していることを前提としています。
サーバー認証証明書を既定の Web サイトにインポートする
証明機関 (CA) からサーバー認証証明書を取得した後、ファーム内の各フェデレーション サーバーの既定の Web サイトにその証明書を手動でインストールする必要があります。
この証明書は AD FS と Microsoft クラウド サービスのクライアントによって信頼されている必要があるため、パブリック (サード パーティ) CA またはパブリックに信頼されたルートに従属する CA によって発行される SSL 証明書を使用します。たとえば、VeriSign や Thawte です。 パブリック CA からの証明書のインストールの詳細については、「IIS 7.0: インターネット サーバー証明書を要求する」を参照してください。
手記
このサーバー認証証明書のサブジェクト名は、NLB ホストで前に作成したクラスター DNS 名 (たとえば、fs.fabrikam.com) の FQDN と一致する必要があります。 インターネット インフォメーション サービス (IIS) がインストールされていない場合は、このタスクを完了するために最初に IIS をインストールする必要があります。 IIS を初めてインストールする場合は、サーバーロールのインストール時にプロンプトが表示されたら、既定の機能オプションを使用することをお勧めします。
サーバー認証証明書を既定の Web サイトにインポートするには
[スタート
] をクリックし、[すべてのプログラム ] をポイントし、[ 管理ツール] をポイントして、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。 コンソール ツリーで、[ComputerName
] をクリックします。 中央のウィンドウで、[サーバー証明書
ダブルクリックします。 [
操作] ウィンドウで、[インポート] をクリックします。 [証明書 のインポート
] ダイアログ ボックスで、[... ] ボタンをクリック 。pfx 証明書ファイルの場所を参照して強調表示し、[を開く]
クリックします。 証明書のパスワードを入力し、[OK]
クリックします。
フェデレーション サーバー ファームの専用サービス アカウントを作成する
AD FS でフェデレーション サーバー ファーム環境を構成するには、ファームが存在する Active Directory に専用のサービス アカウントを作成して構成する必要があります。 この専用サービス アカウントは、AD FS ファームに必要なすべてのリソースに、ファーム内の各フェデレーション サーバーへのアクセス権が付与されるようにするために必要です。
次に、この同じサービス アカウントを使用するようにファーム内の各フェデレーション サーバーを構成します。 たとえば、作成されたサービス アカウントが fabrikam\ADFS2SVC であった場合、フェデレーション サーバーの役割を構成し、同じファームに参加する各コンピューターは、ファームを動作させるには、フェデレーション サーバー構成ウィザードのこの手順で fabrikam\ADFS2SVC を指定する必要があります。
手記
この手順のタスクは、フェデレーション サーバー ファーム全体に対して 1 回だけ実行する必要があります。 後で AD FS フェデレーション サーバー構成ウィザードを使用してフェデレーション サーバーを作成する場合は、ファーム内の各フェデレーション サーバーの サービス アカウント ウィザード ページで、この同じアカウントを指定する必要があります。
フェデレーション サーバー ファームの専用サービス アカウントを作成するには
組織で使用する Active Directory フォレストに専用のユーザー/サービス アカウントを作成します。
ユーザー アカウントのプロパティを編集し、[パスワードの有効期限が切れない ] チェック ボックス オンにします。 このアクションにより、ドメイン パスワードの変更要件の結果として、このサービス アカウントの機能が中断されないようにします。
手記
- サービス アカウントのパスワードを定期的に変更する必要がある場合は、「AD FS 2.0の詳細オプションの構成」を参照してください。
- この専用アカウントにネットワーク サービス アカウントを使用すると、Kerberos チケットがサーバー間で検証されないため、統合 Windows 認証を介してアクセスが試行されると、ランダムなエラーが発生します。
- サービス アカウントのパスワードを定期的に変更する必要がある場合は、「AD FS 2.0の詳細オプションの構成」を参照してください。
次の手順
AD FS を展開するための要件を確認したら、次の手順では、使用する AD FS のバージョンに応じて、次のいずれかのチェックリストのタスクを完了します。
チェックリスト: Windows Server 2012 R2 にフェデレーション サーバー ファームを展開する
チェックリスト: Windows Server のレガシ バージョンにフェデレーション サーバー ファームを展開する
関連項目
概念
チェックリスト: AD FS を使用してシングル サインオン を実装および管理する