Windows 2012 Server 2012 のフェデレーション サーバー ファームで最初のフェデレーション サーバーを構成する
適用対象: Azure、Office 365、Power BI、Windows Intune
Windows Server 2012 R2 を実行しているコンピューターに Active Directory Federation Service (AD FS) ロール サービスを実行したら、このコンピューターを設定し、フェデレーション サーバーにすることができます。
このコンピューターをフェデレーション サーバー ファームの最初のフェデレーション サーバーとして構成するには、以下の手順を完了する必要があります。
新しいフェデレーションサーバー ファームでの最初のフェデレーション サーバーの構成
Active Directory Federation Service 構成ウィザードを使って、新しいフェデレーション サーバー ファームで最初のフェデレーション サーバーを構成するには
注意
この手順を実行する前に、ドメイン管理者権限を持っているか、ドメイン管理者資格情報が使用できることを確認します。
Server Manager の [ダッシュボード] ページで、[通知] フラグをクリックし、[サーバーにフェデレーション サービスを構成します] をクリックします。
[Active Directory フェデレーション サービス構成ウィザード] が起動します。
[ようこそ] ページで [フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成します] を選択し、[次へ] をクリックします。
[AD DS への接続] ページで、このコンピューターが参加する AD ドメインのドメイン管理者権限でアカウントを指定し、[次へ] をクリックします。
[サービスのプロパティの指定] ページで、以下の操作を実行し、[次へ] をクリックします:
SSL 証明書と以前取得したキーを含む .pfx ファイルをインポートします。 「 AD FS を展開するための要件を確認 する」の「証明書の要件」セクションで説明されているように、この証明書を取得し、フェデレーション サーバーとして構成するコンピューターにコピーする必要があります。 ウィザードで .pfx ファイルをインポートするには、[インポート] をクリックし、ファイルの場所に移動します。 .pfx ファイルのパスワードを要求されたら指定します。
フェデレーション サービスの名前を入力します。 たとえば fs.contoso.com などです。 この名前は、証明書の件名、またはサブジェクト代替名のいずれかと一致する必要があります。
フェデレーション サービスの表示名を入力します。 たとえば Contoso Corporation などです。 この名前は、AD FS サインイン ページでユーザーに対して表示されます。
[サービス アカウントの指定] ページで、サービス アカウントを指定します。 既存のグループ Managed Service Account (gMSA) を作成または使用することも、既存のドメイン ユーザー アカウントを使用することもできます。 新しい gMSA を作成するオプションを選択した場合、新しいアカウントの名前を指定します。 既存の gMSA またはドメイン アカウントを使用するオプションを選択した場合、[選択] ボタンをクリックしてアカウントを選択します。
注意
gMSA を使用する利点は、オートネゴシエート パスワード更新機能が利用できることです。
警告
gMSA を使用する場合、使用環境内に、Windows Server 2012 オペレーティング システムを実行しているドメイン コントローラーが少なくと 1 台必要です。
gMSA オプションが無効になっており、KDS ルート キーが設定されていないためにグループ管理サービス アカウントのようなエラー メッセージが表示される場合は、Active Directory ドメインの Windows Server 2012 以降のドメイン コントローラーで次の Windows PowerShell コマンドを実行して、ドメインAdd-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
で gMSA を有効にすることができます。ウィザードに戻り、[前へ] ボタンをクリックし、[次へ] ボタンをクリックして、[サービス アカウントの指定] ページを再入力します。 これで gMSA が有効になります。gMSA を選択して、目的の gMSA アカウント名を入力できます。[構成データベースの指定] ページで、AD FS 構成データベースを指定して、[次へ] をクリックします。 Windows Internal Database (WID) を使って、このコンピューターでデータベースを作成することも、SQL Server の場所とインスタンス名を指定することもできます。
詳細については、「AD FS 構成データベースの役割」を参照してください。
[オプションの確認] ページで、構成選択を確認し、[次へ] をクリックします。
[前提条件の確認] ページで、すべての前提条件チェックが完了していることを確認し、[構成] をクリックします。
[結果] ページで、結果と、構成が完了しているかどうかを見直し、[フェデレーション サービス展開を完了するために必要な次の手順] をクリックします。 詳細については、「AD FS インストールを完了するための次の手順」を参照してください。 [閉じる] をクリックしてウィザードを終了します。
Windows PowerShell を使って、新しいフェデレーションサーバー ファームで最初のフェデレーション サーバーを構成するには
新規または既存の gMSA を使用するか、既存のドメイン ユーザー アカウントを使用して、新しいフェデレーション サーバー ファームを作成できます。
新しい gMSA アカウントを使用して新しいフェデレーション サーバーを作成するには、以下の操作を実行します:
重要
新しいフェデレーション サーバー ファームで、最初のフェデレーション サーバーを作成するには、ドメイン管理者権限が必要です。
フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store にインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます:
dir Cert:\LocalMachine\My
証明書は、ローカル コンピューター\マイ Microsoft Storeの拇印で一覧表示されます。ドメイン コントローラーで Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行して、KDS ルート キーがドメインで作成されているかどうか確認します:
Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
作成されていない場合 (出力に情報が表示されない場合)、次のコマンドを実行してキーを作成しますAdd-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
。フェデレーション サーバーとして構成するコンピューターで、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します。
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
警告
上記コマンドの最後の '$’は必須です。
<certificate_thumbprint>
の値は、dir Cert:\LocalMachine\My
を実行して、SSL 証明書のサムプリントを選択することで取得できます。<federation_service_name>
の値はフェデレーション サーバーの名前で、fs.contoso.com などです。注意
このコマンドを実行するのが初めてではない場合、
–OverwriteConfiguration
を追加します。注意
上のコマンドにより WID ファームが作成されます。 SQL サーバー ファームを作成する場合、SQL サーバーをインストールし、稼働させておく必要があります。
次のコマンドを使用して、SQL サーバーを使用して新しいファームに最初のフェデレーション サーバーInstall-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"
を作成できます。ここで<、SQL_Host_Name>はSQL サーバーが実行されているサーバーの名前、<SQL_instance_name>はSQL インスタンスの名前です。 既定の SQL Server インスタンスを使用している場合は、SQLConnectionString の値 "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。
既存のドメイン ユーザー アカウントを使用して新しいフェデレーション サーバーを作成するには、以下の操作を実行します:
フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store にインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます:
dir Cert:\LocalMachine\My
証明書は、ローカル コンピューター\マイ Microsoft Storeの拇印で一覧表示されます。フェデレーション サーバーとして構成するコンピューターで、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します
$fscred = get-credential
。 フェデレーション サービス アカウントに使用するドメイン ユーザー アカウントの資格情報を domain\username の形式で入力します。同じ Windows PowerShell コマンド ウィンドウで、次のコマンドを実行します。
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
SSL 証明書のৠ印を実行
dir Cert:\LocalMachine\My
して選択することで、certificate_thumbprint>の値<を取得できます。 <federation_service_name> の値はフェデレーション サービスの名前 (fs.contoso.com など) です。注意
このコマンドを実行するのが初めてではない場合、
–OverwriteConfiguration
を追加します。注意
上のコマンドにより WID ファームが作成されます。 SQL サーバー ファームを作成する場合、SQL サーバーをインストールし、稼働させておく必要があります。
次のコマンドを使用して、SQL サーバーを使用して新しいファームに最初のフェデレーション サーバーInstall-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
を作成できます。ここで、SQL_Host_NameはSQL サーバーが実行されているサーバーの名前、SQL_instance_nameはSQL インスタンスの名前です。 既定の SQL Server インスタンスを使用している場合は、SQLConnectionString の値 "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。
次のステップ
フェデレーション サーバー ファームで最初のフェデレーション サーバーを構成したら、[チェックリスト: レガシ バージョンの Windows Server にフェデレーション サーバー ファームを展開する] に戻り、残りの手順を完了します。
参照
概念
チェックリスト: Windows Server 2012 R2 にフェデレーション サーバー ファームを展開する
チェックリスト: AD FS を使用してシングル サインオンを実装および管理する