フェデレーション サーバーを構成する
コンピューターに Active Directory フェデレーション サービス (AD FS) ロール サービスをインストールしたら、このコンピューターを構成し、フェデレーション サーバーにすることができます。 次のいずれかの手順を行います。
新しいフェデレーションサーバー ファームでの最初のフェデレーション サーバーの構成
Active Directory フェデレーション サービス構成ウィザードを使って、新しいフェデレーション サーバー ファームで最初のフェデレーション サーバーを構成するには
注意
この手順を実行する前に、ドメイン管理者権限を持っているか、ドメイン管理者資格情報が使用できることを確認します。
Server Manager の [ダッシュボード] ページで、[通知] フラグをクリックし、[サーバーにフェデレーション サービスを構成します] をクリックします。
Active Directory フェデレーション サービス構成ウィザードが開きます。
[ようこそ] ページで、[フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成します] を選択し、[次へ] をクリックします。
[AD DS への接続] ページで、このコンピューターが参加する Active Directory (AD) ドメインのドメイン管理者権限を使用してアカウントを指定し、[次へ] をクリックします。
[サービスのプロパティの指定] ページで次の操作を実行してから、[次へ] をクリックします。
前の手順に取得した Secure Socket Layer (SSL) 証明書とキーを含む .pfx ファイルをインポートします。 「手順 2: AD FS 用に SSL 証明書を登録する」で、この証明書を取得し、フェデレーション サーバーとして構成するコンピューターにコピーしました。 ウィザードで .pfx ファイルをインポートするには、[インポート] をクリックし、ファイルの場所に移動します。 メッセージが表示されたら、.pfx ファイルのパスワードを入力します。
フェデレーション サービスの名前を入力します。 たとえば fs.contoso.com などです。 この名前は、証明書の件名、またはサブジェクト代替名のいずれかと一致する必要があります。
フェデレーション サービスの表示名を入力します。 たとえば Contoso Corporation などです。 Active Directory フェデレーション サービス (AD FS) サインイン ページでユーザーにこの名前が表示されます。
[サービス アカウントの指定] ページで、サービス アカウントを指定します。 既存のグループ Managed Service Account (gMSA) を作成または使用することも、既存のドメイン ユーザー アカウントを使用することもできます。 新しい gMSA を作成するオプションを選択した場合、新しいアカウントの名前を指定します。 既存の gMSA またはドメイン アカウントを使用するオプションを選択した場合、[選択] をクリックしてアカウントを選択します。
注意
gMSA アカウントを使用する利点は、オートネゴシエート パスワード更新機能が利用できることです。
警告
gMSA アカウントを使用する場合、使用環境内に、Windows Server 2012 オペレーティング システムを実行しているドメイン コントローラーが少なくと 1 台必要です。
gMSA オプションが無効で、「KDS ルート キーが設定されていないため、グループ管理サービス アカウントを利用できません。」などのエラー メッセージが表示される場合、Active Directory ドメイン内の Windows Server 2012 以降を実行しているドメイン コントローラーで、次の Windows PowerShell コマンドを実行して、ドメイン内で gMSA を有効にすることができます:
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
次に、ウィザードに戻り、[前へ] をクリックし、[次へ] をクリックして [サービス アカウントの指定] ページを再入力します。 GMSA オプションが有効になりました。 これを選択し、使用する gMSA アカウント名を入力できます。[構成データベースの指定] ページで、AD FS 構成データベースを指定して、[次へ] をクリックします。 Windows Internal Database (WID) を使って、このコンピューターでデータベースを作成することも、Microsoft SQL Server の場所とインスタンス名を指定することもできます。
詳細については、「AD FS 構成データベースの役割」を参照してください。
重要
AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2008 と SQL Server 2012 や SQL Server 2014 などのより新しいバージョンを使用できます。
[オプションの確認] ページで、構成の選択内容を確認し、[次へ] をクリックします。
[前提条件の確認] ページで、すべての前提条件の確認が正常に完了したことを確認し、[構成] をクリックします。
[結果] ページで結果を確認し、構成が正常に完了したことを確認してから、[フェデレーション サービス展開を完了するために必要な次の手順] をクリックします。 詳細については、「AD FS インストールを完了するための次の手順」を参照してください。 [閉じる] をクリックしてウィザードを終了します。
Windows PowerShell を使って、新しいフェデレーションサーバー ファームで最初のフェデレーション サーバーを構成するには
新規または既存の gMSA アカウントを使用するか、既存のドメイン ユーザー アカウントを使用して、新しいフェデレーション サーバー ファームを作成できます。
新しい gMSA アカウントを使用して新しいフェデレーション サーバーを作成するには、以下の操作を実行します:
重要
新しいフェデレーション サーバー ファームで、最初のフェデレーション サーバーを作成するには、ドメイン管理者権限が必要です。
フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store ディレクトリにインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます:
dir Cert:\LocalMachine\My
証明書は Local Computer\My Store ディレクトリに拇印別に一覧表示されています。ドメイン コントローラーで Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行して、KDS ルート キーがドメインで作成されているかどうか確認します:
Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
作成されていない (そのため出力に情報が表示されない) 場合、次のコマンドを実行して、キーを作成します:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
フェデレーション サーバーとして構成するコンピューターで、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します。
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
警告
前のコマンドの最後にある
$
符号は必須です。<certificate_thumbprint>
の値を取得するには、dir Cert:\LocalMachine\My
を実行し、SSL 証明書の拇印を選択します。<federation_service_name>
の値はフェデレーション サーバーの名前で、fs.contoso.com などです。注意
このコマンドを実行するのが初めてではない場合は、
OverwriteConfiguration
パラメーターを追加します。注意
前のコマンドは、WID ファームを作成します。 SQL Server サーバー ファームを作成する場合、SQL Server のインスタンスをインストールし、稼働させておく必要があります。
次のコマンドを使用すると、SQL Server のインスタンスを使用する新しいファームに最初のフェデレーション サーバーを作成できます。
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"
ここで <SQL_Host_Name> は SQL Server が実行されているサーバーの名前であり、<SQL_instance_name> は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、SQLConnectionString 値として "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。重要
AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2012 など、SQL Server 2008 以降のバージョンを使用できます。
既存のドメイン ユーザー アカウントを使用して新しいフェデレーション サーバーを作成するには、以下の操作を実行します:
フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store ディレクトリにインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます:
dir Cert:\LocalMachine\My
証明書は Local Computer\My Store ディレクトリに拇印別に一覧表示されています。フェデレーション サーバーとして構成するコンピューター上で、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します:
$fscred = Get-Credential
domain\username の形式で、フェデレーション サービス アカウントに使用するドメイン ユーザー アカウント資格情報を入力します。同じ Windows PowerShell コマンド ウィンドウで、次のコマンドを実行します。
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
<certificate_thumbprint> の値を取得するには、
dir Cert:\LocalMachine\My
を実行し、SSL 証明書の拇印を選択します。 <federation_service_name> の値はフェデレーション サービスの名前 (fs.contoso.com など) です。注意
このコマンドを実行するのが初めてではない場合は、
OverwriteConfiguration
パラメーターを追加します。注意
前のコマンドは、WID ファームを作成します。 SQL Server ファームを作成する場合、SQL Server のインスタンスをインストールし、稼働させておく必要があります。
次のコマンドを使用すると、SQL Server のインスタンスを使用する新しいファームに最初のフェデレーション サーバーを作成できます。
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
ここで SQL_Host_Name は SQL Server が実行されているサーバーの名前であり、SQL_instance_name は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、SQLConnectionString 値として "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。重要
AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2008 と SQL Server 2012 や SQL Server 2014 などのより新しいバージョンを使用できます。
フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加する
重要
このセクションの手順を開始する前に、「手順 3: AD FS 役割サービスをインストールする」を完了していることを確認してください。
重要
この手順を完了する前に、有効な SSL サーバー認証証明書を入手してください。
Active Directory フェデレーション サービス構成ウィザードを使って、フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加するには
Server Manager の [ダッシュボード] ページで、[通知] フラグをクリックし、[サーバーにフェデレーション サービスを構成します] をクリックします。
Active Directory フェデレーション サービス構成ウィザードが開きます。
[ようこそ] ページで [フェデレーション サーバー ファームにフェデレーション サーバーを追加します] を選択し、[次へ] をクリックします。
[AD DS への接続] ページで、このコンピューターが参加する AD ドメインのドメイン管理者権限を使用してアカウントを指定し、[次へ] をクリックします。
[Specify Farm] ページで、WID を使用している、ファーム内のプライマリ フェデレーション サーバーの名前を入力するか、SQL Server を使用している、既存のフェデレーション サーバー ファームのデータベース ホスト名とデータベース インスタンス名を指定します。
警告
Windows Server® 2012 R2 では、SQL Server の既定のインスタンスを指定するための回避策があります。 この回避策ではユーザー インターフェイスは使用しません。 代わりに、「Windows PowerShell を使って、新しいフェデレーションサーバー ファームで最初のフェデレーション サーバーを構成するには」の手順を使用します。
重要
AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2012 など、SQL Server 2008 以降のバージョンを使用できます。
[SSL 証明書の指定] ページで、以前取得した SSL 証明書とキーを含んでいる .pfx ファイルをインポートします。 この証明書は必須のサービス認証証明書です。 「手順 2: AD FS 用に SSL 証明書を登録する」で、この証明書を取得し、フェデレーション サーバーとして構成するコンピューターにコピーしました。 ウィザードで .pfx ファイルをインポートするには、[インポート] をクリックし、ファイルの場所に移動します。 メッセージが表示されたら、.pfx ファイルのパスワードを入力します。
[サービス アカウントの指定] ページで、ファーム内の最初のフェデレーション サーバーを作成したときに構成したものと同じサービス アカウントを指定します。 既存のグループ Managed Service Account や既存のドメイン ユーザー アカウントを使用することもできます。
重要
指定したアカウントは、このファーム内のプライマリ フェデレーション サーバーで使用したアカウントと同じアカウントである必要があります。
[オプションの確認] ページで、構成の選択内容を確認し、[次へ] をクリックします。
[前提条件の確認] ページで、すべての前提条件の確認が正常に完了したことを確認し、[構成] をクリックします。
[結果] ページで結果を確認し、構成が正常に完了したことを確認してから、[フェデレーション サービス展開を完了するために必要な次の手順] をクリックします。 詳細については、「AD FS インストールを完了するための次の手順」を参照してください。 [閉じる] をクリックしてウィザードを終了します。
Windows PowerShell を介して、フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加するには
既存の gMSA アカウントまたは既存のドメイン ユーザー アカウントのいずれかを使って、既存のファームにフェデレーション サーバーを追加できます。
既存の gMSA アカウントを使ってファームにフェデレーション サーバーを結合するには、以下の操作を実行します。
フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store ディレクトリにインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます:
dir Cert:\LocalMachine\My
証明書は Local Computer\My Store ディレクトリに拇印別に一覧表示されています。フェデレーション サーバーとして構成するコンピューター上で、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します。
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
<domain>\<GMSA_name>
は AD ドメインであり、そのドメイン内の gMSA アカウントの名前です。<first_federation_server_hostname>
は、この既存のファーム内のプライマリ フェデレーション サーバーのホスト名です。前の手順で
dir Cert:\LocalMachine\My
を実行することで、<certificate_thumbprint>
の値を取得できます。注意
このコマンドを実行するのが初めてではない場合は、
OverwriteConfiguration
パラメーターを追加します。注意
前のコマンドは、WID ファーム ノードを作成します。 SQL Server を実行しているコンピューターのサーバー ファーム ノードを作成する場合、SQL Server のインスタンスをインストールし、稼働させておく必要があります。
次のコマンドを使用すると、SQL Server のインスタンスを使用する既存のファームにフェデレーション サーバーを作成できます。
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
ここで SQL_Host_Name は SQL Server が実行されているサーバーの名前であり、SQL_instance_name は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、SQLConnectionString 値として "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。重要
AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2008 と SQL Server 2012 や SQL Server 2014 などのより新しいバージョンを使用できます。
既存のドメイン ユーザー アカウントを使ってフェデレーション サーバーをファームに結合するには、以下の操作を実行します。
フェデレーション サーバーとして構成するコンピューター上で、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します:
$fscred = get-credential
domain\username の形式で、フェデレーション サービス アカウントに使用するドメイン ユーザー アカウント資格情報を入力します。フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store ディレクトリにインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます:
dir Cert:\LocalMachine\My
証明書は Local Computer\My Store ディレクトリに拇印別に一覧表示されています。同じ Windows PowerShell コマンド ウィンドウで、次のコマンドを実行します。
Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
注意
このコマンドを実行するのが初めてではない場合は、
OverwriteConfiguration
パラメーターを追加します。注意
前のコマンドは、WID ファーム ノードを作成します。 SQL Server を実行しているコンピューターのサーバー ファーム ノードを作成する場合、SQL Server のインスタンスをインストールし、稼働させておく必要があります。 次のコマンドを使用すると、SQL Server のインスタンスを使用して既存のファームにフェデレーション サーバーを作成できます。
Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"
ここで SQL_Host_Name は SQL Server のインスタンスが実行されているサーバーの名前であり、SQL_instance_name は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、SQLConnectionString 値として "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。重要
AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2008 と SQL Server 2012 や SQL Server 2014 などのより新しいバージョンを使用できます。