Windows Server 2012 R2 でフェデレーション サーバーをフェデレーション サーバー ファームに追加する

  • [アーティクル]

適用対象: Azure、Office 365、Power BI、Windows Intune

Windows Server 2012 R2 を実行しているコンピューターに Active Directory Federation Service (AD FS) ロール サービスを実行したら、このコンピューターを設定し、フェデレーション サーバーにすることができます。

このコンピューターを最初のフェデレーション サーバーとして既存のフェデレーション サーバー ファームに追加するには、以下の手順を完了する必要があります。

フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加する

重要

この手順を完了する前に、有効な SSL サーバー認証証明書を入手してください。 詳細については、「 AD FS をデプロイするための要件を確認する」を参照してください。

Active Directory フェデレーション サービス構成ウィザードを使って、フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加するには

  1. Server Manager の [ダッシュボード] ページで、[通知] フラグをクリックし、[サーバーにフェデレーション サービスを構成します] をクリックします。

    [Active Directory フェデレーション サービス構成ウィザード] が起動します。

  2. [ようこそ] ページで [フェデレーション サーバー ファームにフェデレーション サーバーを追加します] を選択し、[次へ] をクリックします。

  3. [AD DS への接続] ページで、このコンピューターが参加する AD ドメインのドメイン管理者権限でアカウントを指定し、[次へ] をクリックします。

  4. [Specify Farm] ページで、WID を使用している、ファーム内のプライマリ フェデレーション サーバーの名前を入力するか、SQL を使用している、既存のフェデレーション サーバー ファームのデータベース ホスト名とデータベース インスタンス名を指定します。

    警告

    では、SQL サーバーの既定のインスタンスを指定する回避策があります。 この回避策ではユーザー インターフェイスは使用しません。 代わりに、「Windows PowerShell を使って、新しいフェデレーションサーバー ファームで最初のフェデレーション サーバーを構成するには」の手順を使用します。

  5. [SSL 証明書の指定] ページで、以前取得した SSL 証明書とキーを含んでいる .pfx ファイルをインポートします。 これは、必要なサービスの認証証明書です。 「AD FS を展開するための要件を確認する」の「証明書の要件」セクションに記載されているように、この証明書を取得し、フェデレーション サーバーとして構成するコンピューターにコピーする必要があります。 ウィザードで .pfx ファイルをインポートするには、[インポート] をクリックし、ファイルの場所に移動します。 .pfx ファイルのパスワードを要求されたら指定します。

  6. [サービス アカウントの指定] ページで、ファーム内の最初のフェデレーション サーバーを作成したときに構成したものと同じサービス アカウントを指定します。 既存のグループ Managed Service Account や既存のドメイン ユーザー アカウントを使用することもできます。

    重要

    指定したアカウントは、このファーム内のプライマリ フェデレーション サーバーで使用したものと同じアカウントである必要があります。

  7. [オプションの確認] ページで、構成選択を確認し、[次へ] をクリックします。

  8. [前提条件の確認] ページで、すべての前提条件チェックが完了していることを確認し、[構成] をクリックします。

  9. [結果] ページで、結果と、構成が完了しているかどうかを見直し、[フェデレーション サービス展開を完了するために必要な次の手順] をクリックします。 詳細については、「AD FS インストールを完了するための次の手順」を参照してください。 [閉じる] をクリックしてウィザードを終了します。

Windows PowerShell を介して、フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加するには

既存の gMSA または既存のドメイン ユーザー アカウントのいずれかを使って、既存のファームにフェデレーション サーバーを追加できます。

  • 既存の gMSA アカウントを使ってファームにフェデレーション サーバーに結合するには、以下の操作を実行します。

    1. フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store にインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます: dir Cert:\LocalMachine\My 証明書は、ローカル コンピューター\マイ Microsoft Storeの拇印で一覧表示されます。

    2. フェデレーション サーバーとして構成するコンピューターで、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します。

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> は AD ドメインと、そのドメイン内の GMSA アカウントの名前です。 <first_federation_server_hostname> は、この既存のファーム内のプライマリ フェデレーション サーバーのホスト名です。

      上記のステップで <certificate_thumbprint> を実行することで、dir Cert:\LocalMachine\My の値を取得できます。

      注意

      このコマンドを実行するのが初めてではない場合、–OverwriteConfiguration を追加します。

      注意

      上のコマンドにより WID ファーム ノードが作成されます。 SQL サーバー ファーム ノードを作成する場合、SQL サーバーをインストールし、稼働させておく必要があります。 次のコマンドを使用して、SQL サーバーを使用して既存のファームにフェデレーション サーバーAdd-AdfsFarmNode -GroupServiceAccountIdentifier <GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name><SQL_instance_ name>;Integrated Security=True"を追加できます。ここで、SQL_Host_NameはSQL サーバーが実行されているサーバーの名前であり、SQL_instance_nameはSQL インスタンスの名前です。 既定のSQL Server インスタンスを使用している場合は、SQLConnectionString の値 "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。

  • 既存のドメイン ユーザー アカウントを使ってフェデレーション サーバーをファームに結合するには、以下の操作を実行します。

    1. フェデレーション サーバーとして構成するコンピューターで、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します$fscred = get-credential。 フェデレーション サービス アカウントに使用するドメイン ユーザー アカウントの資格情報を、domain\username という形式で入力します。

    2. フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store にインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます: dir Cert:\LocalMachine\My 証明書は、ローカル コンピューター\マイ Microsoft Storeの拇印で一覧表示されます。

    3. 同じ Windows PowerShell コマンド ウィンドウで、次のコマンドを実行します。

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      注意

      このコマンドを実行するのが初めてではない場合、–OverwriteConfiguration を追加します。

      注意

      上のコマンドにより WID ファーム ノードが作成されます。 SQL サーバー ファーム ノードを作成する場合、SQL サーバーをインストールし、稼働させておく必要があります。 次のコマンドを使用して、SQL サーバーを使用して既存のファームにフェデレーション サーバーAdd-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>&lt;SQL_instance_ name>;Integrated Security=True"を追加できます。ここで、SQL_Host_NameはSQL サーバーが実行されているサーバーの名前であり、SQL_instance_nameはSQL インスタンスの名前です。 既定のSQL Server インスタンスを使用している場合は、SQLConnectionString の値 "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。

次のステップ

AD FS ソフトウェアをインストールしたら、[チェックリスト: Windows Server 2012 R2 にフェデレーション サーバー ファームを展開する] に戻り、残りの手順を完了します。

参照

概念

チェックリスト: Windows Server 2012 R2 にフェデレーション サーバー ファームをデプロイする
チェックリスト: AD FS を使用してシングル サインオンを実装および管理する