フェデレーション サーバーを構成する

  • [アーティクル]

コンピューターに Active Directory フェデレーション サービス (AD FS) ロール サービスをインストールしたら、このコンピューターを構成し、フェデレーション サーバーにすることができます。 次のいずれかの手順を行います。

新しいフェデレーションサーバー ファームでの最初のフェデレーション サーバーの構成

Active Directory フェデレーション サービス構成ウィザードを使って、新しいフェデレーション サーバー ファームで最初のフェデレーション サーバーを構成するには

注意

この手順を実行する前に、ドメイン管理者権限を持っているか、ドメイン管理者資格情報が使用できることを確認します。

  1. Server Manager の [ダッシュボード] ページで、[通知] フラグをクリックし、[サーバーにフェデレーション サービスを構成します] をクリックします。

    Active Directory フェデレーション サービス構成ウィザードが開きます。

  2. [ようこそ] ページで、[フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成します] を選択し、[次へ] をクリックします。

  3. [AD DS への接続] ページで、このコンピューターが参加する Active Directory (AD) ドメインのドメイン管理者権限を使用してアカウントを指定し、[次へ] をクリックします。

  4. [サービスのプロパティの指定] ページで次の操作を実行してから、[次へ] をクリックします。

    • 前の手順に取得した Secure Socket Layer (SSL) 証明書とキーを含む .pfx ファイルをインポートします。 「手順 2: AD FS 用に SSL 証明書を登録する」で、この証明書を取得し、フェデレーション サーバーとして構成するコンピューターにコピーしました。 ウィザードで .pfx ファイルをインポートするには、[インポート] をクリックし、ファイルの場所に移動します。 メッセージが表示されたら、.pfx ファイルのパスワードを入力します。

    • フェデレーション サービスの名前を入力します。 たとえば fs.contoso.com などです。 この名前は、証明書の件名、またはサブジェクト代替名のいずれかと一致する必要があります。

    • フェデレーション サービスの表示名を入力します。 たとえば Contoso Corporation などです。 Active Directory フェデレーション サービス (AD FS) サインイン ページでユーザーにこの名前が表示されます。

  5. [サービス アカウントの指定] ページで、サービス アカウントを指定します。 既存のグループ Managed Service Account (gMSA) を作成または使用することも、既存のドメイン ユーザー アカウントを使用することもできます。 新しい gMSA を作成するオプションを選択した場合、新しいアカウントの名前を指定します。 既存の gMSA またはドメイン アカウントを使用するオプションを選択した場合、[選択] をクリックしてアカウントを選択します。

    注意

    gMSA アカウントを使用する利点は、オートネゴシエート パスワード更新機能が利用できることです。

    警告

    gMSA アカウントを使用する場合、使用環境内に、Windows Server 2012 オペレーティング システムを実行しているドメイン コントローラーが少なくと 1 台必要です。

    gMSA オプションが無効で、「KDS ルート キーが設定されていないため、グループ管理サービス アカウントを利用できません。」などのエラー メッセージが表示される場合、Active Directory ドメイン内の Windows Server 2012 以降を実行しているドメイン コントローラーで、次の Windows PowerShell コマンドを実行して、ドメイン内で gMSA を有効にすることができます: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 次に、ウィザードに戻り、[前へ] をクリックし、[次へ] をクリックして [サービス アカウントの指定] ページを再入力します。 GMSA オプションが有効になりました。 これを選択し、使用する gMSA アカウント名を入力できます。

  6. [構成データベースの指定] ページで、AD FS 構成データベースを指定して、[次へ] をクリックします。 Windows Internal Database (WID) を使って、このコンピューターでデータベースを作成することも、Microsoft SQL Server の場所とインスタンス名を指定することもできます。

    詳細については、「AD FS 構成データベースの役割」を参照してください。

    重要

    AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2008 と SQL Server 2012 や SQL Server 2014 などのより新しいバージョンを使用できます。

  7. [オプションの確認] ページで、構成の選択内容を確認し、[次へ] をクリックします。

  8. [前提条件の確認] ページで、すべての前提条件の確認が正常に完了したことを確認し、[構成] をクリックします。

  9. [結果] ページで結果を確認し、構成が正常に完了したことを確認してから、[フェデレーション サービス展開を完了するために必要な次の手順] をクリックします。 詳細については、「AD FS インストールを完了するための次の手順」を参照してください。 [閉じる] をクリックしてウィザードを終了します。

Windows PowerShell を使って、新しいフェデレーションサーバー ファームで最初のフェデレーション サーバーを構成するには

新規または既存の gMSA アカウントを使用するか、既存のドメイン ユーザー アカウントを使用して、新しいフェデレーション サーバー ファームを作成できます。

  • 新しい gMSA アカウントを使用して新しいフェデレーション サーバーを作成するには、以下の操作を実行します:

    重要

    新しいフェデレーション サーバー ファームで、最初のフェデレーション サーバーを作成するには、ドメイン管理者権限が必要です。

    1. フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store ディレクトリにインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます: dir Cert:\LocalMachine\My 証明書は Local Computer\My Store ディレクトリに拇印別に一覧表示されています。

    2. ドメイン コントローラーで Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行して、KDS ルート キーがドメインで作成されているかどうか確認します: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 作成されていない (そのため出力に情報が表示されない) 場合、次のコマンドを実行して、キーを作成します: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

    3. フェデレーション サーバーとして構成するコンピューターで、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します。

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      警告

      前のコマンドの最後にある $ 符号は必須です。

      <certificate_thumbprint> の値を取得するには、dir Cert:\LocalMachine\My を実行し、SSL 証明書の拇印を選択します。 <federation_service_name> の値はフェデレーション サーバーの名前で、fs.contoso.com などです。

      注意

      このコマンドを実行するのが初めてではない場合は、OverwriteConfiguration パラメーターを追加します。

      注意

      前のコマンドは、WID ファームを作成します。 SQL Server サーバー ファームを作成する場合、SQL Server のインスタンスをインストールし、稼働させておく必要があります。

      次のコマンドを使用すると、SQL Server のインスタンスを使用する新しいファームに最初のフェデレーション サーバーを作成できます。Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"ここで <SQL_Host_Name> は SQL Server が実行されているサーバーの名前であり、<SQL_instance_name> は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、SQLConnectionString 値として "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。

      重要

      AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2012 など、SQL Server 2008 以降のバージョンを使用できます。

  • 既存のドメイン ユーザー アカウントを使用して新しいフェデレーション サーバーを作成するには、以下の操作を実行します:

    1. フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store ディレクトリにインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます: dir Cert:\LocalMachine\My 証明書は Local Computer\My Store ディレクトリに拇印別に一覧表示されています。

    2. フェデレーション サーバーとして構成するコンピューター上で、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します:$fscred = Get-Credential domain\username の形式で、フェデレーション サービス アカウントに使用するドメイン ユーザー アカウント資格情報を入力します。

    3. 同じ Windows PowerShell コマンド ウィンドウで、次のコマンドを実行します。

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      <certificate_thumbprint> の値を取得するには、dir Cert:\LocalMachine\My を実行し、SSL 証明書の拇印を選択します。 <federation_service_name> の値はフェデレーション サービスの名前 (fs.contoso.com など) です。

      注意

      このコマンドを実行するのが初めてではない場合は、OverwriteConfiguration パラメーターを追加します。

      注意

      前のコマンドは、WID ファームを作成します。 SQL Server ファームを作成する場合、SQL Server のインスタンスをインストールし、稼働させておく必要があります。

      次のコマンドを使用すると、SQL Server のインスタンスを使用する新しいファームに最初のフェデレーション サーバーを作成できます。Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"ここで SQL_Host_Name は SQL Server が実行されているサーバーの名前であり、SQL_instance_name は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、SQLConnectionString 値として "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。

      重要

      AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2008 と SQL Server 2012 や SQL Server 2014 などのより新しいバージョンを使用できます。

フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加する

重要

このセクションの手順を開始する前に、「手順 3: AD FS 役割サービスをインストールする」を完了していることを確認してください。

重要

この手順を完了する前に、有効な SSL サーバー認証証明書を入手してください。

Active Directory フェデレーション サービス構成ウィザードを使って、フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加するには

  1. Server Manager の [ダッシュボード] ページで、[通知] フラグをクリックし、[サーバーにフェデレーション サービスを構成します] をクリックします。

    Active Directory フェデレーション サービス構成ウィザードが開きます。

  2. [ようこそ] ページで [フェデレーション サーバー ファームにフェデレーション サーバーを追加します] を選択し、[次へ] をクリックします。

  3. [AD DS への接続] ページで、このコンピューターが参加する AD ドメインのドメイン管理者権限を使用してアカウントを指定し、[次へ] をクリックします。

  4. [Specify Farm] ページで、WID を使用している、ファーム内のプライマリ フェデレーション サーバーの名前を入力するか、SQL Server を使用している、既存のフェデレーション サーバー ファームのデータベース ホスト名とデータベース インスタンス名を指定します。

    警告

    Windows Server® 2012 R2 では、SQL Server の既定のインスタンスを指定するための回避策があります。 この回避策ではユーザー インターフェイスは使用しません。 代わりに、「Windows PowerShell を使って、新しいフェデレーションサーバー ファームで最初のフェデレーション サーバーを構成するには」の手順を使用します。

    重要

    AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2012 など、SQL Server 2008 以降のバージョンを使用できます。

  5. [SSL 証明書の指定] ページで、以前取得した SSL 証明書とキーを含んでいる .pfx ファイルをインポートします。 この証明書は必須のサービス認証証明書です。 「手順 2: AD FS 用に SSL 証明書を登録する」で、この証明書を取得し、フェデレーション サーバーとして構成するコンピューターにコピーしました。 ウィザードで .pfx ファイルをインポートするには、[インポート] をクリックし、ファイルの場所に移動します。 メッセージが表示されたら、.pfx ファイルのパスワードを入力します。

  6. [サービス アカウントの指定] ページで、ファーム内の最初のフェデレーション サーバーを作成したときに構成したものと同じサービス アカウントを指定します。 既存のグループ Managed Service Account や既存のドメイン ユーザー アカウントを使用することもできます。

    重要

    指定したアカウントは、このファーム内のプライマリ フェデレーション サーバーで使用したアカウントと同じアカウントである必要があります。

  7. [オプションの確認] ページで、構成の選択内容を確認し、[次へ] をクリックします。

  8. [前提条件の確認] ページで、すべての前提条件の確認が正常に完了したことを確認し、[構成] をクリックします。

  9. [結果] ページで結果を確認し、構成が正常に完了したことを確認してから、[フェデレーション サービス展開を完了するために必要な次の手順] をクリックします。 詳細については、「AD FS インストールを完了するための次の手順」を参照してください。 [閉じる] をクリックしてウィザードを終了します。

Windows PowerShell を介して、フェデレーション サーバーを既存のフェデレーション サーバー ファームに追加するには

既存の gMSA アカウントまたは既存のドメイン ユーザー アカウントのいずれかを使って、既存のファームにフェデレーション サーバーを追加できます。

  • 既存の gMSA アカウントを使ってファームにフェデレーション サーバーを結合するには、以下の操作を実行します。

    1. フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store ディレクトリにインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます: dir Cert:\LocalMachine\My 証明書は Local Computer\My Store ディレクトリに拇印別に一覧表示されています。

    2. フェデレーション サーバーとして構成するコンピューター上で、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します。

      Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      <domain>\<GMSA_name> は AD ドメインであり、そのドメイン内の gMSA アカウントの名前です。 <first_federation_server_hostname> は、この既存のファーム内のプライマリ フェデレーション サーバーのホスト名です。

      前の手順で dir Cert:\LocalMachine\My を実行することで、<certificate_thumbprint> の値を取得できます。

      注意

      このコマンドを実行するのが初めてではない場合は、OverwriteConfiguration パラメーターを追加します。

      注意

      前のコマンドは、WID ファーム ノードを作成します。 SQL Server を実行しているコンピューターのサーバー ファーム ノードを作成する場合、SQL Server のインスタンスをインストールし、稼働させておく必要があります。

      次のコマンドを使用すると、SQL Server のインスタンスを使用する既存のファームにフェデレーション サーバーを作成できます。Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"ここで SQL_Host_Name は SQL Server が実行されているサーバーの名前であり、SQL_instance_name は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、SQLConnectionString 値として "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。

      重要

      AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2008 と SQL Server 2012 や SQL Server 2014 などのより新しいバージョンを使用できます。

  • 既存のドメイン ユーザー アカウントを使ってフェデレーション サーバーをファームに結合するには、以下の操作を実行します。

    1. フェデレーション サーバーとして構成するコンピューター上で、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します: $fscred = get-credential domain\username の形式で、フェデレーション サービス アカウントに使用するドメイン ユーザー アカウント資格情報を入力します。

    2. フェデレーション サーバーとして構成するコンピューターで、必要な SSL 証明書が Local Computer\My Store ディレクトリにインポートされていることを確認します。 Windows PowerShell コマンド ウィンドウで次のコマンドを実行すると、SSL 証明書がインポートされているかどうかを確認できます: dir Cert:\LocalMachine\My 証明書は Local Computer\My Store ディレクトリに拇印別に一覧表示されています。

    3. 同じ Windows PowerShell コマンド ウィンドウで、次のコマンドを実行します。

      Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>

      注意

      このコマンドを実行するのが初めてではない場合は、OverwriteConfiguration パラメーターを追加します。

      注意

      前のコマンドは、WID ファーム ノードを作成します。 SQL Server を実行しているコンピューターのサーバー ファーム ノードを作成する場合、SQL Server のインスタンスをインストールし、稼働させておく必要があります。 次のコマンドを使用すると、SQL Server のインスタンスを使用して既存のファームにフェデレーション サーバーを作成できます。Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"ここで SQL_Host_Name は SQL Server のインスタンスが実行されているサーバーの名前であり、SQL_instance_name は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、SQLConnectionString 値として "Data Source=<SQL_Host_Name>;Integrated Security=True" を使用します。

      重要

      AD FS ファームを作成し、SQL Server を使用して構成データを保存する場合は、SQL Server 2008 と SQL Server 2012 や SQL Server 2014 などのより新しいバージョンを使用できます。

参照

AD FS 展開

Windows Server 2012 R2 AD FS の展開ガイド

フェデレーション サーバー ファームの展開