WID を使用するレガシー AD FS フェデレーション サーバー ファーム

  • [アーティクル]

Active Directory フェデレーション サービス (AD FS) の既定のトポロジは、Windows 内部データベース (WID) を使用するフェデレーション サーバー ファームです。 このトポロジでは、AD FS はそのファームに結合するすべてのフェデレーション サーバーに対する AD FS 構成データベースのストアとして、WID を使用します。 ファームでは、構成データベースのフェデレーション サービス データがファーム内の各サーバー間で複製されて管理されます。 Windows Server 2012 R2 の AD FS を使用すると、100 以下の証明書利用者信頼を持つ組織は、最大 30 台のサーバーで WID を使用してフェデレーション サーバー ファームを構成できます。

ファームに最初のフェデレーション サーバーが作成されると、新しいフェデレーション サービスも作成されます。 WID を AD FS 構成データベースとして使用する場合、ファーム内に作成する最初のフェデレーション サーバーは、「プライマリ フェデレーション サーバー」と呼ばれます。 つまり、このコンピューターは、AD FS 構成データベースの読み取り / 書き込みコピーを使って構成されます。

このファームに対して構成する他のすべてのフェデレーション サーバーは、「セカンダリ フェデレーション サーバー」と呼ばれます。プライマリ フェデレーション サーバー上で実行された変更を、AD FS 構成データベースの読み取り専用コピーに複製し、ローカルに保存する必要があるためです。

重要

負荷分散の構成では、少なくとも 2 台のフェデレーション サーバーを使用することをお勧めします。

デプロイに関する考慮事項

このセクションでは、対象となるユーザーと、利点と、この展開トポロジに関連付けられている制限事項に関するさまざまな考慮事項について説明します。

このトポロジを使用する必要がありますか。

  • 内部ユーザー (企業ネットワークに物理的に接続されているコンピューターにログオンしている) に、フェデレーション アプリケーションまたはサービスへのシングル サインオン (SSO) アクセスを提供する必要があり、構成された信頼関係が 100 以下である組織

  • 内部ユーザーに、Microsoft Online Services または Microsoft Office 365 への SSO アクセスを提供する必要がある組織

  • 冗長でスケーラブルなサービスを必要とするより規模の小さな組織

注意

大規模なデータベースがある組織では、SQL Server を使用するフェデレーション サーバー ファーム展開トポロジの使用を検討する必要があります。 ネットワークの外部からログインするユーザーがいる組織では、WID とプロキシを使用するフェデレーション サーバー ファーム トポロジまたは SQL Server を使用するフェデレーション サーバー ファーム トポロジのいずれかの使用を検討する必要があります。

このトポロジを使用する利点とは

  • 内部ユーザーに SSO アクセスを提供する

  • データとフェデレーション サービスの冗長性 (各フェデレーション サーバーは、同じファーム内の他のフェデレーション サーバーに変更を複製します)

  • WID は Windows に含まれているため、SQL Server を購入する必要はありません

このトポロジを使用する場合の制限事項を挙げてください。

  • 信頼関係に依存しているサーバーの数が 100 以下の場合、WIDフ ァームのフェデレーションサーバー数の上限は 30 です。

  • WID ファームは、トークン リプレイ検出またはアーティファクト解決 (Security Assertion Markup Language (SAML) プロトコルの一部) はサポートしていません。

次の表に、WID ファームを使用する場合の概要を示します。 それを使用して実装を計画してください。

1-100 個の RP 信頼 100 個を超える RP 信頼
1-30 個の AD FS ノード: WID サポート対象 1-30 個の AD FS ノード: WID の使用はサポート対象外 - SQL が必要
30 個を超える AD FS ノード: WID の使用はサポート対象外 - SQL が必要 30 個を超える AD FS ノード: WID の使用はサポート対象外 - SQL が必要

サーバー配置とネットワーク レイアウトに関する推奨事項

ネットワークへのこのトポロジの展開を開始する準備ができたら、会社のネットワークのすべてのフェデレーション サーバーを、ネットワーク負荷分散 (NLB) ホストの背後に配置するように計画する必要があります (NLB ホストは、専用のクラスター ドメイン ネーム システム (DNS) 名とクラスター IP アドレスを使用した NLB クラスター用に構成可能です)。

注意

このクラスター DNS 名は、fs.fabrikam.com などのフェデレーション サービス名と一致する必要があります。

NLB ホストは、この NLB クラスターに定義された設定を使用して、クライアントの要求を個々のフェデレーション サーバーに割り当てることができます。 以下の図は、架空の Fabrikam, Inc. 社が 2 台のコンピューターで WID を使用するフェデレーション サーバー ファーム (fs1 および fs2) を使用した展開の 1 番目のフェーズをセットアップする様子と、DNS サーバーおよび 1 台の NLB ホスト (会社のネットワークにケーブルで接続) を配置する様子を表しています。

server farm using WID

Note

この 1 台の NLB ホストで障害が発生すると、ユーザーはフェデレーション アプリケーションまたはサービスにアクセスできません。 ビジネス要件でこのような単一障害点を容認できない場合は、別の NLB ホストを追加します。

フェデレーション サーバーで使用するネットワーク環境を構成する方法の詳細については、AD FS 要件の「名前解決の要件」を参照してください。

参照

AD FS 展開トポロジの計画Windows Server 2012 R2 の AD FS 設計ガイド