WID とプロキシを使用したレガシ AD FS フェデレーション サーバー ファーム

Active Directory フェデレーション サービス (AD FS) 用のこの展開トポロジの場合、Windows Internal Database (WID) を使用したフェデレーション サーバー ファーム トポロジと同じですが、外部ユーザーをサポートするために境界ネットワークにプロキシ コンピューターが追加されます。 これらのプロキシによって、企業ネットワークの外部から送信されるクライアント認証要求はフェデレーション サーバー ファームにリダイレクトされます。 以前のバージョンの AD FS では、これらのプロキシはフェデレーション サーバー プロキシと呼ばれていました。

デプロイに関する考慮事項

このセクションでは、対象となるユーザーと、利点と、この展開トポロジに関連付けられている制限事項に関するさまざまな考慮事項について説明します。

このトポロジを使用する必要がありますか。

• 内部ユーザーと (物理的に企業ネットワークの外部に配置されているコンピューターにログオンしている) 外部ユーザーの両方に、フェデレーション アプリケーションまたはサービスへのシングル サインオン (SSO) アクセスを提供する必要があり、構成された信頼関係が 100 以下である組織

• 内部ユーザーと外部ユーザーの両方に、Microsoft Office 365 への SSO アクセスを提供する必要がある組織

• 外部ユーザーを有し、冗長性を持ったスケーラブルなサービスを必要とするより規模の小さな組織

このトポロジを使用する利点とは

• WID を使用したフェデレーション サーバー ファーム トポロジについて一覧に記載されているのと同じ利点に加えて、外部ユーザーに追加のアクセスを提供するという利点

このトポロジを使用する場合の制限事項を挙げてください。

• WID を使用したフェデレーション サーバー ファーム トポロジについて一覧されている制限事項と同じ

  1-100 個の RP 信頼	100 個を超える RP 信頼
  1-30 個の AD FS ノード: WID サポート対象	1-30 個の AD FS ノード: WID の使用はサポート対象外 - SQL が必要
  30 個を超える AD FS ノード: WID の使用はサポート対象外 - SQL が必要	30 個を超える AD FS ノード: WID の使用はサポート対象外 - SQL が必要

サーバー配置とネットワーク レイアウトに関する推奨事項

このトポロジを展開するには、2 つの Web アプリケーション プロキシを追加することに加えて、ドメイン ネーム システム (DNS) サーバーと 2 番目のネットワーク負荷分散 (NLB) ホストへのアクセス権をご利用の境界ネットワークで提供できることを確認する必要があります。 2 番目の NLB ホストは、インターネットからアクセス可能なクラスター IP アドレスを使用する NLB クラスターを使用して構成する必要があり、会社のネットワークで構成した前の NLB クラスターと同じクラスター DNS 名の設定 (fs.fabrikam.com) を使用する必要があります。 Web アプリケーション プロキシは、インターネットにアクセス可能な IP アドレスを使用して構成する必要があります。

次の図は、前に説明した、WID を使用した既存のフェデレーション サーバー ファーム トポロジを示すと共に、架空の会社 Fabrikam, Inc. が境界 DNS サーバーへのアクセス権を提供し、同じクラスター DNS 名 (fs.fabrikam.com) を持つ 2 つ目の NLB ホストを追加し、2 つの Web アプリケーション プロキシ (wap1 と wap2) を境界ネットワークに追加する方法を示しています。

フェデレーション サーバーまたは Web アプリケーション プロキシで使用するネットワーク環境を構成する方法の詳細については、AD FS の要件および Web アプリケーション プロキシ インフラストラクチャ (WAP) の計画に関するページの "名前解決の要件" に関するセクションを参照してください。

参照

AD FS 展開トポロジの計画Windows Server 2012 R2 の AD FS 設計ガイド