WID を使用する従来の AD FS フェデレーションサーバーファームLegacy AD FS Federation Server Farm Using WID

Active Directory フェデレーションサービス (AD FS) AD FS の既定の ( トポロジ ) は、Windows Internal Database WID を使用するフェデレーションサーバーファームです ( ) 。The default topology for Active Directory Federation Services (AD FS) is a federation server farm, using the Windows Internal Database (WID). このトポロジでは、AD FS は、そのファームに参加しているすべてのフェデレーションサーバーの AD FS 構成データベースのストアとして WID を使用します。In this topology, AD FS uses WID as the store for the AD FS configuration database for all federation servers that are joined to that farm. ファームでは、構成データベースのフェデレーション サービス データがファーム内の各サーバー間で複製されて管理されます。The farm replicates and maintains the Federation Service data in the configuration database across each server in the farm. Windows Server 2012 R2 の AD FS では、100またはそれよりも小さい証明書利用者信頼を持つ組織は、最大30台のサーバーで WID を使用してフェデレーションサーバーファームを構成できます。AD FS in Windows Server 2012 R2 enables organizations with 100 or fewer relying party trusts to configure federation server farms using WID with up to 30 servers.

ファームに最初のフェデレーション サーバーが作成されると、新しいフェデレーション サービスも作成されます。The act of creating the first federation server in a farm also creates a new Federation Service. AD FS 構成データベースに WID を使用する場合、ファームで作成する最初のフェデレーションサーバーは プライマリフェデレーションサーバー と呼ばれます。When you use WID for the AD FS configuration database, the first federation server that you create in the farm is referred to as the primary federation server. つまり、このコンピューターは / AD FS 構成データベースの読み取り/書き込みコピーを使用して構成されます。This means that this computer is configured with a read/write copy of the AD FS configuration database.

このファーム用に構成した他のすべてのフェデレーションサーバーは、プライマリフェデレーションサーバーで行われたすべての変更を、ローカルに格納されている AD FS 構成データベースの読み取り専用コピーにレプリケートする必要があるため、 セカンダリフェデレーション サーバーと呼ばれ - ます。All other federation servers that you configure for this farm are referred to as secondary federation servers because they must replicate any changes that are made on the primary federation server to the read-only copies of the AD FS configuration database that they store locally.

重要

負荷分散構成では、少なくとも2つのフェデレーションサーバーを使用することをお勧めし - ます。We recommend the use of at least two federation servers in a load-balanced configuration.

デプロイに関する考慮事項Deployment considerations

このセクションでは、この展開トポロジに関連する対象ユーザー、利点、および制限事項に関するさまざまな考慮事項について説明します。This section describes various considerations about the intended audience, benefits, and limitations that are associated with this deployment topology.

このトポロジを使用する必要がありますか。Who should use this topology?

  • 100以下の信頼関係がある組織は ( 、 ) - ( ) フェデレーションアプリケーションまたはサービスへのシングルサインオン SSO アクセスを使用して、企業ネットワークに物理的に接続されているコンピューターにログオンしている社内ユーザーを提供する必要があります。Organizations with 100 or fewer configured trust relationships that need to provide their internal users (logged on to computers that are physically connected to the corporate network) with single sign-on (SSO) access to federated applications or services

  • 社内ユーザーに Microsoft Online Services または Microsoft Office 365 への SSO アクセスを提供する必要がある組織Organizations that want to provide their internal users with SSO access to Microsoft Online Services or Microsoft Office 365

  • 冗長でスケーラブルなサービスを必要とする小規模の組織Smaller organizations that require redundant, scalable services

注意

大規模なデータベースを使用する組織では、SQL Server 展開トポロジ を使用したフェデレーションサーバーファーム の使用を検討する必要があります。Organizations with larger databases should consider using the Federation Server Farm Using SQL Server deployment topology. ネットワークの外部からログインするユーザーを持つ組織は、 SQL Server トポロジを使用して、 WID とプロキシトポロジを使用するフェデレーションサーバーファームまたはフェデレーションサーバーファームを使用することを検討する必要があります。Organizations with users who log in from outside the network should consider using either the Federation Server Farm Using WID and Proxies topology or the Federation Server Farm Using SQL Server topology.

このトポロジを使用する利点とはWhat are the benefits of using this topology?

  • 内部ユーザーへの SSO アクセスを提供します。Provides SSO access to internal users

  • データとフェデレーションサービス ( の冗長性各フェデレーションサーバーは、同じファーム内の他のフェデレーションサーバーに変更をレプリケートします。)Data and Federation Service redundancy (each federation server replicates changes to other federation servers in the same farm)

  • WID は Windows に含まれています。そのため、SQL Server を購入する必要はありませんWID is included with Windows; therefore, no need to purchase SQL Server

このトポロジを使用する場合の制限事項を挙げてください。What are the limitations of using this topology?

  • 100を超える証明書利用者信頼がある場合、WID ファームには、最大30個のフェデレーションサーバーがあります。A WID farm has a limit of 30 federation servers if you have 100 or fewer relying party trusts.

  • WID ファームは、 ( Security Assertion Markup Language SAML プロトコルのトークンリプレイ検出またはアーティファクト解決部分をサポートしていません ( ) ) 。A WID farm does not support token replay detection or artifact resolution (part of the Security Assertion Markup Language (SAML) protocol).

WID ファームを使用する場合の概要を次の表に示します。The following table provides a summary for using a WID farm. 実装を計画するときに使用します。Use it to plan your implementation.

1-100 個の RP 信頼1-100 RP Trusts 100 個を超える RP 信頼More than 100 RP Trusts
1-30 個の AD FS ノード: WID サポート対象1-30 AD FS Nodes: WID supported 1-30 個の AD FS ノード: WID の使用はサポート対象外 - SQL が必要1-30 AD FS Nodes: Not supported using WID - SQL Required
30 個を超える AD FS ノード: WID の使用はサポート対象外 - SQL が必要More than 30 AD FS Nodes: Not supported using WID - SQL Required 30 個を超える AD FS ノード: WID の使用はサポート対象外 - SQL が必要More than 30 AD FS Nodes: Not supported using WID - SQL Required

サーバーの配置とネットワークレイアウトに関する推奨事項Server placement and network layout recommendations

ネットワークにこのトポロジを展開する準備ができたら、企業ネットワーク内のすべてのフェデレーションサーバーを、ネットワーク負荷分散 nlb ホストの背後に配置して、 ( ) 専用のクラスタードメインネームシステム ( DNS ) 名とクラスター IP アドレスを使用する nlb クラスター用に構成できるようにする必要があります。When you are ready to start deploying this topology in your network, you should plan on placing all of the federation servers in your corporate network behind a Network Load Balancing (NLB) host that can be configured for an NLB cluster with a dedicated cluster Domain Name System (DNS) name and cluster IP address.

注意

このクラスター DNS 名はフェデレーションサービス名と一致する必要があります (たとえば、fs.fabrikam.com)。This cluster DNS name must match the Federation Service name, for example, fs.fabrikam.com.

NLB ホストは、この NLB クラスターで定義されている設定を使用して、クライアントの要求を個々のフェデレーションサーバーに割り当てることができます。The NLB host can use the settings that are defined in this NLB cluster to allocate client requests to the individual federation servers. 次の図は、架空の Fabrikam, Inc. の企業が、2台のコンピューターのフェデレーションサーバーファーム fs1 と fs2 を使用して展開の最初のフェーズを設定し、 - ( ) DNS サーバーと企業ネットワークに接続された単一の NLB ホストを配置する方法を示しています。The following illustration shows how the fictional Fabrikam, Inc., company sets up the first phase of its deployment using a two-computer federation server farm (fs1 and fs2) with WID and the positioning of a DNS server and a single NLB host that is wired to the corporate network.

WID を使用するサーバーファーム

注意

この単一の NLB ホストで障害が発生した場合、ユーザーはフェデレーションアプリケーションまたはサービスにアクセスできなくなります。If there is a failure on this single NLB host, users will not be able to access federated applications or services. ビジネス要件でこのような単一障害点を容認できない場合は、別の NLB ホストを追加します。Add additional NLB hosts if your business requirements do not allow having a single point of failure.

フェデレーションサーバーで使用するネットワーク環境を構成する方法の詳細については、「 AD FS の要件」の「名前解決の要件」セクションを参照してください。For more information about how to configure your networking environment for use with federation servers, see the Name Resolution Requirements section in AD FS Requirements.

関連項目See Also

AD FS の展開トポロジ を計画するWindows Server 2012 R2 の AD FS 設計ガイドPlan Your AD FS Deployment Topology AD FS Design Guide in Windows Server 2012 R2