フェデレーション サーバー ファームを作成するのに適した状況
AD FS 展開が大規模で、組織のフェデレーション サービスにフォールト トレランス、負荷分散、スケーラビリティを提供する場合は、Active Directory フェデレーション サービス (AD FS) でフェデレーション サーバー ファームを作成することを検討してください。 同じネットワークに 2 つ以上のフェデレーション サーバーを作成し、それぞれが同じフェデレーション サービスを使用するように構成し、各サーバーのトークン署名証明書 の公開キーを AD FS 管理スナップインに追加することによって、フェデレーション サーバー ファームが作成されます。
AD FS フェデレーション サーバー構成ウィザードを使用して、フェデレーション サーバー ファームを作成するか、既存のファームに追加のフェデレーション サーバーをインストールすることができます。 詳細については、「 When to Create a Federation Server」を参照してください。
注意
AD FS フェデレーション サーバー構成ウィザードを使用して新しいフェデレーション サーバー ファームを作成するオプションを選択すると、ウィザードは Active Directory で (証明書を共有するための) コンテナー オブジェクトの作成を試みます。 そのため、最初に、Active Directory においてコンテナー オブジェクトを作成するのに十分なアクセス許可を持つアカウントを使用してコンピューターにログオンし、フェデレーション サーバー ロールを設定することが重要です。
フェデレーション サーバーをファームとしてグループ化するには、まず、単一の完全修飾ドメイン名 (FQDN) に到着した要求がサーバー ファーム内のさまざまなフェデレーション サーバーにルーティングされるように、そのサーバーをクラスター化する必要があります。 企業ネットワーク内にネットワーク負荷分散 (NLB) をデプロイすることにより、サーバー クラスターを作成できます。 このガイドでは、ファーム内の各フェデレーション サーバーをクラスター化するために NLB が適切に構成されていることを前提としています。
Microsoft NLB テクノロジを使用してクラスターの FQDN を構成する方法の詳細については、「 クラスター パラメーターの指定」を参照してください。
フェデレーション サーバー ファームのデプロイのベスト プラクティス
運用環境にフェデレーション サーバーを展開する場合は、次のベスト プラクティスに従うことをお勧めします。
複数のフェデレーション サーバーを同時に展開する場合、またはファームにサーバーをさらに追加することがわかっている場合に、ファーム内の既存のフェデレーション サーバーのサーバー イメージを作成してから、追加のフェデレーション サーバーをすばやく作成する必要があるときは、そのイメージからインストールすることを検討してください。
注意
サーバー イメージ方式を使用して追加のフェデレーション サーバーを展開する場合は、新しいサーバーをファームに追加するたびに、「チェックリスト: フェデレーション サーバーをセット アップする」のタスクを実行する必要はありません。
NLB または他の何らかのクラスタリング方式を使用して、多くのフェデレーション サーバー コンピューターに単一の IP アドレスを割り当てることができます。
ファーム内の各フェデレーション サーバーに対して静的 IP アドレスを予約し、ドメイン ネーム システム (DNS) の構成によっては、動的ホスト構成プロトコル (DHCP) に各 IP アドレスの除外を挿入します。 Microsoft の NLB テクノロジでは、NLB クラスターに参加する各サーバーに静的 IP アドレスを割り当てる必要があります。
AD FS 構成データベースが SQL データベースに格納されている場合は、同時に複数のフェデレーション サーバーから SQL データベースを編集しないようにしてください。
ファーム用のフェデレーション サーバーの構成
次の表では、各フェデレーション サーバーがファーム環境に参加できるようにするために完了する必要のあるタスクについて説明します。
| タスク | 説明 |
|---|---|
| AD FS 構成データベースを SQL Server に置く場合 | フェデレーション サーバー ファームは、同じ AD FS 構成データベースとトークン署名証明書を共有する 2 つ以上のフェデレーション サーバーで構成されます。 構成データベースは、Windows Internal Database または SQL Server データベースに置くことができます。 構成データベースを SQL データベースに格納する場合は、ファームに参加しているすべての新しいフェデレーション サーバーからアクセスできるように、構成データベースにアクセスできることを確認してください。 注: ファームのシナリオでは、構成データベースが、そのファームにフェデレーション サーバーとして参加していないコンピューターに配置されていることが重要です。 Microsoft NLB では、ファームに参加しているコンピューターが相互に通信することはできません。 注:ファームに参加しているすべてのフェデレーション サーバーでインターネット インフォメーション サービス (IIS) の AD FS AppPool の ID が、構成データベースに対する読み取りアクセス権を持っていることを確認します。 |
| 証明書を取得して共有する | 1 台のサーバーの認証証明書は VeriSign などのパブリック証明機関 (CA) から入手できます。 その後、すべてのフェデレーション サーバーが証明書の同じ秘密キー部分を共有するように、証明書を構成できます。 同じ証明書を共有する方法の詳細については、「 Checklist: Setting Up a Federation Server」を参照してください。 注: AD FS 管理スナップインは、サービス通信証明書としてフェデレーション サーバーのサーバー認証証明書を参照します。 詳細については、「 Certificate Requirements for Federation Servers」を参照してください。 |
| 同じ SQL Server インスタンスを参照する | AD FS 構成データベースが SQL データベースに格納される場合、新しいフェデレーション サーバーは、新しいサーバーがファームに参加できるように、ファーム内の他のフェデレーション サーバーで使用されているのと同じ SQL Server インスタンスを指す必要があります。 |