次の方法で共有

Azure Traffic Manager を使用した Azure での高可用性クロスジオリジョリー AD FS デプロイ

「Azure での AD FS のデプロイ 」では、組織のシンプルな AD FS インフラストラクチャを Azure にデプロイする方法について、ステップバイステップのガイドラインを提供します。 この記事では、 Azure Traffic Manager を使用して Azure で AD FS の地理的なデプロイを作成するための次の手順について説明します。 Azure Traffic Manager は、インフラストラクチャのさまざまなニーズに合わせて利用できるさまざまなルーティング方法を利用して、地理的に分散した高可用性と高パフォーマンスの AD FS インフラストラクチャを組織に作成するのに役立ちます。

高可用性のクロスジオリジカル AD FS インフラストラクチャにより、次のことが可能になります。

  • 単一障害点の排除: Azure Traffic Manager のフェールオーバー機能を使用すると、地球の一部にあるデータ センターの 1 つがダウンした場合でも、高可用性の AD FS インフラストラクチャを実現できます
  • パフォーマンスの向上: この記事で提案されているデプロイを使用して、ユーザーの認証を高速化できる高パフォーマンスの AD FS インフラストラクチャを提供できます。

設計の原則

全体的なデザイン

基本的な設計原則は、「Azure での AD FS のデプロイ」の記事の「設計原則」に記載されているものと同じです。 上の図は、基本的なデプロイを別の地理的リージョンに単純に拡張したものです。 以下は、デプロイメントを新しい地理的リージョンに拡張する際に考慮すべきいくつかのポイントです

  • 仮想ネットワーク: 追加の AD FS インフラストラクチャをデプロイする地理的リージョンに新しい仮想ネットワークを作成する必要があります。 上の図では、Geo1 VNET と Geo2 VNET が各地理的リージョンの 2 つの仮想ネットワークとして表示されています。
  • 新しい地理的 VNET のドメイン コントローラーと AD FS サーバー: 新しい地域の AD FS サーバーが認証を完了するために別の遠く離れたネットワークのドメイン コントローラーに接続する必要がなくなり、パフォーマンスが向上するように、新しい地理的地域にドメイン コントローラーをデプロイすることをお勧めします。
  • ストレージ アカウント: ストレージ アカウントは、リージョンに関連付けられます。 新しい地理的リージョンにマシンをデプロイするため、そのリージョンで使用する新しいストレージ アカウントを作成する必要があります。
  • ネットワーク セキュリティ グループ: ストレージ アカウントとして、リージョンで作成されたネットワーク セキュリティ グループを別の地理的リージョンで使用することはできません。 そのため、新しい地理的リージョンの INT サブネットと DMZ サブネットの最初の地理的リージョンと同様の新しいネットワーク セキュリティ グループを作成する必要があります。
  • パブリック IP アドレスの DNS ラベル: Azure Traffic Manager は、DNS ラベルを介してのみエンドポイントを参照できます。 そのため、外部ロードバランサの公開IPアドレスのDNSラベルを作成する必要があります。
  • Azure トラフィック マネージャー: Microsoft Azure Traffic Manager を使用すると、世界中のさまざまなデータセンターで実行されているサービス エンドポイントへのユーザー トラフィックの分散を制御できます。 Azure Traffic Manager は DNS レベルで動作します。 DNS応答を使用して、エンドユーザーのトラフィックをグローバルに分散したエンドポイントに誘導します。 その後、クライアントはこれらのエンドポイントに直接接続します。 パフォーマンス、加重、優先度のさまざまなルーティングオプションにより、組織のニーズに最適なルーティングオプションを簡単に選択できます。
  • 2 つのリージョン間の V-net 間接続: 仮想ネットワーク自体の間に接続する必要はありません。 各仮想ネットワークはドメイン コントローラーにアクセスでき、それ自体に AD FS サーバーと WAP サーバーがあるため、異なるリージョンの仮想ネットワーク間の接続なしで動作できます。

Azure Traffic Manager を統合する手順

AD FS を新しい地理的リージョンにデプロイする

「Azure での AD FS のデプロイ」の手順とガイドラインに従って、新しい地理的リージョンに同じトポロジをデプロイします。

インターネットに接続する(パブリック)ロードバランサのパブリックIPアドレスのDNSラベル

前述のように、Azure Traffic Manager は DNS ラベルをエンドポイントとしてのみ参照できるため、外部ロード バランサーのパブリック IP アドレスの DNS ラベルを作成することが重要です。 以下のスクリーンショットは、パブリックIPアドレスのDNSラベルを構成する方法を示しています。

DNSラベル

Azure Traffic Manager のデプロイ

次の手順に従って、トラフィック マネージャー プロファイルを作成します。 詳細については、「 Azure Traffic Manager プロファイルの管理」も参照してください。

  1. Traffic Manager プロファイルを作成します。 トラフィック マネージャー プロファイルに一意の名前を付けます。 このプロファイルの名前は DNS 名の一部であり、Traffic Manager ドメイン名ラベルのプレフィックスとして機能します。 名前/プレフィックスが.trafficmanager.net に追加され、トラフィックマネージャーのDNSラベルが作成されます。 次のスクリーンショットは、トラフィック マネージャーの DNS プレフィックスが mysts として設定され、結果の DNS ラベルが mysts.trafficmanager.net されることを示しています。

    Traffic Manager プロファイルの作成

  2. トラフィックルーティング方法: Traffic Manager には、次の 3 つのルーティング オプションが用意されています。

    • 優先順位

    • [パフォーマンス]

    • 加重

      パフォーマンス は、応答性の高い AD FS インフラストラクチャを実現するために推奨されるオプションです。 ただし、デプロイメントのニーズに最も適したルーティング方法を選択できます。 AD FS 機能は、選択したルーティング オプションの影響を受けません。 詳細については、「 Traffic Manager のトラフィック ルーティング方法 」を参照してください。 上のサンプル スクリーンショットでは、 パフォーマンス メソッドが選択されていることがわかります。

  3. エンドポイントを設定します。 トラフィック マネージャー ページで、エンドポイントをクリックし、 [追加] を選択します。 これにより、次のスクリーンショットのような [エンドポイントの追加] ページが開きます

    エンドポイントの構成

    さまざまな入力については、以下のガイドラインに従ってください。

    種類: Azure パブリック IP アドレスを指すため、 [Azure エンドポイント] を選択します。

    名前: エンドポイントに関連付ける名前を作成します。 これは DNS 名ではなく、DNS レコードとは関係ありません。

    ターゲット リソースの種類: このプロパティの値として [パブリック IP アドレス] を選択します。

    ターゲットリソース: これにより、サブスクリプションで利用可能なさまざまなDNSラベルから選択するオプションが提供されます。 設定するエンドポイントに対応する DNS ラベルを選択します。

    Azure Traffic Manager でトラフィックをルーティングする地理的リージョンごとにエンドポイントを追加します。 Traffic Manager でエンドポイントを追加/構成する方法の詳細と詳細な手順については、「エンドポイントの追加、無効化、有効化、または削除」を参照してください

  4. プローブを設定します。 トラフィックマネージャーページで、[設定]をクリックします。 設定ページで、モニター設定を HTTP ポート 80 のプローブと相対パス /adfs/probe に変更する必要があります

    プローブの構成

    設定が完了したら、エンドポイントのステータスが ONLINE であることを確認します。 すべてのエンドポイントが "低下" 状態の場合、Azure Traffic Manager は、診断が正しくなく、すべてのエンドポイントが到達可能であると仮定して、トラフィックのルーティングを最善の試みを行います。

  5. Azure Traffic Manager の DNS レコードの変更: フェデレーション サービスは、Azure Traffic Manager の DNS 名に対する CNAME である必要があります。 パブリック DNS レコードに CNAME を作成して、フェデレーション サービスにアクセスしようとしているユーザーが実際に Azure Traffic Manager にアクセスできるようにします。

    たとえば、フェデレーション サービス fs.fabidentity.com を Traffic Manager にポイントするには、DNS リソース レコードを次のように更新する必要があります。

    fs.fabidentity.com IN CNAME mysts.trafficmanager.net

ルーティングと AD FS サインインをテストする

ルーティングテスト

ルーティングの非常に基本的なテストは、各地理的地域のコンピューターからフェデレーション サービスの DNS 名に ping を実行してみることです。 選択したルーティング方法に応じて、実際に ping を実行するエンドポイントが ping ディスプレイに反映されます。 たとえば、パフォーマンス ルーティングを選択した場合、クライアントのリージョンに最も近いエンドポイントに到達します。 以下は、2 つの異なる地域のクライアント マシン (1 つは東アジア地域、もう 1 つは米国西部) からの 2 つの ping のスナップショットです。

ルーティングテスト

AD FS サインイン テスト

AD FS をテストする最も簡単な方法は、IdpInitiatedSignon.aspx ページを使用することです。 これを行うには、AD FS プロパティで IdpInitiatedSignOn を有効にする必要があります。 次の手順に従って、AD FS の設定を確認します

  1. PowerShell を使用して AD FS サーバーで次のコマンドレットを実行し、有効に設定します。 Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

  2. 外部マシンからアクセス https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx

  3. 次のような AD FS ページが表示されます。

    AD FS テスト - 認証チャレンジ

    サインインが成功すると、次に示すように成功メッセージが表示されます。

    AD FS テスト - 認証の成功

次のステップ