フェデレーションサーバーの構成

2025-04-30
適用対象: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Active Directory フェデレーションサービス (AD FS) 役割サービスをコンピューターにインストールしたら、このコンピューターをフェデレーションサーバーとして構成する準備が整います。次のいずれかを実行することができます。

新しいフェデレーションサーバーファームで最初のフェデレーションサーバーを構成する

Active Directory フェデレーションサービス構成ウィザードを使用して新しいフェデレーションサーバーファームで最初のフェデレーションサーバーを構成するには

注

この手順を実行する前に、ドメイン管理者のアクセス許可を持っているか、ドメイン管理者の資格情報を使用できることを確認してください。

[サーバーマネージャー ダッシュボード ] ページで、[ 通知 ] フラグをクリックし、[ サーバー上のフェデレーションサービスの構成] をクリックします。

Active Directory フェデレーションサービス構成ウィザードが開きます。
[ ようこそ ] ページで、[ フェデレーションサーバーファームに最初のフェデレーションサーバーを作成する] を選択し、[ 次へ] をクリックします。
[ AD DS への接続 ] ページで、このコンピューターが参加している Active Directory (AD) ドメインのドメイン管理者アクセス許可を使用してアカウントを指定し、[ 次へ] をクリックします。
[ サービスのプロパティの指定 ] ページで、次の操作を行い、[ 次へ] をクリックします。
- 前に取得した Secure Socket Layer (SSL) 証明書とキーを含む .pfx ファイルをインポートします。手順 2: AD FS の SSL 証明書を登録するには、この証明書を取得し、フェデレーションサーバーとして構成するコンピューターにコピーしました。ウィザードを使用して .pfx ファイルをインポートするには、[ インポート] をクリックし、ファイルの場所を参照します。メッセージが表示されたら、.pfx ファイルのパスワードを入力します。
- フェデレーションサービスの名前を指定します。たとえば、 fs.contoso.com。この名前は、証明書のサブジェクトまたはサブジェクトの別名のいずれかと一致する必要があります。
- フェデレーションサービスの表示名を指定します。たとえば、 Contoso Corporation などです。ユーザーには、Active Directory フェデレーションサービス (AD FS) のサインインページにこの名前が表示されます。
[ サービスアカウントの指定] ページで、サービスアカウントを指定します。既存のグループ管理サービスアカウント (gMSA) を作成または使用することも、既存のドメインユーザーアカウントを使用することもできます。新しい gMSA アカウントを作成するオプションを選択した場合は、新しいアカウントの名前を指定します。既存の gMSA またはドメインアカウントを使用するオプションを選択した場合は、[ 選択 ] をクリックしてアカウントを選択します。

注

gMSA アカウントを使用する利点は、自動ネゴシエートされたパスワード更新機能です。

警告

gMSA アカウントを使用する場合は、Windows Server 2012 オペレーティングシステムを実行している環境内に少なくとも 1 つのドメインコントローラーが必要です。

gMSA オプションが無効で、 KDS ルートキーが設定されていないためにグループ管理サービスアカウントが使用できないなどのエラーメッセージが表示される場合は、Active Directory ドメインで Windows Server 2012 以降を実行するドメインコントローラーで次の Windows PowerShell コマンドを実行することで、ドメインで gMSA を有効にすることができます。 Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。ウィザードに戻り、[ 前へ] をクリックし、[ 次へ ] をクリックして[ サービスアカウントの指定] ページを再入力します。これで、gMSA オプションが有効になります。これを選択し、使用する gMSA アカウント名を入力できます。
[ 構成データベースの指定 ] ページで、AD FS 構成データベースを指定し、[ 次へ] をクリックします。このコンピューター上に Windows Internal Database (WID) を使用してデータベースを作成することも、Microsoft SQL Server の場所とインスタンス名を指定することもできます。

詳細については、「 AD FS 構成データベースの役割」を参照してください。

重要

AD FS ファームを作成し、SQL Server を使用して構成データを格納する場合は、SQL Server 2008 以降のバージョン (SQL Server 2012 や SQL Server 2014 など) を使用できます。
[ オプションの確認] ページで、構成の選択内容を確認し、[ 次へ] をクリックします。
[ 前提条件のチェック ] ページで、すべての前提条件チェックが正常に完了したことを確認し、[ 構成] をクリックします。
[ 結果 ] ページで、結果を確認し、構成が正常に完了したかどうかを確認し、[ フェデレーションサービスの展開を完了するために必要な次の手順] をクリックします。詳細については、 AD FS のインストールを完了するための次の手順を参照してください。 [ 閉じる ] をクリックしてウィザードを終了します。

Windows PowerShell を使用して新しいフェデレーションサーバーファームで最初のフェデレーションサーバーを構成するには

新規または既存の gMSA アカウントまたは既存のドメインユーザーアカウントを使用して、新しいフェデレーションサーバーファームを作成できます。

新しい gMSA アカウントを使用して新しいフェデレーションサーバーを作成する場合は、次の操作を行います。

重要

新しいフェデレーションサーバーファームに最初のフェデレーションサーバーを作成するには、ドメイン管理者のアクセス許可が必要です。
1. フェデレーションサーバーとして構成するコンピューターで、必要な SSL 証明書が ローカルコンピューター\マイストア ディレクトリにインポートされていることを確認します。 SSL 証明書がインポートされたかどうかを確認するには、Windows PowerShell コマンドウィンドウで次のコマンドを実行します: dir Cert:\LocalMachine\My。証明書は、 ローカルコンピューター\マイストア ディレクトリの拇印で一覧表示されます。
2. ドメインコントローラーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行して、KDS ルートキーがドメインに作成されているかどうかを確認します: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。出力に情報が表示されないように作成されていない場合は、次のコマンドを実行してキーを作成します: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。
3. フェデレーションサーバーとして構成するコンピューターで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
```
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <___domain>\<GMSA_Name>$
```
  警告
  
  前のコマンドの末尾にある $ 記号が必要です。
  
  <certificate_thumbprint>の値を取得するには、dir Cert:\LocalMachine\Myを実行し、SSL 証明書の拇印を選択します。 <federation_service_name>の値は、フェデレーションサービスの名前 (たとえば、fs.contoso.com) です。
  
  注
  
  このコマンドを初めて実行しない場合は、 OverwriteConfiguration パラメーターを追加します。
  
  注
  
  前のコマンドは、WID ファームを作成します。 SQL Server サーバーファームを作成する場合は、SQL Server のインスタンスが既にインストールされ、動作している必要があります。
  
  次のコマンドを使用して、SQL Server のインスタンスを使用する新しいファームに最初のフェデレーションサーバーを作成できます。Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"<SQL_Host_Name>は SQL Server が実行されているサーバーの名前、<SQL_instance_name>は SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、"Data Source=SQL_Host_Name<; の > 値を使用します。Integrated Security=True"。
  
  重要
  
  AD FS ファームを作成し、SQL Server を使用して構成データを格納する場合は、SQL Server 2008 以降のバージョン (SQL Server 2012 を含む) を使用できます。
既存のドメインユーザーアカウントを使用して新しいフェデレーションサーバーを作成する場合は、次の操作を行います。
1. フェデレーションサーバーとして構成するコンピューターで、必要な SSL 証明書が ローカルコンピューター\マイストア ディレクトリにインポートされていることを確認します。 SSL 証明書がインポートされたかどうかを確認するには、Windows PowerShell コマンドウィンドウで次のコマンドを実行します: dir Cert:\LocalMachine\My。証明書は、 ローカルコンピューター\マイストア ディレクトリの拇印で一覧表示されます。
2. フェデレーションサーバーとして構成するコンピューターで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します: $fscred = Get-Credential。フェデレーションサービスアカウントに使用するドメインユーザーアカウントの資格情報を、___domain\user 名の形式で入力します。
3. 同じ Windows PowerShell コマンドウィンドウで、次のコマンドを実行します。
```
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
```
  <certificate_thumbprint>の値を取得するには、dir Cert:\LocalMachine\Myを実行し、SSL 証明書の拇印を選択します。 <federation_service_name>の値は、フェデレーションサービスの名前 (たとえば、fs.contoso.com) です。
  
  注
  
  このコマンドを初めて実行しない場合は、 OverwriteConfiguration パラメーターを追加します。
  
  注
  
  前のコマンドは、WID ファームを作成します。 SQL Server ファームを作成する場合は、SQL Server のインスタンスが既にインストールされ、動作している必要があります。
  
  次のコマンドを使用して、SQL Server のインスタンスを使用する新しいファームに最初のフェデレーションサーバーを作成できます。Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"SQL_Host_Nameは SQL Server が実行されているサーバーの名前、SQL_instance_nameは SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、"Data Source=SQL_Host_Name<; の > 値を使用します。Integrated Security=True"。
  
  重要
  
  AD FS ファームを作成し、SQL Server を使用して構成データを格納する場合は、SQL Server 2008 以降のバージョン (SQL Server 2012 や SQL Server 2014 など) を使用できます。

既存のフェデレーションサーバーファームにフェデレーションサーバーを追加する

重要

このセクションのいずれかの手順を開始する前に、「手順 3: AD FS 役割サービスをインストールする」を完了していることを確認します。

重要

この手順を完了する前に、有効な SSL サーバー認証証明書を取得していることを確認してください。

Active Directory フェデレーションサービス構成ウィザードを使用して既存のフェデレーションサーバーファームにフェデレーションサーバーを追加するには

[サーバーマネージャー ダッシュボード ] ページで、[ 通知 ] フラグをクリックし、[ サーバー上のフェデレーションサービスの構成] をクリックします。

Active Directory フェデレーションサービス構成ウィザードが開きます。
[ ようこそ ] ページで、[ フェデレーションサーバーファームにフェデレーションサーバーを追加する] を選択し、[ 次へ] をクリックします。
[ AD DS への接続 ] ページで、このコンピューターが参加している AD ドメインのドメイン管理者権限を使用してアカウントを指定し、[ 次へ] をクリックします。
[ ファームの指定 ] ページで、WID を使用するファーム内のプライマリフェデレーションサーバーの名前を指定するか、SQL Server を使用する既存のフェデレーションサーバーファームのデータベースホスト名とデータベースインスタンス名を指定します。

警告

Windows Server® 2012 R2 では、SQL Server の既定のインスタンスを指定するための回避策があります。回避策は、ユーザーインターフェイスを使用しないことです。代わりに、「 Windows PowerShell を使用して新しいフェデレーションサーバーファームで最初のフェデレーションサーバーを構成するには」の手順を使用します。

重要

AD FS ファームを作成し、SQL Server を使用して構成データを格納する場合は、SQL Server 2008 以降のバージョン (SQL Server 2012 を含む) を使用できます。
[ SSL 証明書の指定 ] ページで、前に取得した SSL 証明書とキーを含む .pfx ファイルをインポートします。この証明書は、必要なサービス認証証明書です。手順 2: AD FS の SSL 証明書を登録します。この証明書を取得し、フェデレーションサーバーとして構成するコンピューターにコピーしました。ウィザードを使用して .pfx ファイルをインポートするには、[ インポート ] をクリックしてファイルの場所を参照します。メッセージが表示されたら、.pfx ファイルのパスワードを入力します。
[ サービスアカウントの指定] ページで、ファームで最初のフェデレーションサーバーを作成したときに構成したのと同じサービスアカウントを指定します。既存のグループ管理サービスアカウントまたは既存のドメインユーザーアカウントを使用できます。

重要

指定するアカウントは、このファームのプライマリフェデレーションサーバーで使用されたアカウントと同じアカウントである必要があります。
[ オプションの確認] ページで、構成の選択内容を確認し、[ 次へ] をクリックします。
[ 前提条件のチェック ] ページで、すべての前提条件チェックが正常に完了したことを確認し、[ 構成] をクリックします。
[ 結果 ] ページで、結果を確認し、構成が正常に完了したかどうかを確認し、[ フェデレーションサービスの展開を完了するために必要な次の手順] をクリックします。詳細については、 AD FS のインストールを完了するための次の手順を参照してください。 [ 閉じる ] をクリックしてウィザードを終了します。

Windows PowerShell を使用して既存のフェデレーションサーバーファームにフェデレーションサーバーを追加するには

既存の gMSA アカウントまたは既存のドメインユーザーアカウントを使用して、既存のファームにフェデレーションサーバーを追加できます。

既存の gMSA アカウントを使用してフェデレーションサーバーをファームに参加させる場合は、次の操作を行います。
1. フェデレーションサーバーとして構成するコンピューターで、必要な SSL 証明書が ローカルコンピューター\マイストア ディレクトリにインポートされていることを確認します。 SSL 証明書がインポートされたかどうかを確認するには、Windows PowerShell コマンドウィンドウで次のコマンドを実行します: dir Cert:\LocalMachine\My。証明書は、 ローカルコンピューター\マイストア ディレクトリの拇印で一覧表示されます。
2. フェデレーションサーバーとして構成するコンピューターで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
```
Add-AdfsFarmNode -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
```
  <___domain>\<GMSA_name> は、AD ドメインと、そのドメイン内の gMSA アカウントの名前です。 <first_federation_server_hostname> は、この既存のファーム内のプライマリフェデレーションサーバーのホスト名です。
  
  前の手順で<certificate_thumbprint>を実行することで、dir Cert:\LocalMachine\Myの値を取得できます。
  
  注
  
  このコマンドを初めて実行しない場合は、 OverwriteConfiguration パラメーターを追加します。
  
  注
  
  前のコマンドは、WID ファームノードを作成します。 SQL Server を実行しているコンピューターのサーバーファームノードを作成する場合は、SQL Server のインスタンスが既にインストールされ、動作している必要があります。
  
  次のコマンドを使用して、SQL Server のインスタンスを使用している既存のファームにフェデレーションサーバーを追加できます。Add-AdfsFarmNode -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"SQL_Host_Nameは SQL Server が実行されているサーバーの名前、SQL_instance_nameは SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、"Data Source=SQL_Host_Name<; の > 値を使用します。Integrated Security=True"。
  
  重要
  
  AD FS ファームを作成し、SQL Server を使用して構成データを格納する場合は、SQL Server 2008 以降のバージョン (SQL Server 2012 や SQL Server 2014 など) を使用できます。
既存のドメインユーザーアカウントを使用してフェデレーションサーバーをファームに参加させる場合は、次の操作を行います。
1. フェデレーションサーバーとして構成するコンピューターで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します: $fscred = get-credential。フェデレーションサービスアカウントに使用するドメインユーザーアカウントの資格情報を、___domain\user 名の形式で入力します。
2. フェデレーションサーバーとして構成するコンピューターで、必要な SSL 証明書が ローカルコンピューター\マイストア ディレクトリにインポートされていることを確認します。 SSL 証明書がインポートされたかどうかを確認するには、Windows PowerShell コマンドウィンドウで次のコマンドを実行します: dir Cert:\LocalMachine\My。証明書は、 ローカルコンピューター\マイストア ディレクトリの拇印で一覧表示されます。
3. 同じ Windows PowerShell コマンドウィンドウで、次のコマンドを実行します。
```
Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
```
  注
  
  このコマンドを初めて実行しない場合は、 OverwriteConfiguration パラメーターを追加します。
  
  注
  
  前のコマンドは、WID ファームノードを作成します。 SQL Server を実行しているコンピューターのサーバーファームノードを作成する場合は、SQL Server のインスタンスが既にインストールされ、動作している必要があります。次のコマンドを使用すると、SQL Server のインスタンスを使用して既存のファームにフェデレーションサーバーを追加できます。Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"SQL_Host_Nameは SQL Server のインスタンスが実行されているサーバーの名前、SQL_instance_nameは SQL Server のインスタンスの名前です。 SQL Server の既定のインスタンスを使用する場合は、"Data Source=SQL_Host_Name<; の > 値を使用します。Integrated Security=True"。
  
  重要
  
  AD FS ファームを作成し、SQL Server を使用して構成データを格納する場合は、SQL Server 2008 以降のバージョン (SQL Server 2012 や SQL Server 2014 など) を使用できます。

こちらもご覧ください

AD FS の展開

Windows Server 2012 R2 AD FS 展開ガイド

フェデレーションサーバーファームの展開

次の方法で共有

フェデレーション サーバーの構成

新しいフェデレーション サーバー ファームで最初のフェデレーション サーバーを構成する

Active Directory フェデレーション サービス構成ウィザードを使用して新しいフェデレーション サーバー ファームで最初のフェデレーション サーバーを構成するには

Windows PowerShell を使用して新しいフェデレーション サーバー ファームで最初のフェデレーション サーバーを構成するには

既存のフェデレーション サーバー ファームにフェデレーション サーバーを追加する

Active Directory フェデレーション サービス構成ウィザードを使用して既存のフェデレーション サーバー ファームにフェデレーション サーバーを追加するには

Windows PowerShell を使用して既存のフェデレーション サーバー ファームにフェデレーション サーバーを追加するには