Active Directory フェデレーション サービス (AD FS) の既定のトポロジは、Windows 内部データベース (WID) を使用するフェデレーション サーバー ファームです。 このトポロジでは、AD FS は、そのファームに参加しているすべてのフェデレーション サーバーの AD FS 構成データベースのストアとして WID を使用します。 ファームは、ファーム内の各サーバー間で構成データベース内のフェデレーション サービス データをレプリケートおよび維持します。 Windows Server 2012 R2 の AD FS を使用すると、100 以下の証明書利用者信頼を持つ組織は、WID を使用してフェデレーション サーバー ファームを最大 30 台のサーバーで構成できます。
ファームで最初のフェデレーション サーバーを作成する操作では、新しいフェデレーション サービスも作成されます。 AD FS 構成データベースに WID を使用する場合、ファームに作成する最初のフェデレーション サーバーは プライマリ フェデレーション サーバーと呼ばれます。 これは、このコンピューターが AD FS 構成データベースの読み取り/書き込みコピーで構成されていることを意味します。
このファーム用に構成する他のすべてのフェデレーション サーバーは 、プライマリ フェデレーション サーバー で行われた変更を、ローカルに格納されている AD FS 構成データベースの読み取り専用コピーにレプリケートする必要があるため、セカンダリ フェデレーション サーバーと呼ばれます。
重要
負荷分散された構成では、少なくとも 2 つのフェデレーション サーバーを使用することをお勧めします。
デプロイに関する考慮事項
このセクションでは、この展開トポロジに関連する対象ユーザー、利点、制限事項に関するさまざまな考慮事項について説明します。
誰がこのトポロジを使用するべきですか?
内部ユーザー (企業ネットワークに物理的に接続されているコンピューターにログオン) にフェデレーション アプリケーションまたはサービスへのシングル サインオン (SSO) アクセスを提供する必要がある、構成済みの信頼関係が 100 以下の組織
内部ユーザーに Microsoft Online Services または Microsoft Office 365 への SSO アクセスを提供する必要がある組織
冗長でスケーラブルなサービスを必要とする小規模な組織
注
大規模なデータベースを持つ組織では、SQL Server 展開トポロジを 使用したフェデレーション サーバー ファームの使用を検討する 必要があります。 ネットワークの外部からログインするユーザーを持つ組織では、 WID およびプロキシ トポロジを使用するフェデレーション サーバー ファーム または SQL Server トポロジを使用したフェデレーション サーバー ファームの使用 を検討する必要があります。
このトポロジを使用する利点は何ですか?
内部ユーザーに SSO アクセスを提供します
データとフェデレーション サービスの冗長性 (各フェデレーション サーバーは、同じファーム内の他のフェデレーション サーバーに変更をレプリケートします)
WID は Windows に含まれています。そのため、SQL Server を購入する必要はありません。
このトポロジを使用する場合の制限事項は何ですか?
証明書利用者の信頼が 100 個以下の場合、WID ファームには 30 のフェデレーション サーバーの制限があります。
WID ファームでは、トークン再生の検出やアーティファクト解決 (セキュリティ アサーション マークアップ言語 (SAML) プロトコルの一部) はサポートされていません。
次の表に、WID ファームの使用方法の概要を示します。 これを使用して実装を計画します。
| 1-100 RP トラスト | 100 個を超える RP 信頼 |
|---|---|
| 1 から 30 の AD FS ノード: WID がサポートされています | 1 から 30 の AD FS ノード: WID の使用はサポートされていません - SQL 必須 |
| 30 を超える AD FS ノード: WID の使用はサポートされていません - SQL 必須 | 30 を超える AD FS ノード: WID の使用はサポートされていません - SQL 必須 |
サーバーの配置とネットワーク レイアウトに関する推奨事項
このトポロジをネットワークに展開する準備ができたら、専用クラスター ドメイン ネーム システム (DNS) 名とクラスター IP アドレスを持つ NLB クラスター用に構成できるネットワーク負荷分散 (NLB) ホストの背後に、企業ネットワーク内のすべてのフェデレーション サーバーを配置することを計画する必要があります。
注
このクラスター DNS 名は、フェデレーション サービス名 (たとえば、fs.fabrikam.com) と一致する必要があります。
NLB ホストは、この NLB クラスターで定義されている設定を使用して、個々のフェデレーション サーバーにクライアント要求を割り当てることができます。 次の図は、架空の Fabrikam, Inc. 社が、WID を備えた 2 台のコンピューターフェデレーション サーバー ファーム (fs1 と fs2) を使用して展開の最初のフェーズを設定し、DNS サーバーと企業ネットワークに接続された単一の NLB ホストを配置する方法を示しています。
WID を使用するサーバーファーム
注
この単一の NLB ホストでエラーが発生した場合、ユーザーはフェデレーション アプリケーションまたはサービスにアクセスできなくなります。 ビジネス要件で単一障害点が許容されない場合は、NLB ホストを追加します。
フェデレーション サーバーで使用するネットワーク環境を構成する方法の詳細については、「 AD FS の要件」の「名前解決要件」セクションを参照してください。