WID とプロキシを使用したレガシ AD FS フェデレーション サーバー ファーム

Active Directory フェデレーション サービス (AD FS) のこの展開トポロジは、Windows 内部データベース (WID) トポロジを持つフェデレーション サーバー ファームと同じですが、外部ユーザーをサポートするために境界ネットワークにプロキシ コンピューターを追加します。 これらのプロキシは、企業ネットワークの外部から送信されたクライアント認証要求をフェデレーション サーバー ファームにリダイレクトします。 以前のバージョンの AD FS では、これらのプロキシはフェデレーション サーバー プロキシと呼ばれます。

デプロイに関する考慮事項

このセクションでは、この展開トポロジに関連する対象ユーザー、利点、制限事項に関するさまざまな考慮事項について説明します。

誰がこのトポロジを使用するべきですか？

• 内部ユーザーと外部ユーザー (企業ネットワークの外部にあるコンピューターにログオンしているユーザー) の両方にフェデレーション アプリケーションまたはサービスへのシングル サインオン (SSO) アクセスを提供する必要がある、構成済みの信頼関係が 100 以下の組織

• 内部ユーザーと外部ユーザーの両方に Microsoft Office 365 への SSO アクセスを提供する必要がある組織

• 外部ユーザーが存在し、冗長でスケーラブルなサービスを必要とする小規模な組織

このトポロジを使用する利点は何ですか?

• WID トポロジを使用するフェデレーション サーバー ファームの一覧と同じ利点と、外部ユーザーに追加のアクセスを提供する利点

このトポロジを使用する場合の制限事項は何ですか?

• WID トポロジを使用するフェデレーション サーバー ファームの一覧と同じ制限事項

  1-100 RP トラスト	100以上のRP信託
  1 から 30 の AD FS ノード: WID がサポートされています	1 から 30 の AD FS ノード: WID の使用はサポートされていません - SQL 必須
  30 を超える AD FS ノード: WID の使用はサポートされていません - SQL 必須	30 を超える AD FS ノード: WID の使用はサポートされていません - SQL 必須

サーバーの配置とネットワーク レイアウトに関する推奨事項

このトポロジを展開するには、2 つの Web アプリケーション プロキシを追加するだけでなく、境界ネットワークがドメイン ネーム システム (DNS) サーバーと 2 つ目のネットワーク負荷分散 (NLB) ホストへのアクセスも提供できることを確認する必要があります。 2 番目の NLB ホストは、インターネットにアクセス可能なクラスター IP アドレスを使用する NLB クラスターで構成する必要があります。また、企業ネットワーク (fs.fabrikam.com) で構成した以前の NLB クラスターと同じクラスター DNS 名設定を使用する必要があります。 Web アプリケーション プロキシも、インターネットからアクセス可能な IP アドレスで構成する必要があります。

次の図は、前述の WID トポロジを持つ既存のフェデレーション サーバー ファームと、架空の Fabrikam, Inc. 社が境界 DNS サーバーへのアクセスを提供し、同じクラスター DNS 名 (fs.fabrikam.com) を持つ 2 つ目の NLB ホストを追加し、2 つの Web アプリケーション プロキシ (wap1 と wap2) を境界ネットワークに追加する方法を示しています。

フェデレーション サーバーまたは Web アプリケーション プロキシで使用するネットワーク環境を構成する方法の詳細については、「 AD FS の要件 と Web アプリケーション プロキシ インフラストラクチャ (WAP) を計画する」の「名前解決の要件」セクションを参照してください。

こちらもご覧ください

AD FS 展開トポロジを計画するWindows Server 2012 R2 における AD FS 設計ガイド