大規模な AD FS 展開があり、フォールト トレランス、負荷分散、またはスケーラビリティを組織のフェデレーション サービスに提供する場合は、Active Directory フェデレーション サービス (AD FS) にフェデレーション サーバー ファームを作成することを検討してください。 同じネットワーク内に複数のフェデレーション サーバーを作成し、それぞれで同じフェデレーション サービスを使用するように構成し、各サーバーのトークン署名証明書の公開キーを AD FS 管理スナップインに追加することで、フェデレーション サーバー ファームが作成されます。
AD FS フェデレーション サーバー構成ウィザードを使用して、フェデレーション サーバー ファームを作成したり、既存のファームに追加のフェデレーション サーバーをインストールしたりできます。 詳細については、「 フェデレーション サーバーを作成するタイミング」を参照してください。
注
AD FS フェデレーション サーバー構成ウィザードを使用して 新しいフェデレーション サーバー ファーム を作成するオプションを選択すると、ウィザードは Active Directory にコンテナー オブジェクト (証明書の共有用) の作成を試みます。 そのため、まず、フェデレーション サーバーの役割を設定するコンピューターに、このコンテナー オブジェクトを作成するための十分なアクセス許可を持つ Active Directory アカウントでログオンすることが重要です。
フェデレーション サーバーをファームとしてグループ化するには、まず、1 つの完全修飾ドメイン名 (FQDN) に到着した要求がサーバー ファーム内のさまざまなフェデレーション サーバーにルーティングされるように、それらのサーバーをクラスター化する必要があります。 サーバー クラスターは、企業ネットワーク内にネットワーク負荷分散 (NLB) を展開することで作成できます。 このガイドでは、NLB がファーム内の各フェデレーション サーバーをクラスター化するように適切に構成されていることを前提としています。
Microsoft NLB テクノロジを使用してクラスター FQDN を構成する方法の詳細については、「 クラスター パラメーターの指定」を参照してください。
フェデレーション サーバー ファームを展開するためのベスト プラクティス
運用環境にフェデレーション サーバーを展開する場合は、次のベスト プラクティスをお勧めします。
複数のフェデレーション サーバーを同時に展開する場合、または時間の経過と同時にファームにサーバーを追加することがわかっている場合は、ファーム内の既存のフェデレーション サーバーのサーバー イメージを作成し、追加のフェデレーション サーバーをすばやく作成する必要がある場合は、そのイメージからインストールすることを検討してください。
注
サーバー イメージメソッドを使用して追加のフェデレーション サーバーを展開する場合は、「 チェックリスト: 新 しいサーバーをファームに追加するたびにフェデレーション サーバーを設定する」のタスクを完了する必要はありません。
NLB またはその他の形式のクラスタリングを使用して、多くのフェデレーション サーバー コンピューターに 1 つの IP アドレスを割り当てます。
ファーム内の各フェデレーション サーバーの静的 IP アドレスを予約し、ドメイン ネーム システム (DNS) の構成に応じて、動的ホスト構成プロトコル (DHCP) の各 IP アドレスの除外を挿入します。 Microsoft NLB テクノロジでは、NLB クラスターに参加する各サーバーに静的 IP アドレスを割り当てる必要があります。
AD FS 構成データベースが SQL データベースに格納される場合は、複数のフェデレーション サーバーから同時に SQL データベースを編集することは避けてください。
ファームのフェデレーション サーバーの構成
次の表では、各フェデレーション サーバーがファーム環境に参加できるように完了する必要があるタスクについて説明します。
| タスク | 説明 |
|---|---|
| SQL Server を使用して AD FS 構成データベースを格納する場合 | フェデレーション サーバー ファームは、同じ AD FS 構成データベースとトークン署名証明書を共有する 2 つ以上のフェデレーション サーバーで構成されます。 構成データベースは、Windows 内部データベースまたは SQL Server データベースに格納できます。 構成データベースを SQL データベースに格納する場合は、ファームに参加しているすべての新しいフェデレーション サーバーからアクセスできるように、構成データベースにアクセスできることを確認します。 手記: ファームのシナリオでは、構成データベースは、そのファームのフェデレーション サーバーとしても参加していないコンピューターに配置することが重要です。 Microsoft NLB では、ファームに参加しているコンピューターは互いに通信できません。 手記: ファームに参加するすべてのフェデレーション サーバーのインターネット インフォメーション サービス (IIS) の AD FS AppPool の ID が、構成データベースへの読み取りアクセス権を持っていることを確認します。 |
| 証明書を取得して共有する | パブリック証明機関 (CA) から 1 つのサーバー認証証明書 (VeriSign など) を取得できます。 その後、すべてのフェデレーション サーバーが証明書の同じ秘密キー部分を共有するように証明書を構成できます。 同じ証明書を共有する方法の詳細については、「 チェックリスト: フェデレーション サーバーのセットアップ」を参照してください。 手記: AD FS 管理スナップインは、フェデレーション サーバーのサーバー認証証明書をサービス通信証明書として参照します。 詳細については、「 フェデレーション サーバーの証明書の要件」を参照してください。 |
| 同じ SQL Server インスタンスをポイントする | AD FS 構成データベースが SQL データベースに格納される場合、新しいフェデレーション サーバーは、新しいサーバーがファームに参加できるように、ファーム内の他のフェデレーション サーバーで使用されているのと同じ SQL Server インスタンスを指す必要があります。 |