Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
先日、以下を投稿しました。
せっかくなので、サーバーファーム構成の構成データベースを SQL Server にしてみましょう。
【準備 1】ADFS 2.0 のインストール
AD FS 2.0 をインストールしておいてください。
ただし、構成ウィザードを実行しないでください。構成ウィザードでセットアップすると、構成DB は WID(Windows Internal Database)になってしまい、あとから変更することはできません。
間違えて構成ウィザードを使用してしまった場合には、以下の手順で既存の AD FS 2.0 の環境を削除しておいてください。
【準備 2】サービスアカウントの準備
ADFSのサービスアカウントとなるユーザーを事前に作成しておいてください。ここでは「adfssvcaccount」とします。
【準備 3】SQL Server のインストール
どこかのサーバー(もちろんローカルでもOK)に SQL Server をインストールしておいてください。
【構成の実施】
現バージョンでは、SQL Server を使用するように構成するには、fsconfig.exe コマンドを使用しなければなりません。
コマンドプロンプトを起動し、C:\Program Files\Active Directory Federation Services 2.0 に移動します。
書式は以下の通りです。
FSConfig.exe CreateSQLFarm /ServiceAccount <ドメイン名>\<サービスアカウント名> /ServiceAccountPassword <サービスアカウントのパスワード> /SQLConnectionString "database=<構成DB名> ; server=<SQL Server のサーバー名>\<インスタンス名> ; integrated security=SSPI" /AutoCertRolloverEnabled
ここでは以下のパラメタで環境を作成するものとします。
- サービスアカウント : adfssvcaccount
- サービスアカウントのパスワード : P@ssw0rd
- SQL Server のサーバー名 : T330401
- SQL Server のインスタンス名 : MSSQLSERVER(デフォルトのインスタンス名)
- 構成DB名 : AdfsConfiguration (←既定のデータベース名です。変更してもかまいません。)
- SQL Server へのログオン : 統合セキュリティ
書式に埋め込んだものが以下の通りです。サービスアカウント名には必ずドメイン名を指定してください。また、規定のインスタンス(MSSQLSERVER)を使用する場合には、インスタンス名の指定は必要ありません。
FSConfig.exe CreateSQLFarm /ServiceAccount t3304\adfssvcaccount /ServiceAccountPassword P@ssw0rd /SQLConnectionString "database=AdfsConfiguration ; server=T330401 ; integrated security=SSPI" /AutoCertRolloverEnabled 実行結果例を以下に示します。
C:\Program Files\Active Directory Federation Services 2.0>FSConfig.exe CreateSQL Farm /ServiceAccount t3304\adfssvcaccount /ServiceAccountPassword P@ssw0rd /SQLC onnectionString "database=AdfsConfiguration ; server=T330401 ; integrated securi ty=SSPI" /AutoCertRolloverEnabled
新しいフェデレーション サーバー ファームを作成しています... AD FS 2.0 Windows サービスを停止しています... 正常に終了しました AD FS 構成データベースを構成しています... 正常に終了しました 署名証明書と暗号化解除証明書を共有するために Active Directory コンテナーを作成し ています... 正常に終了しました 証明書、サービス設定、およびエンドポイントを構成しています... 警告: 指定されたサービス アカウントの SPN を設定しようとしてエラーが発生しました 。サービス アカウントの SPN を手動で設定してください。サービス アカウントの SPN を手動で設定する方法の詳細については、AD FS 2.0 の展開ガイドを参照してください。
エラー メッセージ: このフェデレーション サービスに必要な SPN が別の Active Direc tory アカウントで既に設定されています。別のフェデレーション サービス名を指定して 、再度実行してください。 IIS の既定の Web サイトの /adfs/ls 仮想ディレクトリにブラウザー サインイン Web サイトを展開しています... 正常に終了しました AD FS 2.0 Windows サービスを開始しています... 正常に終了しました 既定の要求セットを作成しています... 正常に終了しました Active Directory 要求プロバイダー信頼で既定の要求受け付け規則を作成しています 正常に終了しました
構成は完了しましたが、1 つ以上の警告が発生しました。
C:\Program Files\Active Directory Federation Services 2.0>
途中、警告が1つ出ていますが、これはAD FS 2.0 のインストールや削除を繰り返すたびに、以前から使用しているサービスアカウントを使いまわしているためです。
以下のように、SQL Server の 既定のインスタンス上に構成データベースが作成されたことがわかります。
