エクストラネット アクセスを構成するためにネットワーク インフラストラクチャを準備する

  • [アーティクル]

適用対象: Azure、Office 365、Power BI、Windows Intune

以下の手順を使用してすべてのタスクを完了するには、まず Administrators グループのメンバーとしてコンピューターにログインしているか、同等の権限が委任されている必要があります。

Checklistチェックリスト: エクストラネット アクセスを構成するためのネットワーク インフラストラクチャを準備する

展開タスク このセクションのトピックへのリンク 完了

1. フェデレーション サーバー プロキシとして設定するには、Windows Server 2008、Windows Server 2008 R2、またはオペレーティング システムWindows Server 2012実行している 2 台のコンピューターを準備します。 Windows Server 2012 R2 で AD FS を使用している場合はプロキシ コンピューターでも Windows Server 2012 R2 を実行する必要があり、またエクストラネット アクセス向けに AD FS を構成するために使用できる新しいリモート アクセス ロール サービスである Web アプリケーション プロキシを展開する必要があります。 ユーザーが所有している台数に応じて、既存の Web サーバーまたはプロキシ サーバーを使用したり、専用のコンピューターを使用することができます。

該当なし

 Checkbox

2. 企業ネットワーク内のフェデレーション サービスの名前 (企業ネットワークの NLB ホストで前に作成したクラスター DNS 名) とその関連するクラスター IP アドレスを、境界ネットワーク内の各フェデレーション サーバー プロキシまたは Web アプリケーション プロキシ コンピューター上のホスト ファイルに追加します。

クラスター DNS 名と IP アドレスをプロキシ コンピューターの hosts ファイルに追加する

 Checkbox

3. 境界ネットワークの NLB ホストに新しいクラスター DNS 名とクラスター IP アドレスを作成し、フェデレーション サーバー コンピューターを NLB クラスターに追加します。 現在の NLB ホストに Windows Server テクノロジを使用している場合は、ご使用のオペレーティング システムのバージョンに基づいて、右側の適切なリンクを選択します。

重要

この新しい NLB クラスターに使用するクラスター DNS 名は、会社のネットワークのフェデレーション サービス名と一致する必要があります。

注意

この手順は、この SSO ソリューションで単一の AD FS フェデレーション サーバーを使用するテスト展開では省略可能です。

Windows Server 2003 および Windows Server 2003 R2 で NLB クラスターを作成して構成するには、「チェックリスト: ネットワーク負荷分散の有効化と構成」を参照してください。

Windows Server 2008 で NLB クラスターを作成して構成するには、「ネットワーク負荷分散クラスターの作成」を参照してください。

Windows Server 2008 R2 で NLB クラスターを作成して構成するには、「ネットワーク負荷分散クラスターの作成」を参照してください。

Windows Server 2012または Windows Server 2012 R2 の NLB の詳細については、「ネットワーク負荷分散の概要」を参照してください。

 Checkbox

4. NLB クラスターのクラスター DNS 名をそのクラスター IP アドレスにポイントする、境界ネットワーク DNS 内の NLB クラスターの新しいリソース レコードを作成します。

ADFS 対応 Web サーバーの境界 DNS サーバーにホスト (A) レコードを追加します。

 Checkbox

5. 企業ネットワーク内のフェデレーション サーバーで使用される証明書と同じサーバー認証証明書を使用します。 Windows Server 2008 または Windows Server 2012 で AD FS を使用している場合、フェデレーション サーバー プロキシ コンピューターの既定の Web サイトに、この証明書をインストールする必要があります。 Windows Server 2012 R2 で AD FS を使用している場合、Web アプリケーション プロキシとして機能するコンピューターの個人証明書ストアに、この証明書をインポートする必要があります。

プロキシ コンピューターにサーバー認証証明書をインポートする

 Checkbox

クラスター DNS 名と IP アドレスをプロキシ コンピューターの hosts ファイルに追加する

フェデレーション サーバー プロキシまたは Web アプリケーション プロキシが境界ネットワーク上で正常に動作するためには、企業ネットワークの NLB によりホストされるクラスター DNS 名 (fs.fabrikam.com など) とその IP アドレス (172.16.1.3 など) をポイントする、各フェデレーション サーバー プロキシまたは Web アプリケーション プロキシ コンピューター上の hosts ファイルに、エントリを追加する必要があります。 hosts ファイルにこのエントリを追加することで、フェデレーション サーバー プロキシまたは Web アプリケーション プロキシは、クライアントが開始した呼び出しを、境界ネットワークの内部または外部にあるフェデレーション サーバーに適切にルーティングすることができます。

クラスター DNS 名と IP アドレスをプロキシの hosts ファイルに追加するには

  1. %systemroot%\Winnt\System32\Drivers ディレクトリ フォルダーに移動し、hosts ファイルを見つけます。

  2. メモ帳を起動し、hosts ファイルを開きます。

  3. 以下の例に示すように、フェデレーション サーバーの IP アドレスとホスト名を hosts ファイル内に追加します。

    172.16.1.3fs.fabrikam.com

  4. ファイルを保存して閉じます。

重要

企業ネットワークの NLB ホストのクラスター IP アドレスで変更が発生した場合、各フェデレーション サーバー プロキシまたは Web アプリケーション プロキシ上でローカルの hosts ファイルを更新する必要があります。

境界の NLB ホストに構成されたクラスター DNS 名のリソース レコードを境界の DNS に追加する

境界ネットワークの内部または外部にあるクライアントからの認証要求に対応するには、AD FS では、組織のゾーン (fabrikam.com など) をホストする外向きの DNS サーバー上で名前解決が構成されている必要があります。

これを行うには、ホスト (A) のリソース レコードを、境界ネットワークのみにクラスター DNS 名 ("fs.fabrikam.com" など) を提供する外部に面した DNS サーバーに追加して、先ほど構成した外部のクラスター IP アドレスを指すようにします。

境界の NLB ホストに構成されたクラスター DNS 名のリソース レコードを境界の DNS に追加するには

  1. 境界ネットワークの DNS サーバーで、DNS スナップインを開きます。 [スタート] ボタンをクリックし、[管理ツール] をポイントして、[DNS] をクリックします。

  2. コンソール ツリーで、該当する前方参照ゾーン (fabrikam.com など) を右クリックし、[新しいホスト (A または AAAA)] をクリックします。

  3. [名前] に、境界ネットワークの NLB ホストで指定したクラスター DNS 名の名前のみを入力します (これは、フェデレーション サービスの名前と同じ DNS 名である必要があります)。 たとえば、完全修飾ドメイン名 fs.fabrikam.com の場合は、「fs」と入力します。

  4. [IP アドレス] に、境界ネットワークの NLB ホストで指定した新しいクラスター IP アドレスの IP アドレスを入力します。 たとえば、「192.0.2.3」と入力します。

  5. [ホストの追加] をクリックします。

プロキシ コンピューターにサーバー認証証明書をインポートする

企業ネットワークのいずれかのフェデレーション サーバーにより使用されるサーバー認証証明書を取得した後、その証明書を次のいずれかに手動でインストールする必要があります。

  1. Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 で AD FS を使用している場合、組織の各フェデレーション サーバー プロキシの既定の Web サイト

  2. Windows Server 2012 R2 で AD FS を使用している場合、組織の各 Web アプリケーション プロキシの個人用ストア

この証明書は AD FS のクライアントと Microsoft クラウド サービスに信頼される必要があるため、公的な (サードパーティ) CA ないしは、VeriSign や Thawte などの公的に信頼されるルートに属する CA が発行する SSL 証明書を使用します。 公的な CA から証明書をインストールする方法については、「インターネット サーバー証明書を要求する (IIS 7)」を参照してください。

注意

このサーバー認証証明書のサブジェクト名は、NLB ホストで以前に作成したクラスターの DNS 名 (例: fs.fabrikam.com) の FQDN と一致している必要があります。 インターネット インフォメーション サービス (IIS) がインストールされていない場合、このタスクを完了するには、最初に IIS をインストールする必要があります。 IIS を初めてインストールする場合は、サーバーの役割のインストール中に表示されるダイアログで、既定の機能オプションを使用することをお勧めします。

フェデレーション サーバー プロキシの既定の Web サイトにサーバー認証証明書をインポートするには

  1. [スタート] をクリックし、[すべてのプログラム] を指し、[管理ツール] を指し、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

  2. コンソール ツリーで、[コンピューター名] をクリックします。

  3. 中央のペインで、[サーバー証明書] をダブルクリックします。

  4. [アクション] ペインで、[インポート] をクリックします。

  5. [証明書のインポート] ダイアログ ボックスで、[] ボタンをクリックします。

  6. pfx 証明書ファイルの場所に移動し、ファイルを強調表示し、[開く] をクリックします。

  7. 証明書のパスワードを入力し、[OK] をクリックします。

Web アプリケーション プロキシの個人用ストアにサーバー認証証明書をインポートするには

  1. 証明書のインポートの手順を使用して、このタスクを完了できます。

次のステップ

Web アプリケーション プロキシまたはフェデレーション サーバー プロキシ用のネットワーク インフラストラクチャの準備が完了したため、次の手順では、使用する AD FS のバージョンに応じて、以下のトピックまたはチェックリストにあるタスクを完了します。

参照

概念

チェックリスト: AD FS を使用してシングル サインオンを実装および管理する