Windows Server 2012 R2 上の AD FS に対してエクストラネット アクセスを構成する

  • [アーティクル]

適用対象: Azure、Office 365、Power BI、Windows Intune

このトピックでは、Web アプリケーション プロキシ役割サービスを使って、リモート アクセス役割をインストールする方法と、Web アプリケーション プロキシ サーバーを Active Directory Federation Services (AD FS) サーバーに接続する方法を説明します。

2.2. リモート アクセスの役割をインストールする

Web アプリケーション プロキシを配置するには、Web アプリケーション プロキシ役割サービスを使って、Webアプリケーション プロキシ サーバーとして動作するサーバー上にリモート アクセス役割をインストールする必要があります。

Web アプリケーション プロキシ サーバーとして展開するすべてのサーバーにこの手順を繰り返します。

ユーザー インターフェイスを介して Web アプリケーション プロキシ役割サービスをインストールするには

  1. Web アプリケーション プロキシ サーバーのサーバー マネージャー コンソールの [ダッシュボード] で、[役割と機能の追加] をクリックします。

  2. [役割と機能の追加ウィザード][次へ] を 3 回クリックし、サーバーの役割の選択画面に移動します。

  3. [サーバーの役割の選択] ダイアログで、[リモート アクセス] を選択し、[次へ] をクリックします。

  4. [次へ] を 2 回クリックします。

  5. [役割サービスの選択] ダイアログで [Web アプリケーション プロキシ] を選択して、[機能の追加][次へ] の順にクリックします。

  6. [インストール オプションの確認] ダイアログで、[インストール] をクリックします。

  7. [インストールの進行状況] ダイアログで、インストールが正常に完了したことを確認し、[閉じる] をクリックします。

Windows PowerShell を介して Web アプリケーション プロキシ役割サービスをインストールするには

  1. 次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

    次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. Web アプリケーション プロキシの構成

Web アプリケーション プロキシを AD FS サーバーに接続するように構成する必要があります。

Web アプリケーション プロキシ サーバーとして展開するすべてのサーバーにこの手順を繰り返します。

ユーザー インターフェイスを介して Web アプリケーション プロキシを構成するには

  1. Web アプリケーション プロキシ サーバーで、リモート アクセス管理コンソール (RAMgmtUI.exe) を開き、Enter キーを押します。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

  2. ナビゲーション ウィンドウで [Web アプリケーション プロキシ] をクリックします。

  3. リモート アクセス管理コンソールの中央ペインで、[Web アプリケーション プロキシ構成ウィザードを実行する] をクリックします。

  4. [Web アプリケーション プロキシ構成ウィザード][ようこそ] ダイアログで、[次へ] をクリックします。

  5. [フェデレーション サーバー] ダイアログで次の操作を行い、[次へ] をクリックします。

    • [フェデレーション サービス名] ボックスに、fs.fabrikam.com など、AD FS サーバーの完全修飾ドメイン名 (FQDN) を入力します。

    • [ユーザー名] ボックスと [パスワード] ボックスに、AD FS サーバーのローカル管理者アカウントの資格情報を入力します。

  6. [AD FS プロキシの証明書] ダイアログの Web アプリケーション プロキシ サーバーに現在インストールされている証明書の一覧で、AD FS プロキシ機能用に Web アプリケーション プロキシが使用する証明書を選択して、[次へ] をクリックします。

    ここで選択した証明書は、件名がフェデレーション サービス名 (fs.fabrikam.com など) となる証明書です。

  7. [確認] ダイアログで設定を確認します。 必要に応じて、追加のインストールを自動化するために PowerShell コマンドレットをコピーできます。 [構成] をクリックします。

  8. [結果] ダイアログで、構成が正常に完了したことを確認し、[閉じる] をクリックします。

Windows PowerShell を介して Web アプリケーション プロキシを構成するには

  1. 次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

    次のコマンドを実行すると、AD FS サーバーのローカル管理者アカウントの資格情報を入力するように求められます。

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Web アプリケーション プロキシと AD FS サーバー間の輻輳制御の最適化 - 省略可能な手順

Web アプリケーション プロキシとフェデレーション サーバー間の待機時間が増加し、特定のしきい値を超えると、Web アプリケーション プロキシ側のエクストラネットは、エクストラネットからの要求を調整することができます。 Web アプリケーション プロキシとフェデレーション サーバー間で認証要求を処理する待ち時間によって、フェデレーション サーバーの過負荷状態が検出されると、この機能に基づいて、Web アプリケーション プロキシは外部クライアントの認証要求を拒否します。 これは、AIMD (Additive Increase Multiplicative Decrease) と呼ばれる、TCP の輻輳制御に採用されている類似のアルゴリズムに密接に関係しています。 Web アプリケーション プロキシで受信される要求ごとに、トークンが 1 つリースされるトークン プールによって表される輻輳ウィンドウを使うことで、このソリューションは機能します。

待ち時間が長い DMZ ネットワークや負荷が高い Web アプリケーション プロキシでは、フェデレーション サーバーがこのような要求を正常に満たすことができる場合でも、このアルゴリズムを制御する既定の設定に基づいて、認証要求が拒否されることがあります。 そのような環境では、次の手順を実行して、より緩やかな設定に変更することを強く推奨します。

  1. Web アプリケーション プロキシ コンピューターで、管理者特権のコマンド ウィンドウを起動します。

  2. ADFS ディレクトリ ( %WINDIR%\adfs\config) に移動します。

  3. 輻輳制御の設定を既定値から '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />' に変更します。

  4. ファイルを保存して閉じます。

  5. 'net stop adfssrv' を実行し、'net start adfssrv' を実行して AD FS サービスを再起動します。

次のステップ

Web アプリケーション プロキシ コンピューターを構成したことを確認したら、次の手順は、AD FS でのシングル サインオンにWindows PowerShellをインストールすることです。

参照

概念

エクストラネット アクセスを構成するためにネットワーク インフラストラクチャを準備する
チェックリスト: AD FS を使用してシングル サインオンを実装および管理する