Share via

WID を使用するフェデレーション サーバー ファーム

  • [アーティクル]

Active Directory フェデレーション サービス (AD FS) の既定のトポロジは、Windows Internal Database (WID) を使用し、組織のフェデレーション サービスをホストする最大 5 つのフェデレーション サーバーで構成されるフェデレーション サーバー ファームです。 このトポロジでは、AD FS はそのファームに結合するすべてのフェデレーション サーバーに対する AD FS 構成データベースのストアとして、WID を使用します。 ファームでは、構成データベースのフェデレーション サービス データがファーム内の各サーバー間で複製されて管理されます。

ファームに最初のフェデレーション サーバーが作成されると、新しいフェデレーション サービスも作成されます。 WID を AD FS 構成データベースとして使用する場合、ファーム内に作成する最初のフェデレーション サーバーは、「プライマリ フェデレーション サーバー」と呼ばれます。 つまり、このコンピューターは、AD FS 構成データベースの読み取り / 書き込みコピーを使って構成されます。

このファームに対して構成する他のすべてのフェデレーション サーバーは、"セカンダリ フェデレーション サーバー" と呼ばれます。プライマリ フェデレーション サーバー上で実行された変更を、AD FS 構成データベースの読み取り専用コピーに複製し、ローカルに保存する必要があるからです。

注意

負荷分散の構成では、少なくとも 2 台のフェデレーション サーバーを使用することをお勧めします。

デプロイに関する考慮事項

このセクションでは、対象となるユーザーと、利点と、この展開トポロジに関連付けられている制限事項に関するさまざまな考慮事項について説明します。

このトポロジを使用する必要がありますか。

  • 内部ユーザー (企業ネットワークに物理的に接続されているコンピューターにログオンしている) に、フェデレーション アプリケーションまたはサービスへのシングル サインオン (SSO) アクセスを提供する必要があり、構成された信頼関係が 100 以下である組織

  • 内部ユーザーに、Microsoft Online Services または Microsoft Office 365 への SSO アクセスを提供する必要がある組織

  • 冗長でスケーラブルなサービスを必要とするより規模の小さな組織

注意

大規模なデータベースがある組織では、このセクションで後述する、SQL Server を使用するフェデレーション サーバー ファーム展開トポロジの使用を検討する必要があります。 ネットワークの外部からログインするユーザーがいる組織では、WID とプロキシを使用するフェデレーション サーバー ファーム トポロジまたは SQL Server を使用するフェデレーション サーバー ファーム トポロジのいずれかの使用を検討する必要があります。

このトポロジを使用する利点とは

  • 内部ユーザーに SSO アクセスを提供する

  • データとフェデレーション サービスの冗長性 (各フェデレーション サーバーは、同じファーム内の他のフェデレーション サーバーに変更を複製します)

  • 最大 5 つのフェデレーション サーバーを追加して、ファームをスケールアウトできます

  • WID は Windows に含まれているため、SQL Server を購入する必要はありません

このトポロジを使用する場合の制限事項を挙げてください。

  • WID ファームのフェデレーション サーバーは、30 個までに制限されています。 詳細については、「AD FS 展開トポロジに関する考慮事項」を参照してください。

  • WID ファームは、トークン リプレイ検出またはアーティファクト解決 (Security Assertion Markup Language (SAML) プロトコルの一部) はサポートしていません。

サーバー配置とネットワーク レイアウトに関する推奨事項

ネットワークへのこのトポロジの展開を開始する準備ができたら、会社のネットワークのすべてのフェデレーション サーバーを、ネットワーク負荷分散 (NLB) ホストの背後に配置するように計画する必要があります (NLB ホストは、専用のクラスター ドメイン ネーム システム (DNS) 名とクラスター IP アドレスを使用した NLB クラスター用に構成可能です)。

注意

このクラスター DNS 名は、fs.fabrikam.com などのフェデレーション サービス名と一致する必要があります。

NLB ホストは、この NLB クラスターに定義された設定を使用して、クライアントの要求を個々のフェデレーション サーバーに割り当てることができます。 以下の図は、架空の Fabrikam, Inc. 社が 2 台のコンピューターで WID を使用するフェデレーション サーバー ファーム (fs1 および fs2) を使用した展開の 1 番目のフェーズをセットアップする様子と、DNS サーバーおよび 1 台の NLB ホスト (会社のネットワークにケーブルで接続) を配置する様子を表しています。

server farm using WID

Note

この 1 台の NLB ホストで障害が発生すると、ユーザーはフェデレーション アプリケーションまたはサービスにアクセスできません。 ビジネス要件でこのような単一障害点を容認できない場合は、別の NLB ホストを追加します。

フェデレーション サーバーで使用するネットワーク環境を構成する方法の詳細については、AD FS 設計ガイドの「フェデレーション サーバーの名前解決の要件」を参照してください。

参照

Windows Server 2012 での AD FS 設計ガイド