フェデレーション サーバー プロキシ ファームを作成するのに適した状況
大規模な Active Directory フェデレーション サービス (AD FS) を展開する場合、プロキシ展開のためフォールト トレランス、負荷分散機能、スケーラビリティを提供する必要がある場合に、追加のフェデレーション サーバー プロキシをインストールすることを検討します。 同じ境界ネットワーク内に 2 つ以上のフェデレーション サーバー プロキシを作成し、それぞれを同じ AD FS フェデレーション サービスを保護するように構成することで、フェデレーション サーバー プロキシ ファームが作成されます。
AD FS フェデレーション サーバー プロキシの構成ウィザードを使用すると、フェデレーション サーバー プロキシ ファームを新しく作成することも、既存のファームにフェデレーション サーバー プロキシを追加インストールすることもできます。 詳細については、「 When to Create a Federation Server Proxy」を参照してください。
すべてのフェデレーション サーバー プロキシをファームとして機能させるには、まずこれらを 1 つの IP アドレスおよび 1 つのドメイン ネーム システム (DNS) の完全修飾ドメイン名 (FQDN) の下にクラスター化する必要があります。 サーバーをクラスター化するには、境界ネットワーク内に Microsoft ネットワーク負荷分散 (NLB) を展開します。 次の表のタスクでは、ファーム内のフェデレーション サーバー プロキシをクラスター化するように NLB を適切に構成する必要があります。
Microsoft NLB テクノロジを使用してクラスターの FQDN を構成する方法の詳細については、「クラスター パラメーターの指定」を参照してください。
ファーム用のフェデレーション サーバー プロキシの構成
次の表では、各フェデレーション サーバー プロキシがファームに参加できるようにするために完了する必要のあるタスクについて説明します。
タスク | 説明 |
---|---|
ファーム内のすべてのプロキシで同じ AD FS フェデレーション サービス名を参照する | フェデレーション サーバー プロキシを作成した場合、ファームに参加するすべてのフェデレーション サーバー プロキシについて AD FS フェデレーション サーバー プロキシの構成ウィザードに同じフェデレーション サービス名を入力する必要があります。 フェデレーション サーバー プロキシはこの DNS ホスト名を構成する URL を使用して、どの AD FS フェデレーション サービス インスタンスに接続するかを決定します。 詳細については、「 Configure a Computer for the Federation Server Proxy Role」を参照してください。 |
証明書を取得して共有する | パブリック証明機関 (CA) (VeriSign など) からサーバー認証証明書を取得して、すべてのフェデレーション サーバー プロキシで各フェデレーション サーバー プロキシについて既定の Web サイト上の同じ証明書の同じ秘密キー部分を共有するように証明書を構成できます。 証明書を共有するには、各フェデレーション サーバー プロキシの既定の Web サイトに同じサーバー認証証明書をインストールする必要があります。 詳細については、「サーバー認証証明書を既定の Web サイトにインポートする」を参照してください。 詳細については、「 Certificate Requirements for Federation Server Proxies」を参照してください。 |
新しいフェデレーション サーバー プロキシを追加してフェデレーション サーバー プロキシ ファームを作成する方法の詳細については、「チェックリスト: フェデレーション サーバー プロキシのセットアップ」を参照してください。