AD FS が PDC と通信するケース


皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。

今回は、簡単ですが AD FS が PDC と通信する3つのケースについてご案内します。

ドメイン コントローラーが各拠点に散らばっている場合などに、ご留意ください。

 

- 対象リリース
Windows Server 2012 R2 (AD FS 3.0)

 

(1) AD FS 構成ウィザードの実行時

AD FS 構成ウィザード中で、PDC にアクセスいたします。

したがって、PDC と通信できない場合にはウィザードが失敗いたしますので、ご注意ください。

 

(2) パスワード更新機能利用時

AD FS には、オンプレミス ドメインのユーザーのパスワードを更新する機能がございます。

 

(ご参考)

https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/update-password-customization

 

この機能を利用してパスワードを更新する際には、PDC にアクセスいたします。

PDC と通信ができない場合には、パスワードを更新できませんので、ご注意ください。

 

(3) エクストラネット ロックアウト機能利用時

AD FS には、外部からの攻撃によりドメイン ユーザーがロックアウトすることを防ぐ目的で、エクストラネット ロックアウトと呼ばれる機能がございます。

 

(ご参考)

https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/configure-ad-fs-extranet-lockout-protection

 

本機能は、WAP を経由した認証要求については、都度 AD FS が PDC にアクセスし、badPwdCount を確認する動作がございます。

この時、PDC と通信できない状態ですと、認証に失敗いたしますのでご注意ください。

 

ADFS extranet lockout and PDC requirement

 

今回のご案内は以上です。

参考になれば幸いです。

 

※ コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。


Comments (0)

Skip to main content