AD FS の証明書更新手順(トークン署名証明書、トークン暗号化解除証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 前回に引き続き、本エントリではトークン署名証明書、トークン暗号化解除証明書の更新手順をご紹介いたします。 トークン署名証明書、トークン暗号化解除証明書は AD FS が発行する自己証明書であり、既定では1年に1回自動的に新しい証明書の作成、更新処理が行われます。 これを、自動ロールオーバー機能と呼びます。 自動ロールオーバー機能は、具体的には以下のように動作します。 1. 有効期限が切れる 20 日前に、セカンダリのトークン署名/トークン暗号化解除証明書を作成します。 2. 上記 1 でセカンダリの証明書が作成されてから 5日後に、セカンダリの新しい証明書がプライマリとなり、実際に利用されるようになります。 ※ この 5日間の間に、証明書利用者信頼に新しい証明書を登録する必要があります。 ここでは、これらの証明書を手動で更新する手順をご案内いたします。 また、補足として証明書の有効期限を既定の 1年 から変更する方法についても併せてご紹介いたします。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. セカンダリのトークン署名/トークン暗号化解除証明書を作成 2. 証明書利用者信頼 (Office 365) の証明書情報を更新 3. セカンダリのトークン署名/トークン暗号化解除証明書をプライマリに昇格 4. Active Directory…

0

AD FS の証明書更新手順 (SSLサーバー証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。 本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。 – 対象リリース Windows Server 2012 R2 (AD FS 3.0) – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. 証明書の取得 2. SSL サーバー証明書、ルート証明書、中間証明書のインストール 3. SSL サーバー証明書のアクセス権設定 4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定 5. AD FS の SSL サーバー証明書を更新 6. WAP サーバーを再構成 それぞれの詳細を後述致します。 —————————————————————- 1. 証明書の取得 —————————————————————- ご利用になる認証機関から SSL…

0

AD FS の自動証明書ロールオーバー機能について

こんにちは、プラットフォーム サポート チームの加藤です。 AD FS の自動証明書ロールオーバー機能についてご案内します。   (a) ご案内の目的 (b) 対象の AD FS (c) 自動証明書ロールオーバー機能とは (d) 想定されるリスク (e) 対処策 (f) 補足   (a) ご案内の目的 AD FS の自動証明書ロールオーバー機能が動作することで、連携をしていただいているサービス (RP・IdP) によりましては運用に影響を及ぼす可能性がございます。 そのため、多くのお客様に正しく AD FS の自動証明書ロールオーバー機能をご理解いただけますよう、その一助となればと思いまして本ご案内にて情報の提供を行わせていただくことになりました。   (b) 対象の AD FS 本ご案内の対象となる AD FS は以下になります。   Windows Server 2008 R2 の AD FS 2.0 Windows Server 2012 の…

0

NLB(マルチキャストモード) 構築時の注意点 およびロードバランサー機器導入環境における ADFS 構築時の要件について

皆様、こんにちは。Windows サポートチームの山本です。 今回は、Windows Server の持つ負荷分散機能であるネットワーク負荷分散(以下、NLB)をマルチキャスト モードで構成した際の注意点ならびに、ロードバランサーなどを用いて ADFS を導入する際の要件について取り上げます。 NLB をマルチキャスト モードで構成した際に、お使いのルーターまたは L3 スイッチによっては、静的に NLB ホストの仮想 IP アドレスおよび仮想 MAC アドレス(03-BF-xx-xx-xx-xx)を関連付けるARP エントリーを事前に登録しておかないと、正常に通信が出来ない場合がございます。 これは、仮想 MAC アドレス(03-BF-xx-xx-xx-xx)に関連付けられた ARP を認識しないために発生します。 また、ロードバランサーなどを用いて AD FS の負荷分散を行うためには、AD FS サーバーファームを構築します。まずは、プライマリの AD FS サーバーを構築し、そのファームに追加するようにセカンダリの AD FS サーバーを構築します。後は、ロードバランサーなどにより各サーバーへの分散を行うことで負荷分散を目的とした AD FS サーバーファームが構築できます。AD FS の構築の際には、以下システム要件のページをご参照いただき、要件の不足がないように十分にご留意ください。 AD FS Requirementshttps://technet.microsoft.com/en-us/library/dn554247.aspx <関連キーワード>

0

AD FS 2.0 事例紹介 「AD FS サーバーと AD FS Proxy サーバー間の時刻ずれ」

皆様、こんにちは。Windows プラットフォーム サポート担当の田中です。 今回も、「AD FS 2.0 サーバー」につきまして、よくお問い合わせいただきます事例をご紹介いたします。特に最近お問い合わせが多い問題ですので、同様の問題が発生し得る構成となっていないかご確認いただけましたら幸いです。 1) 問題の概要突然、AD FS Proxy サーバー経由の認証で問題が発生するようになった。AD FS サーバーに直接アクセスする認証は問題ない。AD FS Proxy サーバー上での AD FS サービス起動時や、AD FS Proxy サーバー経由の認証を行う際に、AD FS Proxy サーバー上で AD FS 2.0/Admin エラー ID: 248 や 364 が記録される。 2) 対処策AD FS Proxy サーバーと AD FS サーバー間に 5 分以上の時刻のずれがある場合、AD FS Proxy サーバー経由の認証が失敗します。時刻ずれがある場合は、まず手動で時刻を合わせます。 3) 時刻同期先の設定AD FS サーバーはドメイン参加が必須です。一方、AD FS Proxy サーバーは…

0

AD FS 2.0 事例紹介 「ADMIN0017: 構成サービスへの接続中に例外が発生しました。」

皆様、こんにちは。Windows プラットフォーム サポート担当の田中です。 クラウド システムの台頭と共に、認証機能の連携のために利用いただくことが多くなりました、「AD FS 2.0 サーバー」につきまして、よくお問い合わせいただきます事例をご紹介いたします。以下ご紹介いたします問題は、AD FS の機能以外にも問題を引き起こすため、ご利用の環境が同様の問題が発生し得る状況でないか、ご確認いただけましたら幸いです。 1) 問題の概要ある日を境に、AD FS サーバーの認証でエラーが発生するようになった。AD FS Proxy サーバー経由でのみ問題が発生する場合や、AD FS サーバーに直接認証する場合にも問題が発生する場合がある。AD FS 2.0 管理コンソール起動時に、「AD FS 構成データベースへのアクセス中にエラーが発生しました。エラー メッセージ: 使用可能な Winsock リソースが不足しているため、ソケット接続を開始できません。」というエラーメッセージが表示されたり、AD FS 2.0/Admin エラーの詳細部分に “ADMIN0017: 構成サービスへの接続中に例外が発生しました。構成サービスの URL ‘net.tcp://localhost:1500/policy’ が間違っているか、または AD FS 2.0 Windows サービスが実行されていません。” と記録される。 2) 一時的な対処策技術情報 2553549 に記載の問題が発生している可能性があります。Windows Server 2008、Windows Server 2008 R2 の OS では、起動後 497…

0