ADとADFSサーバを分ける際の注意点や備忘録

注意書き: 本記事は個人的な備忘録としての色合いが濃いブログ記事です。詳細な手順やステップバイステップの設定方法については記載しておりません。あくまで設定時のポイントと注意事項の整理を目的としています。

1. はじめに

ADとADFSサーバを分離して運用すると、セキュリティの向上や障害時の影響範囲を限定できる利点があります。ただし、設定ミスが原因で通信障害や認証エラーが発生するリスクもあります。特にDNS設定とSSL証明書の管理は重要なポイントです。

2. サーバ分離時の基本的な考え方

• Active Directory（AD） はユーザー認証情報やグループポリシーを管理します。
• ADFS（Active Directory Federation Services） は、ADと連携してシングルサインオン（SSO）を提供します。
• これらを異なるサーバで運用する場合、それぞれが問題なく通信できる設定が求められます。

3. DNS設定時の注意点

DNS設定は必ずAD側のDNSサーバーで実施します。ADFSサーバはADドメインコントローラーとの通信が必須のため、正しい名前解決が行えるようDNSの設定は非常に重要です。

• ADFSサーバのホスト名とIPアドレスをAD側DNSにAレコードとして登録
• DNS登録後、必ず名前解決が正常に動作しているか確認（nslookup等）

4. SSL証明書設定時の注意点

SSL証明書の発行・管理もAD側の認証局（CA）で行い、ADFSサーバ側に適用します。証明書設定の不備はセキュリティリスクや認証エラーの原因になります。

• 証明書署名要求（CSR）の作成はAD環境内の認証局で実施
• 発行されたSSL証明書をADFSサーバへ適切にインポート
• 証明書の有効期限、信頼チェーンを事前に確認

5. 設定後の必須確認項目

設定完了後は以下を必ずチェックします。

• nslookupコマンドでADFSサーバの名前解決確認
• SSL証明書の有効性をブラウザや専用ツールを使い確認
• ファイアウォールやネットワーク設定により通信が遮断されていないか確認

6. トラブルシューティングのためのチェックリスト

問題が発生した際は、以下を再確認します。

• DNS設定が正しく反映されているか
• SSL証明書が正しく設定されているか
• ネットワーク経路に通信障害がないか

まとめ

ADとADFSのサーバを分ける場合、DNS設定とSSL証明書管理はAD側で行う必要があります。この記事を設定時の備忘録として活用し、スムーズな運用を目指しましょう。