参考資料

Microsoft Office 365 自習書 AD FS によるシングル サインオン環境構築ステップ バイ ステップ ガイド
基本的にこのテキストを踏襲しているが、説明不足であるところなんかを補足しながら作業しようと思う。

構成に必要なサービス、ツール

• AD DS
• AD FS
• ディレクトリ同期ツール
• AD FS Proxy
• RODC(実は構成に使えるかわかってない)

事前条件

• ドメインコントローラにはSQL Serverがインストールできない
  AD DS,RODC共にSQLServerのインストールは非推奨。 参考資料

• ドメインコントローラーにローカルアカウントを追加することが出来ない。
• ローカル サービス アカウントを使用して、ドメイン コントローラー上で SQL Server サービスを実行することができない。
• コンピューターに SQL Server をインストールした後で、そのコンピューターをドメイン メンバーからドメイン コントローラーに変更することはできません。 ホスト コンピューターをドメイン コントローラーに変更する前に、SQL Server をアンインストールする必要がある。
• コンピューターに SQL Server をインストールした後で、そのコンピューターをドメイン コントローラーからドメイン メンバーに変更することはできません。 ホスト コンピューターをドメイン メンバーに変更する前に、SQL Server をアンインストールする必要がある。
• SQL Server フェールオーバー クラスター インスタンスは、クラスター ノードがドメイン コントローラーの場合はサポートされない。
• SQL Server セットアップでは、読み取り専用ドメイン コントローラーにセキュリティ グループを作成したり SQL Server サービス アカウントを準備したりすることは出来ない。 この場合、セットアップは失敗する。

できないこと

• AD FSサーバとRODCは共存できない
  AD FSにSQL Serverが必要であるため

• RODCとディレクトリ同期ツールが共存できない
  ディレクトリ同期ツールにSQL Serverが必要であるため

できること

• ADFSサーバとディレクトリ同期ツールは共存できる
• ローカルのドメイン名と紐づけ先のドメイン名が異なっていても同期できる
  UPNを設定すれば可能

まとめ

以上の条件を整理するとAD FSとディレクトリ同期ツールを一つのサーバに押し込んでも問題ないようだ。
むしろ、それ以外構成を簡略化する術がないとも言える。悲しい。