Office365 事前準備、どのサーバにどの役割を持たせるか
参考資料
Microsoft Office 365 自習書 AD FS によるシングル サインオン環境構築ステップ バイ ステップ ガイド
基本的にこのテキストを踏襲しているが、説明不足であるところなんかを補足しながら作業しようと思う。
構成に必要なサービス、ツール
- AD DS
- AD FS
- ディレクトリ同期ツール
- AD FS Proxy
- RODC(実は構成に使えるかわかってない)
事前条件
- ドメインコントローラにはSQL Serverがインストールできない
AD DS,RODC共にSQLServerのインストールは非推奨。 参考資料
- ドメインコントローラーにローカルアカウントを追加することが出来ない。
- ローカル サービス アカウントを使用して、ドメイン コントローラー上で SQL Server サービスを実行することができない。
- コンピューターに SQL Server をインストールした後で、そのコンピューターをドメイン メンバーからドメイン コントローラーに変更することはできません。 ホスト コンピューターをドメイン コントローラーに変更する前に、SQL Server をアンインストールする必要がある。
- コンピューターに SQL Server をインストールした後で、そのコンピューターをドメイン コントローラーからドメイン メンバーに変更することはできません。 ホスト コンピューターをドメイン メンバーに変更する前に、SQL Server をアンインストールする必要がある。
- SQL Server フェールオーバー クラスター インスタンスは、クラスター ノードがドメイン コントローラーの場合はサポートされない。
- SQL Server セットアップでは、読み取り専用ドメイン コントローラーにセキュリティ グループを作成したり SQL Server サービス アカウントを準備したりすることは出来ない。 この場合、セットアップは失敗する。
できないこと
AD FSサーバとRODCは共存できない
AD FSにSQL Serverが必要であるためRODCとディレクトリ同期ツールが共存できない
ディレクトリ同期ツールにSQL Serverが必要であるため
できること
- ADFSサーバとディレクトリ同期ツールは共存できる
- ローカルのドメイン名と紐づけ先のドメイン名が異なっていても同期できる
UPNを設定すれば可能
まとめ
以上の条件を整理するとAD FSとディレクトリ同期ツールを一つのサーバに押し込んでも問題ないようだ。
むしろ、それ以外構成を簡略化する術がないとも言える。悲しい。