2015/06/04

Windows Server Technical Preview 2 > Azure AD とディレクトリ同期とか

Windows Server Technical Preview 2 の Active Directory Domain Service (AD DS) と Azure Active Directory (Azure AD) のディレクトリ同期のセットアップについてメモ。結論から言うと、なんとかできました。



Microsoft Azure Active Directory Sync Services (→ http://go.microsoft.com/fwlink/?LinkId=517205) を使用したディレクトリ同期のセットアップではまったところをメモ。おまけで、Web Application Proxy も。Azure AD Connect (プレビュー → https://msdn.microsoft.com/ja-jp/library/azure/dn832695.aspx) の方法だとどうなのかは未確認。

ほとんどの人にとって何の話やらって感じだと思いますが、誰かのお役に立てれば...


Active Directory Federation Services (AD FS) のサーバーで Enable-PSRemoting できない問題

AD FS における Enable-PSRemoting の実行は、Set-MsolAdfsContext や New-MsolFederatedDomain コマンドレットによるオンプレ側のドメインを Azure AD に登録する際に必要なのですが、AD FS の役割をインストールしたあとに Enable-PSRemoting を実行すると有効化に失敗するみたい。AD FS の役割をインストールする前 (インストールしちゃった場合はいったん削除) に Enable-PSRemoting を実行しておけば諸々うまくいきました。



/adfs/ls/idpinitiatedsignon.aspx が not available な問題

先人さんが回避策を教えてくれました。Set-AdfsProperties -EnableIdPInitiatedSignonPage $True で解決。

Windows Server 2016 Technical Preview 2 ADFS idpinitiatedsignon error
[URL] http://blog.coretech.dk/kaj/windows-server-2016-technical-preview-2-adfs-idpinitiatedsignon-error/


Azure AD Sync Service をインストールできない問題

Windows Server Technical Preview 2 にインストールすると、インストールが失敗してディレクトリ同期をセットアップできませんでした。イベント ログを見ると、Access is Denied エラーとか。

半日ほど試行錯誤しましたが、Technical Preview 2 で実行するのは断念。Windows Server 2012 R2 のドメイン メンバーを追加して、そこにセットアップしました。 Windows Server 2012 R2 だとすんなり成功。

デバイス登録時の証明書失効確認のエラー

AD FS と Web Application Proxy でエクストラネットの Windows 8.1 PC からデバイス登録 (Workplace Join) をしようとしたら、証明書失効確認のエラー。証明書を使うやつで、よくあるあるトラブルですね。
CRL 配布ポイントの Web サイトをオンプレに作って、Web Application Proxy の HTTP パススルーで公開 (HTTPS ではなく HTTP 公開は新機能) することで対処してみました。

成功。

CRL の配布方法を後から追加すると、AD FS とかの証明書を発行し直して、AD FS と WAP を構成し直す必要があるので、AD Certification Services を導入したらすぐに考慮しておくべきですね。

Windows 10 Insider Preview の Workplace Join が失敗する問題

Windows 10 Insider Preview の Workplace Join は成功しませんでした。ルート証明書が無い環境だと証明書のエラーを出すので、AD FS までたどり着いているようなのですが...



ルート証明書をインポートしても接続してくれない。左がビルド 10130 も右がビルド 10074。イベントログの Microsoft-Windows-Workplace Join/Admin は空っぽ。もしかして、ころころ変わる GUI だけで中身はできていないとか、Azure AD Join のほうに持ってかれちゃってるとか...




おまけ。Microsoft Office 365 Identity Platform

Azure AD とディレクトリ同期したら、証明書利用者信頼 (Relying Party Trusts)に Microsoft Offcie 365 Identity Platform というのが追加されました。それとも前からあった? これを使って Web Application Proxy でアプリを公開すると、Office 365 の認証でアプリの SSO を構成できるようになる?


以上。

0 件のコメント: