Active Directory フェデレーション サービス (AD FS) 2.0 をアンインストールするときに IIS を復元して Active Directory をクリーンする方法

  • [アーティクル]

この記事では、インターネット インフォメーション サービス (IIS) を復元し、Active Directory フェデレーション サービス (AD FS) 2.0 をアンインストールするときに Active Directory をクリーンする方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 982813

概要

Active Directory フェデレーション サービス (AD FS) 2.0(AD FS 2.0) アンインストール ウィザードは、コンピューターから AD FS 2.0 をアンインストールします。 ただし、次のいずれかの状況では、手動で設定を復元またはクリーンアップする必要がある場合があります。

  • フェデレーション サーバーまたはフェデレーション サーバー プロキシ コンピューターから AD FS 2.0 をアンインストールしても、アンインストール ウィザードは IIS を元の状態に復元しません。
  • フェデレーション サーバー ファームで最後に追加されたフェデレーション サーバーから AD FS 2.0 をアンインストールしても、Active Directory で作成された証明書共有コンテナーはアンインストール プロセスによって削除されません。

AD FS 2.0 を再インストールした後に AD FS 2.0 フェデレーション サーバー構成ウィザードを実行しても、IIS から以前の AD FS 2.0 構成をクリーンアップしていない場合は、次のいずれかの現象が発生する可能性があります。

  • [構成結果] ページには、コンポーネントの [ブラウザー サインイン Web サイトの展開] が表示され、状態が [構成] が警告で完了している場合があります。 状態をクリックすると、次の警告が表示されることがあります。

    既存の Web サイトが検出されました。 そのため、Web サイトは再インストールされませんでした。 既定の AD FS 2.0 Web サイトを再デプロイしようとしている場合は、詳細を参照してください http://go.microsoft.com/fwlink/?LinkId=181110

  • [構成結果] ページに、コンポーネントの [Deploy browser sign-in Web site]\(ブラウザー サインイン Web サイトの展開\) が表示され、[コンポーネントの構成] の状態が表示される場合があります。..次のエラー メッセージが表示された場合:

    ディレクトリが既に存在するため、Web サイト ファイルを C:\inetpub\adfs\ls にコピーできません。 ディレクトリを削除して構成ウィザードを再実行するか、既存の Web サイトを手動で更新します。

次の方法を使用して、元の構成をクリーンまたは復元できます。

フェデレーション サーバーまたはフェデレーション サーバー プロキシ コンピューターで IIS を復元する

AD FS 2.0 がフェデレーション サーバーまたはフェデレーション サーバー プロキシロール用に構成されているコンピューターにインストールされると、IIS に /adfs と /adfs/ls 仮想ディレクトリが作成されます。 AD FS 2.0 では、ADFSAppPool という名前の新しいアプリケーション プールも作成されます。 フェデレーション サーバーまたはフェデレーション サーバー プロキシ コンピューターから AD FS 2.0 をアンインストールしても、これらの仮想ディレクトリは削除されません。 さらに、アプリケーション プールは削除されません。 これにより、AD FS 2.0 が同じコンピューターに再びインストールされている場合に問題が発生する可能性があります。

使用停止状態のフェデレーション サーバーまたはフェデレーション サーバー プロキシ コンピューターからこれらのディレクトリを手動で削除するには、次の手順に従います。

  1. [ スタート] をクリックし、[ 管理ツール] を選択し、[ IIS マネージャー] を選択します。

  2. サーバー名ノードを展開し、[ サイト] を展開し、[ 既定の Web サイト] を選択します。

  3. [ 操作 ] ウィンドウで、[ アプリケーションの表示] を選択します。

    注:

    AD FS 2.0 に関連付けられている次の 2 つの仮想ディレクトリが表示されます。

    • /Adfs
    • /adfs/ls

  4. 各仮想ディレクトリにある AD FS 2.0 アプリケーションを右クリックし、[ 削除] をクリックします。

  5. [ 操作 ] ウィンドウで、[ アプリケーション プール] を選択します。

    注:

    ADFSAppPool という名前のアプリケーション プールが表示されます。

  6. ADFSAppPool を右クリックし、[削除] を選択します

    注:

    次の 2 つの手順では、"inetpub" ディレクトリから \adfs ディレクトリを削除する方法を示します。 このディレクトリ内のコンテンツにカスタム変更を加えた場合は、ディレクトリを削除する前に、このコンテンツを別の場所にバックアップすることをお勧めします。

  7. Windows エクスプローラーで、"inetpub" ディレクトリを参照します。 このディレクトリは、次のパスにあります。
    %systemdrive%\inetpub

  8. Adfs ディレクトリを右クリックし、[削除] をクリックします

Active Directory で証明書共有コンテナーを削除する

AD FS 2.0 をインストールし、フェデレーション サーバー構成ウィザードを使用して新しいフェデレーション サーバー ファームに新しいフェデレーション サーバーを作成すると、ウィザードによって Active Directory に証明書共有コンテナーが作成されます。 このコンテナーは、ファーム内のすべてのフェデレーション サーバーによって使用されます。 ファームで最後に追加されたフェデレーション サーバーから AD FS 2.0 をアンインストールしても、このコンテナーは Active Directory から削除されません。

Active Directory でこのコンテナーを手動で削除するには、次の手順に従います。

  1. ファーム内の最後のフェデレーション サーバーから AD FS 2.0 を削除する前に、AD FS 2.0 STS で次の PowerShell コマンドを実行して、Active Directory の証明書共有コンテナーの場所を確認します。

    Add-PsSnapin Microsoft.Adfs.Powershell  
Get-AdfsProperties

  2. 前の手順の出力の CertificateSharingContainer プロパティに注意してください。

  3. ADSIEdit ツール (ADSIEdit.msc) がインストールされているサーバーにログオンします。

  4. [ スタート] をクリックし、[ 実行] をクリックし、「 ADSIEdit.msc」と入力し、Enter キーを押します。

  5. ADSIEdit ツールで、次の手順に従って既定の名前付けコンテキストに接続します。

    1. [ADSI Edit]\(ADSI 編集\) を右クリックし、[接続] をクリックします。
    2. [ 接続ポイント] で、[ 既知の名前付けコンテキストの選択] をクリックし、[ 既定の名前付けコンテキスト] を選択します。
    3. [OK] をクリックします。

  6. 次のノードを展開します。
    既定の名前付けコンテキスト {your domain partition}、CN=Program Data、CN=Microsoft、CN=ADFS

    注:

    [CN=ADFS] には、デプロイした各 AD FS 2.0 ファームの CN={GUID} という名前のコンテナーが表示されます。ここで、{GUID} は、手順 1 の PowerShell コマンドを使用してGet-AdfsPropertiesキャプチャした CertificateSharingContainer プロパティと一致します。

  7. 適切な {GUID} コンテナーを右クリックし、[削除] を選択 します