Office 365 で 2 つ目のフェデレーションドメインを構成しようとすると表示されるエラー:"AD FS 2.0サーバーに指定するフェデレーションサービスの識別子は既に使用されています”

適用対象: Azure Active DirectoryCloud Services (Web roles/Worker roles)Azure Backup 詳細

現象


Microsoft Office 365では、Active Directory Federation Services (AD FS) 2.0 サーバーに2つ目のフェデレーションドメインを構成することは出来ません。Windows PowerShell 用Microsoft Online Services モジュールを使用して「new-MSOLFederatedDomain cmdlet」 または「convert-MSOLDomainToFederated」 コマンドレットを実行すると、次のエラーメッセージが表示されます。

“The federation service identifier specified in the Active Directory Federation Services 2.0 server is already in use. Please correct this value in the AD FS 2.0 Management console and run the command again.”
≪参考訳:Active Directory Federation Services 2.0サーバーに指定するフェデレーションサービスの識別子は既に使用されています。AD FS 2.0管理コンソールでこの値を修正し、再度コマンドを実行してください。≫

原因


Office 365 IDプラットフォームは、各ドメインに固有のフェデレーション特有URI(uniform resource identifier)が必要です。既定により、AD FS は、すべてのフェデレーション信頼にグローバル値を使用します。フェデレーション信頼が既に存在するシナリオで2つ目のドメインをフェデレーションすると、URIは既に使用されているため、リクエストは失敗します。

解決方法


この問題を解決するには、「-supportmultipledomain」 スイッチを使用して、Office 365にフェデレーションされている各ドメインを追加または変換します。既存のフェデレーションドメインも含まれます。

手順 1: 更新AD FS 2.0 Rollup 1をインストールする

AD FS 2.0 Federation Service ファームの各ノーム上に、更新 AD FS 2.0 Rollup 1をダウンロード、インストールします。更新AD FS 2.0 Rollup 1のダウンロードとインストールに関する詳細は、Microsoft Knowledge Base にある次の資料番号を参照してください。
2607496 “Active Directory Federation Services (AD FS) 2.0 Rollup 1の更新説明”
注: この更新にはコンピューターの再起動が必要です。コンピューターを再起動しないと、次の資料番号(Microsoft Knowledge Base参照)に記載される問題が発生する可能性があります。

2635357 フェデレーション ドメインまたはクライアント アクセスポリシーを追加後、Office 365 シングル サインオンに失敗する

手順 2: 「update-MSOLFederatedDomain」 コマンドレットがAD FS 環境に対し、正常に実行されることを確認する

  1. [スタート] から[すべてのプログラム] をクリックし、[Microsoft Online Services] をポイント、[Windows PowerShell 用Microsoft Online Services モジュール] を右クリックして[管理者として実行する] をクリックします 。
  2. コマンドプロンプトで、以下のコマンドレットを表示順に実行します。各コマンドレットごとに Enter を押します。
    • Connect-MSOLService

      注: Office 365 全体管理者の資格情報を求められる場合は入力します。
    • Set-MSOLADFSContext -Computer <AD FS 2.0 server name>

      注: このコマンドで、<AD FS 2.0 server name> とは、AD FS Federation Service ファームにあるノードのWindows コンピューターの名前です。
    • Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

      注: このコマンドで、<Federated Domain Name> とは、シングルサインオン(SSO)用にOffice 365 に既にフェデレーションされているドメインの名前です。

      後で使用する為に、コマンドプロンプトの画面を開いたままにしておきます。
  3. update-MSOLFederatedDomain」 コマンドレットが正常に実行され、エラーメッセージも表示されない場合は、手順 3 に進み、AD FS サーバーからフェデレーション信頼を削除します。

手順 3: AD FS サーバーからフェデレーション信頼を削除する


注意 以下の手順には綿密な計画が必要です。フェデレーションドメインでシングルサインオン機能が有効なユーザーは、手順 C からDで認証が行われません。手順 1 または 2 での「update-MSOLFederatedDomain」コマンドレットテストが正しく完了していない場合、手順 D は正しく完了しません。フェデレーション ユーザーは、「update-MSOLFederatedDomain」 コマンドレットが正しく実行されるまで、認証できません。
  1. AD FS サーバーのコンソールにログオンします。[スタート] から、[すべてのプログラム][管理ツール] の順にポイントし、[AD FS (2.0) 管理」 をクリックします 。
  2. 左ナビゲーションペーンにある [AD FS (2.0)」、[信頼関係][証明書利用者信頼] の順にクリックします 。
  3. 右ページにある「Microsoft Office 365 Identity Platform」 を削除します。
  4. -supportmultipledomain」 スイッチを使用して削除した信頼オブジェクトを再度作成します。 手順1Cで開いたPowerShell 画面で次のコマンドレットを実行し、Enterを押します。

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain

    注: このコマンドで、<Federated Domain Name> とは、SSO用に既にOffice 365にフェデレーションされたドメインの名前です。

手順 4: 「-supportmultipledomain」 スイッチを使用して2つ目のフェデレーションドメインを追加、または変換する

手順 3 で既存の信頼を更新した後、「-supportmultipledomain」 スイッチを使用して2つ目のフェデレーションドメインを追加または変換します。このスイッチは、Office 365にフェデレーションされた各ドメイン固有のURIネームスペースを使用するようコマンドレットに情報を伝えます。次のいずれかのコマンドレット構文を使用します。
  • New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain
  • Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

    注: このコマンドで、<domain name> とは、フェデレーションしようとしているドメインの名前です。

回避策


SSO機能を使用する各Office 365ドメインにフェデレーションするよう AD FS Federation Service ファームを実装します。Office 365 用の AD FS 実装ガイドは、次のMicrosoft ウェブサイトから利用できます。その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。