Azure AD ConnectによるOffice365シングルサインオン構成について

Question

現在Azure AD Connectを使用したOffice365のシングルサインオンを
検証しています。

現在の社内環境は以下の通りです。
DC2台構成 OSは2008SP2
EXCHANGE2010 SP無　OSは2008SP2

検証環境は、全く別のネットワークに上記と同じ構成で構築しています。

以下記事を元にDCが2008sp2でも、SSO構成を構築できると考えていたのですが
どうも、ここが原因でうまくいっていないように感じます。
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-prerequisites/#windows-remote-management

Azure AD Connectのインストールに関しては、以下を参考に実施しています
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-get-started-custom/#install-required-components

上記作業を進める際に、一部資資料通りに行かない箇所があります。
「AD FS サービスアカウントを指定します」という箇所で
「Create a group Managed Service Account」を選択することができません。
しかし、記事内にドメインにwindows server2012のドメインコントローラが
無い場合は、「Use a domain user account」を使用すると記載がありますので
ドメインの管理ユーザの資格情報を登録して、インストール作業をすすめました。

全ての設定項目を設定し、インストールを開始すると以下のエラーがインストール
ウイザードに表示され、インストールが完了できませんでした。

--------------------------------------
Configure Service Account
Configure Service Accountタスクを実行中にエラーが発生しました：ウイザードは、
グループサービスアカウントを使用するためにWindows2012以降のドメインコントローラ
に接続することができませんでした。
--------------------------------------

上記の結果から、DCにManaged Service Accountsコンテナーが無い為、エラーが
出ていると判断し、以下記事を参考にDC用のサーバに「Windows6.0-KB968934-x64.msu」の
インストールを行いましたが、「このプログラムはお使いのシステムには適用されません」
と表示されインストールが出来ない状況です。
https://technet.microsoft.com/ja-JP/library/dd548356.aspx
https://www.microsoft.com/ja-jp/download/details.aspx?id=2852

そもそも、DCが2008SP2ではAzure AD ConnectによるOffice365のSSOを構成できない
のでしょうか。

Answer 1

こちらの件、DCのOSを2012R2へアップグレードすることにいたしました。

Answer 2

ryu4さん、こんにちは。

今後、同様の課題を抱える人がこのページを読む可能性があるかもしれないと思い、書き込んでおきます。
Azure AD ConnectからADFSを使ったシングルサインオン環境を構築する場合、ADFSのサービスアカウントに
gMSAと呼ばれるサービスアカウント(アカウント名：aadcsvc)を使います。
gMSAはWindows Server 2012以降でサポートする機能なので、
よって、Azure AD ConnectからADFSをインストールする場合は
ドメインコントローラーがWindows Server 2012以降であることが前提条件になります。