Sdílet prostřednictvím

Požadavky na řešení názvů pro proxy serverů federace

Když se klientské počítače na internetu pokusí o přístup k aplikaci zabezpečené službou Active Directory Federation Services (AD FS), musí se nejprve ověřit na federačním serveru. Ve většině případů není federační server obvykle přímo přístupný z internetu. Proto musí být internetové klientské počítače přesměrovány na proxy federačního serveru. Úspěšné přesměrování můžete provést přidáním příslušných záznamů DNS (Domain Name System) do zóny DNS nebo zón, které čelí internetu.

Metoda, kterou používáte k přesměrování internetových klientů na proxy federačního serveru, závisí na tom, jak nakonfigurujete zónu DNS v hraniční síti nebo jak nakonfigurujete zónu DNS, kterou řídíte na internetu. Proxy federačního serveru jsou určeny k použití v hraniční síti. Přesměrují požadavky internetových klientů na federační servery úspěšně pouze v případech, kdy je dns správně nakonfigurovaný ve všech zónách směřujících k internetu, které řídíte. Proto je důležitá konfigurace zón směřujících k internetu – ať už máte zónu DNS obsluhující pouze hraniční síť nebo zónu DNS obsluhující hraniční síť i internetové klienty.

Toto téma popisuje kroky, které můžete provést při konfiguraci překladu názvů, když umístíte proxy serveru federace do hraniční sítě. Pokud chcete zjistit, které kroky se mají provést, nejprve určete, které z následujících scénářů DNS nejvíce odpovídají infrastruktuře DNS v hraniční síti vaší organizace. Pak postupujte podle kroků pro tento scénář.

Zóna DNS obsluhující pouze hraniční síť

V tomto scénáři má vaše organizace jednu nebo dvě zóny DNS v hraniční síti a vaše organizace neřídí žádné zóny DNS na internetu. Úspěšné adresní rozlišení pro proxy server federačního serveru v zóně DNS, která obsluhuje pouze scénář perimetrové sítě, závisí na následujících podmínkách:

  • Proxy federačního serveru musí mít v souboru hostitelů nastavení pro překlad plně kvalifikovaného názvu domény (FQDN) adresy URL koncového bodu federačního serveru na IP adresu federačního serveru nebo clusteru federačního serveru.

  • DNS v hraniční síti partnera účtu musí být nakonfigurován tak, aby se FQDN URL koncového bodu federačního serveru přeložil na IP adresu proxy federačního serveru.

Následující obrázek a odpovídající kroky ukazují, jak se u daného příkladu dosáhne každé z těchto podmínek. Na tomto obrázku technologie Vyrovnávání zatížení sítě (NLB) společnosti Microsoft poskytuje jeden plně kvalifikovaný název domény clusteru a jednu IP adresu clusteru pro existující farmu federačních serverů.

Obrázek znázorňující technologii vyrovnávání zatížení sítě od Microsoftu, která poskytuje jediný, clusterový FQDN a jedinou, clusterovou IP adresu pro existující farmu federačních serverů.

Další informace o konfiguraci IP adresy clusteru nebo plně kvalifikovaného názvu domény clusteru pomocí služby NLB naleznete v tématu Určení parametrů clusteru.

1. Konfigurace souboru hostitelů na proxy federačního serveru

Vzhledem k tomu, že dns v hraniční síti je nakonfigurovaný tak, aby přeložil všechny požadavky na fs.fabrikam.com na proxy federačního serveru účtu, má proxy federačního serveru partnera poskytujícího účty záznam v místním souboru hostitelů, který přeloží fs.fabrikam.com na IP adresu skutečného federačního serveru (nebo názvu DNS clusteru pro farmu federačních serverů), který je připojený k podnikové síti. To umožňuje, aby proxy federačního serveru účtu přeložil název hostitele fs.fabrikam.com na federační server účtu, a ne na samotný server – stejně jako kdyby se pokusil vyhledat fs.fabrikam.com pomocí hraničního DNS – aby proxy federačního serveru mohl komunikovat s federačním serverem.

2. Konfigurace hraničního DNS

Protože existuje pouze jeden název hostitele služby AD FS, na který jsou klientské počítače směrovány (ať už jsou v intranetu nebo na internetu), klientské počítače na internetu, které používají hraniční server DNS, musí přeložit plně kvalifikovaný název domény pro federační server účtu (fs.fabrikam.com) na IP adresu proxy federačního serveru účtu v hraniční síti. Aby mohli klienti být přesměrováni na proxy server účtu federace při pokusu o překlad fs.fabrikam.com, obsahuje hraniční DNS omezenou zónu DNS pro corp.fabrikam.com s jediným záznamem prostředku hostitele (A) pro fs (fs.fabrikam.com) a IP adresou proxy serveru účtu federace v hraniční síti.

Další informace o tom, jak upravit soubor hostitelů proxy federačního serveru a nakonfigurovat DNS v hraniční síti, najdete v tématu Konfigurace překladu názvů pro proxy federačního serveru v zóně DNS, která obsluhuje pouze hraniční síť.

Zóna DNS obsluhující hraniční síť i internetové klienty

V tomto scénáři vaše organizace řídí zónu DNS v hraniční síti a alespoň jednu zónu DNS na internetu. Úspěšné rozlišení názvů pro proxy federačního serveru v tomto scénáři závisí na následujících podmínkách:

  • DNS v internetové zóně partnera poskytujícího účty musí být nakonfigurované tak, aby se plně kvalifikovaný název domény názvu hostitele federačního serveru přeložil na IP adresu proxy federačního serveru v hraniční síti.

  • DNS v hraniční síti partnera účtu musí být nakonfigurované tak, aby se FQDN hostitele federačního serveru přeložil na IP adresu federačního serveru v podnikové síti.

Následující obrázek a odpovídající kroky ukazují, jak se u daného příkladu dosáhne každé z těchto podmínek.

požadavky na název

1. Konfigurace hraničního DNS

V tomto scénáři se předpokládá, že nakonfigurujete zónu DNS internetu, kterou řídíte pro překlad požadavků provedených pro konkrétní adresu URL koncového bodu (tj. fs.fabrikam.com) na proxy federačního serveru v hraniční síti, musíte také nakonfigurovat zónu v hraničním DNS tak, aby tyto požadavky předávala federačnímu serveru v podnikové síti.

Aby klienti mohli být při pokusu o vyřešení fs.fabrikam.com přesměrováni na server federace účtů, je hraniční DNS nakonfigurován s jedním záznamem prostředku hostitele (A) pro fs (fs.fabrikam.com) a IP adresou serveru federace účtů v podnikové síti. To umožňuje, aby proxy federačního serveru účtu přeložil název hostitele fs.fabrikam.com na federační server účtu, a ne na samotný server, stejně jako kdyby se pokusil vyhledat fs.fabrikam.com pomocí internetového DNS, aby proxy federačního serveru mohl komunikovat s federačním serverem.

2. Konfigurace internetového DNS

Aby bylo rozlišení názvů v tomto scénáři úspěšné, musí být všechny požadavky z klientských počítačů na Internetu na fs.fabrikam.com řešeny zónou DNS na Internetu, kterou řídíte. Proto je nutné nakonfigurovat internetovou DNS zónu tak, aby předávala požadavky klientů na fs.fabrikam.com na IP adresu proxy federačního serveru účtu v hraniční síti.

Další informace o tom, jak upravit hraniční síť a zóny DNS internetu, naleznete v tématu Konfigurace překladu názvů pro proxy federačního serveru v zóně DNS, která obsluhuje hraniční síť i internetové klienty.

Viz také

Průvodce návrhem služby AD FS ve Windows Serveru 2012