Requisiti per la risoluzione dei nomi per i proxy server federativi
Quando i computer client in Internet provano ad accedere a un'applicazione protetta da Active Directory Federation Services (AD FS), devono prima di tutto eseguire l'autenticazione al server federativo. Nella maggior parte dei casi il server federativo non è in genere direttamente accessibile da Internet. Pertanto i computer client su Internet devono essere reindirizzati al proxy server federativo. Per eseguire correttamente il reindirizzamento, aggiungere i record DNS (Domain Name System) alla zona o alle zone DNS con connessione Internet.
Il metodo usato per reindirizzare i client Internet al proxy server federativo dipende da come si configura la zona DNS nella rete perimetrale o la zona DNS controllata in Internet. I proxy server federativi devono essere usati in una rete perimetrale. Reindirizzano le richieste client Internet ai server federativi correttamente solo quando DNS è stato configurato correttamente in tutte le zone con connessione Internet controllate. Per questo la configurazione delle zone con connessione Internet è importante, a prescindere dal fatto che la zona DNS serva solo la rete perimetrale o anche i client Internet.
Questo argomento descrive i passaggi da usare per la configurazione della risoluzione dei nomi quando si inserisce un proxy server federativo nella rete perimetrale. Per stabilire la procedura da seguire, determinare innanzitutto quale tra gli scenari DNS seguenti rispecchia meglio l'infrastruttura nella rete perimetrale dell'organizzazione. Quindi, seguire la procedura per lo scenario individuato.
Zona DNS che serve solo la rete perimetrale
In questo scenario l'organizzazione ha una o due zone DNS nella rete perimetrale e l'organizzazione non controlla le zone DNS in Internet. La risoluzione dei nomi corretta per un proxy server federativo nella zona DNS che serve solo lo scenario di rete perimetrale dipende dalle condizioni seguenti:
Il proxy server federativo deve avere un'impostazione nel file hosts per risolvere il nome di dominio completo (FQDN) dell'URL dell'endpoint del server federativo in un indirizzo IP di un server federativo o di un cluster di server federativi.
Il DNS nella rete perimetrale del partner account deve essere configurato in modo che il nome di dominio completo dell'URL dell'endpoint del server federativo venga risolto nell'indirizzo IP del proxy server federativo.
L'illustrazione seguente e i passaggi corrispondenti mostrano in che modo vengono soddisfatte queste condizioni in uno specifico esempio. In questa illustrazione la tecnologia Bilanciamento carico di rete Microsoft fornisce un singolo FQDN del cluster e un singolo indirizzo IP del cluster per una server farm federativa esistente.
Per altre informazioni sulla configurazione di un indirizzo IP del cluster o un nome di dominio completo del cluster tramite Bilanciamento carico di rete, vedere Specifica dei parametri del cluster.
1. Configurare il file Hosts nel proxy server federativo
Poiché DNS nella rete perimetrale è configurato per risolvere tutte le richieste di fs.fabrikam.com al proxy server federativo dell'account, il proxy server federativo del partner account include una voce nel file hosts locale per risolvere fs.fabrikam.com nell'indirizzo IP del server federativo dell'account effettivo (o del nome DNS del cluster per la server farm federativa) connesso alla rete aziendale. Ciò consente al proxy server federativo dell'account di risolvere il nome host fs.fabrikam.com nel server federativo dell'account anziché se stesso, cosa che si verificherebbe in caso di tentativo di cercare fs.fabrikam.com usando DNS perimetrale, in modo che il proxy server federativo possa comunicare con il server federativo.
2. Configurare il DNS perimetrale
Poiché è presente un solo nome host di AD FS a cui i computer client vengono indirizzati, indipendentemente dal fatto che si trovino in una Intranet o su Internet, i computer client su Internet che usano il server DNS perimetrale devono risolvere il nome di dominio completo per il server federativo dell'account (fs.fabrikam.com) nell'indirizzo IP del proxy server federativo dell'account nella rete perimetrale. In modo da poter inoltrare i client al proxy server federativo dell'account quando provano a risolvere fs.fabrikam.com, il DNS perimetrale contiene una zona DNS limitata corp.fabrikam.com con un singolo record di risorse host (A) per fs (fs.fabrikam.com) e l'indirizzo IP del proxy server federativo dell'account nella rete perimetrale.
Per altre informazioni su come modificare il file hosts del proxy server federativo e configurare DNS nella rete perimetrale, vedere Configurare la risoluzione dei nomi per un proxy server federativo in una zona DNS che serve solo la rete perimetrale.
Zona DNS che serve sia la rete perimetrale che i client Internet
In questo scenario l'organizzazione controlla la zona DNS nella rete perimetrale e almeno una zona DNS in Internet. La risoluzione dei nomi corretta per un proxy server federativo in questo scenario dipende dalle condizioni seguenti:
Il DNS nell'area Internet del partner account deve essere configurato in modo che il nome di dominio completo del nome host del server federativo venga risolto nell'indirizzo IP del proxy server federativo nella rete perimetrale.
Il DNS nella rete perimetrale del partner account deve essere configurato in modo che il nome di dominio completo del nome host del server federativo venga risolto nell'indirizzo IP del server federativo nella rete aziendale.
L'illustrazione seguente e i passaggi corrispondenti mostrano in che modo vengono soddisfatte queste condizioni in uno specifico esempio.
1. Configurare il DNS perimetrale
Per questo scenario, poiché si presuppone che si configurerà la zona DNS Internet che si controlla per risolvere le richieste effettuate per un URL di endpoint specifico (ovvero fs.fabrikam.com) nel proxy server federativo nella rete perimetrale, è necessario configurare anche la zona nel DNS perimetrale per inoltrare queste richieste al server federativo nella rete aziendale.
In modo che i client possano essere inoltrati al server federativo dell'account quando provano a risolvere fs.fabrikam.com, il DNS perimetrale è configurato con un singolo record di risorse host (A) per fs (fs.fabrikam.com) e l'indirizzo IP del server federativo dell'account nella rete aziendale. Ciò consente al proxy server federativo dell'account di risolvere il nome host fs.fabrikam.com nel server federativo dell'account anziché se stesso, cosa che si verificherebbe in caso di tentativo di cercare fs.fabrikam.com usando la zona DNS Internet, in modo che il proxy server federativo possa comunicare con il server federativo.
2. Configurare DNS Internet
Per una corretta risoluzione dei nomi in questo scenario, tutte le richieste dei computer client in Internet a fs.fabrikam.com devono essere risolte dalla zona DNS Internet controllata dall'utente. Di conseguenza, è necessario configurare la zona DNS Internet per inoltrare le richieste client per fs.fabrikam.com all'indirizzo IP del proxy server federativo dell'account nella rete perimetrale.
Per altre informazioni su come modificare la rete perimetrale e le zone DNS Internet, vedere Configurare la risoluzione dei nomi per un proxy server federativo in una zona DNS che gestisce sia la rete perimetrale che i client Internet.