Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Gdy komputery klienckie w Internecie próbują uzyskać dostęp do aplikacji zabezpieczonej przez usługi Active Directory Federation Services (AD FS), muszą najpierw uwierzytelnić się na serwerze federacyjnym. W większości przypadków serwer federacyjny zazwyczaj nie jest bezpośrednio dostępny z Internetu. W związku z tym komputery klienckie internetowe muszą zostać przekierowane do federacyjnego serwera proxy. Można wykonać pomyślne przekierowanie, dodając odpowiednie rekordy systemu nazw domen (DNS) do strefy DNS lub stref, które stoją w obliczu Internetu.
Metoda używana do przekierowywania klientów internetowych do serwera proxy serwera federacyjnego zależy od sposobu konfigurowania strefy DNS w sieci obwodowej lub konfigurowania strefy DNS, którą kontrolujesz w Internecie. Federacyjne serwery proxy są przeznaczone do użytku w sieci obwodowej. Przekierowują żądania klientów internetowych do serwerów federacyjnych pomyślnie tylko wtedy, gdy system DNS został prawidłowo skonfigurowany we wszystkich kontrolowanych strefach internetowych. Dlatego konfiguracja stref internetowych — niezależnie od tego, czy masz strefę DNS obsługując tylko sieć obwodową, czy strefę DNS obsługując zarówno sieć obwodową, jak i klientów internetowych — jest ważna.
W tym temacie opisano kroki, które można wykonać w celu skonfigurowania rozpoznawania nazw podczas umieszczenia federacyjnego serwera proxy w sieci obwodowej. Aby określić, które kroki należy wykonać, najpierw określ, który z następujących scenariuszy DNS najlepiej pasuje do infrastruktury DNS w sieci obwodowej organizacji. Następnie wykonaj kroki dla tego scenariusza.
Strefa DNS obsługująca tylko sieć obwodową
W tym scenariuszu organizacja ma jedną lub dwie strefy DNS w sieci obwodowej, a organizacja nie kontroluje żadnych stref DNS w Internecie. Pomyślne rozpoznawanie nazw dla federacyjnego serwera proxy w strefie DNS, która obsługuje tylko scenariusz sieci obwodowej zależy od następujących warunków:
Serwer proxy usługi federacyjnej musi mieć ustawienie w pliku hostów, aby móc rozpoznać w pełni kwalifikowaną nazwę domeny (FQDN) adresu URL końcówki serwera federacyjnego na adres IP serwera federacyjnego lub klastra serwerów federacyjnych.
Serwer DNS w sieci obwodowej partnera konta musi zostać skonfigurowany w taki sposób, aby nazwa FQDN adresu URL punktu końcowego serwera federacyjnego była rozpoznawana jako adres IP serwera proxy federacyjnego.
Poniższa ilustracja i odpowiednie kroki pokazują, jak każdy z tych warunków jest osiągany dla danego przykładu. Na tej ilustracji technologia równoważenia obciążenia sieciowego (NLB) firmy Microsoft zapewnia jedną nazwę FQDN klastra i jeden adres IP klastra dla istniejącej farmy serwerów federacyjnych.
Aby uzyskać więcej informacji na temat konfigurowania adresu IP klastra lub nazwy FQDN klastra przy użyciu NLB (Network Load Balancing), zobacz Określanie parametrów klastra.
1. Skonfiguruj plik hostów na serwerze proxy usługi federacyjnej
Ponieważ usługa DNS w sieci obwodowej jest skonfigurowana do rozpoznawania wszystkich żądań fs.fabrikam.com do serwera proxy usługi federacyjnej kont, serwer proxy usługi federacyjnej partnera kont ma wpis w pliku hostów lokalnych, aby rozpoznać fs.fabrikam.com adres IP rzeczywistego serwera federacyjnego konta (lub nazwę DNS klastra dla farmy serwerów federacyjnych), który jest połączony z siecią firmową. Dzięki temu serwer proxy usługi federacyjnej kont może rozwiązać nazwę hosta fs.fabrikam.com na adres serwera federacyjnego kont, a nie na własny adres—co miałoby miejsce, gdyby próbował zamapować fs.fabrikam.com za pomocą peryferyjnego serwera DNS—tak aby serwer proxy usługi federacyjnej mógł komunikować się z serwerem federacyjnym.
2. Konfigurowanie obwodowego systemu DNS
Ponieważ istnieje tylko jedna nazwa hosta usług AD FS, do którego są kierowane komputery klienckie — niezależnie od tego, czy znajdują się w intranecie, czy w Internecie — komputery klienckie w Internecie używające obwodowego serwera DNS muszą rozpoznać nazwę FQDN serwera federacyjnego kont (fs.fabrikam.com) na adres IP serwera proxy serwera federacyjnego kont w sieci obwodowej. Dzięki temu klienci mogą przekierować klientów do serwera proxy federacji kont, gdy próbują rozpoznać fs.fabrikam.com, obwodowy system DNS zawiera ograniczoną strefę DNS corp.fabrikam.com z jedynym rekordem zasobu hosta (A) dla fs (fs.fabrikam.com) i adresem IP serwera proxy federacji kont w sieci obwodowej.
Aby uzyskać więcej informacji na temat modyfikowania pliku hostów serwera proxy usługi federacyjnej i konfigurowania systemu DNS w sieci obwodowej, zobacz Konfigurowanie rozpoznawania nazw dla serwera proxy usługi federacyjnej w strefie DNS, która obsługuje tylko sieć obwodową.
Strefa DNS obsługująca zarówno sieć obwodową, jak i klientów internetowych
W tym scenariuszu organizacja kontroluje strefę DNS w sieci obwodowej i co najmniej jedną strefę DNS w Internecie. Pomyślne rozpoznawanie nazw dla federacyjnego serwera proxy w tym scenariuszu zależy od następujących warunków:
Dns w strefie internetowej partnera kont musi być skonfigurowany tak, aby nazwa FQDN nazwy hosta serwera federacyjnego rozpoznawała adres IP serwera proxy usługi federacyjnej w sieci obwodowej.
Dns w sieci obwodowej partnera kont musi być skonfigurowany tak, aby nazwa FQDN nazwy hosta serwera federacyjnego rozpoznawała adres IP serwera federacyjnego w sieci firmowej.
Poniższa ilustracja i odpowiednie kroki pokazują, jak każdy z tych warunków jest osiągany dla danego przykładu.
wymagania dotyczące nazw 
1. Konfigurowanie obwodowego systemu DNS
W tym scenariuszu, ponieważ zakłada się, że skonfigurujesz internetową strefę DNS, którą kontrolujesz w celu rozpoznawania żądań wysyłanych dla określonego adresu URL punktu końcowego (czyli fs.fabrikam.com) do serwera proxy serwera federacyjnego w sieci obwodowej, należy również skonfigurować strefę w obwodowym systemie DNS, aby przekazać te żądania do serwera federacyjnego w sieci firmowej.
Aby klienci mogli być przekazywani do serwera federacyjnego kont podczas próby rozpoznania fs.fabrikam.com, perymetralny DNS jest skonfigurowany z pojedynczym rekordem typu A dla fs (fs.fabrikam.com) oraz z adresem IP serwera federacyjnego kont w sieci firmowej. Dzięki temu serwer proxy usługi federacyjnej kont może przetłumaczyć nazwę hosta fs.fabrikam.com na serwer federacyjny kont, zamiast do samego siebie—co by miało miejsce, gdyby spróbował wyszukać fs.fabrikam.com przy użyciu Internetowego DNS-u—tak aby serwer proxy mógł komunikować się z serwerem federacyjnym.
2. Konfigurowanie internetowego systemu DNS
Aby rozpoznawanie nazw powiodło się w tym scenariuszu, wszystkie żądania z komputerów klienckich w Internecie do fs.fabrikam.com muszą zostać rozpoznane przez strefę DNS w Internecie, którą kontrolujesz. W związku z tym należy skonfigurować strefę DNS internetową, aby przekazywać żądania klientów dla fs.fabrikam.com do adresu IP serwera proxy federacji kont w sieci obwodowej.
Aby uzyskać więcej informacji na temat modyfikowania sieci obwodowej i internetowych stref DNS, zobacz Konfigurowanie rozpoznawania nazw dla serwera proxy usługi federacyjnej w strefie DNS obsługującej zarówno sieć obwodową, jak i klientów internetowych.
Zobacz też
Przewodnik projektowania AD FS w systemie Windows Server 2012