Поделиться через


Требования к разрешению имен для прокси-серверов федерации

Когда клиентские компьютеры в Интернете пытаются получить доступ к приложению, защищенному службы федерации Active Directory (AD FS) (AD FS), они должны сначала пройти проверку подлинности на сервере федерации. В большинстве случаев сервер федерации обычно недоступен напрямую из Интернета. Таким образом, клиентские компьютеры Интернета должны быть перенаправлены на прокси-сервер федерации. Для успешного перенаправления можно добавить соответствующие записи DNS в зону DNS или зоны, взаимодействующие с Интернетом.

Метод, используемый для перенаправления интернет-клиентов на прокси-сервер федерации, зависит от настройки зоны DNS в сети периметра или настройки зоны DNS, управляемой в Интернете. Прокси-серверы федерации предназначены для использования в сети периметра. Они перенаправляют запросы клиента Интернета на серверы федерации успешно, только если DNS настроен правильно во всех зонах, управляемых Интернетом. Таким образом, настройка зон с выходом в Интернет, будь то зона DNS, обслуживающая только сеть периметра, или зона DNS, обслуживающая сеть периметра и интернет-клиентов, очень важна.

В этом разделе описаны шаги, которые можно предпринять для настройки разрешения имен при размещение прокси-сервера федерации в сети периметра. Чтобы определить, какой процедуре следовать, сначала определите, какие из следующих сценариев зон DNS наиболее близко соответствуют инфраструктуре DNS в сети периметра организации. Затем выполните процедуру для этого сценария.

Зона DNS, обслуживающая только сеть периметра

В этом сценарии в вашей организации есть одна или две зоны DNS в сети периметра и ваша организация не контролирует зоны DNS в Интернете. Успешное разрешение имен для прокси-сервера федерации в зоне DNS, которая обслуживает только сценарий сети периметра, зависит от следующих условий:

  • Прокси-сервер федерации должен иметь параметр в файле узлов для разрешения полного доменного имени (FQDN) URL-адреса конечной точки сервера федерации НА IP-адрес сервера федерации или кластера серверов федерации.

  • DNS в сети периметра партнера учетной записи необходимо настроить таким образом, чтобы полное доменное имя URL-адреса конечной точки сервера федерации разрешалось в IP-адрес прокси-сервера федерации.

На рисунке ниже и в соответствующей процедуре показано, как выполнить каждое из этих условий для данного примера. На этом рисунке технология балансировки сетевой нагрузки (NLB) Microsoft предоставляет одно полное доменное имя кластера и один IP-адрес кластера для существующей фермы серверов федерации.

Illustration that shows Microsoft Network Load Balancing technology provides a single, cluster F Q D N and a single, cluster I P address for an existing federation server farm.

Дополнительные сведения о настройке IP-адреса кластера или полного доменного имени кластера с помощью NLB см. в разделе "Указание параметров кластера".

1. Настройка файла hosts на прокси-сервере федерации

Так как DNS в сети периметра настроен для разрешения всех запросов на fs.fabrikam.com на прокси-сервер федерации учетной записи, прокси-сервер федерации партнера учетной записи имеет запись в файле локальных узлов для разрешения fs.fabrikam.com на IP-адрес фактического сервера федерации учетной записи (или DNS-имени кластера для фермы серверов федерации), подключенного к корпоративной сети. Это позволяет прокси-серверу федерации учетной записи разрешать имя узла fs.fabrikam.com серверу федерации учетной записи, а не самому себе, как это было бы, если он попытался найти fs.fabrikam.com с помощью DNS периметра, чтобы прокси-сервер федерации может взаимодействовать с сервером федерации.

2. Настройка зоны DNS сети периметра

Так как на клиентских компьютерах направляется только одно имя узла AD FS( независимо от того, они находятся в интрасети или в Интернете— клиентские компьютеры в Интернете, использующие DNS-сервер периметра, должны разрешить полное доменное имя для сервера федерации учетной записи (fs.fabrikam.com) к IP-адресу прокси-сервера федерации учетной записи в сети периметра. Таким образом, он может пересылать клиенты на прокси-сервер федерации учетной записи при попытке разрешить fs.fabrikam.com периметра DNS содержит ограниченную corp.fabrikam.com зону DNS с одной записью ресурсов узла (A) для fs (fs.fabrikam.com) и IP-адрес прокси сервера федерации учетной записи в сети периметра.

Дополнительные сведения об изменении файла узлов прокси-сервера федерации и настройке DNS в сети периметра см. в разделе "Настройка разрешения имен для прокси-сервера федерации" в зоне DNS, которая обслуживает только сеть периметра.

Зона DNS, обслуживающая сеть периметра и интернет-клиентов

В этом сценарии ваша организация управляет зоной DNS в сети периметра и по крайней мере одной зоной DNS в Интернете. Успешное разрешение имен для прокси-сервера федерации в этом сценарии зависит от следующих условий:

  • DNS в зоне Интернета партнера учетной записи необходимо настроить таким образом, чтобы полное доменное имя узла сервера федерации разрешалось в IP-адрес прокси-сервера федерации в сети периметра.

  • DNS в сети периметра партнера учетной записи необходимо настроить таким образом, чтобы полное доменное имя узла сервера федерации разрешалось в IP-адрес сервера федерации в корпоративной сети.

На рисунке ниже и в соответствующей процедуре показано, как выполнить каждое из этих условий для данного примера.

name requirements

1. Настройка зоны DNS сети периметра

В этом сценарии предполагается, что вы настроите зону DNS Интернета, которую вы управляете для разрешения запросов, сделанных для определенного URL-адреса конечной точки (то есть fs.fabrikam.com) на прокси-сервер федерации в сети периметра, необходимо также настроить зону в DNS периметра, чтобы перенаправить эти запросы на сервер федерации в корпоративной сети.

Чтобы клиенты могли перенаправляться на сервер федерации учетной записи при попытке разрешить fs.fabrikam.com, DNS периметра настраивается с одной записью ресурсов узла (A) для fs (fs.fabrikam.com) и IP-адрес сервера федерации учетной записи в корпоративной сети. Это позволяет прокси-серверу федерации учетной записи разрешать имя узла, fs.fabrikam.com серверу федерации учетной записи, а не самому себе, как это было бы, если он попытался найти fs.fabrikam.com с помощью Интернет-DNS, чтобы прокси-сервер федерации может взаимодействовать с сервером федерации.

2. Настройка зоны DNS Интернета

Для успешного разрешения имен в этом сценарии все запросы от клиентских компьютеров в Интернете к fs.fabrikam.com должны разрешаться зоной DNS Интернета, которой вы управляете. Следовательно, необходимо настроить зону DNS Интернета для пересылки клиентских запросов на fs.fabrikam.com в IP-адрес прокси-сервера федерации учетной записи в сети периметра.

Дополнительные сведения об изменении сети периметра и зон DNS в Интернете см. в статье "Настройка разрешения имен для прокси-сервера федерации" в зоне DNS, которая обслуживает как сеть периметра, так и интернет-клиенты.

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012