共用方式為

同盟伺服器 Proxy 的名稱解析需求

當網際網路上的用戶端電腦嘗試存取受 Active Directory 同盟服務 (AD FS) 保護的應用程式時,它們必須先向同盟伺服器進行驗證。 在大部分情況下,同盟伺服器通常無法直接從網際網路存取。 因此,網際網路用戶端電腦必須改為重新導向至同盟伺服器 Proxy。 您可以將適當的網域名稱系統 (DNS) 記錄新增至您的 DNS 區域或面對網際網路的區域,來完成成功的重新導向。

您用來將網際網路用戶端重新導向至同盟伺服器 Proxy 的方法,取決於您如何在周邊網路中設定 DNS 區域,或如何在網際網路上設定您控制的 DNS 區域。 同盟伺服器 proxy 是用於周邊網路。 只有當 DNS 已在您控制的所有網際網路對向區域中正確設定時,它們才會成功地將網際網路用戶端要求重新導向至同盟伺服器。 因此,網際網路對向區域的設定 — 您有只在周邊網路提供服務的 DNS 區域或在周邊網路和網際網路用戶端提供服務的 DNS 區域 — 很重要。

本主題描述當您在周邊網路中放置同盟伺服器 Proxy 時,對於設定名稱解析可以採取的步驟。 若要判斷應遵循哪些步驟,請先判斷下列哪一個 DNS 案例最符合您組織的周邊網路中的 DNS 基礎結構。 然後,遵循該案例中的步驟。

僅對周邊網路提供服務的 DNS 區域

在此案例中,您的組織在周邊網路中有一或兩個 DNS 區域,且您的組織不會控制在網際網路上的任何 DNS 區域。 在僅對周邊網路提供服務的 DNS 區域中針對同盟伺服器 Proxy 的成功名稱解析案例取決於下列條件:

  • 同盟伺服器 Proxy 必須具有主機檔案中的設定,才能將同盟伺服器端點 URL 的完整網域名稱 (FQDN) 解析為同盟伺服器或同盟伺服器叢集的 IP 位址。

  • 必須設定帳戶合作夥伴的周邊網路中的 DNS,讓同盟伺服器端點 URL 的 FQDN 解析為同盟伺服器 Proxy 的 IP 位址。

下圖和相對應的步驟顯示如何針對指定的範例達成每一個條件。 在此圖中,Microsoft 網路負載平衡 (NLB) 技術提供單一、叢集 FQDN,和現有同盟伺服器伺服器陣列的單一、叢集 IP 位址。

Illustration that shows Microsoft Network Load Balancing technology provides a single, cluster F Q D N and a single, cluster I P address for an existing federation server farm.

如需如何使用 NLB 設定叢集 IP 位址或叢集 FQDN 的詳細資訊,請參閱指定叢集參數

1.在同盟伺服器 Proxy 上設定主機檔案。

因為周邊網路中的 DNS 設定為將 fs.fabrikam.com 的所有要求解析為帳戶帳戶同盟伺服器 Proxy,帳戶合作夥伴同盟伺服器 Proxy 在其本機主機檔案中具有項目以將 fs.fabrikam.com 解析為實際帳戶同盟伺服器的 IP 位址 (或同盟伺服器伺服器陣列的叢集 DNS 名稱),其會連線到公司網路。 這可讓帳戶同盟伺服器 Proxy 將主機名稱 fs.fabrikam.com 解析為帳戶同盟伺服器,而不是解析為本身 — 如果它嘗試使用周邊 DNS 查詢 fs.fabrikam.com 就會發生這種情形 — 讓同盟伺服器 Proxy 可以與同盟伺服器通訊。

2.設定周邊 DNS

因為用戶端電腦只會被導向至單一 AD FS 主機名稱 — 無論是在內部網路或網際網路上 — 在網際網路上使用周邊 DNS 伺服器的用戶端電腦必須將帳戶同盟伺服器 (fs.fabrikam.com) 之帳戶的 FQDN 解析為周邊網路上帳戶同盟伺服器 Proxy 的 IP 位址。 當它們嘗試針對 fs (fs.fabrikam.com) 和周邊網路上的帳戶同盟伺服器 Proxy 的 IP 位址,解析包含限制 corp.fabrikam.com DNS 區域與單一主機 (A) 資源記錄的周邊 DNS fs.fabrikam.com 時,讓它可以將用戶端轉送至帳戶同盟伺服器 Proxy。

如需如何修改同盟伺服器 Proxy 的主機檔案,以及在周邊網路中設定 DNS 的詳細資訊,請參閱在僅適用於周邊網路的 DNS 區域中設定同盟伺服器 Proxy 的名稱解析

對周邊網路和網際網路用戶端提供服務的 DNS 區域

在此案例中,您的組織控制周邊網路中的 DNS 區域,和至少一個網際網路上的 DNS 區域。 此案例中針對同盟伺服器 Proxy 的成功名稱解析案例取決於下列條件:

  • 必須設定帳戶合作夥伴的網際網路區域中的 DNS,讓同盟伺服器主機名稱的 FQDN 解析為周邊網路中同盟伺服器 Proxy 的 IP 位址。

  • 必須設定帳戶合作夥伴的周邊網路中的 DNS,讓同盟伺服器主機名稱的 FQDN 解析為公司網路中同盟伺服器的 IP 位址。

下圖和相對應的步驟顯示如何針對指定的範例達成每一個條件。

name requirements

1.設定周邊 DNS

對於此案例,因為它會假設您將設定您控制的網際網路 DNS 區域,將針對特定端點 URL (也就是 fs.fabrikam.com) 的要求解析為周邊網路中的同盟伺服器 Proxy,您也必須設定周邊網路中的 DNS 以將這些要求轉送到公司網路中的同盟伺服器。

當它們嘗試針對 fs (fs.fabrikam.com) 和公司網路上的帳戶同盟伺服器的 IP 位址,解析以單一主機 (A) 資源記錄設定的周邊 DNS fs.fabrikam.com 時,讓它可以將用戶端轉送至帳戶同盟伺服器。 這可讓帳戶同盟伺服器 Proxy 將主機名稱 fs.fabrikam.com 解析為帳戶同盟伺服器,而不是解析為本身 — 如果它嘗試使用網際網路 DNS 查詢 fs.fabrikam.com 就會發生這種情形 — 讓同盟伺服器 Proxy 可以與同盟伺服器通訊。

2.設定網際網路 DNS

若要讓此案例的名稱解析成功,來自網際網路上用戶端電腦至 fs.fabrikam.com 的所有要求,必須透過您控制的網際網路 DNS 區域進行解析。 因此,您必須設定您的網際網路 DNS 區域,以將 fs.fabrikam.com 的用戶端要求轉送至周邊網路中帳戶同盟伺服器 Proxy 的 IP 位址。

如需如何修改周邊網路和網際網路 DNS 區域的詳細資訊,請參閱在適用於周邊網路及網際網路用戶端的 DNS 區域中設定同盟伺服器 Proxy 的名稱解析

另請參閱

Windows Server 2012 中的 AD FS 設計指南