Persyaratan Resolusi Nama untuk Proksi Server Federasi
Ketika komputer klien di Internet mencoba mengakses aplikasi yang diamankan oleh Layanan Federasi Direktori Aktif (AD FS), mereka harus terlebih dahulu mengautentikasi ke server federasi. Dalam kebanyakan kasus, server federasi biasanya tidak dapat diakses langsung dari Internet. Oleh karena itu, komputer klien Internet harus dialihkan ke proksi server federasi sebagai gantinya. Anda bisa menyelesaikan pengalihan yang berhasil dengan menambahkan catatan Sistem Nama Domain (DNS) yang sesuai ke zona atau zona DNS Anda yang menghadap internet.
Metode yang Anda gunakan untuk mengalihkan klien Internet ke proksi server federasi bergantung pada cara Anda mengonfigurasi zona DNS di jaringan perimeter Anda atau bagaimana Anda mengonfigurasi zona DNS yang Anda kontrol di Internet. Proksi server federasi ditujukan untuk digunakan dalam jaringan perimeter. Mereka mengalihkan permintaan klien Internet ke server federasi hanya berhasil ketika DNS telah dikonfigurasi dengan benar di semua zona yang menghadap internet yang Anda kontrol. Oleh karena itu, konfigurasi zona yang terhubung ke Internet Anda—baik Anda memiliki zona DNS yang hanya melayani jaringan perimeter atau zona DNS yang melayani jaringan perimeter dan klien Internet—penting.
Topik ini menjelaskan langkah-langkah yang dapat Anda ambil untuk mengonfigurasi resolusi nama saat Anda menempatkan proksi server federasi di jaringan perimeter Anda. Untuk menentukan langkah mana yang harus diikuti, pertama-tama tentukan skenario DNS mana yang paling cocok dengan infrastruktur DNS di jaringan sekitar organisasi Anda. Kemudian, ikuti langkah-langkah untuk skenario tersebut.
Zona DNS hanya melayani jaringan perimeter
Dalam skenario ini, organisasi Anda memiliki satu atau dua zona DNS di jaringan sekitar, dan organisasi Anda tidak mengontrol zona DNS apa pun di Internet. Resolusi nama yang berhasil untuk proksi server federasi di zona DNS yang hanya melayani skenario jaringan perimeter tergantung pada kondisi berikut:
Proksi server federasi harus memiliki pengaturan dalam file host untuk menyelesaikan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari URL titik akhir server federasi ke alamat IP server federasi atau kluster server federasi.
DNS di jaringan perimeter mitra akun harus dikonfigurasi sehingga FQDN URL titik akhir server federasi diselesaikan ke alamat IP proksi server federasi.
Ilustrasi berikut dan langkah-langkah terkait menunjukkan bagaimana masing-masing kondisi ini dicapai untuk contoh tertentu. Dalam ilustrasi ini, teknologi Microsoft Network Load Balancing (NLB) menyediakan FQDN kluster tunggal dan satu alamat IP kluster untuk farm server federasi yang ada.
Untuk informasi selengkapnya tentang mengonfigurasi alamat IP kluster atau FQDN kluster menggunakan NLB, lihat Menentukan Parameter Kluster.
1. Mengonfigurasi file host pada proksi server federasi
Karena DNS di jaringan perimeter dikonfigurasi untuk menyelesaikan semua permintaan untuk fs.fabrikam.com ke proksi server federasi akun, proksi server federasi mitra akun memiliki entri dalam file host lokalnya untuk menyelesaikan fs.fabrikam.com ke alamat IP server federasi akun aktual (atau nama DNS kluster untuk farm server federasi) yang terhubung ke jaringan perusahaan. Ini memungkinkan proksi server federasi akun untuk menyelesaikan nama host fs.fabrikam.com ke server federasi akun daripada ke dirinya sendiri—seperti yang akan terjadi jika mencoba mencari fs.fabrikam.com menggunakan DNS perimeter—sehingga proksi server federasi dapat berkomunikasi dengan server federasi.
2. Mengonfigurasi DNS perimeter
Karena hanya ada satu nama host LAYANAN Federasi Direktori Aktif yang diarahkan komputer klien—apakah mereka berada di intranet atau di Internet—komputer klien di Internet yang menggunakan server DNS perimeter harus menyelesaikan FQDN untuk server federasi akun (fs.fabrikam.com) ke alamat IP proksi server federasi akun di jaringan perimeter. Sehingga dapat meneruskan klien ke proksi server federasi akun ketika mereka mencoba menyelesaikan fs.fabrikam.com, DNS perimeter berisi zona DNS corp.fabrikam.com terbatas dengan catatan sumber daya host tunggal (A) untuk fs (fs.fabrikam.com) dan alamat IP proksi server federasi akun di jaringan perimeter.
Untuk informasi selengkapnya tentang cara memodifikasi file host proksi server federasi dan mengonfigurasi DNS di jaringan sekitar, lihat Mengonfigurasi Resolusi Nama untuk Proksi Server Federasi di Zona DNS yang Hanya Melayani Jaringan Perimeter.
Zona DNS yang melayani jaringan perimeter dan klien Internet
Dalam skenario ini, organisasi Anda mengontrol zona DNS di jaringan perimeter dan setidaknya satu zona DNS di Internet. Resolusi nama yang berhasil untuk proksi server federasi dalam skenario ini tergantung pada kondisi berikut:
DNS di zona Internet mitra akun harus dikonfigurasi sehingga FQDN nama host server federasi diselesaikan ke alamat IP proksi server federasi di jaringan perimeter.
DNS di jaringan perimeter mitra akun harus dikonfigurasi sehingga FQDN nama host server federasi diselesaikan ke alamat IP server federasi di jaringan perusahaan.
Ilustrasi berikut dan langkah-langkah terkait menunjukkan bagaimana masing-masing kondisi ini dicapai untuk contoh tertentu.
1. Mengonfigurasi DNS perimeter
Untuk skenario ini, karena diasumsikan bahwa Anda akan mengonfigurasi zona DNS Internet yang Anda kontrol untuk menyelesaikan permintaan yang dibuat untuk URL titik akhir tertentu (yaitu, fs.fabrikam.com) ke proksi server federasi di jaringan sekitar, Anda juga harus mengonfigurasi zona di DNS perimeter untuk meneruskan permintaan ini ke server federasi di jaringan perusahaan.
Sehingga klien dapat diteruskan ke server federasi akun ketika mereka mencoba menyelesaikan fs.fabrikam.com, DNS perimeter dikonfigurasi dengan catatan sumber daya host tunggal (A) untuk fs (fs.fabrikam.com) dan alamat IP server federasi akun di jaringan perusahaan. Ini memungkinkan proksi server federasi akun untuk menyelesaikan nama host fs.fabrikam.com ke server federasi akun daripada ke dirinya sendiri—seperti yang akan terjadi jika mencoba mencari fs.fabrikam.com menggunakan DNS Internet—sehingga proksi server federasi dapat berkomunikasi dengan server federasi.
2. Mengonfigurasi DNS Internet
Agar resolusi nama berhasil dalam skenario ini, semua permintaan dari komputer klien di Internet ke fs.fabrikam.com harus diselesaikan oleh zona DNS Internet yang Anda kontrol. Akibatnya, Anda harus mengonfigurasi zona DNS Internet Anda untuk meneruskan permintaan klien untuk fs.fabrikam.com ke alamat IP proksi server federasi akun di jaringan sekitar.
Untuk informasi selengkapnya tentang cara memodifikasi jaringan perimeter dan zona DNS Internet, lihat Mengonfigurasi Resolusi Nama untuk Proksi Server Federasi di Zona DNS yang Melayani Jaringan Perimeter dan Klien Internet.
Lihat Juga
Panduan Desain Layanan Federasi Direktori Aktif di Windows Server 2012
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk