Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando i computer client in Internet tentano di accedere a un'applicazione protetta da Active Directory Federation Services (AD FS), devono prima eseguire l'autenticazione al server federativo. Nella maggior parte dei casi, il server federativo non è in genere direttamente accessibile da Internet. Pertanto, i computer client Internet devono essere reindirizzati al proxy server federativo. È possibile eseguire correttamente il reindirizzamento aggiungendo i record DNS (Domain Name System) appropriati alla zona DNS o alle zone che sono esposte a Internet.
Il metodo usato per reindirizzare i client Internet al proxy del server federativo dipende dalla modalità di configurazione della zona DNS nella rete perimetrale o dalla configurazione di una zona DNS che si controlla su Internet. I proxy del server federativo sono destinati all'uso in una rete perimetrale. Reindirizzano le richieste client Internet ai server federativi correttamente solo quando DNS è stato configurato correttamente in tutte le zone con connessione Internet controllate. Pertanto, la configurazione delle zone con connessione Internet, sia che si disponga di una zona DNS che gestisce solo la rete perimetrale o una zona DNS che gestisce sia la rete perimetrale che i client Internet, è importante.
In questo argomento vengono descritti i passaggi che è possibile eseguire per configurare la risoluzione dei nomi quando si inserisce un proxy server federativo nella rete perimetrale. Per determinare quali passaggi seguire, determinare prima di tutto quale degli scenari DNS seguenti corrisponde più strettamente all'infrastruttura DNS nella rete perimetrale dell'organizzazione. Seguire quindi i passaggi per tale scenario.
Zona DNS che gestisce solo la rete perimetrale
In questo scenario, l'organizzazione ha una o due zone DNS nella rete perimetrale e l'organizzazione non controlla le zone DNS su Internet. La risoluzione dei nomi corretta per un proxy server federativo nella zona DNS che serve solo lo scenario di rete perimetrale dipende dalle condizioni seguenti:
Il proxy server federativo deve avere un'impostazione nel file hosts per risolvere il nome di dominio completo (FQDN) dell'URL dell'endpoint server federativo su un indirizzo IP di un server federativo o di un cluster del server federativo.
Il DNS nella rete perimetrale del partner account deve essere configurato in modo che l'FQDN dell'URL dell'endpoint del server federativo sia risolto nell'indirizzo IP del proxy del server federativo.
La figura seguente e i passaggi corrispondenti illustrano come ognuna di queste condizioni viene ottenuta per un determinato esempio. In questa illustrazione, la tecnologia Bilanciamento carico di rete Microsoft fornisce un singolo FQDN del cluster e un singolo indirizzo IP del cluster per una server farm federativa esistente.
Per ulteriori informazioni sulla configurazione di un indirizzo IP del cluster o di un FQDN del cluster utilizzando NLB, vedere Specifica dei parametri del cluster.
1. Configurare il file hosts nel proxy server federativo
Poiché DNS nella rete perimetrale è configurato per risolvere tutte le richieste di fs.fabrikam.com al proxy server federativo dell'account, il proxy server federativo partner account include una voce nel file host locale per risolvere fs.fabrikam.com all'indirizzo IP del server federativo dell'account effettivo (o del nome DNS del cluster per la server farm federativa) connesso alla rete aziendale. Ciò consente al proxy del server di federazione dell'account di risolvere il nome host fs.fabrikam.com verso il server di federazione dell'account, invece che verso se stesso, come accadrebbe se tentasse di cercare fs.fabrikam.com utilizzando DNS perimetrale. In questo modo, il proxy del server di federazione può comunicare con il server di federazione.
2. Configurare il DNS perimetrale
Poiché è presente un solo nome host AD FS a cui vengono indirizzati i computer client, sia che si trovino in una intranet o in Internet, i computer client che usano il server DNS perimetrale devono risolvere il nome di dominio completo per il server federativo dell'account (fs.fabrikam.com) all'indirizzo IP del proxy server federativo dell'account nella rete perimetrale. In modo da poter inoltrare i client al proxy server federativo dell'account quando tentano di risolvere fs.fabrikam.com, il DNS perimetrale contiene una zona DNS limitata corp.fabrikam.com con un singolo record di risorse host (A) per fs (fs.fabrikam.com) e l'indirizzo IP del proxy server federativo dell'account nella rete perimetrale.
Per altre informazioni su come modificare il file hosts del proxy server federativo e configurare DNS nella rete perimetrale, vedere Configurare la risoluzione dei nomi per un proxy server federativo in una zona DNS che serve solo la rete perimetrale.
Zona DNS che gestisce sia la rete perimetrale che i client Internet
In questo scenario, l'organizzazione controlla la zona DNS nella rete perimetrale e almeno una zona DNS su Internet. La risoluzione dei nomi corretta per un proxy server federativo in questo scenario dipende dalle condizioni seguenti:
Il DNS della zona Internet del partner dell'account deve essere configurato in modo che l'FQDN del nome host del server di federazione si risolva nell'indirizzo IP del proxy del server di federazione nella rete perimetrale.
Il DNS nella rete perimetrale del partner account deve essere configurato in modo che il nome di dominio completo del nome host del server federativo venga risolto nell'indirizzo IP del server federativo nella rete aziendale.
La figura seguente e i passaggi corrispondenti illustrano come ognuna di queste condizioni viene ottenuta per un determinato esempio.
Configurare DNS perimetrale
Per questo scenario, poiché si presuppone che si configurerà la zona DNS Internet che si controlla per risolvere le richieste effettuate per un URL di endpoint specifico (ovvero fs.fabrikam.com) al proxy del server federativo nella rete perimetrale, è necessario configurare anche la zona nel DNS perimetrale per inoltrare queste richieste al server federativo nella rete aziendale.
In modo che i client possano essere inoltrati al server federativo dell'account quando tentano di risolvere fs.fabrikam.com, il DNS perimetrale è configurato con un singolo record di risorse host (A) per fs (fs.fabrikam.com) e l'indirizzo IP del server federativo dell'account nella rete aziendale. Ciò consente al proxy del server federativo dell'account di risolvere il nome host fs.fabrikam.com al server federativo dell'account anziché a se stesso, come se tentasse di cercare fs.fabrikam.com tramite DNS Internet, in modo che il proxy del server federativo possa comunicare con il server federativo.
2. Configurare DNS Internet
Affinché la risoluzione dei nomi venga eseguita correttamente in questo scenario, tutte le richieste provenienti da computer client su Internet per fs.fabrikam.com devono essere risolte dalla zona DNS Internet che si controlla. Di conseguenza, è necessario configurare la zona DNS Internet per inoltrare le richieste client per fs.fabrikam.com all'indirizzo IP del proxy server federativo dell'account nella rete perimetrale.
Per altre informazioni su come modificare la rete perimetrale e le zone DNS Internet, vedere Configurare la risoluzione dei nomi per un proxy server federativo in una zona DNS che gestisce sia la rete perimetrale che i client Internet.