フェデレーション サーバー プロキシの名前解決の要件
インターネット上のクライアント コンピューターが Active Directory フェデレーション サービス (AD FS) で保護されているアプリケーションにアクセスしようとした場合 、最初にフェデレーション サーバーを認証する必要があります。 ほとんどの場合、フェデレーション サーバーは通常ありません、インターネットから直接アクセスです。 そのため、インターネット クライアント コンピューターがリダイレクトされるよう、フェデレーション サーバー プロキシを代わりにします。 適切なドメイン ネーム システム (DNS) レコードをインターネットに接続されている DNS ゾーンに追加することにより、リダイレクトを成功させることができます。
フェデレーション サーバー プロキシをインターネット クライアントをリダイレクトするために使用する方法は、境界ネットワーク内の DNS ゾーンを構成する方法や、インターネット上のユーザーが管理する DNS ゾーンの構成方法によって異なります。 フェデレーション サーバー プロキシは、境界ネットワークで使用することが意図されています。 管理者が制御するすべてのインターネットに接続されたゾーンで DNS が正しく構成されている場合にのみ、フェデレーション サーバー プロキシはインターネット クライアント要求をフェデレーション サーバーに正常にリダイレクトします。 したがって、インターネットに接続されたゾーンの構成 (DNS ゾーンが境界ネットワークのみに対するものか、または境界ネットワークとインターネット クライアントの両方に対するものか) が重要です。
このトピックでは、境界ネットワークにフェデレーション サーバー プロキシを配置すると、名前解決を構成するために行える手順を説明します。 使用する手順を決定するには、最初に、組織の境界ネットワーク内の DNS インフラストラクチャが、次の DNS シナリオのどれに最も近いかを判断します。 その後、そのシナリオの手順を実行します。
境界ネットワークのみを対象とする DNS ゾーン
このシナリオで、ユーザーの組織には境界ネットワーク内に 1 つまたは 2 つの DNS ゾーンがあり、ユーザーの組織はインターネット上のどの DNS ゾーンも制御していません。 フェデレーション サーバー プロキシが境界ネットワークのシナリオのみを提供する DNS ゾーンの正常な名前の解決策は、次の条件によって異なります。
フェデレーション サーバー プロキシでは、完全修飾ドメイン名を解決するのには、ホスト ファイルの設定が必要 (FQDN) のフェデレーション サーバーまたはフェデレーション サーバー クラスターの IP アドレスにフェデレーション サーバーのエンドポイント URL。
フェデレーション サーバーのエンドポイント URL の FQDN は、フェデレーション サーバー プロキシの IP アドレスに解決できるように、アカウント パートナーの境界ネットワークに DNS を構成する必要があります。
次の図および対応する手順では、示されている例でこれらの各条件を実現する方法について説明します。 次の図に、Microsoft Network Load Balancing (NLB) テクノロジには、1 つ、クラスターの FQDN および既存のフェデレーション サーバー ファームのクラスター IP アドレスを 1 つが用意されています。
クラスターの IP アドレスまたはクラスター FQDN の構成の詳細については、NLB を使用して参照してください クラスター パラメーターを指定してします。
1.フェデレーション サーバー プロキシで hosts ファイルを構成する
境界ネットワークの DNS は、fs.fabrikam.com に対するすべての要求をアカウント フェデレーション サーバー プロキシに解決するように構成されているため、アカウント パートナー フェデレーション サーバー プロキシのローカル ホスト ファイルには、fs.fabrikam.com を企業ネットワークに接続されている実際のアカウント フェデレーション サーバーの IP アドレス (またはフェデレーション サーバー ファームのクラスター DNS 名) に解決するためのエントリがあります。 自体にではなく、アカウント フェデレーション サーバーにホスト名 fs.fabrikam.com を解決するのには、アカウント フェデレーション サーバー プロキシにできるようになります: 境界の DNS を使用して fs.fabrikam.com を検索しようとした場合に発生すると、: フェデレーション サーバー プロキシは、フェデレーション サーバーと通信できるようにします。
2.境界 DNS を構成する
クライアント コンピューターは (イントラネット上かインターネット上かに関係なく) ただ 1 つの AD FS ホスト名に転送されるので、境界 DNS サーバーを使用するインターネット上のクライアント コンピューターは、アカウント フェデレーション サーバーの FQDN (fs.fabrikam.com) を、境界ネットワーク上にあるアカウント フェデレーション サーバーの IP アドレスに解決する必要があります。 クライアントが fs.fabrikam.com の解決を試みたときにクライアントをアカウント フェデレーション サーバー プロキシに転送できるように、境界 DNS には、fs (fs.fabrikam.com) に対する単一のホスト (A) リソース レコードと、境界ネットワーク上にあるアカウント フェデレーション サーバー プロキシの IP アドレスを含む、制限された corp.fabrikam.com の DNS ゾーンが含まれます。
フェデレーション サーバー プロキシの hosts ファイルを変更して、境界ネットワークに DNS を構成する方法の詳細については、次を参照してください。 、境界ネットワークのみを提供する DNS ゾーンにフェデレーション サーバー プロキシの名前解決を構成するです。
境界ネットワークとインターネットの両方のクライアントに対応する DNS ゾーン
このシナリオでは、ユーザーの組織は、境界ネットワーク内の DNS ゾーンと、インターネット上の 1 つ以上の DNS ゾーンを制御しています。 このシナリオでフェデレーション サーバー プロキシの正常な名前の解決策は、次の条件によって異なります。
フェデレーション サーバーのホスト名の FQDN が、境界ネットワーク内のフェデレーション サーバー プロキシの IP アドレスに解決できるように、アカウント パートナーのインターネット ゾーンに DNS を構成する必要があります。
フェデレーション サーバーのホスト名の FQDN が企業ネットワーク内のフェデレーション サーバーの IP アドレスに解決できるように、アカウント パートナーの境界ネットワークに DNS を構成する必要があります。
次の図および対応する手順では、示されている例でこれらの各条件を実現する方法について説明します。
1.境界 DNS を構成する
このシナリオでは、ユーザーが制御するインターネット DNS ゾーンは特定のエンドポイント URL (つまり fs.fabrikam.com) に対する要求を境界ネットワーク内のフェデレーション サーバー プロキシに解決するように構成されているものと想定しているので、境界 DNS のゾーンもその要求を企業ネットワーク内のフェデレーション サーバーに転送するように構成する必要があります。
クライアントが fs.fabrikam.com の解決を試みたときにクライアントをアカウント フェデレーション サーバーに転送できるように、境界 DNS は、fs (fs.fabrikam.com) に対する単一のホスト (A) リソース レコードと、企業ネットワーク上にあるアカウント フェデレーション サーバーの IP アドレスで構成します。 自体にではなく、アカウント フェデレーション サーバーにホスト名 fs.fabrikam.com を解決するのには、アカウント フェデレーション サーバー プロキシにできるようになります: インターネット DNS を使用して fs.fabrikam.com を検索しようとした場合に発生すると、: フェデレーション サーバー プロキシは、フェデレーション サーバーと通信できるようにします。
2.インターネット DNS を構成する
このシナリオで名前解決が正常に行われるためには、インターネット上のクライアント コンピューターから fs.fabrikam.com へのすべての要求が、ユーザーが制御するインターネット DNS ゾーンによって解決される必要があります。 そのため、境界ネットワーク内には、アカウント フェデレーション サーバー プロキシの IP アドレスに fs.fabrikam.com に対するクライアント要求を転送する、インターネット上の DNS ゾーンを構成する必要があります。
境界ネットワークとインターネットの DNS ゾーンを変更する方法の詳細については、次を参照してください。 DNS ゾーンことはどちらも、境界ネットワークとインターネット クライアントでのフェデレーション サーバー プロキシの名前解決を構成するです。