Requisitos de resolução de nome para proxies de servidor de federação
Quando computadores cliente na Internet tentam acessar um aplicativo protegido por Serviços de Federação do Active Directory (AD FS), eles devem primeiro autenticar no servidor de federação. Na maioria dos casos, o servidor de federação em geral não é diretamente acessível pela Internet. Portanto, os computadores cliente da Internet deverão ser redirecionados para o proxy do servidor de federação. O redirecionamento bem-sucedido pode ser feito adicionando os registros do DNS (sistema de nome de domínio) apropriados para a zona DNS ou zonas voltadas para a Internet.
O método que você usa para redirecionar clientes de Internet para o proxy do servidor de federação depende de como você configura a zona DNS da rede de perímetro ou como configura uma zona DNS que você controle na Internet. Proxies do servidor de Federação são destinados a uso em uma rede de perímetro. Eles redirecionam as solicitações de cliente da Internet para servidores de federação com sucesso somente quando o DNS tiver sido configurado corretamente em todas as zonas da Internet que você controle. Portanto, a configuração de suas zonas da Internet é importante, não importa se você tem uma zona DNS que atende apenas a rede de perímetro ou uma zona DNS que atende a rede de perímetro e os clientes da Internet.
Este tópico descreve as etapas para configurar a resolução de nome quando ao posicionar um proxy do servidor de federação na rede de perímetro. Para determinar quais etapas seguir, determine qual dos seguintes cenários DNS mais corresponde com a infraestrutura do DNS na rede de perímetro da sua organização. Então siga as etapas para esse cenário.
Zona DNS atendendo apenas a rede de perímetro
Nesse cenário, sua organização tem uma ou duas zonas DNS na rede de perímetro, e sua organização não controla as zonas DNS na Internet. A resolução de nomes bem-sucedida para um proxy do servidor de federação na zona DNS que atende apenas o cenário da rede de perímetro depende das condições a seguir:
O proxy do servidor de federação deve ter uma configuração no hosts file para resolver o FQDN (nome de domínio totalmente qualificado) da URL do ponto de extremidade do servidor de federação para um endereço IP de um servidor de federação ou de um cluster de servidores de federação.
DNS na rede de perímetro do parceiro de conta deve ser configurado para que o FQDN da URL do ponto de extremidade do servidor de federação resolva o endereço IP do proxy do servidor de federação.
A ilustração a seguir e as etapas correspondentes mostram como cada uma dessas condições é obtida para um determinado exemplo. Nesta ilustração, a tecnologia Microsoft NLB (Network Load Balancing) fornece um único FQDN de cluster e um único endereço IP de cluster para um farm de servidores de federação existente.
Para obter mais informações sobre como configurar um endereço IP ou FQDN de cluster usando NLB, consulte Especificar os parâmetros de cluster.
1. Configurar o arquivo de hosts no proxy do servidor de federação
Uma vez que o DNS na rede de perímetro é configurado para resolver todas as solicitações de fs.fabrikam.com para o proxy do servidor de federação da conta, o proxy do servidor de federação do parceiro de conta tem uma entrada no arquivo de hosts local dele para resolver fs.fabrikam.com para o endereço IP do servidor de federação (ou o nome DNS do cluster para o farm de servidores de federação) da conta real que está conectado à rede corporativa. Isso possibilita que o proxy do servidor de federação da conta resolva o nome do host fs.fabrikam.com para o servidor de federação da conta, em vez de para si (como ocorreria se tentasse consultar fs.fabrikam.com usando o DNS de perímetro) de modo que o proxy do servidor de federação possa se comunicar com o servidor de federação.
2. Configurar DNS de perímetro
Porque há apenas um único nome do host AD FS para o qual os computadores cliente são direcionados (estejam eles em uma intranet ou na Internet), os computadores cliente na Internet que usam o servidor DNS de perímetro devem resolver o FQDN para o proxy do servidor de federação da conta (fs.fabrikam.com) para o endereço IP do proxy do servidor de federação da conta na rede de perímetro. Para que se possa encaminhar os clientes para o proxy do servidor de federação da conta quando eles tentam resolver fs.fabrikam.com, o perímetro DNS contém uma zona DNS corp.fabrikam.com limitada com um registro de recurso de host único (A) para fs (fs.fabrikam.com) e o endereço IP do proxy do servidor de federação da conta na rede de perímetro.
Para obter mais informações sobre como modificar o arquivo de hosts do proxy do servidor de federação e configurar o DNS na rede de perímetro, consulte Configurar a resolução de nomes para um proxy do servidor de federação em uma zona DNS que atende apenas à rede de perímetro.
Zona DNS atendendo a rede de perímetro e os clientes da Internet
Nesse cenário, a sua organização controla a zona DNS na rede de perímetro e pelo menos uma zona DNS na Internet. A resolução de nomes bem-sucedida para um proxy do servidor de federação neste cenário depende das seguintes condições:
O DNS na zona de Internet do parceiro de conta deve ser configurado para que o FQDN do nome do host do servidor de federação resolva o endereço IP do proxy do servidor de federação na rede de perímetro.
O DNS na zona de perímetro do parceiro de conta deve ser configurado para que o FQDN do nome do host do servidor de federação resolva o endereço IP do servidor de federação na rede corporativa.
A ilustração a seguir e as etapas correspondentes mostram como cada uma dessas condições é obtida para um determinado exemplo.
1. Configurar DNS de perímetro
Para este cenário, uma vez que se presume que você vai configurar a zona DNS de Internet que você controla para resolver as solicitações feitas para uma URL de ponto de extremidade específico (ou seja, fs.fabrikam.com) para o proxy do servidor de federação na rede de perímetro, você também deve configurar a zona no perímetro DNS para encaminhar essas solicitações para o servidor de federação na rede corporativa.
Para que os clientes possam ser encaminhados para o servidor de federação da conta quando tentarem resolver fs.fabrikam.com, o DNS de perímetro é configurado com um registro de recurso de host único (A) para fs (fs.fabrikam.com) e o endereço IP do servidor de federação da conta na rede corporativa. Isso possibilita que o proxy do servidor de federação da conta resolva o nome do host fs.fabrikam.com para o servidor de federação da conta, em vez de para si (como ocorreria se tentasse consultar fs.fabrikam.com usando o DNS de Internet) de modo que o proxy do servidor de federação possa se comunicar com o servidor de federação.
2. Configurar DNS da Internet
Para a resolução de nome ser bem-sucedida neste cenário, todas as solicitações de computadores cliente na Internet para fs.fabrikam.com devem ser resolvidas pela zona DNS da Internet que você controla. Como consequência, você deve configurar a zona DNS de Internet para encaminhar solicitações de cliente de fs.fabrikam.com para o endereço IP do proxy do servidor de federação da conta na rede de perímetro.
Para obter mais informações sobre como modificar a rede de perímetro e as zonas DNS de Internet, consulte Configurar resolução de nomes para um proxy do servidor de federação em uma zona DNS que atenda à rede de perímetro e clientes de Internet.