Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Когда клиентские компьютеры в Интернете пытаются получить доступ к приложению, защищенному службами федерации Active Directory (AD FS), они должны сначала пройти проверку подлинности на сервере федерации. В большинстве случаев сервер федерации обычно недоступен напрямую из Интернета. Таким образом, клиентские компьютеры Интернета должны быть перенаправлены на прокси-сервер федерации. Вы можете выполнить успешное перенаправление, добавив соответствующие записи системы доменных имен (DNS) в DNS-зону или зоны, доступные через Интернет.
Метод, используемый для перенаправления интернет-клиентов на прокси-сервер федерации, зависит от настройки зоны DNS в сети периметра или настройки зоны DNS, управляемой в Интернете. Прокси-серверы федерации предназначены для использования в периметральной сети. Они успешно перенаправляют запросы интернет-клиентов на серверы федерации только в том случае, если DNS настроен правильно во всех интернет-зонах, которые вы контролируете. Таким образом, важно, как сконфигурированы ваши зоны, подключенные к Интернету — обслуживает ли зона DNS только сеть периметра или и сеть периметра, и интернет-клиенты.
В этой теме описаны шаги, которые можно предпринять для настройки разрешения имен при размещении прокси-сервера федерации в периметральной сети. Чтобы определить, какие шаги следует выполнить, сначала определите, какие из следующих сценариев DNS наиболее тесно соответствуют инфраструктуре DNS в сети периметра вашей организации. Затем выполните действия по этому сценарию.
Зона DNS, обслуживающая только сеть периметра
В этом сценарии у вашей организации есть одна или две зоны DNS в сети периметра, и ваша организация не контролирует какие-либо зоны DNS в Интернете. Успешное разрешение имен для прокси-сервера федерации в зоне DNS, обслуживающей только сценарий периметральной сети, зависит от следующих условий:
Прокси-сервер федерации должен иметь настройку в файле hosts для разрешения полного доменного имени (FQDN) URL-адреса конечной точки сервера федерации в IP-адрес сервера федерации или кластера серверов федерации.
DNS в сети периметра партнера учетной записи необходимо настроить таким образом, чтобы полное доменное имя URL-адреса конечной точки сервера федерации разрешалось в IP-адрес прокси-сервера федерации.
На следующем рисунке и соответствующих шагах показано, как достигается каждое из этих условий для данного примера. На этом рисунке технология балансировки сетевой нагрузки (NLB) Microsoft предоставляет одно полное доменное имя кластера и единственный IP-адрес кластера для существующей фермы серверов федерации.
Иллюстрация, демонстрирующая технологию балансировки нагрузки сети Microsoft, предоставляет один кластерный FQDN и один кластерный IP-адрес для существующей федеративной серверной фермы.
Дополнительные сведения о настройке IP-адреса кластера или полного доменного имени кластера с помощью NLB см. в разделе "Указание параметров кластера".
1. Настройте файл hosts на прокси-сервере федерации
Так как DNS в сети периметра настроен для разрешения всех запросов на fs.fabrikam.com на прокси-сервер федерации учетной записи, прокси-сервер федерации партнера учетной записи имеет запись в файле локальных узлов для разрешения fs.fabrikam.com на IP-адрес фактического сервера федерации учетной записи (или DNS-имени кластера для фермы серверов федерации), подключенного к корпоративной сети. Это позволяет прокси-серверу федерации учетной записи разрешать имя узла fs.fabrikam.com серверу федерации учетной записи, а не самому себе, как это было бы, если он попытался найти fs.fabrikam.com с помощью DNS периметра, чтобы прокси-сервер федерации может взаимодействовать с сервером федерации.
Настройка периметра DNS
Поскольку клиентские компьютеры направляются только на одно имя узла AD FS (независимо от того, находятся ли они в интрасети или в Интернете), клиентские компьютеры в Интернете, использующие DNS-сервер периметра, должны разрешить FQDN (полное доменное имя) сервера федерации учетной записи (fs.fabrikam.com) до IP-адреса прокси-сервера федерации учетной записи в сети периметра. Таким образом, он может пересылать клиентов на прокси-сервер федерации учетной записи при попытке разрешить fs.fabrikam.com, так как периметральная DNS содержит ограниченную DNS-зону corp.fabrikam.com с одной записью ресурса узла (A) для fs (fs.fabrikam.com) и IP-адресом прокси-сервера федерации учетной записи в сети периметра.
Дополнительные сведения о том, как изменить файл hosts прокси-сервера федерации и настроить DNS в сети периметра, см. в разделе «Настройка разрешения имен для прокси-сервера федерации» в зоне DNS, где обслуживается только сеть периметра.
Зона DNS, обслуживающая сеть периметра и интернет-клиенты
В этом сценарии организация управляет зоной DNS в сети периметра и по крайней мере одной зоной DNS в Интернете. Успешное разрешение имен для прокси-сервера федерации в этом сценарии зависит от следующих условий:
DNS в интернет-зоне партнера учетной записи необходимо настроить таким образом, чтобы полное доменное имя сервера федерации соответствовало IP-адресу прокси-сервера федерации в периметральной сети.
DNS в пограничной сети партнера учетной записи необходимо настроить таким образом, чтобы полное доменное имя узла сервера федерации разрешалось в IP-адрес сервера федерации в корпоративной сети.
На следующем рисунке и соответствующих шагах показано, как достигается каждое из этих условий для данного примера.
1. Настройка DNS периметра
В этом сценарии предполагается, что вы настроите зону DNS Интернета, которую вы управляете для разрешения запросов, сделанных для определенного URL-адреса конечной точки (то есть fs.fabrikam.com) на прокси-сервер федерации в сети периметра, необходимо также настроить зону в DNS периметра, чтобы перенаправить эти запросы на сервер федерации в корпоративной сети.
Чтобы клиенты могли быть перенаправлены на сервер федерации учетных записей при попытке разрешить адрес fs.fabrikam.com, DNS периметра настраивается с использованием единственной записи ресурсов типа A для fs (fs.fabrikam.com) и IP-адреса сервера федерации учетных записей в корпоративной сети. Это позволяет прокси-серверу федерации учетной записи разрешать имя узла, fs.fabrikam.com серверу федерации учетной записи, а не самому себе, как это было бы, если он попытался найти fs.fabrikam.com с помощью Интернет-DNS, чтобы прокси-сервер федерации может взаимодействовать с сервером федерации.
2. Настройка DNS в Интернете
Для успешного разрешения имен в этом сценарии все запросы от клиентских компьютеров в Интернете к fs.fabrikam.com должны быть разрешены зоной DNS Интернета, которую вы управляете. Следовательно, необходимо настроить интернет-зону DNS для пересылки клиентских запросов, поступающих на fs.fabrikam.com, на IP-адрес прокси-сервера федерации учетных записей в периметральной сети.
Дополнительные сведения об изменении сети периметра и зон DNS в Интернете см. в статье "Настройка разрешения имен для прокси-сервера федерации" в зоне DNS, которая обслуживает как сеть периметра, так и интернет-клиенты.