通过

联合服务器代理的名称解析要求

  • 项目

当 Internet 上的客户端计算机尝试访问 Active Directory 联合身份验证服务 (AD FS) 所保护的应用程序时,必须先向联合服务器进行身份验证。 在大多数情况下,通常不能从 Internet 直接访问联合服务器。 因此,必须改将 Internet 客户端计算机重定向到联合服务器代理。 通过向一个或多个面向 Internet 的 DNS 区域添加相应的域名系统 (DNS) 记录,可以成功完成重定向。

将 Internet 客户端重定向到联合服务器代理所用的方法取决于如何在外围网络中配置 DNS 区域或者如何在 Internet 上配置所控制的 DNS 区域。 联合服务器代理专门用于外围网络。 仅当在你所控制的所有面向 Internet 的区域中正确配置了 DNS 时,它们才会将 Internet 客户端请求成功重定向到联合服务器。 因此,无论你的 DNS 区域是仅为外围网络提供服务还是同时为外围网络和 Internet 客户端提供服务,面向 Internet 的区域的配置都非常重要。

本主题介绍在外围网络中放置联合服务器代理时可用于配置名称解析的步骤。 若要确定所要遵循的步骤,请先确定以下 DNS 方案中的哪一个与组织外围网络中的 DNS 基础结构最匹配。 然后,遵循该方案中的步骤。

仅为外围网络提供服务的 DNS 区域

在此方案中,组织在外围网络中有一个或两个 DNS 区域,并且组织在 Internet 上未控制任何 DNS 区域。 能否在仅为外围网络方案提供服务的 DNS 区域中成功解析联合服务器代理的名称,取决于以下条件:

  • 联合服务器代理必须在 hosts 文件中有一项设置,以便将联合服务器终结点 URL 的完全限定的域名 (FQDN) 解析为联合服务器或联合服务器群集的 IP 地址。

  • 必须配置帐户伙伴的外围网络中的 DNS,以便将联合服务器终结点 URL 的 FQDN 解析为联合服务器代理的 IP 地址。

下面的插图和相应步骤显示了如何在给定示例中实现以上每种条件。 在此图中,Microsoft 网络负载均衡 (NLB) 技术为现有联合服务器场提供单个群集 FQDN 和单个群集 IP 地址。

Illustration that shows Microsoft Network Load Balancing technology provides a single, cluster F Q D N and a single, cluster I P address for an existing federation server farm.

若要详细了解如何使用 NLB 配置群集 IP 地址或群集 FQDN,请参阅指定群集参数

1.配置联合服务器代理上的主机文件

由于外围网络中的 DNS 已配置为将针对 fs.fabrikam.com 的所有请求解析到帐户联合服务器代理,因此,帐户伙伴联合服务器代理在其本地 hosts 文件中有一个条目,可将 fs.fabrikam.com 解析为连接到企业网络的实际帐户联合服务器的 IP 地址(或联合服务器场的群集 DNS 名称)。 这使得帐户联合服务器代理可以将主机名 fs.fabrikam.com 解析到帐户联合服务器,而不是解析到自身(如果它尝试使用外围 DNS 查找 fs.fabrikam.com,则会解析到自身),以便联合服务器代理能够与联合服务器通信。

2.配置外围 DNS

由于只能将客户端计算机(无论它们位于 Intranet 上还是 Internet 上)定向到单个 AD FS 主机名,因此,在 Internet 上使用外围 DNS 服务器的客户端计算机必须将帐户联合服务器的 FQDN (fs.fabrikam.com) 解析为外围网络上帐户联合服务器代理的 IP 地址。 这样,当客户端尝试解析 fs.fabrikam.com 时,外围 DNS 服务器就可以将其转接到帐户联合服务器代理。外围 DNS 包含一个受限的 corp.fabrikam.com DNS 区域,该区域中包含一条针对 fs (fs.fabrikam.com) 的主机 (A) 资源记录以及外围网络上帐户联合服务器代理的 IP 地址。

若要详细了解如何修改联合服务器代理的 hosts 文件以及如何在外围网络中配置 DNS,请参阅在仅为外围网络提供服务的 DNS 区域中为联合服务器代理配置名称解析

同时为外围网络和 Internet 客户端提供服务的 DNS 区域

在此方案中,组织控制外围网络中的 DNS 区域以及 Internet 上的至少一个 DNS 区域。 能否在此方案中成功解析联合服务器代理的名称取决于以下条件:

  • 必须配置帐户伙伴的 Internet 区域中的 DNS,以便将联合服务器主机名的 FQDN 解析为外围网络中联合服务器代理的 IP 地址。

  • 必须配置帐户伙伴的外围网络中的 DNS,以便将联合服务器主机名的 FQDN 解析为企业网络中联合服务器的 IP 地址。

下面的插图和相应步骤显示了如何在给定示例中实现以上每种条件。

name requirements

1.配置外围 DNS

在此方案中,由于假定你会将所控制的 Internet DNS 区域配置为将针对特定终结点 URL(即 fs.fabrikam.com)发出的请求解析到外围络中的联合服务器代理,因此,你还必须在外围 DNS 中将该区域配置为将这些请求转发到企业网络中的联合服务器。

这样,当客户端尝试解析 fs.fabrikam.com 时,就可以将其转接到帐户联合服务器。外围 DNS 配置有一条针对 fs (fs.fabrikam.com) 的主机 (A) 资源记录以及企业网络上帐户联合服务器的 IP 地址。 这使得帐户联合服务器代理可以将主机名 fs.fabrikam.com 解析到帐户联合服务器,而不是解析到自身(如果它尝试使用 Internet DNS 查找 fs.fabrikam.com,则会解析到自身),以便联合服务器代理能够与联合服务器通信。

2.配置 Internet DNS

若要在此方案中成功进行名称解析,必须由所控制的 Internet DNS 区域解析 Internet 上的客户端计算机针对 fs.fabrikam.com 发出的所有请求。 因此,必须将 Internet DNS 区域配置为将针对 fs.fabrikam.com 的客户端请求转发到外围网络中帐户联合服务器代理的 IP 地址。

若要详细了解如何修改外围网络和 Internet DNS 区域,请参阅在为外围网络和 Internet 客户端提供服务的 DNS 区域中为联合服务器代理配置名称解析

另请参阅

Windows Server 2012 中的 AD FS 设计指南