当 Internet 上的客户端计算机尝试访问受 Active Directory 联合身份验证服务(AD FS)保护的应用程序时,它们必须首先向联合服务器进行身份验证。 在大多数情况下,联合服务器通常无法直接从 Internet 访问。 因此,必须将 Internet 客户端计算机重定向到联合服务器代理。 通过将相应的域名系统(DNS)记录添加到面向 Internet 的 DNS 区域或区域,可以实现成功的重定向。
用于将 Internet 客户端重定向到联合服务器代理的方法取决于如何在外围网络中配置 DNS 区域,或者如何配置在 Internet 上控制的 DNS 区域。 联合服务器代理专门用于外围网络。 仅当在您控制的所有面向 Internet 的区域中正确配置了 DNS 时,它们才会成功将 Internet 客户端请求重定向到联合服务器。 因此,面向 Internet 的区域的配置(无论是只为外围网络提供服务的 DNS 区域还是为外围网络和 Internet 客户端提供服务的 DNS 区域)都很重要。
本主题介绍在外围网络中放置联合服务器代理时可以执行的步骤来配置名称解析。 若要确定要执行的步骤,请先确定以下哪些 DNS 方案最符合组织的外围网络中 DNS 基础结构。 然后,按照该方案的步骤执行。
仅为外围网络提供服务的 DNS 区域
在此方案中,组织在外围网络中有一个或两个 DNS 区域,并且组织不会控制 Internet 上的任何 DNS 区域。 DNS 区域中仅提供外围网络方案的联合服务器代理的成功名称解析取决于以下条件:
联合服务器代理必须具有主机文件中的设置,才能将联合服务器终结点 URL 的完全限定域名(FQDN)解析为联合服务器或联合服务器群集的 IP 地址。
必须配置帐户伙伴的外围网络中的 DNS,以便将联合服务器终结点 URL 的 FQDN 解析为联合服务器代理的 IP 地址。
下图和相应的步骤演示了给定示例如何实现上述每个条件。 在此图中,Microsoft网络负载均衡(NLB)技术为现有联合服务器场提供单个群集 FQDN 和单个群集 IP 地址。
有关使用 NLB 配置群集 IP 地址或群集 FQDN 的详细信息,请参阅 指定群集参数。
1.在联合服务器代理上配置主机文件
由于外围网络中 DNS 配置为将所有 fs.fabrikam.com 请求解析为帐户联合服务器代理,因此帐户伙伴联合服务器代理在其本地主机文件中有一个条目,用于将 fs.fabrikam.com 解析为连接到公司网络的实际帐户联合服务器(或联合服务器场的群集 DNS 名称)的 IP 地址。 这样,帐户联合服务器代理可以将主机名 fs.fabrikam.com 解析为帐户联合服务器,而不是解析为自身——如果尝试使用外围 DNS 查找 fs.fabrikam.com,就会发生这种情况——以便联合服务器代理能够与联合服务器通信。
2.配置外围 DNS
由于客户端计算机只定向到单个 AD FS 主机名(无论是在 Intranet 上还是 Internet 上),因此使用外围 DNS 服务器的 Internet 上客户端计算机必须将帐户联合服务器的 FQDN(fs.fabrikam.com)解析为外围网络上帐户联合服务器代理的 IP 地址。 因此,当客户端尝试解析 fs.fabrikam.com 时,它可以将客户端转发到帐户联合服务器代理,外围 DNS 包含有限 corp.fabrikam.com DNS 区域,fs(fs.fabrikam.com)的单个主机(A)资源记录以及外围网络上帐户联合服务器代理的 IP 地址。
有关如何修改联合服务器代理的主机文件并在外围网络中配置 DNS 的详细信息,请参阅“ 仅为外围网络提供服务的 DNS 区域中的联合服务器代理配置名称解析”。
为外围网络和 Internet 客户端提供服务的 DNS 区域
在此方案中,组织控制外围网络中的 DNS 区域和 Internet 上至少一个 DNS 区域。 在这种情况下,联合服务器代理的成功名称解析取决于以下条件:
必须配置帐户伙伴的 Internet 区域中的 DNS,以便将联合服务器主机名的 FQDN 解析为外围网络中联合服务器代理的 IP 地址。
必须配置帐户伙伴的外围网络中的 DNS,以便将联合服务器主机名的 FQDN 解析为企业网络中联合服务器的 IP 地址。
下图和相应的步骤演示了给定示例如何实现上述每个条件。
1.配置外围 DNS
对于此方案,由于假定您将控制的 Internet DNS 区域配置为将特定终结点 URL(即 fs.fabrikam.com)的请求解析到外围网络中的联合服务器代理,因此还必须配置外围 DNS 区域,以便将这些请求转发到企业网络中的联合服务器。
为了让客户端在尝试解析 fs.fabrikam.com 时可以被转发到帐户联合服务器,外围 DNS 配置了一个针对 fs(fs.fabrikam.com)的单一主机(A)资源记录,以及企业网络中帐户联合服务器的 IP 地址。 这样,账户联合服务器代理可以将主机名 fs.fabrikam.com 解析到账户联合服务器,而不是解析到它自身(如果尝试使用 Internet DNS 查找 fs.fabrikam.com 就会发生这种情况),以便联合服务器代理可以与联合服务器进行通信。
2.配置 Internet DNS
若要在此方案中成功进行名称解析,所有来自 Internet 上客户端计算机对 fs.fabrikam.com 的请求,必须通过由你控制的 Internet DNS 区域进行解析。 因此,必须将 Internet DNS 区域配置为将客户端请求 fs.fabrikam.com 转发到外围网络中帐户联合服务器代理的 IP 地址。
有关如何修改外围网络和 Internet DNS 区域的详细信息,请参阅 在为外围网络和 Internet 客户端提供服务的 DNS 区域中为联合服务器代理配置名称解析。