Namensauflösungsanforderungen für Verbundserverproxys

  • Artikel

Wenn Clientcomputer im Internet versuchen, auf Anwendungen oder Webdienste zuzugreifen, die durch Active Directory-Verbunddienste (AD FS) geschützt sind, müssen sie sich zunächst beim Verbundserver authentifizieren. In den meisten Fällen ist der Verbundserver nicht direkt aus dem Internet zugänglich. Daher müssen Internetclientcomputer stattdessen zum Verbundserverproxy umgeleitet werden. Sie können die Umleitung erreichen, indem Sie Ihren DNS-Zonen (Domain Name System) mit Verbindung zum Internet die entsprechenden DNS-Einträge hinzufügen.

Die Methode, die Sie verwenden, um Internetclients zum Verbundserverproxy umzuleiten, hängt von der Konfiguration der DNS-Zone in Ihrem Umkreisnetzwerk oder von der Konfiguration einer DNS-Zone ab, die Sie im Internet kontrollieren. Verbundserverproxys sind zur Verwendung in einem Umkreisnetzwerk vorgesehen. Sie leiten Internetclientanforderungen nur dann erfolgreich an Verbundserver weiter, wenn DNS in allen von Ihnen kontrollierten Zonen mit Internetzugriff ordnungsgemäß konfiguriert wurde. Daher ist die Konfiguration Ihrer Zonen mit Internetzugriff, ob als DNS-Zone für ausschließlich das Umkreisnetzwerk oder DNS-Zone für sowohl Umkreisnetzwerk als auch Internetclients, besonders wichtig.

In diesem Thema werden die Schritte beschrieben, die Sie zum Konfigurieren der Namensauflösung durchführen, wenn Sie einen Verbundserverproxy in Ihr Umkreisnetzwerk aufnehmen. Um die erforderlichen Schritte zu bestimmen, ermitteln Sie zunächst, welches der folgenden DNS-Szenarien am ehesten der DNS-Infrastruktur im Umkreisnetzwerk Ihrer Organisation entspricht. Befolgen Sie dann die Schritte für das jeweilige Szenario.

DNS-Zone nur für das Umkreisnetzwerk

In diesem Szenario verfügt Ihre Organisation über ein oder zwei DNS-Zonen im Umkreisnetzwerk, ohne dass Ihre Organisation DNS-Zonen im Internet kontrolliert. Die erfolgreiche Namensauflösung für einen nur für das Umkreisnetzwerkszenario bestimmten Verbundserverproxy in der DNS-Zone hängt von den folgenden Bedingungen ab:

  • Der Verbundserverproxy muss über eine Einstellung in der Hostdatei verfügen, um den vollqualifizierten Domänennamen (FQDN) der Endpunkt-URL des Verbundservers in die IP-Adresse eines Verbundservers oder eines Verbundserverclusters aufzulösen.

  • DNS muss im Umkreisnetzwerk des Kontopartners so konfiguriert werden, dass der FQDN der Endpunkt-URL des Verbundserverproxys in die IP-Adresse des Verbundserverproxys aufgelöst wird.

Die folgende Abbildung und die entsprechenden Schritte veranschaulichen, wie jede dieser Bedingungen für ein gegebenes Beispiel erfüllt wird. In dieser Abbildung stellt die Microsoft-NLB-Technologie (Network Load Balancing, Netzwerklastenausgleich) einen einzelnen Cluster-FQDN und eine einzelne Cluster-IP-Adresse für eine vorhandene Verbundserverfarm bereit.

Illustration that shows Microsoft Network Load Balancing technology provides a single, cluster F Q D N and a single, cluster I P address for an existing federation server farm.

Weitere Informationen zum Konfigurieren einer Cluster-IP-Adresse oder eines Cluster-FQDN mit NLB finden Sie unter Angeben der Clusterparameter.

1. Konfigurieren der "Hosts"-Datei für den Verbundserverproxy

Da DNS im Umkreisnetzwerk so konfiguriert ist, dass alle Anforderungen für fs.fabrikam.com in den Konto-Verbundserverproxy aufgelöst werden, verfügt der Verbundserverproxy des Kontopartners in seiner lokalen Hostdatei über einen Eintrag zum Auflösen von fs.fabrikam.com in die IP-Adresse des tatsächlichen Kontoverbundservers (oder in den Cluster-DNS-Namen für die Verbundserverfarm), der mit dem Unternehmensnetzwerk verbunden ist. Dadurch kann der Konto-Verbundserverproxy den Hostnamen fs.fabrikam.com in den Kontoverbundserver anstatt in sich selbst auflösen. (Dies würde passieren, wenn versucht würde, fs.fabrikam.com mithilfe des Umkreis-DNS nachzuschlagen.) Auf diese Weise kann der Verbundserverproxy mit dem Verbundserver kommunizieren.

2. Konfigurieren des Umkreis-DNS

Da es nur einen einzigen AD FS-Hostnamen gibt, zu dem Clientcomputer geleitet werden (ob im Intranet oder Internet), müssen Clientcomputer im Internet, die den Umkreis-DNS-Server verwenden, den FQDN für den Kontoverbundserver (fs.fabrikam.com) in die IP-Adresse des Konto-Verbundserverproxys im Umkreisnetzwerk auflösen. Damit Clients an den Konto-Verbundserverproxy weitergeleitet werden können, wenn sie fs.fabrikam.com aufzulösen versuchen, enthält das Umkreis-DNS eine begrenzte DNS-Zone corp.fabrikam.com mit einem einzelnen Hostressourceneintrag (A) für fs (fs.fabrikam.com) und die IP-Adresse des Konto-Verbundserverproxys im Umkreisnetzwerk.

Weitere Informationen zum Ändern der Hostdatei des Verbundserverproxys und zum Konfigurieren von DNS im Umkreisnetzwerk finden Sie unter Konfigurieren der Namensauflösung für einen Verbundserverproxy in einer DNS-Zone, die nur das Umkreisnetzwerk bedient.

DNS-Zone für das Umkreisnetzwerk und Internetclients

In diesem Szenario kontrolliert Ihre Organisation die DNS-Zone im Umkreisnetzwerk und mindestens eine DNS-Zone im Internet. Die erfolgreiche Namensauflösung für einen Verbundserverproxy in diesem Szenario hängt von den folgenden Bedingungen ab:

  • DNS muss in der Internetzone des Kontopartners so konfiguriert werden, dass der FQDN des Verbundserver-Hostnamens in die IP-Adresse des Verbundserverproxys im Umkreisnetzwerk aufgelöst wird.

  • DNS muss im Umkreisnetzwerk des Kontopartners so konfiguriert werden, dass der FQDN des Verbundserver-Hostnamens in die IP-Adresse des Verbundservers im Unternehmensnetzwerk aufgelöst wird.

Die folgende Abbildung und die entsprechenden Schritte veranschaulichen, wie jede dieser Bedingungen für ein gegebenes Beispiel erfüllt wird.

name requirements

1. Konfigurieren des Umkreis-DNS

Da Sie in diesem Szenario die von Ihnen kontrollierte Internet-DNS-Zone so konfigurieren, dass Anforderungen für eine bestimmte Endpunkt-URL (d. h. fs.fabrikam.com) in den Verbundserverproxy im Umkreisnetzwerk aufgelöst werden, müssen Sie auch die Zone im Umkreisnetzwerk-DNS so konfigurieren, dass diese Anforderungen an den Verbundserver im Unternehmensnetzwerk weitergeleitet werden.

Damit Clients an den Kontoverbundserver weitergeleitet werden können, wenn sie fs.fabrikam.com aufzulösen versuchen, wird das Umkreis-DNS mit einem einzelnen Hostressourceneintrag (A) für fs (fs.fabrikam.com) und die IP-Adresse des Kontoverbundservers im Unternehmensnetzwerk konfiguriert. Dadurch kann der Konto-Verbundserverproxy den Hostnamen fs.fabrikam.com in den Kontoverbundserver anstatt in sich selbst auflösen. (Dies würde passieren, wenn versucht würde, fs.fabrikam.com mithilfe des Internet-DNS nachzuschlagen.) Auf diese Weise kann der Verbundserverproxy mit dem Verbundserver kommunizieren.

2. Konfigurieren von Internet-DNS

Damit die Namensauflösung in diesem Szenario erfolgreich ist, müssen alle Anforderungen von Clientcomputern im Internet an "fs.fabrikam.com" von der von Ihnen kontrollierten Internet-DNS-Zone aufgelöst werden. Daher müssen Sie Ihre Internet-DNS-Zone zum Weiterleiten von Clientanforderungen für fs.fabrikam.com an die IP-Adresse des Konto-Verbundserverproxys im Umkreisnetzwerk konfigurieren.

Weitere Informationen zum Ändern des Umkreisnetzwerks und der Internet-DNS-Zonen finden Sie unter Konfigurieren der Namensauflösung für einen Verbundserverproxy in einer DNS-Zone, die sowohl das Umkreisnetzwerk als auch Internetclients bedient.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012