Requisitos de resolución de nombres para servidores proxy de federación
Cuando los equipos cliente en Internet intentan tener acceso a una aplicación protegida por los Servicios de federación de Active Directory (AD FS), primero tienen que autenticarse en un servidor de federación. En la mayoría de los casos, el servidor de federación no suele ser accesible directamente desde Internet. Por lo tanto, los equipos cliente de Internet deben redirigirse al servidor proxy de federación. Puede lograr el redireccionamiento correctamente agregando los registros del Sistema de nombres de dominio (DNS) adecuados a la zona o las zonas DNS con conexión a Internet.
El método que se usa para redirigir a los clientes de Internet al servidor proxy de federación depende de cómo configure la zona DNS en la red perimetral o de cómo configure una zona DNS que usted controle en Internet. Los servidores proxy de federación están previstos para usarse en una red perimetral. Estas zonas solo redirigen correctamente las solicitudes de clientes de Internet a los servidores de federación cuando DNS se ha configurado como debe en todas las zonas con conexión a Internet que usted controle. Por lo tanto, la configuración de las zonas con conexión a Internet (tanto si tiene una zona DNS que sirve solo a la red perimetral como si tiene una zona DNS que sirve a la red perimetral y a clientes de Internet) es importante.
En este tema se describen los pasos que puede seguir para configurar la resolución de nombres cuando se coloca un servidor proxy de federación en la red perimetral. Para determinar los pasos que se deben seguir, determine primero cuál de los siguientes escenarios de DNS coincide más con la infraestructura DNS de la red perimetral de su organización. A continuación, siga los pasos para ese escenario.
Zona DNS que sirve solamente a la red perimetral
En este escenario, la organización tiene una o dos zonas DNS en la red perimetral y su organización no controla ninguna zona DNS en Internet. La resolución de nombres correcta para un servidor proxy de federación en la zona DNS que atienda solamente al escenario de red perimetral depende de las siguientes condiciones:
El servidor proxy de federación debe tener una configuración en el archivo de hosts para resolver el nombre de dominio completo (FQDN) de la dirección URL del punto de conexión del servidor de federación, ya sea en una dirección IP de un servidor de federación o en un clúster de servidores de federación.
El DNS de la red perimetral del asociado de la cuenta debe estar configurado para que el FQDN de la dirección URL del punto de conexión del servidor de federación se resuelva en la dirección IP del servidor proxy de federación.
En la ilustración siguiente y los pasos correspondientes se muestra cómo se cumple cada una de estas condiciones se consigue para un ejemplo determinado. En esta ilustración, la tecnología de equilibrio de carga de red (NLB) de Microsoft proporciona un único FQDN de clúster y una única dirección IP de clúster para una granja de servidores de federación que ya existe.
Para más información sobre cómo configurar una dirección IP de clúster o un FQDN de clúster con NLB, consulte Especificación de los parámetros de clúster.
1. Configurar l archivo de hosts en el servidor proxy de federación.
Como el DNS en la red perimetral está configurado para resolver todas las solicitudes para fs.fabrikam.com en el servidor proxy de federación de la cuenta, el servidor proxy de federación del asociado de la cuenta tiene una entrada en su archivo de hosts local para resolver fs.fabrikam.com en la dirección IP del servidor de federación de la cuenta como tal (o el nombre DNS del clúster para la granja de servidores de federación) que está conectado a la red corporativa. Esto permite que el servidor proxy de federación de la cuenta resuelva el nombre de host fs.fabrikam.com en el servidor de federación de la cuenta en vez de en sí mismo (como ocurriría si intentase buscar fs.fabrikam.com usando un DNS perimetral), de modo que el servidor proxy de federación pueda comunicarse con el servidor de federación.
2. Configurar DNS perimetral
Como solo hay un nombre de host de AD FS al que se dirija a los equipos clientes (tanto si están en una intranet como en Internet), los equipos cliente de Internet que usan el servidor DNS perimetral deben resolver el FQDN del servidor de federación de la cuenta (fs.fabrikam.com) en la dirección IP del servidor proxy de federación de la cuenta de la red perimetral. Para que pueda reenviar a los clientes del servidor proxy de federación de la cuenta cuando estos intenten resolver fs.fabrikam.com, el DNS perimetral contiene una zona DNS corp.fabrikam.com limitada, con registro de recursos de un solo host (A) para fs (fs.fabrikam.com) y la dirección IP del servidor proxy de federación de la cuenta de la red perimetral.
Para más información sobre cómo modificar el archivo de hosts del servidor proxy de federación y configurar DNS en la red perimetral, consulte Configuración de la resolución de nombres para un servidor proxy de federación en una zona DNS que solo atienda a la red perimetral.
Zona DNS que sirve a la red perimetral y a clientes de Internet
En este escenario, su organización controla la zona DNS en la red perimetral y al menos una zona DNS en Internet. En este escenario, la resolución de nombres correcta en un servidor proxy de federación depende de las siguientes condiciones:
El DNS de la zona de Internet del asociado de la cuenta debe estar configurado para que el FQDN del nombre de host del servidor de federación se resuelva en la dirección IP del servidor proxy de federación de la red perimetral.
El DNS de la red perimetral del asociado de la cuenta debe estar configurado para que el FQDN del nombre de host del servidor de federación se resuelva en la dirección IP del servidor de federación de la red corporativa.
En la ilustración siguiente y los pasos correspondientes se muestra cómo se cumple cada una de estas condiciones se consigue para un ejemplo determinado.
1. Configurar DNS perimetral
En este escenario, como se supone que configurará la zona DNS de Internet que controla para resolver las solicitudes que se realizan hacia la URL específica de un punto de conexión (es decir, fs.fabrikam.com) en el servidor proxy de federación de la red perimetral, también debe configurar la zona del DNS perimetral para enviar estas solicitudes al servidor de federación de la red corporativa.
Para poder reenviar a los clientes al servidor de federación de la cuenta cuando intentan resolver fs.fabrikam.com, el DNS perimetral está configurado con un registro de recursos de un solo host (A) para fs (fs.fabrikam.com) y la dirección IP del servidor de federación de la cuenta de la red corporativa. Esto permite que el servidor proxy de federación de la cuenta resuelva el nombre de host fs.fabrikam.com en el servidor de federación de la cuenta en vez de en sí mismo (como ocurriría si intentase buscar fs.fabrikam.com usando un DNS de Internet), de modo que el servidor proxy de federación pueda comunicarse con el servidor de federación.
2. Configurar DNS en Internet
Para que la resolución de nombres sea correcta en este escenario, todas las solicitudes de los equipos cliente en Internet a fs.fabrikam.com las debe resolver la zona DNS de Internet que usted controla. Por lo tanto, debe configurar la zona DNS de Internet para que reenvíe las solicitudes de cliente hacia fs.fabrikam.com a la dirección IP del servidor proxy de federación de la cuenta de la red perimetral.
Para más información sobre cómo modificar la red perimetral y las zonas DNS de Internet, consulte Configuración de la resolución de nombres para un servidor proxy de federación en una zona DNS que atienda tanto a la red perimetral como a los clientes de Internet.