페더레이션 서버 프록시에 대한 이름 확인 요구 사항
인터넷의 클라이언트 컴퓨터가 AD FS(Active Directory Federation Services)로 보호되는 애플리케이션에 액세스하려고 할 때 먼저 페더레이션 서버에 인증해야 합니다. 대부분의 경우에서 페더레이션 서버 없는 일반적으로 인터넷에서 직접 액세스할 수 있습니다. 따라서 인터넷 클라이언트 컴퓨터 리디렉션되어야 페더레이션 서버 프록시를 대신 합니다. 적절한 DNS(Domain Name System) 레코드를 인터넷에 연결되는 DNS 영역에 추가하면 리디렉션을 수행할 수 있습니다.
페더레이션 서버 프록시에 인터넷 클라이언트가 리디렉션할 사용 하는 메서드 경계 네트워크의 DNS 영역 구성 방법 또는 인터넷에서 사용자가 제어 하는 DNS 영역 구성 방법에 따라 달라 집니다. 페더레이션 서버 프록시는 경계 네트워크에서 사용하기 위한 것입니다. 사용자가 제어하는 모든 인터넷 연결 영역에서 DNS가 올바르게 구성된 경우에만 인터넷 클라이언트 요청을 페더레이션 서버로 리디렉션합니다. 따라서 인터넷 연결 영역의 구성 즉, DNS 영역이 경계 네트워크만 제공하는지 경계 네트워크와 인터넷 클라이언트를 모두 제공하는지 여부가 중요합니다.
이 항목에서는 페더레이션 서버 프록시가 경계 네트워크에 배치 하면 이름 확인을 구성할 수 있는 단계를 설명 합니다. 수행할 단계를 결정하려면 먼저 다음 DNS 시나리오 중 조직의 경계 네트워크에 있는 DNS 인프라와 가장 일치하는 시나리오를 결정합니다. 그런 다음 해당 시나리오에 대한 단계를 수행합니다.
경계 네트워크만 제공하는 DNS 영역
이 시나리오에서 조직은 경계 네트워크에 하나 또는 두 개의 DNS 영역을 갖고 조직은 인터넷의 DNS 영역을 제어하지 않습니다. 경계 네트워크 시나리오에만 사용 되는 DNS 영역에 페더레이션 서버 프록시에 대 한 성공적인 이름 확인은 다음 조건에 따라 달라 집니다.
페더레이션 서버 프록시는 페더레이션 서버 엔드포인트 URL의 FQDN(정규화된 do기본 이름)을 페더레이션 서버 또는 페더레이션 서버 클러스터의 IP 주소로 확인하려면 호스트 파일에 설정이 있어야 합니다.
페더레이션 서버 엔드포인트 URL의 FQDN의 페더레이션 서버 프록시 IP 주소로 확인 되도록 하는 계정 파트너의 경계 네트워크에 DNS는 구성 합니다.
다음 그림과 해당 단계에서는 이러한 각 조건이 지정된 예에서 어떻게 달성되는지를 보여 줍니다. 이 그림에서 Microsoft NLB(네트워크 부하 분산) 기술은 기존 페더레이션 서버 팜에 대한 단일 클러스터 FQDN 및 단일 클러스터 IP 주소를 제공합니다.
클러스터 IP 주소 또는 클러스터 FQDN 구성 하는 방법에 대 한 자세한 내용은 참조 NLB를 사용 하 여 클러스터 매개 변수 지정합니다.
1. 페더레이션 서버 프록시에 호스트 파일 구성
경계 네트워크의 DNS는 계정 페더레이션 서버 프록시에 대한 fs.fabrikam.com 대한 모든 요청을 확인하도록 구성되므로 계정 파트너 페더레이션 서버 프록시에는 회사 네트워크에 연결된 실제 계정 페더레이션 서버(또는 페더레이션 서버 팜의 클러스터 DNS 이름)의 IP 주소에 대한 fs.fabrikam.com 확인하기 위한 항목이 로컬 호스트 파일에 있습니다. 그러면 계정 페더레이션 서버는 아닌 자체 호스트 이름 fs.fabrikam.com를 해결 하려면 계정 페더레이션 서버 프록시에 대 한 수-fs.fabrikam.com 경계 DNS를 사용 하 여 조회 하려고 할 경우 발생 하는 대로-페더레이션 서버 프록시가 페더레이션 서버와 통신할 수 있도록 합니다.
2. 경계 DNS 구성
클라이언트 컴퓨터가 인트라넷에 있든 인터넷에 있든 간에 단일 AD FS 호스트 이름만 있으므로 경계 DNS 서버를 사용하는 인터넷의 클라이언트 컴퓨터는 계정 페더레이션 서버(fs.fabrikam.com)에 대한 FQDN을 경계 네트워크의 계정 페더레이션 서버 프록시 IP 주소로 확인해야 합니다. 클라이언트가 fs.fabrikam.com 확인하려고 할 때 계정 페더레이션 서버 프록시로 클라이언트를 전달할 수 있도록 경계 DNS에는 fs(fs.fabrikam.com)에 대한 단일 호스트(A) 리소스 레코드와 경계 네트워크의 계정 페더레이션 서버 프록시의 IP 주소가 있는 제한된 corp.fabrikam.com DNS 영역이 포함됩니다.
페더레이션 서버 프록시의 호스트 파일을 수정 하 고 경계 네트워크에 DNS를 구성 하는 방법에 대 한 자세한 내용은 참조 경계 네트워크 에서만 작동 하는 DNS 영역에 페더레이션 서버 프록시에 대 한 이름 확인 구성합니다.
경계 네트워크와 인터넷 클라이언트를 모두 제공하는 DNS 영역
이 시나리오에서 조직은 경계 네트워크의 DNS 영역과 인터넷에 있는 하나 이상의 DNS 영역을 제어합니다. 이 시나리오에서 페더레이션 서버 프록시에 대 한 성공적인 이름 확인은 다음 조건에 따라 달라 집니다.
페더레이션 서버 호스트 이름의 FQDN의 페더레이션 서버 프록시가 경계 네트워크의 IP 주소로 확인 되도록 하는 계정 파트너의 인터넷 영역에서 DNS는 구성 합니다.
페더레이션 서버 호스트 이름의 FQDN을 회사 네트워크의 페더레이션 서버의 IP 주소로 확인 되도록 하는 계정 파트너의 경계 네트워크에 DNS는 구성 합니다.
다음 그림과 해당 단계에서는 이러한 각 조건이 지정된 예에서 어떻게 달성되는지를 보여 줍니다.
1. 경계 DNS 구성
이 시나리오에서는 특정 엔드포인트 URL(즉, fs.fabrikam.com)에 대해 수행된 요청을 경계 네트워크의 페더레이션 서버 프록시로 확인하도록 제어하는 인터넷 DNS 영역을 구성한다고 가정하기 때문에 경계 DNS의 영역을 구성하여 이러한 요청을 회사 네트워크의 페더레이션 서버로 전달해야 합니다.
클라이언트가 fs.fabrikam.com 확인하려고 할 때 계정 페더레이션 서버로 전달될 수 있도록 경계 DNS는 fs(fs.fabrikam.com)에 대한 단일 호스트(A) 리소스 레코드 및 회사 네트워크에서 계정 페더레이션 서버의 IP 주소로 구성됩니다. 그러면 계정 페더레이션 서버는 아닌 자체 호스트 이름 fs.fabrikam.com를 해결 하려면 계정 페더레이션 서버 프록시에 대 한 수-인터넷 DNS를 사용 하 여 fs.fabrikam.com을 조회 하려는 경우 발생 하는 대로-페더레이션 서버 프록시가 페더레이션 서버와 통신할 수 있도록 합니다.
2. 인터넷 DNS 구성
이 시나리오에서 이름 확인에 성공하려면 인터넷에서 fs.fabrikam.com에 대한 클라이언트 컴퓨터의 모든 요청을 제어하는 인터넷 DNS 영역으로 확인해야 합니다. 따라서 fs.fabrikam.com의 계정 페더레이션 서버 프록시가 경계 네트워크의 IP 주소에 대 한 클라이언트 요청을 전달 하 여 인터넷 DNS 영역을 구성 해야 합니다.
경계 네트워크와 인터넷 DNS 영역을 수정 하는 방법에 대 한 자세한 내용은 참조 DNS 영역을 역할 모두 경계 네트워크 및 인터넷 클라이언트에서 페더레이션 서버 프록시에 대 한 이름 확인 구성합니다.