Exigences relatives à la résolution de noms pour les serveurs proxy de fédération
Lorsque des ordinateurs clients sur Internet tentent d’accéder à une application sécurisée par les services de fédération Active Directory (AD FS), ils doivent tout d’abord s’authentifier auprès du serveur de fédération. Dans la plupart des cas, le serveur de fédération n’est généralement pas accessible directement depuis Internet. Par conséquent, les ordinateurs clients Internet doivent être redirigés de préférence vers le serveur proxy de fédération. Vous pouvez procéder à une redirection en ajoutant les enregistrements du système DNS (Domain Name) appropriés à la zone DNS ou aux zones accessibles sur Internet.
La méthode que vous utilisez pour rediriger les clients Internet vers le serveur proxy de fédération dépend de la configuration de la zone DNS de votre réseau de périmètre ou de celle d’une zone DNS que vous contrôlez sur Internet. Les serveurs proxy de fédération sont destinés à être utilisés dans un réseau de périmètre. Les demandes des clients Internet sont redirigées vers les serveurs de fédération uniquement lorsque le système DNS a été configuré correctement dans toutes les zones accessibles sur Internet que vous contrôlez. Par conséquent, la configuration des zones accessibles sur Internet est importante, que vous disposiez d’une zone DNS desservant uniquement le réseau de périmètre ou d’une zone DNS desservant le réseau de périmètre et les clients Internet.
Cette rubrique décrit les étapes que vous pouvez effectuer pour configurer la résolution de noms lorsque vous placez un serveur proxy de fédération dans votre réseau de périmètre. Pour déterminer les étapes à suivre, vous devez d’abord déterminer lequel des scénarios DNS suivants correspond le mieux à l’infrastructure DNS du réseau de périmètre de votre organisation. Ensuite, suivez les étapes de ce scénario.
Zone DNS desservant uniquement le réseau de périmètre
Dans ce scénario, votre organisation possède une ou deux zones DNS dans le réseau de périmètre et votre organisation ne contrôle aucune zone DNS sur Internet. La réussite d’une résolution de noms pour un serveur proxy de fédération dans la zone DNS desservant uniquement le scénario du réseau de périmètre repose sur le respect des conditions suivantes :
Le serveur proxy de fédération doit avoir un paramètre dans le fichier d’hôtes, afin de résoudre le nom de domaine complet (FQDN) de l’URL du point de terminaison du serveur de fédération en adresse IP du serveur de fédération ou du cluster de serveurs de fédération.
Le système DNS du réseau de périmètre du partenaire de compte doit être configuré afin que le FQDN de l’URL du point de terminaison du serveur de fédération soit résolu en adresse IP du serveur proxy de fédération.
L’illustration suivante et les étapes correspondantes montrent la réalisation de chacune de ces conditions pour un exemple donné. Dans cette illustration, la technologie d’équilibrage de la charge réseau Microsoft (NLB) fournit un FQDN unique de cluster, et une adresse IP unique de cluster pour une batterie de serveurs de fédération existante.
Pour plus d’informations sur la configuration d’un FQDN de cluster ou d’une adresse IP de cluster avec l’équilibrage de la charge réseau, voir Définition des paramètres de cluster.
1. Configurer le fichier hôtes sur le serveur proxy de fédération
Le DNS du réseau de périmètre est configuré pour faire correspondre toutes les demandes de fs.fabrikam.com au serveur proxy de fédération de comptes, c’est pourquoi le serveur de fédération de partenaires de comptes comporte une entrée dans son fichier hôtes local pour faire correspondre fs.fabrikam.com à l’adresse IP du serveur de fédération de comptes réel (ou au nom DNS de cluster pour la batterie de serveurs de fédération) qui est connectée au réseau d’entreprise. Cela permet au serveur proxy de fédération de comptes de résoudre le nom d’hôte fs.fabrikam.com en serveur de fédération de comptes plutôt qu’en lui-même (comme cela aurait été le cas s’il avait tenté de rechercher fs.fabrikam.com à l’aide du DNS de périmètre), afin que le serveur proxy de fédération puisse communiquer avec le serveur de fédération.
2. Configurer le DNS de périmètre
Étant donné que les ordinateurs clients sont redirigés uniquement vers un nom d’hôte AD FS unique, qu’ils se trouvent sur un Intranet ou sur Internet, les ordinateurs clients sur Internet utilisant le serveur DNS de périmètre doivent résoudre le FQDN du serveur de fédération de comptes (fs.fabrikam.com) en adresse IP du serveur proxy de fédération de comptes sur le réseau de périmètre. Afin de pouvoir transférer les clients vers le serveur proxy de fédération de comptes lorsqu’ils tentent de résoudre fs.fabrikam.com, le DNS de périmètre contient une zone DNS corp.fabrikam.com limitée avec un enregistrement de ressource hôte unique (A) pour fs (fs.fabrikam.com) et l’adresse IP du serveur proxy de fédération de comptes sur le réseau de périmètre.
Pour plus d’informations sur la modification du fichier hosts du serveur proxy de fédération et la configuration du DNS dans le réseau de périmètre, consultez Configurer la résolution de noms pour un serveur proxy de fédération dans une zone DNS qui sert uniquement le réseau de périmètre.
Zone DNS desservant le réseau de périmètre et les clients Internet
Dans ce scénario, votre entreprise contrôle la zone DNS du réseau de périmètre et au moins une zone DNS sur Internet. La réussite de la résolution de noms d’un serveur proxy de fédération dans ce scénario repose sur le respect des conditions suivantes :
Le système DNS de la zone Internet du partenaire de compte doit être configuré afin que le FQDN du nom d’hôte du serveur de fédération soit résolu en adresse IP du serveur proxy de fédération dans le réseau de périmètre.
Le système DNS du réseau de périmètre du partenaire de compte doit être configuré afin que le FQDN du nom d’hôte du serveur de fédération soit résolu en adresse IP du serveur de fédération dans le réseau d’entreprise.
L’illustration suivante et les étapes correspondantes montrent la réalisation de chacune de ces conditions pour un exemple donné.
1. Configurer le DNS de périmètre
Pour ce scénario, dans la mesure où l’on suppose que vous allez configurer la zone DNS Internet que vous contrôlez pour résoudre les demandes effectuées pour une URL de point de terminaison spécifique (c’est-à-dire, fs.fabrikam.com) en serveur proxy de fédération du réseau de périmètre, vous devez également configurer la zone du DNS de périmètre pour transférer ces demandes vers le serveur de fédération du réseau d’entreprise.
Afin de pouvoir transférer les clients vers le serveur de fédération de comptes lorsqu’ils tentent de résoudre fs.fabrikam.com, le DNS de périmètre est configuré avec un enregistrement de ressource hôte unique (A) pour fs (fs.fabrikam.com) et l’adresse IP du serveur de fédération de comptes sur le réseau d’entreprise. Cela permet au serveur proxy de fédération de comptes de résoudre le nom d’hôte fs.fabrikam.com en serveur de fédération de comptes plutôt qu’en lui-même (comme cela aurait été le cas s’il avait tenté de rechercher fs.fabrikam.com à l’aide du DNS Internet), afin que le serveur proxy de fédération puisse communiquer avec le serveur de fédération.
2. Configurer le DNS Internet
Pour réussir la résolution de noms dans ce scénario, toutes les demandes des ordinateurs clients sur Internet pour fs.fabrikam.com doivent être résolues par la zone DNS Internet que vous contrôlez. Par conséquent, vous devez configurer votre zone DNS Internet pour transmettre les demandes des clients pour fs.fabrikam.com à l’adresse IP du serveur proxy de fédération de comptes dans le réseau de périmètre.
Pour plus d’informations sur la modification du réseau de périmètre et des zones DNS Internet, consultez Configurer la résolution de noms pour un serveur proxy de fédération dans une zone DNS qui sert à la fois le réseau de périmètre et les clients Internet.