페더레이션 서버 프록시에 대한 이름 확인 요구 사항
클라이언트 컴퓨터에서 인터넷이 AD FS(Active Directory Federation Services)를 통해 보안이 유지되는 애플리케이션에 액세스하려고 할 때 AD FS, 먼저 페더레이션 서버에 인증해야 합니다. 대부분의 경우에서 페더레이션 서버 없는 일반적으로 인터넷에서 직접 액세스할 수 있습니다. 따라서 인터넷 클라이언트 컴퓨터 리디렉션되어야 페더레이션 서버 프록시를 대신 합니다. 적절한 DNS(Domain Name System) 레코드를 인터넷에 연결되는 DNS 영역에 추가하면 리디렉션을 수행할 수 있습니다.
페더레이션 서버 프록시에 인터넷 클라이언트가 리디렉션할 사용 하는 메서드 경계 네트워크의 DNS 영역 구성 방법 또는 인터넷에서 사용자가 제어 하는 DNS 영역 구성 방법에 따라 달라 집니다. 페더레이션 서버 프록시는 경계 네트워크에서 사용하기 위한 것입니다. 이것은 사용자가 제어하는 모든 인터넷 연결 영역에 DNS가 제대로 구성되어 있을 때만 인터넷 클라이언트 요청을 페더레이션 서버로 리디렉션합니다. 따라서 인터넷 연결 영역의 구성 즉, DNS 영역이 경계 네트워크만 제공하는지 경계 네트워크와 인터넷 클라이언트를 모두 제공하는지 여부가 중요합니다.
이 항목에서는 페더레이션 서버 프록시가 경계 네트워크에 배치 하면 이름 확인을 구성할 수 있는 단계를 설명 합니다. 수행할 단계를 결정하려면 먼저 다음 DNS 시나리오 중 조직의 경계 네트워크에 있는 DNS 인프라와 가장 일치하는 시나리오를 결정합니다. 그런 다음 해당 시나리오에 대한 단계를 수행합니다.
경계 네트워크만 제공하는 DNS 영역
이 시나리오에서 조직은 경계 네트워크에 하나 또는 두 개의 DNS 영역을 갖고 조직은 인터넷의 DNS 영역을 제어하지 않습니다. 경계 네트워크 시나리오에만 사용 되는 DNS 영역에 페더레이션 서버 프록시에 대 한 성공적인 이름 확인은 다음 조건에 따라 달라 집니다.
페더레이션 서버 프록시는 호스트 파일에 페더레이션 서버 엔드포인트 URL의 정규화된 도메인 이름(FQDN)을 페더레이션 서버의 IS 주소나 페더레이션 서버 클러스터로 확인할 설정이 있어야 합니다.
페더레이션 서버 엔드포인트 URL의 FQDN의 페더레이션 서버 프록시 IP 주소로 확인 되도록 하는 계정 파트너의 경계 네트워크에 DNS는 구성 합니다.
다음 그림과 해당 단계에서는 이러한 각 조건이 지정된 예에서 어떻게 달성되는지를 보여 줍니다. 이 그림에서는 Microsoft 네트워크 부하 분산(NLB) 기술이 기존 페더레이션 서버 팜에 단일, 클러스터 FQDN 및 단일 클러스터 IP 주소를 제공합니다.
클러스터 IP 주소 또는 클러스터 FQDN 구성 하는 방법에 대 한 자세한 내용은 참조 NLB를 사용 하 여 클러스터 매개 변수 지정합니다.
1. 페더레이션 서버 프록시에 호스트 파일 구성
경계 네트워크의 DNS가 fs.fabrikam.com의 모든 요청을 계정 페더레이션 서버 프록시로 확인하도록 구성되기 때문에 계정 파트너 페더레이션 서버 프록시는 회사 네트워크에 연결된 fs.fabrikam.com을 실제 계정 페더레이션 서버(또는 페더레이션 서버 팜에 대한 클러스터 DNS 이름)으로 확인할 항목이 그 로컬 호스트 파일에 있습니다. 그러면 계정 페더레이션 서버는 아닌 자체 호스트 이름 fs.fabrikam.com를 해결 하려면 계정 페더레이션 서버 프록시에 대 한 수-fs.fabrikam.com 경계 DNS를 사용 하 여 조회 하려고 할 경우 발생 하는 대로-페더레이션 서버 프록시가 페더레이션 서버와 통신할 수 있도록 합니다.
2. 경계 DNS 구성
클라이언트 컴퓨터가 이동하는 AD FS 호스트 이름이 한 개만 있기 때문에 (인트라넷에 있든 인터넷에 있든) 경계 DNS 서버를 사용하는 인터넷의 클라이언트 컴퓨터로가 경계 네트워크에서 계정 페더레이션 서버 프록시의 IP 주소로 계정 페더레이션 서버의 FQDN(fs.fabrikam.com)을 확인해야 합니다. fs.fabrikam.com을 확인하려고 할 때 계정 페더레이션 서버 프록시로 클라이언트를 전달할 수 있도록 경계 DNS에는 fs (fs.fabrikam.com)에 대해 단일 호스트 (A) 리소스 레코드가 있는 corp.fabrikam.com DNS 영역과 계정 페더레이션 서버 프록시의 IP 주소가 경계 네트워크에 있습니다.
페더레이션 서버 프록시의 호스트 파일을 수정 하 고 경계 네트워크에 DNS를 구성 하는 방법에 대 한 자세한 내용은 참조 경계 네트워크 에서만 작동 하는 DNS 영역에 페더레이션 서버 프록시에 대 한 이름 확인 구성합니다.
경계 네트워크와 인터넷 클라이언트를 모두 제공하는 DNS 영역
이 시나리오에서 조직은 경계 네트워크의 DNS 영역과 인터넷에 있는 하나 이상의 DNS 영역을 제어합니다. 이 시나리오에서 페더레이션 서버 프록시에 대 한 성공적인 이름 확인은 다음 조건에 따라 달라 집니다.
페더레이션 서버 호스트 이름의 FQDN의 페더레이션 서버 프록시가 경계 네트워크의 IP 주소로 확인 되도록 하는 계정 파트너의 인터넷 영역에서 DNS는 구성 합니다.
페더레이션 서버 호스트 이름의 FQDN을 회사 네트워크의 페더레이션 서버의 IP 주소로 확인 되도록 하는 계정 파트너의 경계 네트워크에 DNS는 구성 합니다.
다음 그림과 해당 단계에서는 이러한 각 조건이 지정된 예에서 어떻게 달성되는지를 보여 줍니다.
1. 경계 DNS 구성
이 시나리오의 경우 특정 엔드포인트 URL(즉, fs.fabrikam.com)에 대한 요청을 경계 네트워크의 페더레이션 서버 프록시로 확인하도록 제어하는 인터넷 DNS 영역을 구성하는 것으로 가정하기 때문에, 회사 네트워크의 페더레이션 서버로도 이러한 요청을 전달하도록 경계 DNS의 해당 영역을 구성해야 합니다.
fs.fabrikam.com을 확인하려고 시도할 때 클라이언트가 계정 페더레이션 서버로 전달될 수 있도록 fs(fs.fabrikam.com)의 단일 호스트 (A) 리소스 레코드와 회사 네트워크의 계정 페더레이션 서버의 IP 주소가 있도록 단일 DNS가 구성됩니다. 그러면 계정 페더레이션 서버는 아닌 자체 호스트 이름 fs.fabrikam.com를 해결 하려면 계정 페더레이션 서버 프록시에 대 한 수-인터넷 DNS를 사용 하 여 fs.fabrikam.com을 조회 하려는 경우 발생 하는 대로-페더레이션 서버 프록시가 페더레이션 서버와 통신할 수 있도록 합니다.
2. 인터넷 DNS 구성
이 시나리오에서 이름 확인에 성공하려면 인터넷에서 fs.fabrikam.com에 대한 클라이언트 컴퓨터의 모든 요청을 제어하는 인터넷 DNS 영역으로 확인해야 합니다. 따라서 fs.fabrikam.com의 계정 페더레이션 서버 프록시가 경계 네트워크의 IP 주소에 대 한 클라이언트 요청을 전달 하 여 인터넷 DNS 영역을 구성 해야 합니다.
경계 네트워크와 인터넷 DNS 영역을 수정 하는 방법에 대 한 자세한 내용은 참조 DNS 영역을 역할 모두 경계 네트워크 및 인터넷 클라이언트에서 페더레이션 서버 프록시에 대 한 이름 확인 구성합니다.