フェデレーション サーバー プロキシのための名前解決要件

インターネットのクライアント コンピューターは、Active Directory フェデレーション サービス (AD FS) 2.0 でセキュリティ保護されたアプリケーションにアクセスしようとする場合、まずActive Directory 2. 0 フェデレーション サービスに認証される必要があります。ほとんどの場合、インターネットからActive Directory 2. 0 フェデレーション サービスに直接アクセスすることはできません。このため、インターネット上のクライアント コンピューターを、代わりにActive Directory 2. 0 フェデレーション サービスpにリダイレクトする必要があります。リダイレクトが実行されるようにするには、インターネットに接しているドメイン ネーム システム (DNS) ゾーンに、適切なドメイン ネーム システム (DNS) のレコードを追加します。

インターネット クライアントをActive Directory 2. 0 フェデレーション サービスpにリダイレクトするために使用する方法は、境界ネットワーク内の DNS ゾーンをどのように構成するか、またはインターネット上で制御する DNS ゾーンをどのように構成するかによって異なります。フェデレーション サーバー プロキシは、境界ネットワークで使用されることを前提としています。フェデレーション サーバー プロキシがインターネット クライアントの要求をadfs2_ fsに正しくリダイレクトするためには、インターネットに接する制御対象のすべてのゾーンで DNS が正しく構成されていることが必要です。したがって、境界ネットワークのみを処理する DNS ゾーンでも、境界ネットワークとインターネット クライアントの両方を処理する DNS ゾーンでも、インターネットに接するゾーンの構成が重要になります。

このトピックでは、Active Directory 2. 0 フェデレーション サービスpを境界ネットワークに配置する際に、名前解決を構成するための手順について説明します。どの手順に従うかを決めるために、まず以下の中から、組織の境界ネットワークの DNS インフラストラクチャに最も近い DNS シナリオを選びます。シナリオを選択したら、そのシナリオの手順に従います。

境界ネットワークのみを処理する DNS ゾーン

これは、組織は境界ネットワークに 1 つまたは 2 つの DNS ゾーンを持ち、インターネット上に制御対象の DNS ゾーンを一切持たない場合のシナリオです。境界ネットワークだけを扱う DNS ゾーンのシナリオでActive Directory 2. 0 フェデレーション サービスpの名前解決が成功するためには、次の条件が必要です。

• Active Directory 2. 0 フェデレーション サービスpは、Active Directory 2. 0 フェデレーション サービス エンドポイント URL の完全修飾ドメイン名 (FQDN) をActive Directory 2. 0 フェデレーション サービスまたはActive Directory 2. 0 フェデレーション サービス サーバー クラスターの IP アドレスに解決するための設定を hosts ファイルに保持している必要があります。

• アカウント パートナーの境界ネットワークの DNS は、Active Directory 2. 0 フェデレーション サービス エンドポイント URL の FQDN をActive Directory 2. 0 フェデレーション サービスpの IP アドレスに解決するように構成する必要があります。

次の図、およびそれに対応する手順は、これらの各条件を達成する方法を具体的な例に沿って示します。この図では、Microsoft ネットワーク負荷分散 (NLB) テクノロジにより、単一のクラスター FQDN と単一のクラスター IP アドレスが既存のActive Directory 2. 0 フェデレーション サービス ファームに提供されています。

NLB を使用してクラスター IP アドレスまたはクラスター FQDN を構成する場合の詳細については、「クラスター パラメーターを指定する」(https://go.microsoft.com/fwlink/?LinkId=75282) (英語) を参照してください。

1. 境界 DNS を構成する
境界ネットワークの DNS が fs.fabrikam.com へのすべての要求をアカウント Active Directory 2. 0 フェデレーション サービスpに解決するように構成されているため、アカウント パートナーのActive Directory 2. 0 フェデレーション サービスpのローカル hosts ファイルには、fs.fabrikam.com を企業ネットワークに接続された実際のアカウント Active Directory 2. 0 フェデレーション サービスの IP アドレス (またはActive Directory 2. 0 フェデレーション サービス ファームのクラスター DNS 名) に解決するエントリが含まれます。これにより、アカウント Active Directory 2. 0 フェデレーション サービスpは、ホスト名 fs.fabrikam.com を (境界 DNS で fs.fabrikam.com を検索するとホスト自身に解決されてしまうのに対して) アカウント Active Directory 2. 0 フェデレーション サービスに解決し、Active Directory 2. 0 フェデレーション サービスと通信できるようになります。

クライアント コンピューターは、イントラネット上に存在しているかインターネット上に存在しているかに関係なく、同じ 1 つの AD FS 2.0 のホスト名に接続されるため、境界 DNS サーバーを使用するインターネット上のクライアント コンピューターは、アカウント Active Directory 2. 0 フェデレーション サービス (fs.fabrikam.com) の FQDN を境界ネットワーク上のActive Directory 2. 0 フェデレーション サービスpの IP アドレスに解決する必要があります。fs.fabrikam.com を解決しようとするクライアントをアカウント Active Directory 2. 0 フェデレーション サービスpに転送するために、境界 DNS には、fs (fs.fabrikam.com) の単一ホスト (A) のリソース レコードと境界ネットワーク上のアカウント Active Directory 2. 0 フェデレーション サービスpの IP アドレスで構成される限定的な corp.fabrikam.com DNS ゾーンが含まれます。

2. インターネット DNS を構成する
Active Directory 2. 0 フェデレーション サービスpの hosts ファイルを変更して境界ネットワークに DNS を構成する方法の詳細については、「境界ネットワークにのみサービスを提供している DNS ゾーンでフェデレーション サーバー プロキシの名前解決を構成する [Deploy2]」(英語) を参照してください。

これは、組織が境界ネットワーク内の DNS ゾーンと、インターネット上の少なくとも 1 つの DNS ゾーンを制御する場合のシナリオです。このシナリオでActive Directory 2. 0 フェデレーション サービスpの名前解決を成功させるには、次の条件が必要です。

• アカウント パートナーのインターネット ゾーンの DNS は、Active Directory 2. 0 フェデレーション サービス ホスト名の FQDN を境界ネットワークのActive Directory 2. 0 フェデレーション サービスpの IP アドレスに解決するように構成する必要があります。

• アカウント パートナーの境界ネットワークの DNS は、Active Directory 2. 0 フェデレーション サービス ホスト名の FQDN を企業ネットワークのActive Directory 2. 0 フェデレーション サービスの IP アドレスに解決するように構成する必要があります。

次の図、およびそれに対応する手順は、これらの各条件を達成する方法を具体的な例に沿って示します。

このシナリオでは、特定のエンドポイント URL (fs.fabrikam.com) に向けられた要求を境界ネットワークのActive Directory 2. 0 フェデレーション サービスpに解決するように、制御対象のインターネット DNS ゾーンを構成することが前提になります。そのため、境界 DNS にゾーンを構成して、これらの要求を企業ネットワークのActive Directory 2. 0 フェデレーション サービスに転送することも必要になります。

fs.fabrikam.com を解決しようとするクライアントをアカウント Active Directory 2. 0 フェデレーション サービスに転送するために、境界 DNS の構成に、fs (fs.fabrikam.com) の単一ホスト (A) のリソース レコードと企業ネットワーク上のアカウント Active Directory 2. 0 フェデレーション サービスの IP アドレスを含めます。これにより、アカウント Active Directory 2. 0 フェデレーション サービスpは、ホスト名 fs.fabrikam.com を (境界 DNS で fs.fabrikam.com を検索するとホスト自身に解決されてしまうのに対して) アカウント Active Directory 2. 0 フェデレーション サービスに解決し 、Active Directory 2. 0 フェデレーション サービスと通信できるようになります。

このシナリオで名前解決を成功させるには、インターネット上のクライアント コンピューターから fs.fabrikam.com に出されるすべての要求を制御対象のインターネット DNS ゾーンで解決する必要があります。このため、fs.fabrikam.com のクライアント要求を境界ネットワークのアカウント Active Directory 2. 0 フェデレーション サービスpの IP アドレスに転送するように、インターネット DNS ゾーンを構成する必要があります。

境界ネットワークとインターネットの DNS ゾーンを変更する方法の詳細については、「境界ネットワークとインターネット クライアントの両方にサービスを提供している DNS ゾーンでフェデレーション サーバー プロキシの名前解決を構成する」(英語) を参照してください。