Teil 28: Split-DNS für Active Directory Federation Services einrichten

Veröffentlicht am von

Bei der Planung für die Konfiguration von Active Directory Federeation Services bin ich gleich auf ein Problem gestoßen: Der interne und externe DNS-Name des ADFS-Dienstes muss gleich sein. In meinem Fall adfs.einfaches-netzwerk.at. Damit in meinem einfachen Netzwerk der Name intern und extern aufgelöst werden kann, muss ich am internen DNS eine Forward Lookup Zone für einfaches-netzwerk.at anlegen. Das nennt sich dann Split-DNS oder Split-Brain-DNS.

Split-DNS für Active Directory Federation Services einrichten – Schritte:

  • Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen
  • Host (A)- und Alias (CNAME)-Einträge erstellen
  • DNS-Client mittels Gruppenrichtlinien konfigurieren

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > DNS
  3. Forward Lookup Zones rechts anklicken > New Zone…
  4. New Zone Wizard
    1. Welcome > Next
    2. Zone Type
      1. Primary Zone
      2. Store the zone in Active Directory deaktivieren
        ADFS-012
    3. Zone Name: einfaches-netzwerk.at > Next
      ADFS-013
    4. Zone File: Standard lassen > Next
      ADFS-014
    5. Dynamic Update: Do not allow dynamic updates > Next
      ADFS-015
    6. Completing the New Zone Wizard > Finish
      ADFS-016

Host (A)- und Alias (CNAME)-Einträge erstellen

  1. In der Zone einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
    1. Name: adfs
    2. IP address: 192.168.150.3
      ADFS-017
  2. In der Zone einfaches-netzwerk.at folgende Alias (CNAME)-Einträge erstellen
    1. New Resource Record
      1. Alias name: enterpriseregistration
      2. Fully qualified domain name:  enterpriseregistration.einfaches-netzwerk.at
      3. Fully qualified domain name for target host: adfs1.intern.einfaches-netzwerk.at
        ADFS-018
    2. New Resource Record
      1. Alias name: arbeitsordner
      2. Fully qualified domain name:  arbeitsordner.einfaches-netzwerk.at
      3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at
        ADFS-019

DNS-Client mittels Gruppenrichtlinien konfigurieren

  1. Server Manager > Tools > Group Policy Management
  2. Group Policy Objects anklicken
  3. GPO Standard Settings for Workstations zum Bearbeiten öffnen
  4. Computer Configuration\Policies\Administrative Templates\Network\DNS Client erweitern
  5. Folgende Einstellungen vornehmen
    1. Allow DNS suffix appending to unqualified multi-label name queries > Enabled
    2. Connection-specific DNS suffix > Enabled
      1. DNS suffix: intern.einfaches-netzwerk.at
    3. DNS suffix search list > Enabled
      1. DNS Suffixes: intern.einfaches-netzwerk.at,einfaches-netzwerk.at
        SPLIT_DNS-001
    4. Primary DNS suffix > Enabled
      1. Primary DNS suffix: intern.einfaches-netzwerk.at
        SPLIT_DNS-002
  6. Group Policy Management Editor schließen
    SPLIT_DNS-003
  7. Group Policy Management schließen
    SPLIT_DNS-006
  8. Auf CLIENT1 mit gpupdate /force die Einstellungen sofort übernehmen
    SPLIT_DNS-004
  9. adfs anpingen
    SPLIT_DNS-005

Ein Gedanke zu „Teil 28: Split-DNS für Active Directory Federation Services einrichten

  1. Hallo,

    sehr gute Anleitung. Leider hakt es irgendwie beim DNS bei mir.

    enterpriseregistration und deine einfaches-netzwerk.at sind einmal die lokale Domain und einmal die Domain über die ich Internet erreichbar bin?

    Hast du noch eine Anleitung wie ich eine cloudbasierte Lösung über ADFS anbinde wenn dazwischen noch der WAP hängt?

    Danke.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert