Bei der Planung für die Konfiguration von Active Directory Federeation Services bin ich gleich auf ein Problem gestoßen: Der interne und externe DNS-Name des ADFS-Dienstes muss gleich sein. In meinem Fall adfs.einfaches-netzwerk.at. Damit in meinem einfachen Netzwerk der Name intern und extern aufgelöst werden kann, muss ich am internen DNS eine Forward Lookup Zone für einfaches-netzwerk.at anlegen. Das nennt sich dann Split-DNS oder Split-Brain-DNS.

Split-DNS für Active Directory Federation Services einrichten – Schritte:

• Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen
• Host (A)- und Alias (CNAME)-Einträge erstellen
• DNS-Client mittels Gruppenrichtlinien konfigurieren

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen

1. Als Administrator an DC1 anmelden
2. Server Manager > Tools > DNS
3. Forward Lookup Zones rechts anklicken > New Zone…
4. New Zone Wizard
   1. Welcome > Next
   2. Zone Type
      1. Primary Zone
      2. Store the zone in Active Directory deaktivieren
         
   3. Zone Name: einfaches-netzwerk.at > Next
      
   4. Zone File: Standard lassen > Next
      
   5. Dynamic Update: Do not allow dynamic updates > Next
      
   6. Completing the New Zone Wizard > Finish
      

Host (A)- und Alias (CNAME)-Einträge erstellen

1. In der Zone einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
   1. Name: adfs
   2. IP address: 192.168.150.3
      
2. In der Zone einfaches-netzwerk.at folgende Alias (CNAME)-Einträge erstellen
   1. New Resource Record
      1. Alias name: enterpriseregistration
      2. Fully qualified domain name:  enterpriseregistration.einfaches-netzwerk.at
      3. Fully qualified domain name for target host: adfs1.intern.einfaches-netzwerk.at
         
   2. New Resource Record
      1. Alias name: arbeitsordner
      2. Fully qualified domain name:  arbeitsordner.einfaches-netzwerk.at
      3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at
         

DNS-Client mittels Gruppenrichtlinien konfigurieren

1. Server Manager > Tools > Group Policy Management
2. Group Policy Objects anklicken
3. GPO Standard Settings for Workstations zum Bearbeiten öffnen
4. Computer Configuration\Policies\Administrative Templates\Network\DNS Client erweitern
5. Folgende Einstellungen vornehmen
   1. Allow DNS suffix appending to unqualified multi-label name queries > Enabled
   2. Connection-specific DNS suffix > Enabled
      1. DNS suffix: intern.einfaches-netzwerk.at
   3. DNS suffix search list > Enabled
      1. DNS Suffixes: intern.einfaches-netzwerk.at,einfaches-netzwerk.at
         
   4. Primary DNS suffix > Enabled
      1. Primary DNS suffix: intern.einfaches-netzwerk.at
         
6. Group Policy Management Editor schließen
   
7. Group Policy Management schließen
   
8. Auf CLIENT1 mit gpupdate /force die Einstellungen sofort übernehmen
   
9. adfs anpingen