在進行 ADFS前的準備工作之一, 就是將不同網域的組織的彼此設定條件轉寄, 為了確保不同網域間的 ADFS伺服器能夠相互通信進行正確的名稱解析, 從而實現身份同盟的功能:
名稱解析:
。跨域通信: 兩個不同網域的 ADFS伺服器需要相互通信以驗證身份和交換權杖, DNS條件轉寄允許一個網域中的 DNS伺服器查詢另一個網域中的 DNS記錄, 從而實現跨域的名稱解析
。可靠性: 通過條件轉寄每個網域的 DNS伺服器能夠直接查詢對方網域中的記錄, 而不是依賴公共 DNS或多層 DNS查詢, 提高了名稱解析的速度和可靠性
簡化管理:
。集中控制: 通過在 DNS中設置條件轉寄, 可以集中控制名稱解析設定, 避免在每台伺服器上進行單獨設定w-studio.idv.tw
。易於維護: 當網域間的資源或 IP地址變更時, 只需要更新 DNS伺服器中的條件轉寄設定而不需要逐個更新每台伺服器
安全性:
。限制查詢範圍: 條件轉寄使得 DNS查詢僅限於特定網域, 這有助於防止不必要的 DNS流量和潛在的安全風險
。防止DNS偽造: 直接指定目標 DNS伺服器減少了查詢過程中的中間環節, 降低了 DNS偽造攻擊的風險
1. 開啟 AD-1主機的 DNS管理員, 在條件式轉寄站新增一筆 AD-2的網域及 IP, 並記得勾選在AD中儲存此條件轉寄站, 複寫到樹系中的所有 DNS
沒有留言:
張貼留言