У нас есть запущенный сервер ADFS, который мы используем для SSO для Skype в облаке, который работает без проблем. . Недавно мы установили доверие проверяющей стороны с внешним партнером, который использует свою собственную федеративную службу (которую они написали / настроили самостоятельно). Они являются партнерами по ресурсам, а мы IDP
При попытке доступа к их приложению мы попадаем на их веб-сайт, но не можем войти в систему. В журнале событий администратора AD FS мы видим следующие 2 события;
идентификатор события 303 - обнаружена служба федерации и ошибка при обработке запроса проверки подлинности SAML: MSIS0037: не найден сертификат проверки подписи для эмитента ' https: / /xxxxxxxxx.com[11108612 impression'[12165 visible ID события 364 - обнаружена ошибка во время пассивного запроса федерации: MSIS0037: не найден сертификат проверки подписи для эмитента ' https://xxxxxxxxx.com '
в свойствах доверия проверяющей стороны SignedSAMLRequestsRequired установлено значение False, а SamlResponseSignature - значение False.
Я немного не понимаю, как это устранить. Я предполагаю, что мой сервер ADFS ожидает подписанный запрос аутентификации SAML, но не может проверить подпись. and ns2.example.com with IP 21.1.1.1 ...
I have a domain: example.com and have a server with IP 21.1.1.1
I set vanity/private/child nameservers for example.com as below:
ns1.example.com with IP 21.1.1.1
and
ns2.example.com with IP 21.1.1.1
And in server's WHM I set NS as below:
ns1.example.com
ns2.example.com
then I hosted example.com in WHM of my server.
Now, I got my second server with IP 95.1.1.1. I don't know how to set vanity/private/child nameservers for example.com for this second server! And I want to use my second server for hosting customers.
Should I set NS3 and NS4 for this new server with settings:
ns3.example.com with IP 95.1.1.1
and
ns4.example.com with IP 95.1.1.1
?
Я могу использовать несколько IP-адресов для NS домена. Следует ли мне установить:
ns1.example.com с IP-адресами 21.1.1.1 и 95.1.1.1
ns2.example.com с IP-адресами 21.1.1.1 и 95.1.1.1
Так я избавляюсь от NS3, NS4 ...?
Меня запутали NS домена и сервера. Любая помощь, пожалуйста?
Серверы имен не предназначены для размещения чего-либо; они просто преобразуют удобочитаемые доменные имена в IP-адреса. У вас всегда должно быть как минимум два сервера имен в разных сетях. Следовательно, ни одно из ваших предложений не соответствует минимальным техническим требованиям для авторитетных серверов имен . Вам следует прочитать всю статью, но связанные с ней части таковы:
Минимальное количество серверов имен
В делегировании должно быть как минимум две записи NS, и хосты не должны разрешаться в один и тот же IP-адрес.
Разнесение сети
Серверы имен должны находиться как минимум в двух топологически разных сети. Сеть определяется как автономная система происхождения в Таблица маршрутизации BGP. Требование оценивается путем проверки представления таблицы маршрутизации BGP.
Единственным приемлемым решением было бы иметь все домены на обоих серверах имен , другой - первичный и разрешающий передачи зон от вторичной вторичной . Если example.com
- это ваш домен, а example.net
домен клиентов, это будет, например,
example.net. IN NS ns1.example.com.
example.net. IN NS ns2.example.com.
example.com. IN NS ns1.example.com.
example.com. IN NS ns2.example.com.
ns1.example.com. IN A 21.1.1.1
ns2.example.com. IN A 95.1.1.1
. После этого вы должны исправить все остальные требования, начиная со всех консистенций . Вы действительно должны изучить все это и иметь все это вместе с вашим собственным доменом, прежде чем пытаться продавать эти услуги кому-либо еще. Серьезно.
Записи DNS организованы в зоны. Одна зона содержит записи для одного домена.Если записей и поддоменов мало, они также могут содержать поддомены, но обычно они получают отдельные зоны.
Зона может иметь различные записи NS, и они могут быть специфичными для домена, но каждая зона имеет одну запись SOA (Начало полномочий ), в котором, среди прочего, указан основной сервер имен для зоны .
Предполагается, что ваш домен - mydomain.com
, а у вашего клиента customerdomain.com
]:
Нет смысла иметь две записи NS, которые в конечном итоге указывают на один и тот же IP-адрес. Множественные серверы имен предназначены для избыточности, чего вы не получите. Кроме того, рекомендуется иметь основной NS-сервер за пределами обслуживаемого домена. Таким образом, вы установите ns1.mydomain.com
в качестве первого или второго сервера имен, в зависимости от того, предпочитаете ли вы лучшие практики внешнему виду или нет.
Для customerdomain.com
, вы устанавливаете ns2.mydomain.com
на свой второй DNS-сервер и устанавливаете его в качестве полномочного DNS-сервера для customerdomain.com
.
То есть, если вам нужны эти домены обслуживается отдельными серверами. Для избыточности, вероятно, лучше всего иметь обе зоны на одном сервере, указать ns1.mydomain.com
на первую, ns2.mydomain.com
- на второй и установить NS запись для них обоих для каждой зоны.