Вопросы Теги

Ошибка подписи ADFS

У нас есть запущенный сервер ADFS, который мы используем для SSO для Skype в облаке, который работает без проблем. . Недавно мы установили доверие проверяющей стороны с внешним партнером, который использует свою собственную федеративную службу (которую они написали / настроили самостоятельно). Они являются партнерами по ресурсам, а мы IDP

При попытке доступа к их приложению мы попадаем на их веб-сайт, но не можем войти в систему. В журнале событий администратора AD FS мы видим следующие 2 события;

идентификатор события 303 - обнаружена служба федерации и ошибка при обработке запроса проверки подлинности SAML: MSIS0037: не найден сертификат проверки подписи для эмитента ' https: / /xxxxxxxxx.com[11108612 impression'[12165 visible ID события 364 - обнаружена ошибка во время пассивного запроса федерации: MSIS0037: не найден сертификат проверки подписи для эмитента ' https://xxxxxxxxx.com '

в свойствах доверия проверяющей стороны SignedSAMLRequestsRequired установлено значение False, а SamlResponseSignature - значение False.

Я немного не понимаю, как это устранить. Я предполагаю, что мой сервер ADFS ожидает подписанный запрос аутентификации SAML, но не может проверить подпись. and ns2.example.com with IP 21.1.1.1 ...

I have a domain: example.com and have a server with IP 21.1.1.1

I set vanity/private/child nameservers for example.com as below:

ns1.example.com with IP 21.1.1.1
and
ns2.example.com with IP 21.1.1.1

And in server's WHM I set NS as below:
ns1.example.com
ns2.example.com
then I hosted example.com in WHM of my server.

Now, I got my second server with IP 95.1.1.1. I don't know how to set vanity/private/child nameservers for example.com for this second server! And I want to use my second server for hosting customers.

  1. Should I set NS3 and NS4 for this new server with settings:
    ns3.example.com with IP 95.1.1.1
    and
    ns4.example.com with IP 95.1.1.1
    ?

  2. Я могу использовать несколько IP-адресов для NS домена. Следует ли мне установить:
    ns1.example.com с IP-адресами 21.1.1.1 и 95.1.1.1
    ns2.example.com с IP-адресами 21.1.1.1 и 95.1.1.1
    Так я избавляюсь от NS3, NS4 ...?

Меня запутали NS домена и сервера. Любая помощь, пожалуйста?

0
задан 19 June 2017 в 20:25
2 ответа

Серверы имен не предназначены для размещения чего-либо; они просто преобразуют удобочитаемые доменные имена в IP-адреса. У вас всегда должно быть как минимум два сервера имен в разных сетях. Следовательно, ни одно из ваших предложений не соответствует минимальным техническим требованиям для авторитетных серверов имен . Вам следует прочитать всю статью, но связанные с ней части таковы:

Минимальное количество серверов имен

В делегировании должно быть как минимум две записи NS, и хосты не должны разрешаться в один и тот же IP-адрес.

Разнесение сети

Серверы имен должны находиться как минимум в двух топологически разных сети. Сеть определяется как автономная система происхождения в Таблица маршрутизации BGP. Требование оценивается путем проверки представления таблицы маршрутизации BGP.

Единственным приемлемым решением было бы иметь все домены на обоих серверах имен , другой - первичный и разрешающий передачи зон от вторичной вторичной . Если example.com - это ваш домен, а example.net домен клиентов, это будет, например, 

example.net.     IN NS  ns1.example.com.
example.net.     IN NS  ns2.example.com.

example.com.     IN NS  ns1.example.com.
example.com.     IN NS  ns2.example.com.
ns1.example.com. IN A   21.1.1.1
ns2.example.com. IN A   95.1.1.1

. После этого вы должны исправить все остальные требования, начиная со всех консистенций . Вы действительно должны изучить все это и иметь все это вместе с вашим собственным доменом, прежде чем пытаться продавать эти услуги кому-либо еще. Серьезно.

0
ответ дан 5 December 2019 в 07:58

Записи DNS организованы в зоны. Одна зона содержит записи для одного домена.Если записей и поддоменов мало, они также могут содержать поддомены, но обычно они получают отдельные зоны.

Зона может иметь различные записи NS, и они могут быть специфичными для домена, но каждая зона имеет одну запись SOA (Начало полномочий ), в котором, среди прочего, указан основной сервер имен для зоны .

Предполагается, что ваш домен - mydomain.com , а у вашего клиента customerdomain.com ]:

Нет смысла иметь две записи NS, которые в конечном итоге указывают на один и тот же IP-адрес. Множественные серверы имен предназначены для избыточности, чего вы не получите. Кроме того, рекомендуется иметь основной NS-сервер за пределами обслуживаемого домена. Таким образом, вы установите ns1.mydomain.com в качестве первого или второго сервера имен, в зависимости от того, предпочитаете ли вы лучшие практики внешнему виду или нет.

Для customerdomain.com , вы устанавливаете ns2.mydomain.com на свой второй DNS-сервер и устанавливаете его в качестве полномочного DNS-сервера для customerdomain.com .

То есть, если вам нужны эти домены обслуживается отдельными серверами. Для избыточности, вероятно, лучше всего иметь обе зоны на одном сервере, указать ns1.mydomain.com на первую, ns2.mydomain.com - на второй и установить NS запись для них обоих для каждой зоны.

0
ответ дан 5 December 2019 в 07:58

Теги

Похожие вопросы