Microsoft 365 を組織で構築している場合、社内の DNS と社外の DNS は分けて構築することが一般的かと思います。
その際に NAT を行うようなケースにおいて、社外の DNS 側に社内からアクセスしたくないものの一部のアドレスは社外を経由したい。というような難しい要望が発生するケースがまれにあります。
ADFS のホストへのアクセスは プライベート IP から接続したい。自社の HP へのアクセスは パブリック IP から接続したい。というようなケースです。
言葉だとわかりにくいので、例を出すとこんな感じです。
www.microsoft.com は 23.45.8.14
sts.microsoft.com は 192.168.0.10
この時、既に構築されている パブリック DNS の全容がわかっていればよいのですが、そうならないケースも多々あるはずです。この場合 ADFS のホストをゾーンと見立て DNS を設定し、そのほかのホストはフォワードされるように設定しておくことで望んだ構成が取れるはずです。
この状態で sts.microsoft.com にアクセスすると、ローカルサーバーにつながります。
同様にその他のサーバー www.microsoft.com にアクセスするとパブリックに公開された DNS にフォワードされ、パブリック側の情報が応答として返ってくることが確認できます。
このケース、一見 DNS のゾーンを一つ上の microsoft.com にして Aレコードに sts を登録する形にしたくなりますが、その場合ほかの microsoft.com にアクセスできなくなってしまうんですよね。。。
DNS の詳細は以下の Active Directory Directory Service の説明を見るとよくわかるかと思います。
細かい設定は中々わかりにくいですが、躓いたときは初心に帰ると見えてくることが多々あるのでいろいろな文献を漁って見るとよいと思います。
音楽:Butterfly
