Eine fehlerhafte Split-Brain-DNS-Konfiguration kann eine nahtlose SSO-Anmeldung verhindern.

  • Artikel

In diesem Artikel werden die Bedingungen beschrieben, unter denen sich Active Directory-Verbunddienste (AD FS) (AD FS) nicht wie erwartet verhält, wenn Sie sich mit einer Benutzer-ID, die für einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist, bei Office 365-Diensten anmelden.

Ursprüngliche Produktversion: Cloud-Dienste (Webrollen/Workerrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2715326

Problembeschreibung

Wenn Sie sich bei einem Microsoft-Clouddienst wie Office 365, Microsoft Azure oder Microsoft Intune mit einer Benutzer-ID anmelden, die einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist, verhält sich die Verbindung mit Active Directory-Verbunddienste (AD FS) (AD FS) nicht wie erwartet. Die Verbindung schlägt zusammen mit einem der folgenden Ergebnisse fehl:

  • Computer, die sich aus dem lokalen Netzwerk anmelden, stellen eine Verbindung mit der AD FS-Proxy-IP-Adresse her, und eine formularbasierte Authentifizierungsaufforderung wird angezeigt. Es wird jedoch eine integrierte Windows-Authentifizierung erwartet.
  • Computer, die sich aus dem lokalen Netzwerk anmelden und dann versuchen, eine Verbindung mit dem AD FS-Proxydienst herzustellen, werden aufgrund von Firewalleinstellungen verweigert.

Ursache

Diese Symptome können durch eine fehlerhafte Split-Brain-DNS-Konfiguration verursacht werden, die für die korrekte interne und externe Namensauflösung von DNS-Diensten erforderlich ist. Eine der folgenden Ursachen ist höchstwahrscheinlich:

  • Die interne DNS-Auflösung für split-brain ist nicht für die Domäne eingerichtet, in der sich der AD FS-Dienst befindet.
  • Die Namensauflösung des AD FS-Diensts wird in der internen DNS-Auflösung des split-brain-Diensts der lokalen Umgebung nicht festgelegt.

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

Schritt 1: Einrichten der Split-Brain-DNS-Zone im internen DNS

Führen Sie dazu die folgenden Schritte auf dem lokalen DNS-Server aus:

  1. Öffnen Sie die DNS-Verwaltungskonsole. Öffnen Sie hierzu Die Verwaltung, und doppelklicken Sie dann auf DNS.

  2. Erweitern Sie im linken Navigationsbereich DNS, erweitern Sie den Servernamen, und wählen Sie dann Forward-Lookupzonen aus.

  3. Wenn für die DNS-Zone, in der der AD FS-Dienstendpunkt gehostet wird, kein Eintrag angezeigt wird, erstellen Sie die Zone. Klicken Sie hierzu mit der rechten Maustaste auf Forward-Lookupzonen, und wählen Sie dann Neue Zone aus.

  4. Schließen Sie den Assistenten ab. Wählen Sie in diesem Fall Primäre Zone aus, und benennen Sie die Zone für die DNS-Domäne des AD FS-Servers.

    Warnung

    Durch diesen Schritt wird effektiv verhindert, dass lokale Computer Servernamen in öffentliche IP-Adressen auflösen, indem sie den DNS-Server verwenden, der öffentliche Anforderungen für die Domäne auflöst. Alle Extranet-Dienstendpunkte, die von lokalen Clients verwendet werden müssen, müssen über einen A-Eintrag verfügen, der in der Split-Brain-DNS-Konfiguration erstellt wird, um die Verbindung zu ermöglichen.

Schritt 2: Ankündigen des AD FS-Dienstendpunkts in der Split-Brain-DNS-Domäne

Führen Sie in der DNS-Verwaltungskonsole, die Sie zuvor geöffnet haben, die folgenden Schritte aus:

  1. Navigieren Sie zu der DNS-Zone für die Domäne des AD FS-Servers, und wählen Sie sie aus.
  2. Klicken Sie mit der rechten Maustaste auf den Domänennamen, und wählen Sie dann Neuer Host (A oder AAAA) aus.
  3. Geben Sie die folgenden Werte ein:
    • Name: Der AD FS-Dienstname
    • IP-Adresse: Die lokale private IP-Adresse der AD FS-Verbunddienstfarm.

Schritt 3: Löschen des DNS-Caches auf dem Server und Client zum Testen der Lösung

  1. Klicken Sie in der DNS-Verwaltungskonsole, die Sie zuvor geöffnet haben, mit der rechten Maustaste auf den Servernamen, und wählen Sie dann Cache löschen aus.

  2. Wählen Sie auf dem Clientcomputer Start, Alle Programme, Zubehör aus, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie dann Als Administrator ausführen aus.

  3. Geben Sie folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    Ipconfig /flushdns

Testen Sie die SSO-Anmeldung erneut, um zu bestätigen, dass das Problem dadurch behoben wird.

Weitere Informationen

Split-Brain-DNS ist eine gängige Konfiguration, die verwendet wird, um sicherzustellen, dass lokale Clientcomputer einen Servernamen in interne IP-Adressen auflösen, obwohl die öffentliche DNS-Auflösung denselben Dienstnamen in eine andere öffentliche IP-Adresse auflöst. Wenn Sie AD FS für den lokalen Dienst einrichten, ist diese Konfiguration erforderlich, um sicherzustellen, dass die Authentifizierungserfahrung von lokalen Clientcomputern für den AD FS-Dienst anders (von der AD FS-Verbunddienstfarm) als externe Clientcomputer behandelt wird, die vom AD FS-Proxydienst bedient werden.

Ohne diese Konfiguration werden alle AD FS-Clients von derselben IP-Adresse verwaltet, wenn sie eine Verbindung mit dem AD FS-Dienst herstellen, unabhängig davon, ob sie über das lokale Netzwerk verbunden sind oder remote von einem Internetstandort aus darauf zugreifen. Dies schränkt die nahtlose Authentifizierung für lokale Active Directory-authentifizierte Clients ein, da der AD FS-Proxydienst, der den AD FS-Dienst für das Internet verfügbar macht, nicht erwartet, dass der zugreifende Client ohne Aufforderung eine Antwort für die integrierte Windows-Authentifizierung bereitstellen kann (da Remotecomputer keine Authentifizierung bei Active Directory durchführen).

Um diese Einschränkung zu überwinden, ist es wünschenswert, die Standardnamensauflösung zu überschreiben, die lokalen Clients gewährt wird, indem eine Domäne mit identischem Namen im lokalen DNS erstellt wird. Da die verteilte DNS-Architektur die erste Antwort zurückgibt, die für eine Forward-Lookup-Abfrage gefunden wird, werden dadurch effektiv die Ankündigungen der öffentlichen DNS-Domäne für diese Domäne für alle lokalen Clientcomputeranforderungen maskiert, da ihre Anforderungen zuerst von lokalen DNS-Servern verarbeitet werden.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.