Une configuration DNS de split-brain défectueuse peut empêcher une expérience de connexion SSO transparente

  • Article

Cet article décrit les conditions dans lesquelles Services ADFS (AD FS) ne se comporte pas comme prévu lorsque vous vous connectez à Office 365 services à l’aide d’un ID utilisateur pour lequel l’authentification unique (SSO) est activée.

Version du produit d’origine : Services cloud (rôles web/de travail), Microsoft Entra ID, Microsoft Intune, Sauvegarde Azure, Gestion des identités Office 365
Numéro de la base de connaissances d’origine : 2715326

Symptômes

Lorsque vous vous connectez à un service cloud Microsoft tel qu’Office 365, Microsoft Azure ou Microsoft Intune à l’aide d’un ID utilisateur activé par l’authentification unique (SSO), la connexion à Services ADFS (AD FS) ne se comporte pas comme prévu. La connexion échoue avec l’un des résultats suivants :

  • Les ordinateurs qui se connectent à partir du réseau local se connectent à l’adresse IP du proxy AD FS et une invite d’authentification basée sur les formulaires s’affiche. Toutefois, une expérience d’authentification Windows intégrée est attendue.
  • Les ordinateurs qui se connectent à partir du réseau local, puis tentent de se connecter au service proxy AD FS sont refusés en raison des paramètres de pare-feu.

Cause

Ces symptômes peuvent être causés par une configuration DNS à cerveau fractionné défectueuse requise pour la résolution de noms interne et externe correcte des services DNS. L’une des causes suivantes est la plus probable :

  • La résolution DNS interne à cerveau fractionné n’est pas configurée pour le domaine dans lequel réside le service AD FS.
  • La résolution de noms de service AD FS n’est pas définie dans la résolution DNS interne à cerveau fractionné de l’environnement local.

Résolution

Pour résoudre ce problème, procédez comme suit :

Étape 1 : Établir la zone DNS à cerveau fractionné dans le DNS interne

Pour ce faire, procédez comme suit sur le serveur DNS local :

  1. Ouvrez la console de gestion DNS. Pour ce faire, ouvrez Outils d’administration, puis double-cliquez sur DNS.

  2. Dans le volet de navigation gauche, développez DNS, développez le nom du serveur, puis sélectionnez Zones de recherche vers l’avant.

  3. Si aucune entrée n’est affichée pour la zone DNS dans laquelle le point de terminaison de service AD FS est hébergé, créez la zone. Pour ce faire, cliquez avec le bouton droit sur Zones de recherche directe, puis sélectionnez Nouvelle zone.

  4. Suivez les instructions de l’Assistant. Dans ce cas, sélectionnez Zone principale, puis nommez la zone pour le domaine DNS du serveur AD FS.

    Avertissement

    L’exécution de cette étape empêche efficacement les ordinateurs locaux de résoudre les noms de serveurs en adresses IP publiques à l’aide du serveur DNS qui résout les demandes publiques pour le domaine. Tous les points de terminaison de service extranet qui doivent être utilisés par les clients locaux doivent avoir un enregistrement A créé dans la configuration DNS split-brain pour activer la connexion.

Étape 2 : Publier le point de terminaison de service AD FS dans le domaine DNS split-brain

Dans la console de gestion DNS que vous avez ouverte précédemment, procédez comme suit :

  1. Accédez à , puis sélectionnez la zone DNS pour le domaine du serveur AD FS.
  2. Cliquez avec le bouton droit sur le nom de domaine, puis sélectionnez Nouvel hôte (A ou AAAA).
  3. Entrez les valeurs suivantes :
    • Nom : nom du service AD FS
    • Adresse IP : adresse IP privée locale de la batterie de serveurs du service de fédération AD FS.

Étape 3 : Effacer le cache DNS sur le serveur et le client pour tester la solution

  1. Dans la console de gestion DNS que vous avez ouverte précédemment, cliquez avec le bouton droit sur le nom du serveur, puis sélectionnez Effacer le cache.

  2. Sur l’ordinateur client, sélectionnez Démarrer, Tous les programmes, Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.

  3. Tapez la commande suivante, puis appuyez sur Entrée :

    Ipconfig /flushdns

Retestez la connexion SSO pour vérifier que cela résout le problème.

Informations supplémentaires

Le DNS à cerveau fractionné est une configuration courante utilisée pour s’assurer que les ordinateurs clients locaux résolvent un nom de serveur en adresses IP internes, même si la résolution DNS publique résout le même nom de service en une autre adresse IP publique. Lorsque vous configurez AD FS pour le service local, cette configuration est nécessaire pour vous assurer que l’expérience d’authentification des ordinateurs clients locaux auprès du service AD FS est gérée différemment (par la batterie de serveurs du service de fédération AD FS) par rapport aux ordinateurs clients externes qui sont pris en charge par le service proxy AD FS.

Sans cette configuration, tous les clients AD FS seront desservis par la même adresse IP lorsqu’ils se connectent au service AD FS, qu’ils soient connectés à partir du réseau local ou qu’ils accèdent à distance à partir d’un emplacement Internet. Cela limite l’expérience d’authentification transparente possible pour les clients locaux authentifiés par Active Directory, car le service proxy AD FS qui expose le service AD FS à Internet ne s’attend pas à ce que le client accédant puisse fournir une réponse d’authentification Windows intégrée sans invite (car les ordinateurs distants ne sont pas authentification auprès d’Active Directory).

Pour surmonter cette limitation, il est souhaitable de remplacer la résolution de noms par défaut qui est donnée aux clients locaux en créant un domaine portant le même nom dans le DNS local. Étant donné que l’architecture distribuée DNS retourne la première réponse trouvée à une requête de recherche vers l’avant, cela masque efficacement les annonces de domaine DNS publiques pour ce domaine pour toutes les demandes d’ordinateur client local, car leurs requêtes sont d’abord gérées par les serveurs DNS locaux.

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.