잘못된 분할 브레인 DNS 구성은 원활한 SSO 로그인 환경을 방지할 수 있습니다.

이 문서에서는 SSO(Single Sign-On) 사용 사용자 ID를 사용하여 Office 365 서비스에 로그인할 때 AD FS(Active Directory Federation Services)가 예상대로 작동하지 않는 조건에 대해 설명합니다.

              원본 제품 버전: Cloud Services(웹 역할/작업자 역할), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
원래 KB 번호: 2715326

증상

SSO(Single Sign-On)가 설정된 사용자 ID를 사용하여 Office 365, Microsoft Azure 또는 Microsoft Intune 같은 Microsoft 클라우드 서비스에 로그인하면 AD FS(Active Directory Federation Services 연결)가 예상대로 작동하지 않습니다. 연결이 다음 결과 중 하나와 함께 실패합니다.

• 온-프레미스 네트워크 내에서 로그인하는 컴퓨터는 AD FS 프록시 IP 주소에 연결되고 양식 기반 인증 프롬프트가 나타납니다. 그러나 Windows 통합 인증 환경이 필요합니다.
• 온-프레미스 네트워크 내에서 로그인한 다음 AD FS 프록시 서비스에 연결하려고 시도하는 컴퓨터는 방화벽 설정으로 인해 거부됩니다.

원인

이러한 증상은 DNS 서비스의 올바른 내부 및 외부 이름 확인에 필요한 잘못된 분할 브레인 DNS 구성으로 인해 발생할 수 있습니다. 다음 원인 중 하나는 가장 가능성이 높습니다.

• 분할 브레인 내부 DNS 확인은 AD FS 서비스가 있는 도메인에 대해 설정되지 않습니다.
• AD FS 서비스 이름 확인은 온-프레미스 환경의 분할 브레인 내부 DNS 확인에서 설정되지 않습니다.

해결 방법

이 문제를 resolve 다음 단계를 수행합니다.

1단계: 내부 DNS에서 분할 브레인 DNS 영역 설정

이렇게 하려면 온-프레미스 DNS 서버에서 다음 단계를 수행합니다.

1. DNS 관리 콘솔을 엽니다. 이렇게 하려면 관리 도구를 연 다음 DNS를 두 번 클릭합니다.

2. 왼쪽 탐색 창에서 DNS를 확장하고 서버 이름을 확장한 다음 , 조회 영역 앞으로를 선택합니다.

3. AD FS 서비스 엔드포인트가 호스트되는 DNS 영역에 대해 표시되는 항목이 없는 경우 영역을 만듭니다. 이렇게 하려면 정방향 조회 영역을 마우스 오른쪽 단추로 클릭한 다음 새 영역을 선택합니다.

4. 마법사를 완료합니다. 이렇게 하면 기본 영역을 선택한 다음, AD FS 서버의 DNS 도메인에 대한 영역 이름을 지정합니다.

   경고

   이 단계를 완료하면 도메인에 대한 공용 요청을 확인하는 DNS 서버를 사용하여 온-프레미스 컴퓨터가 서버 이름을 공용 IP 주소로 확인하는 것을 효과적으로 중지합니다. 온-프레미스 클라이언트에서 사용해야 하는 엑스트라넷 서비스 엔드포인트에는 연결을 사용하도록 설정하려면 분할 브레인 DNS 구성 내에서 만든 A 레코드가 있어야 합니다.

2단계: 분할 브레인 DNS 도메인에서 AD FS 서비스 엔드포인트 보급

이전에 연 DNS 관리 콘솔에서 다음 단계를 수행합니다.

1. AD FS 서버의 도메인에 대한 DNS 영역을 찾아 선택합니다.
2. 도메인 이름을 마우스 오른쪽 단추로 클릭한 다음 새 호스트(A 또는 AAAA)를 선택합니다.
3. 다음 값을 입력합니다.
   • 이름: AD FS 서비스 이름
   • IP 주소: AD FS 페더레이션 서비스 팜의 온-프레미스 개인 IP 주소입니다.

3단계: 서버 및 클라이언트에서 DNS 캐시를 지우고 솔루션을 테스트합니다.

1. 이전에 연 DNS 관리 콘솔에서 서버 이름을 마우스 오른쪽 단추로 클릭한 다음 캐시 지우기를 선택합니다.

2. 클라이언트 컴퓨터에서 시작을 선택하고 모든 프로그램, 액세서리, 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

3. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

   Ipconfig /flushdns
   

SSO 로그인을 다시 테스트하여 문제가 해결되도록 합니다.

추가 정보

분할 브레인 DNS는 공용 DNS 확인이 동일한 서비스 이름을 다른 공용 IP 주소로 확인하더라도 온-프레미스 클라이언트 컴퓨터가 서버 이름을 내부 IP 주소로 resolve 하는 데 사용되는 일반적인 구성입니다. 온-프레미스 서비스에 대한 AD FS를 설정할 때 이 구성은 AD FS 서비스에 대한 온-프레미스 클라이언트 컴퓨터의 인증 환경이 AD FS 프록시 서비스에서 서비스되는 외부 클라이언트 컴퓨터와 다르게(AD FS 페더레이션 서비스 팜에서) 처리되도록 하는 데 필요합니다.

이 구성이 없으면 모든 AD FS 클라이언트는 온-프레미스 네트워크에서 연결되거나 인터넷 위치에서 원격으로 액세스하든 관계없이 AD FS 서비스에 연결할 때 동일한 IP 주소로 서비스됩니다. 이렇게 하면 AD FS 서비스를 인터넷에 노출하는 AD FS 프록시 서비스가 액세스 클라이언트가 프롬프트 없이 통합 Windows 인증 응답을 제공할 수 있을 것으로 기대하지 않기 때문에 온-프레미스 Active Directory 인증 클라이언트에 대해 가능한 원활한 인증 환경이 제한됩니다(원격 컴퓨터는 Active Directory에 대한 인증이 아니기 때문).

이 제한을 극복하기 위해 온-프레미스 DNS에서 동일하게 명명된 도메인을 만들어 온-프레미스 클라이언트에 제공되는 기본 이름 확인을 재정의하는 것이 좋습니다. DNS 분산 아키텍처는 앞으로 조회 쿼리에 발견된 첫 번째 응답을 반환하므로 요청이 온-프레미스 DNS 서버에서 먼저 처리되기 때문에 모든 온-프레미스 클라이언트 컴퓨터 요청에 대해 해당 도메인에 대한 공용 DNS 도메인 광고를 효과적으로 마스킹합니다.

도움을 요청하십시오.

질문이 있거나 도움이 필요한 경우 지원 요청을 생성하거나Azure 커뮤니티 지원에 문의하세요. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.