ハイブリッド構成ウィザードの実行時にドメイン所有権の証明がエラーに失敗しました

元の KB 番号: 3068837

現象

ハイブリッド構成ウィザードを実行すると、 ドメイン所有権の証明が失敗しました。指定したドメインの TXT レコードが DNS エラー メッセージで使用できることを確認します 。 メッセージのフルテキストは次のようになります。

ERROR:System.Management.Automation.RemoteException: ドメイン所有権の証明に失敗しました。 指定したドメインの TXT レコードが DNS で使用できることを確認します。 TXT レコードの形式は ""example.com IN TXT ハッシュ値" である必要があります。""example.com"はフェデレーション用に構成するドメインであり、""hash-value"" は "Get-FederatedDomainProof -DomainName example.com" で生成された証明値です。

原因

この問題は、ドメインの所有権証明が必要な場合に発生します。 既存のフェデレーション信頼が存在しない場合、ハイブリッド構成ウィザードは、オンプレミスのorganizationとMicrosoft Entra認証システムの間にフェデレーション信頼を作成します。 フェデレーション信頼を作成するときは、ドメイン所有権の証明が必要です。

解決方法

フェデレーションする各承認済みドメインのドメイン ネーム システム (DNS) ゾーンにテキスト (TXT) レコードを作成して、所有権の証明を提供します。 TXT レコードには、ドメインごとにコマンドレットを実行するときに生成されるフェデレーション ドメイン証明暗号化文字列が Get-FederatedDomainProof 含まれています。

外部 DNS サーバーに Proof の正しい TXT レコードがあり、サーバーに対して正常にクエリを実行できることを確認します。 これを行うには、次の手順を実行します。

1. オンプレミスの Exchange サーバーで Exchange 管理シェルを開き、次のコマンドを実行します。

   Get-FederatedDomainProof -DomainName contoso.com
   

2. 外部 DNS サーバーを使用するコンピューターで、次のコマンドを実行します。

   Nslookup.exe -querytype=txt <contoso.com>
   

3. 手順 1 と 2 で実行したコマンドで返される値を調べます。

   コマンドによって返される値の 1 つは、コマンドによってNslookupGet-FederatedDomainProof返される [ドメイン所有権の証明] 値と一致する必要があります。 値が一致しない場合は、コマンドによって返される結果を Get-FederatedDomainProof 使用して、外部 DNS サーバーを更新します。 これを行う方法の詳細については、「 フェデレーション用の TXT レコードを作成する」を参照してください。

4. ハイブリッド構成ウィザードを再実行します。

さらにヘルプが必要ですか? 「Microsoft コミュニティ」または「Microsoft Q&A」にアクセスしてください。