Una configuración de DNS de cerebro dividido defectuosa puede impedir una experiencia de inicio de sesión único sin problemas

  • Artículo

En este artículo se describen las condiciones en las que Servicios de federación de Active Directory (AD FS) (AD FS) no se comporta como se esperaba al iniciar sesión en Office 365 servicios mediante un identificador de usuario habilitado para el inicio de sesión único (SSO).

Versión del producto original: Cloud Services (roles web/roles de trabajo), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2715326

Síntomas

Al iniciar sesión en un servicio en la nube de Microsoft, como Office 365, Microsoft Azure o Microsoft Intune mediante un identificador de usuario habilitado para el inicio de sesión único (SSO), la conexión a Servicios de federación de Active Directory (AD FS) (AD FS) no se comporta según lo esperado. La conexión produce un error junto con uno de los siguientes resultados:

  • Los equipos que inician sesión desde dentro de la red local se conectan a la dirección IP del proxy de AD FS y aparece un mensaje de autenticación basado en formularios. Sin embargo, se espera una experiencia de autenticación integrada de Windows.
  • Los equipos que inician sesión desde dentro de la red local e intentan conectarse al servicio proxy de AD FS se deniegan debido a la configuración del firewall.

Causa

Estos síntomas pueden deberse a una configuración de DNS de cerebro dividido defectuosa necesaria para la resolución correcta de nombres internos y externos de los servicios DNS. Una de las causas siguientes es más probable:

  • La resolución DNS interna de cerebro dividido no está configurada para el dominio en el que reside el servicio AD FS.
  • La resolución de nombres de servicio de AD FS no se establece en la resolución DNS interna de cerebro dividido del entorno local.

Solución

Para resolver este problema, siga estos pasos:

Paso 1: Establecer la zona DNS de cerebro dividido en DNS interno

Para ello, siga estos pasos en el servidor DNS local:

  1. Abra la consola de administración de DNS. Para ello, abra Herramientas administrativas y haga doble clic en DNS.

  2. En el panel de navegación izquierdo, expanda DNS, expanda el nombre del servidor y, a continuación, seleccione Zonas de búsqueda directa.

  3. Si no hay ninguna entrada que se muestre para la zona DNS en la que se hospeda el punto de conexión de servicio de AD FS, cree la zona. Para ello, haga clic con el botón derecho en Zonas de búsqueda directay, a continuación, seleccione Nueva zona.

  4. Complete el asistente. Al hacerlo, seleccione Zona principal y, a continuación, asigne un nombre a la zona para el dominio DNS del servidor de AD FS.

    Advertencia

    Al completar este paso, los equipos locales no resuelven nombres de servidor en direcciones IP públicas mediante el servidor DNS que resuelve las solicitudes públicas del dominio. Los puntos de conexión de servicio de extranet que tengan que usar los clientes locales deben tener un registro A creado dentro de la configuración de DNS de cerebro dividido para habilitar la conexión.

Paso 2: Anuncio del punto de conexión de servicio de AD FS en el dominio DNS de cerebro dividido

En la consola de administración de DNS que abrió anteriormente, siga estos pasos:

  1. Vaya a y seleccione la zona DNS del dominio del servidor de AD FS.
  2. Haga clic con el botón derecho en el nombre de dominio y, a continuación, seleccione Nuevo host (A o AAAA).
  3. Escriba los valores siguientes:
    • Nombre: nombre del servicio de AD FS
    • Dirección IP: la dirección IP privada local de la granja de servicios de federación de AD FS.

Paso 3: Borrar la caché DNS en el servidor y el cliente para probar la solución

  1. En la consola de administración de DNS que abrió anteriormente, haga clic con el botón derecho en el nombre del servidor y, a continuación, seleccione Borrar caché.

  2. En el equipo cliente, seleccione Inicio, Todos los programas, Accesorios, Símbolo del sistema y, a continuación, seleccione Ejecutar como administrador.

  3. Escriba el siguiente comando y, a continuación, presione Entrar:

    Ipconfig /flushdns

Vuelva a probar el inicio de sesión único para confirmar que esto resuelve el problema.

Más información

Dns de cerebro dividido es una configuración común que se usa para asegurarse de que los equipos cliente locales resuelven un nombre de servidor en direcciones IP internas, aunque la resolución dns pública resuelva el mismo nombre de servicio en una dirección IP pública diferente. Al configurar AD FS para el servicio local, esta configuración es necesaria para asegurarse de que la experiencia de autenticación de los equipos cliente locales en el servicio AD FS se controla de forma diferente (por la granja de servicios de federación de AD FS) que los equipos cliente externos a los que el servicio proxy de AD FS presta servicio.

Sin esta configuración, todos los clientes de AD FS recibirán el servicio con la misma dirección IP cuando se conecten al servicio de AD FS, tanto si están conectados desde la red local como si acceden de forma remota desde una ubicación de Internet. Esto limita la experiencia de autenticación sin problemas posible para los clientes locales autenticados de Active Directory, ya que el servicio proxy de AD FS que expone el servicio AD FS a Internet no espera que el cliente de acceso pueda proporcionar una respuesta de autenticación integrada de Windows sin un mensaje (porque los equipos remotos no son autenticación para Active Directory).

Para superar esta limitación, es conveniente invalidar la resolución de nombres predeterminada que se da a los clientes locales mediante la creación de un dominio con el mismo nombre en DNS local. Dado que la arquitectura distribuida de DNS devuelve la primera respuesta que se encuentra en una consulta de búsqueda directa, esto enmascara eficazmente los anuncios de dominio DNS público para ese dominio para todas las solicitudes de equipo cliente local porque sus solicitudes se controlan primero por los servidores DNS locales.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.