Una configurazione DNS split brain difettosa può impedire un'esperienza di accesso SSO senza problemi

  • Articolo

Questo articolo descrive le condizioni in cui Active Directory Federation Services (AD FS) non si comporta come previsto quando si accede ai servizi di Office 365 usando un ID utente abilitato per l'accesso Single Sign-On (SSO).

Versione originale del prodotto: Servizi cloud (Ruoli Web/Ruoli di lavoro), Microsoft Entra ID, Microsoft Intune, Backup di Azure, Gestione delle identità di Office 365
Numero KB originale: 2715326

Sintomi

Quando si accede a un servizio cloud Microsoft, ad esempio Office 365, Microsoft Azure o Microsoft Intune usando un ID utente abilitato per l'accesso Single Sign-On (SSO), la connessione a Active Directory Federation Services (AD FS) non si comporta come previsto. La connessione non riesce insieme a uno dei risultati seguenti:

  • I computer che accedono dall'interno della rete locale si connettono all'indirizzo IP del proxy AD FS e viene visualizzato un prompt di autenticazione basata su moduli. È tuttavia prevista un'esperienza di autenticazione integrata di Windows.
  • I computer che accedono dall'interno della rete locale e quindi provano a connettersi al servizio proxy AD FS vengono negati a causa delle impostazioni del firewall.

Causa

Questi sintomi possono essere causati da una configurazione DNS split brain difettosa necessaria per la risoluzione corretta dei nomi interni ed esterni dei servizi DNS. Una delle cause seguenti è molto probabile:

  • La risoluzione DNS interna split-brain non è configurata per il dominio in cui risiede il servizio AD FS.
  • La risoluzione dei nomi del servizio AD FS non è impostata nella risoluzione DNS interna split brain dell'ambiente locale.

Risoluzione

Per risolvere il problema, seguire la procedura seguente:

Passaggio 1: Stabilire la zona DNS split-brain nel DNS interno

A tale scopo, seguire questa procedura nel server DNS locale:

  1. Aprire la Console di gestione DNS. A tale scopo, aprire Strumenti di amministrazione e quindi fare doppio clic su DNS.

  2. Nel riquadro di spostamento a sinistra espandere DNS, espandere il nome del server e quindi selezionare Zone di ricerca diretta.

  3. Se non è presente alcuna voce visualizzata per la zona DNS all'interno della quale è ospitato l'endpoint del servizio AD FS, creare la zona. A tale scopo, fare clic con il pulsante destro del mouse su Zone di ricerca diretta e quindi scegliere Nuova zona.

  4. Completare la procedura guidata. Quando si esegue questa operazione, selezionare Zona primaria e quindi denominare la zona per il dominio DNS del server AD FS.

    Avviso

    Il completamento di questo passaggio impedisce ai computer locali di risolvere i nomi dei server in indirizzi IP pubblici usando il server DNS che risolve le richieste pubbliche per il dominio. Per abilitare la connessione, tutti gli endpoint servizio extranet che devono essere usati dai client locali devono avere un record A creato all'interno della configurazione DNS split-brain.

Passaggio 2: Annunciare l'endpoint del servizio AD FS nel dominio DNS split-brain

Nella console di gestione DNS aperta in precedenza seguire questa procedura:

  1. Passare a e quindi selezionare la zona DNS per il dominio del server AD FS.
  2. Fare clic con il pulsante destro del mouse sul nome di dominio e quindi scegliere Nuovo host (A o AAAA).
  3. Immettere i valori seguenti:
    • Nome: nome del servizio AD FS
    • Indirizzo IP: indirizzo IP privato locale della farm del servizio federativo AD FS.

Passaggio 3: Cancellare la cache DNS nel server e nel client per testare la soluzione

  1. Nella console di gestione DNS aperta in precedenza fare clic con il pulsante destro del mouse sul nome del server e quindi scegliere Cancella cache.

  2. Nel computer client selezionare Start, Tutti i programmi, Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.

  3. Digitare il comando seguente e quindi premere INVIO:

    Ipconfig /flushdns

Eseguire di nuovo l'accesso SSO per verificare che il problema venga risolto.

Ulteriori informazioni

Il DNS split brain è una configurazione comune usata per assicurarsi che i computer client locali risolvono un nome server in indirizzi IP interni, anche se la risoluzione DNS pubblica risolve lo stesso nome di servizio in un indirizzo IP pubblico diverso. Quando si configura AD FS per il servizio locale, questa configurazione è necessaria per assicurarsi che l'esperienza di autenticazione dei computer client locali nel servizio AD FS venga gestita in modo diverso (dalla farm del servizio federativo AD FS) rispetto ai computer client esterni gestiti dal servizio proxy AD FS.

Senza questa configurazione, tutti i client AD FS verranno forniti con lo stesso indirizzo IP quando si connettono al servizio AD FS, indipendentemente dal fatto che siano connessi dalla rete locale o che accingano in remoto da un percorso Internet. Ciò limita l'esperienza di autenticazione semplice possibile per i client locali autenticati con Active Directory, perché il servizio proxy AD FS che espone il servizio AD FS a Internet non prevede che il client di accesso sia in grado di fornire una risposta di autenticazione integrata di Windows senza una richiesta (perché i computer remoti non eseguono l'autenticazione in Active Directory).

Per superare questa limitazione, è consigliabile eseguire l'override della risoluzione dei nomi predefinita assegnata ai client locali creando un dominio con nome identico nel DNS locale. Poiché l'architettura distribuita DNS restituisce la prima risposta trovata a una query di ricerca diretta, in questo modo vengono mascherati in modo efficace gli annunci di dominio DNS pubblico per tale dominio per tutte le richieste di computer client locali perché le relative richieste vengono gestite prima dai server DNS locali.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.