Een defecte split-brain DNS-configuratie kan een naadloze SSO-aanmeldingservaring voorkomen

  • Artikel

In dit artikel worden de voorwaarden beschreven waarin Active Directory Federation Services (AD FS) zich niet zoals verwacht gedraagt wanneer u zich aanmeldt bij Office 365 services met behulp van een gebruikers-id waarvoor eenmalige aanmelding is ingeschakeld.

Oorspronkelijke productversie: Cloud Services (webrollen/werkrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Origineel KB-nummer: 2715326

Symptomen

Wanneer u zich aanmeldt bij een Microsoft-cloudservice zoals Office 365, Microsoft Azure of Microsoft Intune met behulp van een gebruikers-id waarvoor eenmalige aanmelding is ingeschakeld, werkt de verbinding met Active Directory Federation Services (AD FS) niet zoals verwacht. De verbinding mislukt samen met een van de volgende resultaten:

  • Computers die zich vanuit het on-premises netwerk aanmelden, maken verbinding met het IP-adres van de AD FS-proxy en er wordt een verificatieprompt op basis van formulieren weergegeven. Er wordt echter een geïntegreerde Windows-verificatie-ervaring verwacht.
  • Computers die zich aanmelden vanuit het on-premises netwerk en vervolgens verbinding proberen te maken met de AD FS-proxyservice, worden geweigerd vanwege firewallinstellingen.

Oorzaak

Deze symptomen kunnen worden veroorzaakt door een defecte split-brain DNS-configuratie die is vereist voor de juiste interne en externe naamomzetting van DNS-services. Een van de volgende oorzaken is waarschijnlijk:

  • De interne DNS-resolutie van split-brain is niet ingesteld voor het domein waarin de AD FS-service zich bevindt.
  • Ad FS-servicenaamomzetting is niet ingesteld in de split-brain interne DNS-resolutie van de on-premises omgeving.

Oplossing

Voer de volgende stappen uit om dit probleem op te lossen:

Stap 1: stel de split-brain DNS-zone in interne DNS in

Volg hiervoor deze stappen op de on-premises DNS-server:

  1. Open de DNS-beheerconsole. Hiervoor opent u Systeembeheer en dubbelklikt u op DNS.

  2. Vouw in het linkernavigatiedeelvenster DNS uit, vouw de servernaam uit en selecteer zones voor forward lookup.

  3. Als er geen vermelding wordt weergegeven voor de DNS-zone waarin het AD FS-service-eindpunt wordt gehost, maakt u de zone. Klik hiervoor met de rechtermuisknop op Zones voor forward lookup en selecteer vervolgens Nieuwe zone.

  4. Voltooi de wizard. Wanneer u dit doet, selecteert u Primaire zone en geeft u de zone voor het DNS-domein van de AD FS-server een naam.

    Waarschuwing

    Het voltooien van deze stap voorkomt effectief dat on-premises computers servernamen omzetten in openbare IP-adressen met behulp van de DNS-server die openbare aanvragen voor het domein omzet. Voor extranetservice-eindpunten die moeten worden gebruikt door on-premises clients, moet een A-record zijn gemaakt in de split-brain DNS-configuratie om de verbinding in te schakelen.

Stap 2: het AD FS-service-eindpunt adverteren in het dns-domein split-brain

Voer in de DNS-beheerconsole die u eerder hebt geopend de volgende stappen uit:

  1. Blader naar en selecteer vervolgens de DNS-zone voor het domein van de AD FS-server.
  2. Klik met de rechtermuisknop op de domeinnaam en selecteer vervolgens Nieuwe host (A of AAAA).
  3. Voer de volgende waarden in:
    • Naam: de naam van de AD FS-service
    • IP-adres: het on-premises privé-IP-adres van de AD FS Federation Service-farm.

Stap 3: de DNS-cache op de server en client wissen om de oplossing te testen

  1. Klik in de DNS-beheerconsole die u eerder hebt geopend met de rechtermuisknop op de servernaam en selecteer cache wissen.

  2. Selecteer op de clientcomputer Start, selecteer Alle programma's, selecteer Accessoires, klik met de rechtermuisknop op Opdrachtprompt en selecteer vervolgens Uitvoeren als administrator.

  3. Typ de volgende opdracht en druk daarna op Enter.

    Ipconfig /flushdns

Test eenmalige aanmelding opnieuw om te bevestigen dat het probleem hiermee is opgelost.

Meer informatie

Split-brain DNS is een algemene configuratie die wordt gebruikt om ervoor te zorgen dat on-premises clientcomputers een servernaam omzetten in interne IP-adressen, ook al wordt dezelfde servicenaam omgezet in een ander openbaar IP-adres. Wanneer u AD FS instelt voor on-premises service, is deze configuratie nodig om ervoor te zorgen dat de verificatie-ervaring van on-premises clientcomputers voor de AD FS-service anders wordt afgehandeld (door de AD FS Federation Service-farm) dan externe clientcomputers die worden onderhouden door de AD FS-proxyservice.

Zonder deze configuratie krijgen alle AD FS-clients hetzelfde IP-adres wanneer ze verbinding maken met de AD FS-service, ongeacht of ze zijn verbonden vanaf het on-premises netwerk of extern toegang hebben vanaf een internetlocatie. Dit beperkt de naadloze verificatie-ervaring die mogelijk is voor on-premises, door Active Directory geverifieerde clients, omdat de AD FS-proxyservice die de AD FS-service beschikbaar maakt voor internet, niet verwacht dat de client die toegang heeft tot een geïntegreerde Windows-verificatie kan bieden zonder een prompt (omdat externe computers geen verificatie voor Active Directory zijn).

Om deze beperking te verhelpen, is het wenselijk om de standaardnaamomzetting die wordt gegeven aan on-premises clients te overschrijven door een identiek benoemd domein te maken in on-premises DNS. Omdat de gedistribueerde DNS-architectuur het eerste antwoord retourneert dat wordt gevonden op een query voor forward lookup, worden hiermee de openbare DNS-domeinadvertenties voor dat domein voor alle aanvragen van on-premises clientcomputers gemaskeerd, omdat hun aanvragen eerst worden verwerkt door on-premises DNS-servers.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.