Błędna konfiguracja systemu DNS z podziałem mózgów może uniemożliwić bezproblemowe logowanie jednokrotne

  • Artykuł

W tym artykule opisano warunki, w których Active Directory Federation Services (AD FS) nie zachowuje się zgodnie z oczekiwaniami podczas logowania się do usług Office 365 przy użyciu identyfikatora użytkownika z obsługą logowania jednokrotnego.

Oryginalna wersja produktu: Cloud Services (role sieci Web/role procesu roboczego), Tożsamość Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Oryginalny numer KB: 2715326

Symptomy

Po zalogowaniu się do usługi w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Azure lub Microsoft Intune przy użyciu identyfikatora użytkownika z obsługą logowania jednokrotnego, połączenie z usługą Active Directory Federation Services (AD FS) nie działa zgodnie z oczekiwaniami. Połączenie kończy się niepowodzeniem wraz z jednym z następujących wyników:

  • Komputery, które logują się z wewnątrz sieci lokalnej, łączą się z adresem IP serwera proxy usług AD FS i są wyświetlane monity o uwierzytelnianie oparte na formularzach. Jednak oczekiwane jest zintegrowane środowisko uwierzytelniania systemu Windows.
  • Komputery, które logują się z wewnątrz sieci lokalnej, a następnie próbują nawiązać połączenie z usługą serwera proxy usług AD FS, są odrzucane z powodu ustawień zapory.

Przyczyna

Te objawy mogą być spowodowane przez błędną konfigurację DNS podzielonego mózgu, która jest wymagana do poprawnego rozpoznawania nazw wewnętrznych i zewnętrznych usług DNS. Jedną z następujących przyczyn jest najprawdopodobniej:

  • Wewnętrzna rozdzielczość DNS podzielonego mózgu nie jest skonfigurowana dla domeny, w której znajduje się usługa AD FS.
  • Rozpoznawanie nazw usług AD FS nie jest ustawiane w wewnętrznej rozdzielczości DNS podzielonego mózgu środowiska lokalnego.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

Krok 1. Ustanowienie strefy DNS z podziałem mózgów w wewnętrznym systemie DNS

W tym celu wykonaj następujące kroki na lokalnym serwerze DNS:

  1. Otwórz konsolę zarządzania DNS. W tym celu otwórz pozycję Narzędzia administracyjne, a następnie kliknij dwukrotnie pozycję DNS.

  2. W okienku nawigacji po lewej stronie rozwiń węzeł DNS, rozwiń nazwę serwera, a następnie wybierz pozycję Strefy wyszukiwania do przodu.

  3. Jeśli nie ma wpisu wyświetlanego dla strefy DNS, w której jest hostowany punkt końcowy usługi AD FS, utwórz strefę. W tym celu kliknij prawym przyciskiem myszy pozycję Strefy wyszukiwania do przodu, a następnie wybierz pozycję Nowa strefa.

  4. Zakończ pracę kreatora. W tym celu wybierz pozycję Strefa podstawowa, a następnie nadaj strefie nazwę domeny DNS serwera usług AD FS.

    Ostrzeżenie

    Wykonanie tego kroku skutecznie uniemożliwia komputerom lokalnym rozpoznawanie nazw serwerów do publicznych adresów IP przy użyciu serwera DNS, który rozwiązuje żądania publiczne dla domeny. Wszystkie punkty końcowe usługi ekstranetu, które muszą być używane przez klientów lokalnych, muszą mieć rekord A utworzony w ramach konfiguracji DNS podzielonej mózgów, aby umożliwić połączenie.

Krok 2. Anonsowanie punktu końcowego usługi AD FS w domenie DNS z podziałem mózgów

W otwartej wcześniej konsoli zarządzania DNS wykonaj następujące kroki:

  1. Przejdź do, a następnie wybierz strefę DNS dla domeny serwera usług AD FS.
  2. Kliknij prawym przyciskiem myszy nazwę domeny, a następnie wybierz pozycję Nowy host (A lub AAAA).
  3. Wprowadź następujące wartości:
    • Nazwa: nazwa usługi AD FS
    • Adres IP: lokalny prywatny adres IP farmy usług federacyjnych usług AD FS.

Krok 3. Wyczyść pamięć podręczną DNS na serwerze i kliencie, aby przetestować rozwiązanie

  1. W otwartej wcześniej konsoli zarządzania DNS kliknij prawym przyciskiem myszy nazwę serwera, a następnie wybierz pozycję Wyczyść pamięć podręczną.

  2. Na komputerze klienckim wybierz pozycję Start, wybierz pozycję Wszystkie programy, wybierz pozycję Akcesoria, kliknij prawym przyciskiem myszy wiersz polecenia, a następnie wybierz pozycję Uruchom jako administrator.

  3. Wpisz następujące polecenie i naciśnij klawisz ENTER:

    Ipconfig /flushdns

Przetestuj ponownie logowanie jednokrotne, aby potwierdzić, że rozwiązuje to problem.

Więcej informacji

System DNS podzielonych mózgów to typowa konfiguracja używana do upewnienia się, że lokalne komputery klienckie rozpoznają nazwę serwera jako wewnętrzne adresy IP, mimo że publiczne rozpoznawanie nazw DNS rozpoznaje tę samą nazwę usługi na inny publiczny adres IP. Podczas konfigurowania usług AD FS dla usługi lokalnej ta konfiguracja jest wymagana, aby upewnić się, że środowisko uwierzytelniania lokalnych komputerów klienckich w usłudze AD FS jest obsługiwane inaczej (przez farmę usług federacyjnych usług AD FS) niż zewnętrzne komputery klienckie obsługiwane przez usługę proxy usług AD FS.

Bez tej konfiguracji wszyscy klienci usług AD FS będą obsługiwani przy użyciu tego samego adresu IP podczas nawiązywania połączenia z usługą AD FS, niezależnie od tego, czy są połączeni z sieci lokalnej, czy uzyskują dostęp zdalnie z lokalizacji internetowej. Ogranicza to bezproblemowe środowisko uwierzytelniania możliwe dla lokalnych klientów uwierzytelnionych w usłudze Active Directory, ponieważ usługa serwera proxy usług AD FS, która udostępnia usługę AD FS w Internecie, nie oczekuje, że klient uzyskujący dostęp będzie mógł zapewnić zintegrowaną odpowiedź uwierzytelniania systemu Windows bez monitu (ponieważ komputery zdalne nie uwierzytelniają się w usłudze Active Directory).

Aby przezwyciężyć to ograniczenie, pożądane jest zastąpienie domyślnego rozpoznawania nazw nadanego klientom lokalnym przez utworzenie identycznie nazwanej domeny w lokalnym systemie DNS. Ponieważ architektura rozproszona DNS zwraca pierwszą odpowiedź znalezioną na zapytanie odnośnika do przodu, skutecznie maskuje to publiczne anonsy domen DNS dla tej domeny dla wszystkich żądań komputera klienckiego lokalnego klienta, ponieważ ich żądania są najpierw obsługiwane przez lokalne serwery DNS.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.