Uma configuração de DNS split-brain com falha pode impedir uma experiência de entrada SSO perfeita

  • Artigo

Este artigo descreve as condições em que Serviços de Federação do Active Directory (AD FS) (AD FS) não se comporta conforme o esperado quando você entra nos serviços de Office 365 usando uma ID de usuário habilitada para SSO (logon único).

Versão do produto original: Serviços de Nuvem (funções da Web/funções de Trabalho), Microsoft Entra ID, Microsoft Intune, Backup do Azure, Gerenciamento de Identidades do Office 365
Número de KB original: 2715326

Sintomas

Quando você entra em um serviço de nuvem da Microsoft, como Office 365, Microsoft Azure ou Microsoft Intune usando uma ID de usuário habilitada para SSO (logon único), a conexão com Serviços de Federação do Active Directory (AD FS) (AD FS) não se comporta conforme o esperado. A conexão falha junto com um dos seguintes resultados:

  • Computadores que fazem logon de dentro da rede local se conectam ao endereço IP proxy do AD FS e um prompt de autenticação baseado em formulários é exibido. No entanto, uma experiência integrada de Autenticação do Windows é esperada.
  • Os computadores que entrarem de dentro da rede local e tentarem se conectar ao serviço de proxy do AD FS são negados por causa das configurações de firewall.

Motivo

Esses sintomas podem ser causados por uma configuração de DNS split-brain com falha necessária para a resolução correta de nomes internos e externos dos serviços DNS. Uma das seguintes causas é mais provável:

  • A resolução DNS interna do cérebro dividido não está configurada para o domínio no qual o serviço do AD FS reside.
  • A resolução de nome do serviço do AD FS não é definida na resolução de DNS interna do cérebro dividido do ambiente local.

Solução

Para resolver esse problema, siga estas etapas:

Etapa 1: estabelecer a zona DNS de cérebro dividido no DNS interno

Para fazer isso, siga estas etapas no servidor DNS local:

  1. Abra o Console de Gerenciamento DNS. Para fazer isso, abra Ferramentas Administrativas e clique duas vezes em DNS.

  2. No painel de navegação esquerdo, expanda DNS, expanda o nome do servidor e selecione Encaminhar Zonas de Pesquisa.

  3. Se não houver nenhuma entrada exibida para a zona DNS na qual o ponto de extremidade de serviço do AD FS está hospedado, crie a zona. Para fazer isso, clique com o botão direito do mouse em Encaminhar Zonas de Pesquisa e selecione Nova Zona.

  4. Conclua o assistente. Ao fazer isso, selecione Zona Primária e nomeie a zona para o domínio DNS do servidor AD FS.

    Aviso

    Concluir essa etapa efetivamente impede que computadores locais resolvam nomes de servidor para endereços IP públicos usando o servidor DNS que resolve solicitações públicas para o domínio. Todos os pontos de extremidade de serviço extranet que precisam ser usados por clientes locais devem ter um registro A criado dentro da configuração DNS de cérebro dividido para habilitar a conexão.

Etapa 2: anunciar o ponto de extremidade de serviço do AD FS no domínio DNS de cérebro dividido

No Console de Gerenciamento DNS que você abriu anteriormente, siga estas etapas:

  1. Navegue até e selecione a zona DNS para o domínio do servidor AD FS.
  2. Clique com o botão direito do mouse no nome do domínio e selecione Novo Host (A ou AAAA).
  3. Insira os seguintes valores:
    • Nome: o nome do serviço do AD FS
    • Endereço IP: o endereço IP privado local do farm do Serviço de Federação do AD FS.

Etapa 3: limpar o cache DNS no servidor e no cliente para testar a solução

  1. No Console de Gerenciamento DNS que você abriu anteriormente, clique com o botão direito do mouse no nome do servidor e selecione Limpar Cache.

  2. No computador cliente, selecione Iniciar, selecione Todos os Programas, Selecione Acessórios, clique com o botão direito do mouse em Prompt de Comando e selecione Executar como Administrador.

  3. Digite o comando a seguir e pressione Enter.

    Ipconfig /flushdns

Verifique novamente a entrada do SSO para confirmar se isso resolve o problema.

Mais informações

O DNS de cérebro dividido é uma configuração comum usada para garantir que computadores cliente locais resolve um nome de servidor para endereços IP internos, embora a resolução DNS pública resolva o mesmo nome de serviço para um endereço IP público diferente. Quando você configura o AD FS para o serviço local, essa configuração é necessária para garantir que a experiência de autenticação dos computadores cliente locais para o serviço do AD FS seja tratada de forma diferente (pelo farm do Serviço de Federação do AD FS) do que os computadores cliente externos que estão sendo atendidos pelo Serviço proxy do AD FS.

Sem essa configuração, todos os clientes do AD FS serão atendidos pelo mesmo endereço IP quando se conectarem ao serviço do AD FS, sejam eles conectados da rede local ou acessando remotamente a partir de um local da Internet. Isso limita a experiência de autenticação perfeita possível para clientes locais autenticados no Active Directory, pois o Serviço de Proxy do AD FS que está expondo o serviço AD FS à Internet não espera que o cliente que acessa seja capaz de fornecer uma resposta de Autenticação Integrada do Windows sem um prompt (porque computadores remotos não são autenticação para o Active Directory).

Para superar essa limitação, é desejável substituir a resolução de nome padrão que é dada a clientes locais criando um domínio de nome idêntico no DNS local. Como a arquitetura distribuída DNS retorna a primeira resposta encontrada para uma consulta de pesquisa avançada, isso mascara efetivamente os anúncios de domínio DNS públicos para esse domínio para todas as solicitações locais do computador cliente porque suas solicitações são tratadas primeiro por servidores DNS locais.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.