Неисправная конфигурация разделенных DNS может помешать простому входу в систему.
В этой статье описываются условия, в которых службы федерации Active Directory (AD FS) (AD FS) не работает должным образом при входе в службы Office 365 с помощью идентификатора пользователя с поддержкой единого входа.
Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Microsoft Entra ID, Microsoft Intune, Azure Backup, управление удостоверениями Office 365
Исходный номер базы знаний: 2715326
Симптомы
При входе в облачную службу Майкрософт, например Office 365, Microsoft Azure или Microsoft Intune с помощью идентификатора пользователя с поддержкой единого входа, подключение к службы федерации Active Directory (AD FS) (AD FS) не выполняется должным образом. Сбой соединения с одним из следующих результатов:
- Компьютеры, которые входят в систему из локальной сети, подключаются к IP-адресу прокси-сервера AD FS, и появится запрос на проверку подлинности на основе форм. Однако ожидается встроенная проверка подлинности Windows.
- Компьютеры, которые выполняют вход из локальной сети и пытаются подключиться к службе прокси-сервера AD FS, запрещены из-за параметров брандмауэра.
Причина
Эти симптомы могут быть вызваны неправильной конфигурацией DNS с разделением мозга, которая необходима для правильного внутреннего и внешнего разрешения имен служб DNS. Скорее всего, это одна из следующих причин:
- Внутреннее разрешение DNS с разделением мозга не настроено для домена, в котором находится служба AD FS.
- Разрешение имен службы AD FS не задается во внутреннем разрешении DNS разбиения в локальной среде.
Разрешение
Чтобы устранить эту проблему, выполните следующие действия.
Шаг 1. Установка разделенной зоны DNS во внутренней службе DNS
Для этого выполните следующие действия на локальном DNS-сервере:
Откройте консоль управления DNS. Для этого откройте администрирование, а затем дважды щелкните DNS.
В области навигации слева разверните узел DNS, разверните имя сервера и выберите Зоны прямого просмотра.
Если для зоны DNS, в которой размещена конечная точка службы AD FS, не отображается запись, создайте зону. Для этого щелкните правой кнопкой мыши Зоны прямого просмотра и выберите Создать зону.
Завершите работу мастера. После этого выберите Основная зона, а затем присвойте зоне имя домена DNS сервера AD FS.
Предупреждение
Выполнение этого шага фактически останавливает локальные компьютеры от разрешения имен серверов в общедоступные IP-адреса с помощью DNS-сервера, который разрешает общедоступные запросы для домена. Все конечные точки службы экстрасети, которые должны использоваться локальными клиентами, должны иметь запись A, созданную в конфигурации РАЗДЕЛЕННОГО DNS, чтобы включить подключение.
Шаг 2. Объявление конечной точки службы AD FS в домене DNS с разделением мозга
В открытой ранее консоли управления DNS выполните следующие действия.
- Перейдите к и выберите зону DNS для домена сервера AD FS.
- Щелкните правой кнопкой мыши доменное имя и выберите Создать узел (A или AAAA).
- Введите следующие значения:
- Имя: имя службы AD FS.
- IP-адрес: локальный частный IP-адрес фермы служб федерации AD FS.
Шаг 3. Очистка кэша DNS на сервере и клиенте для тестирования решения
В открывшейся ранее консоли управления DNS щелкните правой кнопкой мыши имя сервера и выберите Очистить кэш.
На клиентском компьютере выберите Пуск, Все программы, Стандартные, щелкните правой кнопкой мыши Командная строка и выберите Запуск от имени администратора.
Введите следующую команду и нажмите клавишу ВВОД:
Ipconfig /flushdns
Повторно протестировать единый вход, чтобы убедиться, что это устраняет проблему.
Дополнительная информация
Разделение DNS — это распространенная конфигурация, которая используется для того, чтобы локальные клиентские компьютеры разрешали имя сервера во внутренние IP-адреса, даже если разрешение общедоступной DNS разрешает одно и то же имя службы на другой общедоступный IP-адрес. При настройке AD FS для локальной службы эта конфигурация необходима, чтобы проверка подлинности локальных клиентских компьютеров в службе AD FS обрабатывалась иначе (фермой службы федерации AD FS), чем внешние клиентские компьютеры, обслуживаемые прокси-службой AD FS.
Без этой конфигурации все клиенты AD FS будут обслуживаться по одному и тому же IP-адресу при подключении к службе AD FS независимо от того, подключены ли они из локальной сети или имеют удаленный доступ из Интернета. Это ограничивает возможности простой проверки подлинности для локальных клиентов с проверкой подлинности Active Directory, так как служба-посредник AD FS, которая предоставляет службу AD FS в Интернет, не ожидает, что клиент, обращаюющийся к ней, сможет предоставить ответ встроенной проверки подлинности Windows без запроса (так как удаленные компьютеры не проходят проверку подлинности в Active Directory).
Чтобы преодолеть это ограничение, желательно переопределить разрешение имен по умолчанию, которое предоставляется локальным клиентам, создав домен с одинаковым именем в локальной службе DNS. Так как распределенная архитектура DNS возвращает первый ответ, найденный в запросе прямого просмотра, это эффективно маскирует объявления общедоступного домена DNS для этого домена для всех локальных запросов на клиентские компьютеры, так как их запросы обрабатываются локальными DNS-серверами в первую очередь.
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по