Неисправная конфигурация разделенных DNS может помешать простому входу в систему.

  • Статья

В этой статье описываются условия, в которых службы федерации Active Directory (AD FS) (AD FS) не работает должным образом при входе в службы Office 365 с помощью идентификатора пользователя с поддержкой единого входа.

Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Microsoft Entra ID, Microsoft Intune, Azure Backup, управление удостоверениями Office 365
Исходный номер базы знаний: 2715326

Симптомы

При входе в облачную службу Майкрософт, например Office 365, Microsoft Azure или Microsoft Intune с помощью идентификатора пользователя с поддержкой единого входа, подключение к службы федерации Active Directory (AD FS) (AD FS) не выполняется должным образом. Сбой соединения с одним из следующих результатов:

  • Компьютеры, которые входят в систему из локальной сети, подключаются к IP-адресу прокси-сервера AD FS, и появится запрос на проверку подлинности на основе форм. Однако ожидается встроенная проверка подлинности Windows.
  • Компьютеры, которые выполняют вход из локальной сети и пытаются подключиться к службе прокси-сервера AD FS, запрещены из-за параметров брандмауэра.

Причина

Эти симптомы могут быть вызваны неправильной конфигурацией DNS с разделением мозга, которая необходима для правильного внутреннего и внешнего разрешения имен служб DNS. Скорее всего, это одна из следующих причин:

  • Внутреннее разрешение DNS с разделением мозга не настроено для домена, в котором находится служба AD FS.
  • Разрешение имен службы AD FS не задается во внутреннем разрешении DNS разбиения в локальной среде.

Разрешение

Чтобы устранить эту проблему, выполните следующие действия.

Шаг 1. Установка разделенной зоны DNS во внутренней службе DNS

Для этого выполните следующие действия на локальном DNS-сервере:

  1. Откройте консоль управления DNS. Для этого откройте администрирование, а затем дважды щелкните DNS.

  2. В области навигации слева разверните узел DNS, разверните имя сервера и выберите Зоны прямого просмотра.

  3. Если для зоны DNS, в которой размещена конечная точка службы AD FS, не отображается запись, создайте зону. Для этого щелкните правой кнопкой мыши Зоны прямого просмотра и выберите Создать зону.

  4. Завершите работу мастера. После этого выберите Основная зона, а затем присвойте зоне имя домена DNS сервера AD FS.

    Предупреждение

    Выполнение этого шага фактически останавливает локальные компьютеры от разрешения имен серверов в общедоступные IP-адреса с помощью DNS-сервера, который разрешает общедоступные запросы для домена. Все конечные точки службы экстрасети, которые должны использоваться локальными клиентами, должны иметь запись A, созданную в конфигурации РАЗДЕЛЕННОГО DNS, чтобы включить подключение.

Шаг 2. Объявление конечной точки службы AD FS в домене DNS с разделением мозга

В открытой ранее консоли управления DNS выполните следующие действия.

  1. Перейдите к и выберите зону DNS для домена сервера AD FS.
  2. Щелкните правой кнопкой мыши доменное имя и выберите Создать узел (A или AAAA).
  3. Введите следующие значения:
    • Имя: имя службы AD FS.
    • IP-адрес: локальный частный IP-адрес фермы служб федерации AD FS.

Шаг 3. Очистка кэша DNS на сервере и клиенте для тестирования решения

  1. В открывшейся ранее консоли управления DNS щелкните правой кнопкой мыши имя сервера и выберите Очистить кэш.

  2. На клиентском компьютере выберите Пуск, Все программы, Стандартные, щелкните правой кнопкой мыши Командная строка и выберите Запуск от имени администратора.

  3. Введите следующую команду и нажмите клавишу ВВОД:

    Ipconfig /flushdns

Повторно протестировать единый вход, чтобы убедиться, что это устраняет проблему.

Дополнительная информация

Разделение DNS — это распространенная конфигурация, которая используется для того, чтобы локальные клиентские компьютеры разрешали имя сервера во внутренние IP-адреса, даже если разрешение общедоступной DNS разрешает одно и то же имя службы на другой общедоступный IP-адрес. При настройке AD FS для локальной службы эта конфигурация необходима, чтобы проверка подлинности локальных клиентских компьютеров в службе AD FS обрабатывалась иначе (фермой службы федерации AD FS), чем внешние клиентские компьютеры, обслуживаемые прокси-службой AD FS.

Без этой конфигурации все клиенты AD FS будут обслуживаться по одному и тому же IP-адресу при подключении к службе AD FS независимо от того, подключены ли они из локальной сети или имеют удаленный доступ из Интернета. Это ограничивает возможности простой проверки подлинности для локальных клиентов с проверкой подлинности Active Directory, так как служба-посредник AD FS, которая предоставляет службу AD FS в Интернет, не ожидает, что клиент, обращаюющийся к ней, сможет предоставить ответ встроенной проверки подлинности Windows без запроса (так как удаленные компьютеры не проходят проверку подлинности в Active Directory).

Чтобы преодолеть это ограничение, желательно переопределить разрешение имен по умолчанию, которое предоставляется локальным клиентам, создав домен с одинаковым именем в локальной службе DNS. Так как распределенная архитектура DNS возвращает первый ответ, найденный в запросе прямого просмотра, это эффективно маскирует объявления общедоступного домена DNS для этого домена для всех локальных запросов на клиентские компьютеры, так как их запросы обрабатываются локальными DNS-серверами в первую очередь.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.