En felaktig DNS-konfiguration med delad hjärna kan förhindra sömlös inloggning med enkel inloggning
I den här artikeln beskrivs de villkor där Active Directory Federation Services (AD FS) (AD FS) inte fungerar som förväntat när du loggar in på Office 365 tjänster med hjälp av ett användar-ID med enkel inloggning (SSO).
Ursprunglig produktversion: Cloud Services (webbroller/arbetsroller), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprungligt KB-nummer: 2715326
Symptom
När du loggar in på en Microsoft-molntjänst som Office 365, Microsoft Azure eller Microsoft Intune med hjälp av ett användar-ID med enkel inloggning (SSO) fungerar inte anslutningen till Active Directory Federation Services (AD FS) (AD FS) som förväntat. Anslutningen misslyckas tillsammans med något av följande resultat:
- Datorer som loggar in inifrån det lokala nätverket ansluter till AD FS-proxyns IP-adress, och en formulärbaserad autentiseringsprompt visas. En integrerad Windows-autentiseringsupplevelse förväntas dock.
- Datorer som loggar in inifrån det lokala nätverket och sedan försöker ansluta till AD FS-proxytjänsten nekas på grund av brandväggsinställningar.
Orsak
Dessa symtom kan orsakas av en felaktig DNS-konfiguration med delad hjärna som krävs för korrekt intern och extern namnmatchning av DNS-tjänster. En av följande orsaker är mest sannolikt:
- Den interna DNS-matchningen för delad hjärna har inte konfigurerats för den domän där AD FS-tjänsten finns.
- Namnmatchning för AD FS-tjänsten anges inte i den interna DNS-matchningen för delad hjärna i den lokala miljön.
Åtgärd
Lös problemet genom att följa dessa steg:
Steg 1: Upprätta DNS-zonen för delad hjärna i intern DNS
Gör detta genom att följa dessa steg på den lokala DNS-servern:
Öppna DNS-hanteringskonsolen. Det gör du genom att öppna Administrationsverktyg och sedan dubbelklicka på DNS.
I det vänstra navigeringsfönstret expanderar du DNS, expanderar servernamnet och väljer sedan Vidarebefordra uppslagszoner.
Om det inte finns någon post som visas för DNS-zonen där AD FS-tjänstslutpunkten finns skapar du zonen. Det gör du genom att högerklicka på Vidarebefordra uppslagszoner och sedan välja Ny zon.
Slutför guiden. När du gör detta väljer du Primär zon och namnger sedan zonen för AD FS-serverns DNS-domän.
Varning
Om du slutför det här steget stoppas lokala datorer från att matcha servernamn till offentliga IP-adresser med hjälp av DEN DNS-server som löser offentliga begäranden för domänen. Alla extranätstjänstslutpunkter som måste användas av lokala klienter måste ha en A-post som skapats i DNS-konfigurationen med delad hjärna för att anslutningen ska kunna aktiveras.
Steg 2: Annonsera AD FS-tjänstslutpunkten i DNS-domänen med delad hjärna
Följ dessa steg i DNS-hanteringskonsolen som du öppnade tidigare:
- Bläddra till och välj sedan DNS-zonen för AD FS-serverns domän.
- Högerklicka på domännamnet och välj sedan Ny värd (A eller AAAA).
- Ange följande värden:
- Namn: AD FS-tjänstens namn
- IP-adress: Den lokala privata IP-adressen för AD FS Federation Service-servergruppen.
Steg 3: Rensa DNS-cachen på servern och klienten för att testa lösningen
I DNS-hanteringskonsolen som du öppnade tidigare högerklickar du på servernamnet och väljer sedan Rensa cache.
På klientdatorn väljer du Start, Alla program, Tillbehör, högerklickar på Kommandotolken och väljer kör som administratör.
Skriv följande kommando och tryck sedan på Retur:
Ipconfig /flushdns
Testa inloggningen med enkel inloggning igen för att bekräfta att detta löser problemet.
Mer information
Split-brain DNS är en vanlig konfiguration som används för att se till att lokala klientdatorer löser ett servernamn till interna IP-adresser, även om offentlig DNS-matchning löser samma tjänstnamn till en annan offentlig IP-adress. När du konfigurerar AD FS för lokal tjänst krävs den här konfigurationen för att se till att lokala klientdatorers autentiseringsupplevelse för AD FS-tjänsten hanteras på olika sätt (av AD FS Federation Service-servergruppen) än av externa klientdatorer som hanteras av AD FS-proxytjänsten.
Utan den här konfigurationen kommer alla AD FS-klienter att betjänas av samma IP-adress när de ansluter till AD FS-tjänsten, oavsett om de är anslutna från det lokala nätverket eller har fjärråtkomst från en Internetplats. Detta begränsar den sömlösa autentiseringsupplevelse som är möjlig för lokala Active Directory-autentiserade klienter, eftersom AD FS-proxytjänsten som exponerar AD FS-tjänsten för Internet inte förväntar sig att den åtkomstande klienten ska kunna tillhandahålla ett integrerat Windows-autentiseringssvar utan en uppmaning (eftersom fjärrdatorer inte autentisering till Active Directory).
För att lösa den här begränsningen är det önskvärt att åsidosätta standardnamnmatchningen som ges till lokala klienter genom att skapa en identiskt namngiven domän i lokal DNS. Eftersom den DNS-distribuerade arkitekturen returnerar det första svaret på en framåtriktad sökningsfråga maskerar detta effektivt annonserna för den domänens offentliga DNS-domän för alla lokala klientdatorbegäranden eftersom deras begäranden hanteras av lokala DNS-servrar först.
Kontakta oss för att få hjälp
Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för