Hatalı bir bölünmüş beyin DNS yapılandırması sorunsuz bir SSO oturum açma deneyimini önleyebilir
Bu makalede, çoklu oturum açma (SSO) özellikli bir kullanıcı kimliği kullanarak Office 365 hizmetlerinde oturum açtığınızda Active Directory Federasyon Hizmetleri (AD FS) (AD FS) beklendiği gibi davranmadığı koşullar açıklanmaktadır.
Özgün ürün sürümü: Cloud Services (Web rolleri/Çalışan rolleri), Microsoft Entra ID, Microsoft Intune, Azure Backup Office 365 Kimlik Yönetimi
Özgün KB numarası: 2715326
Belirtiler
Office 365, Microsoft Azure gibi bir Microsoft bulut hizmetinde oturum açtığınızda veya çoklu oturum açma (SSO) özellikli bir kullanıcı kimliği kullanarak Microsoft Intune, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) bağlantısı beklendiği gibi davranmaz. Bağlantı aşağıdaki sonuçlardan biriyle birlikte başarısız oluyor:
- Şirket içi ağın içinden oturum açabilen bilgisayarlar AD FS proxy IP adresine bağlanır ve form tabanlı bir kimlik doğrulama istemi görüntülenir. Ancak Tümleşik Windows Kimlik Doğrulaması deneyimi beklenir.
- Şirket içi ağın içinden oturum açıp AD FS proxy hizmetine bağlanmaya çalışan bilgisayarlar, güvenlik duvarı ayarları nedeniyle reddedilir.
Neden
Bu belirtiler, DNS hizmetlerinin doğru iç ve dış ad çözümlemesi için gereken hatalı bir bölünmüş beyin DNS yapılandırmasından kaynaklanabilir. Aşağıdaki nedenlerden biri büyük olasılıkla şunlardır:
- Ad FS hizmetinin bulunduğu etki alanı için bölünmüş beyin iç DNS çözümlemesi ayarlanmadı.
- AD FS hizmet adı çözümlemesi, şirket içi ortamın bölünmüş beyin iç DNS çözümlemesinde ayarlanmadı.
Çözüm
Bu sorunu çözmek için şu adımları izleyin:
1. Adım: İç DNS'de bölünmüş beyin DNS bölgesini oluşturma
Bunu yapmak için şirket içi DNS sunucusunda şu adımları izleyin:
DNS Yönetim Konsolu'nu açın. Bunu yapmak için Yönetim Araçları'nı açın ve ARDıNDAN DNS'ye çift tıklayın.
Sol gezinti bölmesinde DNS'yi genişletin, sunucu adını genişletin ve ardından İleriYe doğru Arama Bölgeleri'ni seçin.
AD FS hizmet uç noktasının barındırıldığı DNS bölgesi için görüntülenen bir girdi yoksa, bölgeyi oluşturun. Bunu yapmak için , Arama Bölgelerini İlet'e sağ tıklayın ve Yeni Bölge'yi seçin.
Sihirbazı tamamlayın. Bunu yaptığınızda Birincil Bölge'yi seçin ve ardından AD FS sunucusunun DNS etki alanı için bölgeyi adlandırın.
Uyarı
Bu adımın tamamlanması, etki alanı için genel istekleri çözümleyen DNS sunucusunu kullanarak şirket içi bilgisayarların sunucu adlarını genel IP adreslerine çözümlemesini etkili bir şekilde durdurur. Şirket içi istemciler tarafından kullanılması gereken tüm extranet hizmet uç noktalarının bağlantıyı etkinleştirmek için bölünmüş beyin DNS yapılandırmasında oluşturulmuş bir A kaydı olmalıdır.
2. Adım: Bölünmüş beyin DNS etki alanında AD FS hizmet uç noktasını tanıtma
Daha önce açtığınız DNS Yönetim Konsolu'nda şu adımları izleyin:
- AD FS sunucusunun etki alanı için DNS bölgesine gidin ve bunu seçin.
- Etki alanı adına sağ tıklayın ve ardından Yeni Ana Bilgisayar (A veya AAAA) öğesini seçin.
- Aşağıdaki değerleri girin:
- Ad: AD FS hizmeti adı
- IP adresi: AD FS Federasyon Hizmeti grubunun şirket içi özel IP adresi.
3. Adım: Çözümü test etmek için sunucu ve istemcideki DNS önbelleğini temizleyin
Daha önce açtığınız DNS Yönetim Konsolu'nda sunucu adına sağ tıklayın ve önbelleği temizle'yi seçin.
İstemci bilgisayarda Başlat'ı seçin, Tüm Programlar'ı seçin, Donatılar'ı seçin, Komut İstemi'ne sağ tıklayın ve ardından Yönetici Olarak Çalıştır'ı seçin.
Aşağıdaki komutu yazın ve Enter tuşuna basın:
Ipconfig /flushdns
Bunun sorunu çözdüğünü onaylamak için SSO oturum açma işlemini yeniden test edin.
Daha fazla bilgi
Bölünmüş beyinLI DNS, genel DNS çözümlemesi aynı hizmet adını farklı bir genel IP adresiyle çözümlese bile, şirket içi istemci bilgisayarlarının bir sunucu adını iç IP adreslerine çözümlediğinden emin olmak için kullanılan yaygın bir yapılandırmadır. Şirket içi hizmet için AD FS'yi ayarlarken, bu yapılandırma, şirket içi istemci bilgisayarların AD FS hizmetinde kimlik doğrulama deneyiminin AD FS Proxy Hizmeti tarafından hizmet edilen dış istemci bilgisayarlardan farklı (AD FS Federasyon Hizmeti grubu tarafından) işlendiğinden emin olmak için gereklidir.
Bu yapılandırma olmadan, ister şirket içi ağdan ister bir İnternet konumundan uzaktan erişiyorlar olsun, AD FS hizmetine bağlandığında tüm AD FS istemcilerine aynı IP adresiyle hizmet verilecektir. Ad FS hizmetini İnternet'e sunan AD FS Proxy Hizmeti, erişen istemcinin bir istem olmadan Tümleşik Windows Kimlik Doğrulaması yanıtı sunmasını beklemediğinden (uzak bilgisayarlar Active Directory'de kimlik doğrulaması olmadığından) şirket içi, Active Directory kimliği doğrulanmış istemciler için mümkün olan sorunsuz kimlik doğrulama deneyimini sınırlar.
Bu sınırlamayı aşmak için, şirket içi DNS'de aynı adlı bir etki alanı oluşturarak şirket içi istemcilere verilen varsayılan ad çözümlemesinin geçersiz kılınmış olması tercih edilir. DNS dağıtılmış mimarisi, ileriye doğru arama sorgusuna bulunan ilk yanıtı döndürdüğünden, istekleri önce şirket içi DNS sunucuları tarafından işlendiğinden, bu durum tüm şirket içi istemci bilgisayar istekleri için bu etki alanının genel DNS etki alanı tanıtımlarını etkili bir şekilde maskeler.
Yardım için bize ulaşın
Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin