スプリットブレイン DNS 構成に障害が発生すると、シームレスな SSO サインイン エクスペリエンスを防止できます

この記事では、シングル サインオン (SSO) が有効なユーザー ID を使用して Office 365 サービスにサインインするときに Active Directory フェデレーション サービス (AD FS) が期待どおりに動作しない条件について説明します。

元の製品バージョン:  Cloud Services (Web ロール/ワーカー ロール)、Azure Active Directory、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号:   2715326

現象

シングル サインオン (SSO) が有効なユーザー ID を使用して Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスにサインインしても、Active Directory フェデレーション サービス (AD FS) への接続は期待どおりに動作しません。 接続は、次のいずれかの結果と共に失敗します。

  • オンプレミス ネットワーク内からサインインするコンピューターは、FS プロキシ IP ADに接続し、フォーム ベースの認証プロンプトが表示されます。 ただし、統合認証Windowsエクスペリエンスが必要です。
  • オンプレミス ネットワーク内からサインインし、AD FS プロキシ サービスへの接続を試みるコンピューターは、ファイアウォール設定のために拒否されます。

原因

これらの現象は、DNS サービスの正しい内部および外部の名前解決に必要な障害のあるスプリットブレイン DNS 構成によって発生する可能性があります。 次のいずれかの原因が考えられる可能性があります。

  • スプリットブレイン内部 DNS 解決は、FS サービスが存在するドメインAD設定されていない。
  • AD FS サービス名解決は、オンプレミス環境のスプリットブレイン内部 DNS 解決では設定されていない。

解決方法

この問題を解決するには、次の手順を実行します。

手順 1: 内部 DNS でスプリットブレイン DNS ゾーンを確立する

これを行うには、オンプレミスの DNS サーバーで次の手順を実行します。

  1. DNS 管理コンソールを開きます。 これを行うには、[管理ツール] を開、[DNS] をダブルクリックします。

  2. 左側のナビゲーション ウィンドウで 、[DNS] を展開し、サーバー名を展開し、[前方参照ゾーン] を選択します

  3. FS サービス エンドポイントがホストされている DNS ゾーンに対して表示ADエントリがない場合は、ゾーンを作成します。 これを行うには、[前方参照領域] を 右クリック し、[新しい領域] を選択します

  4. ウィザードを終了します。 これを行う場合は、[プライマリ ゾーン] を選択し、FS サーバーのDNS ドメインゾーンADします。

    警告

    この手順を完了すると、ドメインに対するパブリック要求を解決する DNS サーバーを使用して、オンプレミスのコンピューターがサーバー名をパブリック IP アドレスに解決することを効果的に停止します。 オンプレミス のクライアントで使用する必要があるエクストラネット サービス エンドポイントには、接続を有効にするには、スプリットブレイン DNS 構成内に作成された A レコードが必要です。

手順 2: スプリットブレイン AD FS サービス エンドポイントに対して、DNS ドメイン

前に開いた DNS 管理コンソールで、次の手順を実行します。

  1. FS サーバーのドメインの DNS ゾーンを参照してADします。
  2. ドメイン名を右クリックし、[新しいホスト (A または AAAA)] を選択します
  3. 次の値を入力します。
    • 名前: FS AD名
    • IP アドレス: FS フェデレーション サービス ファームのADプライベート IP アドレス。

手順 3: サーバーとクライアントの DNS キャッシュをクリアしてソリューションをテストする

  1. 前に開いた DNS 管理コンソールで、サーバー名を右クリックし、[キャッシュのクリア] を選択します

  2. クライアント コンピューターで、[スタート] を 選択 し、[すべてのプログラム] を選択し、[アクセサリ] を選択し、[コマンド プロンプト] を右クリックして、[管理者として実行]を選択します

  3. 次のコマンドを入力し、Enter キーを押します。

    Ipconfig /flushdns
    

SSO サインインを再テストして、これが問題を解決したと確認します。

詳細

スプリットブレイン DNS は、パブリック DNS 解決によって同じサービス名が別のパブリック IP アドレスに解決される場合でも、社内クライアント コンピューターがサーバー名を内部 IP アドレスに解決するために使用される一般的な構成です。 AD FS for オンプレミス サービスをセットアップする場合、この構成は、AD FS サービスに対するオンプレミス クライアント コンピューターの認証エクスペリエンスが、AD FS プロキシ サービスによってサービスされる外部クライアント コンピューターとは異なる方法で (AD FS フェデレーション サービス ファームによって) 処理されるのを確認するために必要です。

この構成がない場合、AD FS クライアントは、オンプレミスネットワークから接続しているか、インターネットの場所からリモートでアクセスしているかに関らず、AD FS サービスに接続するときに同じ IP アドレスでサービスを受けます。 これにより、AD FS サービスをインターネットに公開している AD FS プロキシ サービスは、アクセスしているクライアントがプロンプトなしで統合 Windows 認証応答を提供できるとは思わないので、オンプレミスの Active Directory 認証クライアントに対して可能なシームレスな認証エクスペリエンスを制限します (リモート コンピューターは Active Directory への認証ではないので)。

この制限を克服するには、オンプレミス DNS で同じ名前のドメインを作成して、オンプレミス のクライアントに与えられる既定の名前解決を上書きすることが望ましいです。 DNS 分散アーキテクチャは、前方参照クエリに対して見つかった最初の応答を返すので、要求が最初にオンプレミスの DNS サーバーによって処理されるので、すべてのオンプレミス クライアント コンピューター要求に対して、そのドメインのパブリック DNS ドメイン アドバタイズを効果的にマスクします。

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。