當您執行混合式設定向導時,網域擁有權驗證失敗錯誤

原始 KB 編號:   3068837

徵狀

當您執行混合式設定向導時,您會收到 網域擁有權證明失敗。請確定 DNS 錯誤訊息中有可用的指定網域 TXT 記錄 。 郵件的完整文字如下所示:

錯誤: RemoteException:網域擁有權驗證失敗。 請確定 DNS 中有可用的指定網域 TXT 記錄。 TXT 記錄的格式應為 "" example.com IN TXT 雜湊值 "",其中 "" example.com "" 是您想要為同盟設定的網域,而 "" 雜湊值 "是以" "Get-FederatedDomainProof-DomainName example.com" "產生的驗證值。

原因

如果需要網域的擁有權,就會發生此問題。 如果不存在現有的同盟信任,則混合式設定向導會在內部部署組織與 Microsoft Azure Active Directory (Azure AD) 驗證系統之間建立同盟信任。 建立同盟信任時,需要驗證網域擁有權。

解決方案

在網域名稱系統中建立文字 (TXT) 記錄,並在您要同盟的每一個公認的網域 (DNS) 區域中,提供擁有權憑證。 TXT 記錄包含當您 Get-FederatedDomainProof 為每個網域執行 Cmdlet 時所產生的同盟網域證明加密字串。

確定您的外部 DNS 伺服器具有 校樣 的正確 TXT 記錄,且您可以成功查詢伺服器。 如果要執行這項操作,請依照下列步驟執行:

  1. 在內部部署 Exchange 伺服器上開啟 Exchange 管理命令介面,然後執行下列命令:

    Get-FederatedDomainProof -DomainName contoso.com
    
  2. 在使用外部 DNS 伺服器的電腦上,執行下列命令:

    Nslookup.exe -querytype=txt <contoso.com>
    
  3. 檢查您在步驟1和2中執行的命令所傳回的值。

    命令傳回的其中一個值, Nslookup 必須符合命令所傳回的 網域擁有權值驗證 Get-FederatedDomainProof 。 如果值不相符,請使用命令傳回的結果 Get-FederatedDomainProof 來更新您的外部 DNS 伺服器。 如需如何執行此動作的詳細資訊,請參閱 Create a TXT Record For Federation

  4. 重新執行混合式設定向導。

詳細資訊

如果您遇到混合式設定向導的問題,您可以執行 Exchange 混合式設定診斷。 此診斷為自動疑難排解體驗。 在混合式設定向導失敗的同一部伺服器上執行它。 這樣做會收集混合式設定向導記錄檔並為您加以分析。 如果您遇到已知問題,會顯示一則訊息,告訴您發生錯誤。 郵件包含指向包含解決方案之文章的連結。 目前只有在 Internet Explorer 中支援診斷。

是否仍需要協助? 移至 Microsoft 社區Microsoft Q&A