この記事では、シングル サインオン (SSO) が有効なユーザー ID を使用して Office 365 サービスにサインインするときに、Active Directory フェデレーション サービス (AD FS) (AD FS) が期待どおりに動作しない条件について説明します。
元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2715326
現象
シングル サインオン (SSO) が有効なユーザー ID を使用して Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスにサインインする場合、Active Directory フェデレーション サービス (AD FS) (AD FS) への接続は想定どおりに動作しません。 接続は、次のいずれかの結果と共に失敗します。
- オンプレミス ネットワーク内からサインインするコンピューターは、AD FS プロキシ IP アドレスに接続し、フォーム ベースの認証プロンプトが表示されます。 ただし、統合 Windows 認証エクスペリエンスが必要です。
- オンプレミス ネットワーク内からサインインし、AD FS プロキシ サービスへの接続を試みるコンピューターは、ファイアウォール設定のために拒否されます。
原因
これらの現象は、DNS サービスの正しい内部および外部の名前解決に必要な障害のあるスプリット ブレイン DNS 構成が原因で発生する可能性があります。 次のいずれかの原因が考えられます。
- スプリット ブレイン内部 DNS 解決は、AD FS サービスが存在するドメインに対して設定されていません。
- AD FS サービスの名前解決は、オンプレミス環境のスプリット ブレイン内部 DNS 解決では設定されていません。
解決方法
この問題を解決するには、次の手順に従ってください。
手順 1: 内部 DNS でスプリット ブレイン DNS ゾーンを確立する
これを行うには、オンプレミスの DNS サーバーで次の手順を実行します。
DNS 管理コンソールを開きます。 これを行うには、 Administrative Tools を開き、 DNS をダブルクリックします。
左側のナビゲーション ウィンドウで、 DNS を展開し、サーバー名を展開して、[ Forward Lookup Zones を選択します。
AD FS サービス エンドポイントがホストされている DNS ゾーンに対して表示されるエントリがない場合は、ゾーンを作成します。 これを行うには、 Forward Lookup Zones を右クリックし、[新しいゾーン 選択。
ウィザードの完了。 これを行う場合は、 Primary Zone を選択し、AD FS サーバーの DNS ドメインのゾーンに名前を付けます。
警告
この手順を完了すると、ドメインのパブリック要求を解決する DNS サーバーを使用して、オンプレミスのコンピューターがサーバー名をパブリック IP アドレスに解決できなくなります。 オンプレミス クライアントで使用する必要があるエクストラネット サービス エンドポイントには、接続を有効にするために、スプリット ブレイン DNS 構成内に A レコードが作成されている必要があります。
手順 2: スプリット ブレイン DNS ドメインで AD FS サービス エンドポイントをアドバタイズする
前に開いた DNS 管理コンソールで、次の手順に従います。
- AD FS サーバーのドメインの DNS ゾーンを参照して選択します。
- ドメイン名を右クリックし、[新しいホスト (A または AAAA)] 選択します。
- 次の値を入力します。
- 名前: AD FS サービス名
- IP アドレス: AD FS フェデレーション サービス ファームのオンプレミスプライベート IP アドレス。
手順 3: サーバーとクライアントの DNS キャッシュをクリアしてソリューションをテストする
前に開いた DNS 管理コンソールで、サーバー名を右クリックし、 Clear Cache を選択します。
クライアント コンピューターで Start を選択し、 すべてのプログラムを選択し、 Accessoriesを選択し、 コマンド プロンプトを右クリックして、 管理者として実行を選択します。
次のコマンドを入力して、Enter キーを押します。
Ipconfig /flushdns
SSO サインインを再テストして、これが問題を解決することを確認します。
詳細
スプリット ブレイン DNS は、パブリック DNS 解決によって同じサービス名が別のパブリック IP アドレスに解決される場合でも、オンプレミスのクライアント コンピューターがサーバー名を内部 IP アドレスに解決するために使用される一般的な構成です。 オンプレミス サービス用に AD FS を設定する場合、この構成は、AD FS サービスに対するオンプレミス クライアント コンピューターの認証エクスペリエンスが、AD FS プロキシ サービスによって処理される外部クライアント コンピューターとは異なる方法 (AD FS フェデレーション サービス ファームによって) 処理されるようにするために必要です。
この構成がない場合、すべての AD FS クライアントは、オンプレミス ネットワークから接続しているか、インターネットの場所からリモートでアクセスしているかに関係なく、AD FS サービスに接続するときに同じ IP アドレスによって処理されます。 これにより、AD FS サービスをインターネットに公開している AD FS プロキシ サービスでは、アクセスしているクライアントがプロンプトなしで統合 Windows 認証応答を提供できるとは想定していないため (リモート コンピューターが Active Directory に対して認証されないため)、オンプレミスの Active Directory 認証クライアントで可能なシームレスな認証エクスペリエンスが制限されます。
この制限を克服するには、オンプレミスの DNS で同じ名前のドメインを作成することで、オンプレミス クライアントに与えられる既定の名前解決をオーバーライドすることをお勧めします。 DNS 分散アーキテクチャは前方参照クエリに対して検出された最初の応答を返すので、その要求は最初にオンプレミスの DNS サーバーによって処理されるため、すべてのオンプレミス クライアント コンピューター要求について、そのドメインのパブリック DNS ドメインアドバタイズを効果的にマスクします。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。