共用方式為


當您執行混合式設定精靈時,網域擁有權證明發生失敗錯誤

原始 KB 編號: 3068837

徵狀

當您執行混合式設定精靈時,您會收到 網域擁有權證明失敗。請確定指定網域的 TXT 記錄可在 DNS 錯誤訊息中使用。 訊息的全文如下所示:

ERROR:System.Management.Automation.RemoteException:網域擁有權證明失敗。 請確定指定網域的 TXT 記錄可在 DNS 中使用。 TXT 記錄的格式應該是 “”example.com IN TXT hash-value“,其中 ”“example.com”“ 是您想要設定同盟的網域,而 ”“hash-value” 是使用 “”Get-FederatedDomainProof -DomainName example.com“ 產生的證明值。

原因

如果需要網域的擁有權證明,就會發生此問題。 如果現有的同盟信任不存在,混合式設定精靈會在內部部署組織與 Microsoft Entra 驗證系統之間建立同盟信任。 建立同盟信任時,需要網域擁有權證明。

解決方案

在您想要同盟之每個已接受網域的域名系統 (DNS) 區域中建立文字 (TXT) 記錄,以提供擁有權證明。 TXT 記錄包含針對每個網域執行 Cmdlet 時 Get-FederatedDomainProof 所產生的同盟網域證明加密字串。

請確定您的外部 DNS 伺服器具有正確的證明 TXT 記錄 ,而且您可以 成功查詢伺服器。 如果要執行這項操作,請依照下列步驟執行:

  1. 在內部部署 Exchange Server 上開啟 Exchange 管理命令介面,然後執行下列命令:

    Get-FederatedDomainProof -DomainName contoso.com
    
  2. 在使用外部 DNS 伺服器的電腦上,執行下列命令:

    Nslookup.exe -querytype=txt <contoso.com>
    
  3. 檢查您在步驟 1 和 2 中執行的命令中傳回的值。

    命令所傳Nslookup回的其中一個值必須符合命令所傳Get-FederatedDomainProof的網域擁有權證明值。 如果值不相符,請使用 命令所 Get-FederatedDomainProof 傳回的結果來更新外部 DNS 伺服器。 如需如何執行這項操作的詳細資訊,請參閱 建立同盟的 TXT 記錄

  4. 重新執行混合式設定精靈。

是否仍需要協助? 請造訪 Microsoft 社群Microsoft Q&A