Vérifier les enregistrements DNS avec ADFS

Durée d’exécution estimée : 5 minutes

Pour permettre aux clients Outlook 2016, Outlook 2013, Outlook 2010 et aux clients mobiles de se connecter aux boîtes aux lettres dans Office 365, vous devez configurer un enregistrement de découverte automatique dans votre DNS public. La découverte automatique configure automatiquement les paramètres du client de façon à ce que les utilisateurs n’aient pas besoin de connaître les noms des serveurs ou tout autre détail technique pour configurer leurs profils de messagerie. Vous devrez également configurer un enregistrement qui pointe vers votre serveur proxy web AD FS local. Ceci indique à Office 365 où trouver le serveur proxy pour lui permettre d’envoyer des demandes d’authentification à l’instance locale d’Active Directory. Enfin, nous vous recommandons de configurer un enregistrement Sender Policy Framework (SPF) pour vous assurer que les systèmes de messagerie de destination approuvent des messages envoyés à partir de votre domaine via vos serveurs locaux et Office 365.

Comment créer un enregistrement de découverte automatique et DNS SPF ?

Vous devrez configurer les enregistrements de DNS publics suivants pour activer les recherches de découverte automatique pour les organisations, autoriser Office 365 à se connecter à un serveur de boîtes aux lettres et vous assurer que tous les messages envoyés depuis votre domaine semblent provenir d’Office 365 :

• Enregistrement de découverte automatique   L’enregistrement de découverte automatique DNS de votre organisation locale doit signaler les demandes de autodiscover.contoso.com à vos serveurs de boîtes aux lettres locaux. Vous pouvez alors utiliser un enregistrement DNS CNAME ou DNS A. Un enregistrement CNAME DNS doit se reporter au FQDN d’un serveur Exchange 2016 local sur lequel le rôle serveur de boîtes aux lettres est installé. Un enregistrement DNS A doit pointer vers l’adresse IP externe d’un serveur de boîtes aux lettres Exchange 2016 ou de votre pare-feu, selon la configuration du réseau.

• Enregistrement SPF   L’enregistrement SPF de votre organisation utilise l’ID de l’expéditeur. La technologie de l’ID de l’expéditeur (Sender ID Framework) est un protocole d’authentification de messagerie qui permet d’éviter l’usurpation et l’hameçonnage en vérifiant le nom du domaine à partir duquel les messages électroniques sont envoyés. Elle valide l’origine des messages électroniques en vérifiant l’adresse IP de l’expéditeur par rapport à celle du prétendu propriétaire du domaine de l’expéditeur.

Ce tableau montre des exemples d’enregistrements DNS publics de découverte automatique et SPF à configurer pour votre déploiement hybride.

Reportez-vous à l’aide de l’hôte DNS public pour plus d’informations sur l’ajout d’un enregistrement CNAME ou TXT à la zone DNS.

Comment créer un enregistrement DNS AD FS ?

La création d’un enregistrement DNS AD FS se déroule en deux parties : configurer un enregistrement interne pour que le serveur proxy AD FS puisse trouver votre serveur Azure AD Connect avec AD FS interne, et configurer un enregistrement DNS AD FS public externe permettant à Office 365 de se connecter à votre serveur proxy. Le nom de domaine complet doit être le même pour les deux enregistrements. Ceci peut s’avérer déroutant ; nous allons donc décomposer la procédure en deux parties ci-dessous. Le nom de domaine complet que vous utilisez pour votre enregistrement DNS AD FS doit être configuré sur le certificat tiers que vous utilisez. Dans les exemples ci-dessous, nous allons utiliser le nom de domaine complet sts.contoso.com.

Enregistrement interne

Lorsque le serveur proxy web tente de trouver votre serveur Azure AD Connect avec AD FS interne, il utilise le nom de domaine complet sts.contoso.com. Ce nom de domaine complet, sur votre réseau interne, doit pointer vers votre serveur Azure AD Connect. Deux méthodes permettent d’y parvenir :

• DNS fractionné les serveurs DNS internes peuvent comporter une zone DNS qui correspond à leur zone DNS publique. Par exemple, si votre organisation utilise publiquement contoso.com, vos serveurs DNS internes peuvent également comporter une zone DNS contoso.com. Avec cette configuration, les ordinateurs internes récupèrent les enregistrements DNS pour contoso.com à partir des serveurs DNS internes. Vous pouvez ainsi configurer des valeurs différentes pour permettre aux ordinateurs internes de se connecter à vos serveurs. Ceci s’avère utile si vous souhaitez que les ordinateurs internes se connectent à une adresse IP interne de votre serveur web (ou d’un serveur complètement différent), par exemple, sans conséquences sur les clients publics sur Internet.

  Si votre organisation est configurée pour utiliser un DNS fractionné, vous devez ajouter l’enregistrement suivant à votre zone DNS interne. Remplacez les valeurs de nom de domaine complet et cibles de l’enregistrement DNS par celles de votre propre enregistrement et de votre propre cible.

  FQDN de l’enregistrement DNS	Type d’enregistrement DNS	Cible
  sts.contoso.com	CNAME	AADConnect.corp.contoso.com

• Fichier HOSTS Si vous n’utilisez pas le DNS fractionné ou si votre serveur proxy web AD FS ne peut pas accéder à vos serveurs DNS internes en raison des restrictions imposées par le pare-feu, vous pouvez utiliser le fichier HOSTS du serveur proxy web pour configurer le nom de domaine complet et l’adresse IP qu’il doit utiliser. Procédez comme suit pour configurer le fichier HOSTS :

  1. Ouvrez une invite de commande avec élévation de privilèges sur votre serveur proxy web AD FS.

  2. Exécutez la commande suivante pour ouvrir le fichier HOSTS dans le Bloc-notes.

     notepad %SystemRoot%\system32\drivers\etc\HOSTS
     

  3. Ajoutez une nouvelle ligne au bas du fichier HOSTS. Remplacez l’adresse IP et les valeurs de nom de domaine complet par votre propre adresse IP et votre nom de domaine complet.

     Adresse IP	FQDN
     Adresse IP interne du serveur Azure AD Connect	AADConnect.corp.contoso.com

  4. Enregistrez le fichier et fermez le Bloc-notes puis fermez la fenêtre d’invite de commandes.

Enregistrement public

À l’instar des enregistrements de découverte automatique et SPF, l’enregistrement DNS AD FS public doit être ajouté à vos serveurs DNS publics. La valeur spécifiée dans l’enregistrement doit pointer sur l’adresse IP externe de votre serveur proxy web AD FS ou de votre pare-feu. Office 365 utilise cet enregistrement pour se connecter à votre serveur proxy web AD FS.

Ce tableau montre un exemple de l’enregistrement DNS public AD FS à configurer pour votre déploiement hybride.

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez correctement configuré l’enregistrement DNS de découverte automatique de l’organisation locale, procédez comme suit sur un ordinateur accessible par Internet et capable d’effectuer des recherches DNS.

Important :
Selon votre configuration DNS, la réplication sur Internet des modifications apportées au DNS peut prendre une heure au minimum.

1. Ouvrez une invite de commandes Windows.

2. Exécutez la commande suivante.

   nslookup autodiscover.contoso.com
   

Si vous avez correctement configuré l’enregistrement DNS CNAME, des informations similaires à l’exemple suivant doivent être retournées. Si vous avez configuré un enregistrement A DNS, vos résultats peuvent être différents. L’adresse IP retournée sera différente de celle fournie en exemple ci-dessous.

Server:  dns.corp.contoso.com
Address:  192.168.1.10

Non-authoritative answer:
Name:    mail.contoso.com
Address:  65.55.94.54
Aliases:  autodiscover.contoso.com

Pour confirmer que la configuration de l’enregistrement SPF est correcte, vérifiez que vous avez entré correctement la valeur d’enregistrement TXT indiquée dans le tableau ci-dessus.

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Office 365. Pour accéder à ces forums, vous devez vous connecter en utilisant un compte disposant de l’accès administrateur au service informatique en nuage. Consultez les forums suivants : Forums Office 365