Проверка записей DNS с помощью ADFS

Статья
06/02/2016

Предполагаемое время выполнения: 5 минут

Чтобы Outlook 2016, Outlook 2013, Outlook 2010 и мобильные клиенты могли подключаться к почтовым ящикам в Office 365, необходимо настроить запись автообнаружения на общедоступном DNS-сервере. Автообнаружение автоматически настраивает параметры клиента, поэтому пользователям не обязательно знать имена серверов и другие технические сведения, чтобы настроить свои почтовые профили. Вам также потребуется настроить запись, которая указывает на локальный сервер веб-прокси AD FS. Эта запись указывает Office 365 местоположение прокси-сервера, через который можно отправлять запросы на проверку подлинности в локальную службу Active Directory. Наконец, рекомендуем настроить запись SPF, чтобы целевые почтовые системы доверяли сообщениям, отправляемым с вашего домена через локальные серверы и Office 365.

Создание записи DNS для автообнаружения и SPF

Чтобы включить автообнаружение для локальной организации, разрешить подключение Office 365 к серверу почтовых ящиков и гарантировать отправку всех сообщений из вашего домена через Office 365, необходимо настроить следующие общедоступные записи DNS:

Запись автообнаружения. Запись DNS автообнаружения для локальной организации должна направлять запросы к autodiscover.contoso.com на локальные серверы почтовых ящиков. Вы можете использовать либо запись CNAME, либо запись A. Запись DNS CNAME должна ссылаться на полное доменное имя локального сервера Exchange 2016, на котором установлена роль сервера почтовых ящиков. Запись DNS A должна указывать на внешний IP-адрес сервера почтовых ящиков Exchange 2016 или брандмауэра, в зависимости от конфигурации сети.
Запись SPF. Запись SPF для вашей организации использует платформу Sender ID Framework. Она представляет собой протокол проверки подлинности электронной почты, помогающий предотвратить спуфинг и фишинг посредством проверки имени домена, которое используется для отправки сообщений электронной почты. Код отправителя позволяет проверить происхождение сообщения электронной почты благодаря сверке IP-адреса отправителя с предполагаемым владельцем отправляющего домена.

В таблице ниже представлены примеры общедоступных записей DNS автообнаружения и SPF, которые необходимо настроить для гибридного развертывания.

Гибридное требование	Запись DNS	Тип записи DNS	Цель и значение
Необходимо для всех гибридных развертываний	autodiscover.contoso.com	CNAME или А	При использовании записи DNS CNAME: mail.contoso.com При использовании DNS: внешний IP-адрес сервера почтовых ящиков Exchange 2016 или брандмауэра
Рекомендуется в качестве лучшей методики для всех гибридных развертываний	SPF	TXT	v=spf1 include:spf.protection.outlook.com ~all

Необходимо для всех гибридных развертываний

autodiscover.contoso.com

CNAME или А

При использовании записи DNS CNAME: mail.contoso.com

При использовании DNS: внешний IP-адрес сервера почтовых ящиков Exchange 2016 или брандмауэра

Рекомендуется в качестве лучшей методики для всех гибридных развертываний

SPF

TXT

v=spf1 include:spf.protection.outlook.com ~all

Обратитесь к справке по общедоступной системе DNS для получения дополнительных сведений о том, как добавить запись CNAME или TXT в вашей зоне DNS.

Как создать запись DNS для AD FS?

Создание записи DNS для AD FS состоит из двух частей: создания внутренней записи, чтобы сервер веб-прокси AD FS мог найти внутренний сервер Azure AD Connect с AD FS, и создания внешней общедоступной записи DNS для AD FS, чтобы служба Office 365 могла подключаться к прокси-серверу. Полные доменные имена этих записей должны совпадать. Это может показаться немного запутанным, поэтому ниже мы рассмотрим этот процесс по частям. Полное доменное имя, используемое в записи DNS для AD FS, должно быть настроено в используемом сертификате стороннего поставщика. В приведенных ниже примерах мы используем полное доменное имя sts.contoso.com.

Внутренняя запись

Когда сервер веб-прокси пытается найти внутренний сервер Azure AD Connect с AD FS, он использует полное доменное имя sts.contoso.com. Это имя (во внутренней сети) должно указывать на сервер Azure AD Connect. Этого можно добиться двумя способами:

Разделенная служба DNS. Иногда зона DNS внутренних DNS-серверов может совпадать с их общедоступной зоной DNS. Например, если ваша организация публично использует contoso.com, то у внутренних DNS-серверов также может быть зона DNS contoso.com. При этом внутренние компьютеры будут получать записи DNS для зоны contoso.com со внутренних серверов DNS. Это позволяет настроить другие значения для подключения внутренних компьютеров к серверам. Это удобно, если вы хотите, чтобы внутренние компьютеры подключались ко внутреннему IP-адресу вашего веб-сервера (или совершенно другого сервера), не влияя на общедоступные клиенты в Интернете.

Если ваша организация использует разделенную службу DNS, вам потребуется добавить указанную ниже запись во внутреннюю зону DNS. Замените значения полного доменного имени и целевого объекта записи DNS собственными значениями.

Полное доменное имя записи DNS Тип записи DNS Целевой объект

sts.contoso.com

CNAME

AADConnect.corp.contoso.com
Файл HOSTS. Если разделенная служба DNS не используется или сервер веб-прокси AD FS не может получить доступ ко внутренним DNS-серверам из-за ограничений брандмауэра, то вы можете использовать файл HOSTS на сервере веб-прокси, чтобы указать полное доменное имя и IP-адрес. Чтобы настроить файл HOSTS, сделайте следующее:
1. Откройте командную строку с повышенными привилегиями на сервере веб-прокси AD FS.
2. Выполните следующую команду, чтобы открыть файл HOSTS в Блокноте:
```
notepad %SystemRoot%\system32\drivers\etc\HOSTS
```
3. Добавьте строку в конце файла HOSTS. Замените значения IP-адреса и полного доменного имени собственными значениями.
  
  IP-адрес Полное доменное имя
  
  Внутренний IP-адрес сервера Azure AD Connect
  
  AADConnect.corp.contoso.com
4. Сохраните файл, закройте Блокнот, а затем закройте окно командной строки.

Полное доменное имя записи DNS	Тип записи DNS	Целевой объект
sts.contoso.com	CNAME	AADConnect.corp.contoso.com

IP-адрес	Полное доменное имя
Внутренний IP-адрес сервера Azure AD Connect	AADConnect.corp.contoso.com

Общедоступная запись

Аналогично записям автообнаружения и SPF, на общедоступные DNS-серверы необходимо добавить общедоступную запись DNS для AD FS. Указанное в записи значение должно указывать на внешний IP-адрес сервера веб-прокси AD FS или на брандмауэр. С помощью этой записи Office 365 будет подключаться к серверу веб-прокси AD FS.

В этой таблице представлен пример общедоступной записи DNS для AD FS, которую необходимо настроить для гибридного развертывания.

Полное доменное имя записи DNS	Тип записи DNS	Цель и значение
sts.contoso.com	A	Внешний IP-адрес сервера веб-прокси AD FS или брандмауэра

Как проверить, что это работает

Чтобы убедиться в том, что запись DNS автообнаружения настроена для локальной организации правильно, выполните следующие действия на компьютере, доступном из Интернета и способном выполнять запросы DNS.

Важно!

В зависимости от конфигурации системы DNS для репликации изменений DNS через Интернет может потребоваться час или больше.

Откройте командную строку Windows.
Выполните следующую команду.
```
nslookup autodiscover.contoso.com
```

Если запись CNAME настроена правильно, будут возвращены сведения, как в приведенном ниже примере. Если настроена запись DNS A, результаты могут быть другими. Возвращенный IP-адрес будет отличаться от указанного в примере ниже.

Server:  dns.corp.contoso.com
Address:  192.168.1.10

Non-authoritative answer:
Name:    mail.contoso.com
Address:  65.55.94.54
Aliases:  autodiscover.contoso.com

Чтобы проверить правильность настройки SPF, убедитесь, что вы правильно ввели значение записи TXT из таблицы выше.

Возникли проблемы? Обратитесь за помощью к участникам форума Office 365. Для получения доступа к форуму необходимо войти в систему, используя учетную запись с правами администратора на доступ к облачной службе. Посетите форумы на странице форумов Office 365.