使用 ADFS 验证 DNS 记录

项目
06/02/2016

估计完成时间：5 分钟

若要启用 Outlook 2016、Outlook 2013、Outlook 2010 和移动客户端以连接到 Office 365 中的邮箱，您需要在您的公用 DNS 上配置自动发现记录。自动发现会自动配置客户端设备，因此用户无需知道服务器名称或其他详细技术信息就能配置其邮件配置文件。您还需要配置指向您的本地 AD FS Web 代理服务器的记录。这将告诉 Office 365 查找代理服务器的位置，以便该代理服务器可以将身份验证请求发送到您的本地 Active Directory。最后，我们建议您配置发件人策略框架（Sender Policy Framework，SPF）记录以确保目标电子邮件系统信任通过您的本地服务器和 Office 365 从您的域发送的邮件。

如何创建自动发现和 SPF DNS 记录？

您需要配置以下公用 DNS 记录以启用本地组织的自动发现查找，允许 Office 365 连接到邮箱服务器，并确保来自您的域的所有邮件都显示为源于 Office 365：

自动发现记录 本地组织的自动发现 DNS 记录需要将对 autodiscover.contoso.com 的请求转至本地邮箱服务器。您可以使用 CNAME DNS 记录或 A DNS 记录。CNAME DNS 记录必须指向安装了邮箱服务器角色的某个本地 Exchange 2016 服务器的 FQDN。A DNS 记录必须指向 Exchange 2016 邮箱服务器的外部 IP 地址或您的防火墙，具体取决于您的网络配置。
SPF 记录 您的组织的 SPF 记录使用发件人 ID 框架。发件人 ID 框架是一种电子邮件身份验证协议，该协议通过验证发送电子邮件的域名，帮助防止欺骗和网页仿冒。发件人 ID 根据可疑的发送域所有者来验证发件人的 IP 地址，从而验证电子邮件的来源。

此表显示了需要为您的混合部署配置的自动发现和 SPF 公用 DNS 记录的一些示例。

混合要求	DNS 记录	DNS 记录类型	目标和值
所有混合部署都需要	autodiscover.contoso.com	CNAME 或 A	如果使用 CNAME DNS：mail.contoso.com 如果使用 A DNS：您的 Exchange 2016 邮箱服务器或防火墙的外部 IP 地址
推荐作为所有混合部署的一种最佳实践	SPF	TXT	v=spf1 include:spf.protection.outlook.com ~all

所有混合部署都需要

autodiscover.contoso.com

CNAME 或 A

如果使用 CNAME DNS：mail.contoso.com

如果使用 A DNS：您的 Exchange 2016 邮箱服务器或防火墙的外部 IP 地址

推荐作为所有混合部署的一种最佳实践

SPF

TXT

v=spf1 include:spf.protection.outlook.com ~all

有关如何将 CNAME 或 TXT 记录添加到 DNS 区域的详细信息，请参阅公共 DNS 主机的帮助。

如何创建 AD FS DNS 记录？

创建 AD FS DNS 记录涉及两个部分：设置内部记录，以便 AD FS Web 代理服务器能够使用 AD FS 服务器查找您的内部 Azure AD Connect 和设置外部公用 AD FS DNS 记录，以便 Office 365 可以连接到您的代理服务器。两个记录的 FQDN 应相同。这可能有点令人困惑，因此我们会将它分解为以下各部分。您用于 AD FS DNS 记录的 FQDN 需要在您使用的第三方证书上进行配置。在以下示例中，我们将使用 FQDN sts.contoso.com。

内部记录

当 Web 代理服务器尝试使用 AD FS 服务器查找您的内部 Azure AD Connect 时，它将使用 FQDN sts.contoso.com。您的内部网络上的此 FQDN 需要指向您的 Azure AD Connect 服务器。您可以使用以下两种方法之一完成此操作：

拆分 DNS 内部 DNS 服务器有时可以具有与其公用 DNS 区域匹配的 DNS 区域。例如，如果您的组织公开使用 contoso.com，您的内部 DNS 服务器还可以具有 contoso.com DNS 区域。设置这种方式时，内部计算机将从内部 DNS 服务器检索 contoso.com 的 DNS 记录。这允许您为内部计算机配置不同的值以连接到您的服务器。这在您想要将内部计算机连接到您的 Web 服务器（或完全不同的服务器）的内部 IP 地址时非常有用，例如，不会影响 Internet 上的公用客户端。

如果您的组织设置为使用拆分 DNS，您需要将以下记录添加到您内部 DNS 区域。使用您自己的记录和目标替换 DNS 记录 FQDN 和目标值。

DNS 记录 FQDN DNS 记录类型目标

sts.contoso.com

CNAME

AADConnect.corp.contoso.com
HOSTS 文件 如果您不使用拆分 DNS，或者如果您的 AD FS Web 代理服务器由于防火墙限制而无法访问您的内部 DNS 服务器，那么您可以使用 Web 代理服务器上的 HOSTS 文件配置 FQDN 及其应使用的 IP 地址。执行以下操作配置 HOSTS 文件：
1. 在 AD FS Web 代理服务器上打开提升的命令提示符。
2. 运行以下命令在记事本中打开 HOSTS 文件。
```
notepad %SystemRoot%\system32\drivers\etc\HOSTS
```
3. 在 HOSTS 文件的底部添加一新行。使用您自己的 IP 地址和 FQDN 替换 IP 地址和 FQDN 值。
  
  IP 地址 FQDN
  
  Azure AD Connect 的内部 IP 地址
  
  AADConnect.corp.contoso.com
4. 保存该文件，关闭记事本，然后关闭命令提示符窗口。

DNS 记录 FQDN	DNS 记录类型	目标
sts.contoso.com	CNAME	AADConnect.corp.contoso.com

IP 地址	FQDN
Azure AD Connect 的内部 IP 地址	AADConnect.corp.contoso.com

公用记录

像自动发现和 SPF 记录一样，公用 AD FS DNS 记录需要添加到公用 DNS 服务器。在记录上指定的值需要指向您的 AD FS Web 代理服务器的外部 IP 地址或防火墙。Office 365 将使用此记录连接到您的 AD FS Web 代理服务器。

此表显示了需要为您的混合部署配置的 AD FS 公用 DNS 记录的一些示例。

DNS 记录 FQDN	DNS 记录类型	目标和值
sts.contoso.com	A	AD FS Web 代理服务器的外部 IP 地址或防火墙

我如何知道这有效？

若要验证您是否为内部部署组织正确配置了自动发现 DNS 记录，请在可执行 DNS 查找并且可访问 Internet 的计算机上执行以下操作。

重要说明：
根据您的 DNS 配置，可能需要一小时或更长的时间通过 Internet 复制对 DNS 所做的更改。

打开 Windows 命令提示符。
运行以下命令。
```
nslookup autodiscover.contoso.com
```

如果您已正确配置了 DNS CNAME 记录，则应返回类似于以下示例的信息。如果已经配置了 DNS A 记录，则结果可能会有所不同。返回的 IP 地址将不同于下面示例中的地址。

Server:  dns.corp.contoso.com
Address:  192.168.1.10

Non-authoritative answer:
Name:    mail.contoso.com
Address:  65.55.94.54
Aliases:  autodiscover.contoso.com

若要验证您是否正确地配置了 SPF 记录，请确认您正确地输入了上表中列出的 TXT 记录值。

有疑问吗？请在 Office 365 论坛中寻求帮助。若要访问论坛，您需要使用已拥有对基于云的服务的管理员访问权限的帐户进行登录。请访问以下论坛：Office 365 论坛