使用 ADFS 確認 DNS 記錄

 

預估完成時間:5 分鐘

若要讓 Outlook 2016、Outlook 2013、Outlook 2010 及行動用戶端可連線至 Office 365 中的信箱,您必須在公用 DNS 上設定自動探索記錄。自動探索會自動設定用戶端設定,因此使用者就無須知道伺服器的名稱或其他有關設定個人郵件設定檔的詳細技術資料。您也必須設定指向內部部署 AD FS web proxy 伺服器的記錄。它會告知 Office 365 何處可以找到 proxy 伺服器,讓它可以將驗證要求傳送到內部部署 Active Directory。最後,建議您設定寄件者原則架構 (SPF) 記錄,以確保目的地電子郵件系統信任從您的網域透過內部部署伺服器與 Office 365 傳送的郵件。

您必須設定下列公用 DNS 記錄,以啟用內部部署組織的自動探索查閱功能,允許 Office 365 連線至信箱伺服器,並確保所有來自您網域的郵件看似源自於 Office 365:

  • 自動探索記錄   內部部署組織的自動探索 DNS 記錄必須參考至向內部部署信箱伺服器所發出的 autodiscover.contoso.com 之要求。您可以使用 CNAME DNS 記錄或 A DNS 記錄。CNAME DNS 記錄必須參考至安裝了信箱伺服器角色之內部部署 Exchange 2016 伺服器的 FQDN。根據您的網路設定,A DNS 記錄必須指向 Exchange 2016 信箱伺服器或防火牆的外部 IP 位址。

  • SPF 記錄   您組織的 SPF 記錄使用寄件者識別碼架構。寄件者識別碼架構是一種電子郵件驗證通訊協定,可驗證寄出電子郵件的網域名稱,以協助防範詐騙與網路釣魚。寄件者識別碼會驗證寄件者的 IP 位址與傳送網域的可能擁有者,以驗證電子郵件訊息的原始位置。

此表顯示您需要為混合部署設定之自動探索和 SPF 公用 DNS 記錄的範例。

 

混合需求 DNS 記錄 DNS 記錄類型 目標和價值

需要用於所有混合部署

autodiscover.contoso.com

CNAME 或 A

若使用 CNAME DNS:  mail.contoso.com

若使用 A DNS:  Exchange 2016 信箱伺服器或防火牆之外部 IP 位址

所有混合部署的建議最佳作法

SPF

TXT

v=spf1 include:spf.protection.outlook.com ~all

 

如需如何將 CNAME 或 TXT 記錄新增至 DNS 區域的詳細資訊,請參閱您公用 DNS 主機的 [說明]。

AD FS DNS 記錄的建立包含兩個部分︰設定內部記錄,讓 AD FS web proxy 伺服器可以找到內部 Azure AD Connect 搭配 AD FS 伺服器, 設定外部公用 AD FS DNS 記錄,讓 Office 365 可以連線至您的 proxy 伺服器。這兩個記錄的 FQDN 必須相同。這可能會有點混淆,因此我們將它細分為下列每個部分。您用於 AD FS DNS 記錄的 FQDN 必須在您所使用的協力廠商憑證上設定。在以下的範例中,我們將使用 FQDN sts.contoso.com。

當 web proxy 伺服器嘗試尋找內部 Azure AD Connect 搭配 AD FS 伺服器時,它會使用 FQDN sts.contoso.com。在您的內部網路上,這個 FQDN 必須指向 Azure AD Connect 伺服器。您可以利用下列兩個方法的其中之一來完成這個作業︰

  • 分割 DNS 內部 DNS 伺服器有時候可具備符合其公用 DNS 區域的 DNS 區域。例如,如果您的組織公開使用 contoso.com,內部 DNS 伺服器可能也會具備 contoso.com DNS 區域。設定這個方式時,內部電腦會從內部 DNS 伺服器擷取 contoso.com 的 DNS 記錄。這樣可讓您設定不同的值,讓內部電腦連線至您的伺服器。舉例而言,如果您要內部電腦連線到 web 伺服器 (或完全不同的伺服器) 的內部 IP 位址,而不影響網際網路上的公用用戶端,這樣會很有幫助。

    如果您的組織設定為使用分割 DNS,您必須將下列記錄新增至您的內部 DNS 區域。將 DNS 記錄 FQDN 和 目標值取代為您自己的記錄及目標。

     

    DNS 記錄 FQDN DNS 記錄類型 目標

    sts.contoso.com

    CNAME

    AADConnect.corp.contoso.com

  • 主機檔案 如果您不使用分割 DNS,或如果您的 AD FS web proxy 伺服器因為防火牆的限制而無法存取內部的 DNS 伺服器,您可以使用 web proxy 伺服器上的主機檔案來設定它應該使用的 FQDN 和 IP 位址。執行下列動作來設定主機檔案︰

    1. 在 AD FS web proxy 伺服器上開啟提高權限的命令提示字元。

    2. 執行下列命令以在記事本中開啟主機檔案。

      notepad %SystemRoot%\system32\drivers\etc\HOSTS
      
    3. 在主機檔案的底部加入新的一行。將 IP 位址和 FQDN 值取代為您自己的 IP 位址和 FQDN。

       

      IP 位址 FQDN

      Azure AD Connect 伺服器的內部 IP 位址

      AADConnect.corp.contoso.com

    4. 儲存檔案、關閉筆記本,然後關閉 [命令提示字元] 視窗。

如同自動探索和 SPF 記錄,公用 AD FS DNS 記錄需要新增至公用 DNS 伺服器。在記錄上指定的值必須指向 AD FS web proxy 伺服器或防火牆的外部 IP 位址。Office 365 會使用這筆記錄連線到您的 AD FS web proxy 伺服器。

此表顯示您需要設定為混合部署的 AD FS 公用 DNS 記錄範例。

 

DNS 記錄 FQDN DNS 記錄類型 目標和價值

sts.contoso.com

A

AD FS web proxy 伺服器或防火牆的外部 IP 位址

若要確認您已正確設定內部部署組織的自動探索 DNS 記錄,請在可執行 DNS 查閱且可存取網際網路的電腦上執行下列操作。

重要事項重要事項:
視 DNS 組態而定,在網際網路上複寫 DNS 的變更可能需要一小時以上的時間。
  1. 開啟 Windows 命令提示字元。

  2. 執行下列命令。

    nslookup autodiscover.contoso.com
    

如果您已正確設定 DNS CNAME 記錄,則應該會傳回類似於下列範例的資訊。如果您已設定 DNS A 記錄,您的結果可能會不同。傳回的 IP 位址將與下列範例中的位址不同。

Server:  dns.corp.contoso.com
Address:  192.168.1.10

Non-authoritative answer:
Name:    mail.contoso.com
Address:  65.55.94.54
Aliases:  autodiscover.contoso.com

要驗證您已正確設定 SPF 記錄,請確認您已正確輸入列於上表中的 TXT 記錄值。

有問題嗎?在 Office 365 論壇中尋求協助。若要存取此論壇,您需要以具有雲端式服務系統管理員存取權的帳戶登入。此論壇的網址為:Office 365 論壇

 
顯示: