微软修复由 DNS 变更导致的 Entra ID 身份验证问题

微软近日修复了一个由 DNS 变更引起的 Entra ID（前身为 Azure Active Directory）身份验证故障，该故障影响了使用 Seamless SSO 和 Microsoft Entra Connect Sync 的用户。

微软近期又遇到了一次与 DNS 相关的故障。这次故障影响了 Entra ID 的身份验证，导致部分用户无法访问 Azure 服务。

事件回顾：

在 2025 年 2 月 25 日 17:18 UTC 至 18:35 UTC 期间，使用微软 Seamless SSO 和 Microsoft Entra Connect Sync 的用户在尝试访问 Azure 服务时遇到了 autologon.microsoftazuread-sso.com 域的 DNS 解析失败问题。

问题原因：

微软在其 Azure 状态页面上解释说，这个问题是由最近的一次 DNS 变更引起的。在一次清理重复 IPv6 CNAME 的工作中，一个用于 Microsoft Entra ID 无缝单点登录功能身份验证过程的域名被错误地删除。这导致该域名无法解析，从而导致身份验证请求失败。

微软的响应：

微软表示，导致问题的 DNS 变更现已回滚，服务已完全恢复。目前，用户应该不会再遇到 DNS 解析失败的问题。

受影响范围：

尽管微软尚未分享有关受影响区域和 Azure 服务的更多信息，但 Redmond 表示 Azure 状态页面仅用于跟踪“广泛的事件”。

信息披露的不足：

值得注意的是，微软承诺将在 60 分钟内分享更多细节，但在更新状态页面后立即删除了事件报告。这种做法可能引发用户对透明度的担忧。

DNS 问题频发，微软需加强管理

这并非微软首次因 DNS 问题而导致服务中断。

• 2023 年 8 月，微软修复了一个配置错误的 DNS SPF 记录，该记录导致全球范围内的 Hotmail 电子邮件传递失败。
• 2021 年 4 月，一个代码缺陷导致 Azure DNS 服务器过载，引发了影响许多微软服务的全球性中断。
• 2025年 1 月，微软回滚了一个网络配置更改，该更改导致美国东部 2 区的多个 Azure 服务出现连接问题、超时、连接中断和资源分配失败。 受影响的Azure服务包括Azure Databricks、Azure OpenAI、Azure应用服务、Azure容器应用、Azure SQL数据库、Azure DevOps、Azure NetApp文件、Azure流分析等。
• 1月下旬的Microsoft 365中断还阻止管理员访问Microsoft 365管理中心，而两周前的多重身份验证（MFA）中断阻止客户访问Microsoft 365 Office应用程序。

总结：

DNS 作为互联网基础设施的关键组成部分，其稳定性至关重要。微软作为全球领先的云服务提供商，应加强对 DNS 基础设施的管理和维护，避免类似问题的再次发生。同时，提高信息披露的透明度，及时、准确地向用户通报事件详情，也是赢得用户信任的关键。

原文始发于微信公众号（技术修道场）：微软修复由 DNS 变更导致的 Entra ID 身份验证问题