Řešení potíží s předávacím ověřováním Microsoft Entra
Tento článek vám pomůže najít informace o řešení běžných problémů souvisejících s předávacím ověřováním Microsoft Entra.
Důležité
Pokud máte problémy s přihlašováním uživatelů s předávacím ověřováním, nezakažte funkci ani neodinstalujte agenty předávacího ověřování, aniž byste měli účet globálního Správa istratoru cloudu nebo účet hybridní identity Správa istrator, abyste se mohli vrátit zpět. Přečtěte si o přidání globálního účtu globálního Správa istratoru jen pro cloud. Tento krok je kritický a zajistí, že se z tenanta nezamknete.
Obecné problémy
Kontrola stavu funkce a agentů ověřování
Ujistěte se, že je ve vašem tenantovi stále povolená funkce Předávací ověřování a že stav agentů ověřování je aktivní a ne neaktivní. Stav můžete zkontrolovat v okně Microsoft Entra Connect v Centru pro správu Microsoft Entra.
Chybové zprávy s uživatelským přihlášením
Pokud se uživatel nemůže přihlásit pomocí předávacího ověřování, může se na přihlašovací obrazovce Microsoft Entra zobrazit jedna z následujících chyb:
| Chyba | Popis | Rozlišení |
|---|---|---|
| AADSTS80001 | Nejde se připojit ke službě Active Directory | Ujistěte se, že jsou servery agentů členy stejné doménové struktury AD jako uživatelé, jejichž hesla je potřeba ověřit, a že se můžou připojit ke službě Active Directory. |
| AADSTS80002 | Došlo k vypršení časového limitu připojení ke službě Active Directory. | Zkontrolujte, jestli je služba Active Directory dostupná a reaguje na požadavky z agentů. |
| AADSTS80004 | Uživatelské jméno předané agentu nebylo platné. | Ujistěte se, že se uživatel pokouší přihlásit pomocí správného uživatelského jména. |
| AADSTS80005 | Při ověřování došlo k nepředvídatelné chybě WebException | Přechodná chyba. Zkuste požadavek zopakovat. Pokud i nadále selže, obraťte se na podporu Microsoftu. |
| AADSTS80007 | Při komunikaci se službou Active Directory došlo k chybě. | V protokolech agenta vyhledejte další informace a ověřte, že služba Active Directory funguje podle očekávání. |
Uživatelům se zobrazuje chyba s neplatným uživatelským jménem nebo heslem
K tomu může dojít, když se místní hlavní název uživatele (UPN) uživatele liší od hlavního názvu uživatele (UPN) v cloudu.
Pokud chcete ověřit, že se jedná o problém, nejprve otestujte, jestli agent předávacího ověřování funguje správně:
Vytvořte testovací účet.
Naimportujte modul PowerShellu na počítači agenta:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Spusťte příkaz Vyvolání PowerShellu:
Invoke-PassthroughAuthOnPremLogonTroubleshooterPo zobrazení výzvy k zadání přihlašovacích údajů zadejte stejné uživatelské jméno a heslo, ke kterému se přihlašujete (https://login.microsoftonline.com).
Pokud se zobrazí stejná chyba uživatelského jména a hesla, znamená to, že agent předávacího ověřování funguje správně a problém může být v tom, že místní hlavní název uživatele (UPN) není směrovatelný. Další informace najdete v tématu Konfigurace alternativního přihlašovacího ID.
Důležité
Pokud server Microsoft Entra Připojení není připojený k doméně, objeví se požadavek uvedený v microsoft Entra Připojení: Požadavky, dojde k problému s neplatným uživatelským jménem a heslem.
Důvody selhání přihlášení v Centru pro správu Microsoft Entra (vyžaduje licenci Premium)
Pokud má váš tenant přidruženou licenci Microsoft Entra ID P1 nebo P2, můžete se také podívat na sestavu aktivit přihlašování v Centru pro správu Microsoft Entra.
Přejděte na Microsoft Entra ID ->Sign-ins v [Centru pro správu Microsoft Entra](https://portal.azure.com/) a klikněte na přihlašovací aktivitu konkrétního uživatele. Vyhledejte pole SIGN-IN ERROR CODE (KÓD CHYBY PŘIHLÁŠENÍ). Na základě hodnoty tohoto pole vyhledejte příčinu selhání a příslušné řešení v následující tabulce:
| Kód chyby přihlášení | Příčina selhání přihlášení | Rozlišení |
|---|---|---|
| 50144 | Vypršela platnost hesla uživatele pro Active Directory. | Resetujte heslo uživatele v místní Active Directory. |
| 80001 | Není k dispozici žádný ověřovací agent. | Nainstalujte a zaregistrujte ověřovacího agenta. |
| 80002 | Vypršel časový limit žádosti o ověření hesla ověřovacího agenta. | Ověřte, zda je služba Active Directory dosažitelná z ověřovacího agenta. |
| 80003 | Ověřovací agent přijal neplatnou odpověď. | Pokud je problém konzistentně reprodukovatelný u více uživatelů, zkontrolujte konfiguraci služby Active Directory. |
| 80004 | V žádosti o přihlášení byl použit nesprávný hlavní název uživatele (UPN). | Požádejte uživatele, aby se přihlásil pomocí správného uživatelského jména. |
| 80005 | Ověřovací agent: Došlo k chybě. | Přechodná chyba. Zkuste to později. |
| 80007 | Ověřovací agent se nemohl připojit k Active Directory. | Ověřte, zda je služba Active Directory dosažitelná z ověřovacího agenta. |
| 80010 | Ověřovací agent nebyl schopen dešifrovat heslo. | Pokud je problém konzistentně reprodukovatelný, nainstalujte a zaregistrujte nového ověřovacího agenta. A odinstalujte aktuální. |
| 80011 | Ověřovací agent nebyl schopen získat dešifrovací klíč. | Pokud je problém konzistentně reprodukovatelný, nainstalujte a zaregistrujte nového ověřovacího agenta. A odinstalujte aktuální. |
| 80014 | Požadavek na ověření odpověděl po překročení maximálního uplynulého času. | Vypršel časový limit agenta ověřování. Otevřete lístek podpory s kódem chyby, ID korelace a časovým razítkem a získejte další podrobnosti o této chybě. |
Důležité
Předávací ověřovací agenti ověřují uživatele Microsoft Entra ověřením jejich uživatelských jmen a hesel ve službě Active Directory voláním rozhraní API přihlášení Win32. Pokud jste v Active Directory nastavili nastavení "Přihlásit se" tak, aby omezovaly přístup pro přihlášení pracovní stanice, budete muset přidat servery, které hostují předávací ověřovací agenty, do seznamu serverů přihlášení. Pokud to neuděláte, uživatelé se nebudou přihlašovat k MICROSOFT Entra ID.
Problémy s instalací ověřovacího agenta
Došlo k neočekávané chybě.
Shromážděte protokoly agenta ze serveru a spojte se s vaším problémem podpora Microsoftu.
Problémy s registrací ověřovacího agenta
Registrace agenta ověřování selhala kvůli zablokovaným portům
Ujistěte se, že server, na kterém je nainstalovaný ověřovací agent, může komunikovat s našimi adresami URL služeb a porty uvedenými tady.
Registrace agenta ověřování selhala kvůli chybám autorizace tokenu nebo účtu
Ujistěte se, že používáte účet globálního Správa istratoru jen pro cloud nebo účet hybridní identity Správa istrator pro všechny operace instalace a registrace agenta Microsoft En Připojení tra nebo samostatného ověřovacího agenta. Existuje známý problém s účty globálního správce s podporou vícefaktorového ověřování. Jako alternativní řešení dočasně vypněte vícefaktorové ověřování (jenom pro dokončení operací).
Došlo k neočekávané chybě.
Shromážděte protokoly agenta ze serveru a spojte se s vaším problémem podpora Microsoftu.
Problémy s odinstalací ověřovacího agenta
Upozornění při odinstalaci Připojení Microsoft Entra
Pokud máte ve vašem tenantovi povolené předávací ověřování a pokusíte se odinstalovat Microsoft Entra Connect, zobrazí se vám následující upozornění: „Uživatelé se nebudou moct přihlásit k Microsoft Entra ID, pokud nemáte na jiných serverech nainstalované jiné agenty předávacího ověřování.“
Před odinstalací služby Microsoft Entra Connect se ujistěte, že vaše instalace je vysoce dostupná, abyste se vyhnuli přerušení přihlašování uživatelů.
Problémy s povolením funkce
Povolení funkce se nezdařilo, protože nejsou k dispozici žádní agenti ověřování.
Abyste mohli povolit předávací ověřování ve vašem tenantovi, musíte mít aspoň jednoho aktivního ověřovacího agenta. Ověřovacího agenta můžete nainstalovat buď instalací microsoft Entra Připojení, nebo samostatného ověřovacího agenta.
Povolení funkce selhalo kvůli blokovaným portům
Ujistěte se, že server, na kterém je nainstalovaná služba Microsoft Entra Připojení, může komunikovat s našimi adresami URL služeb a porty uvedenými tady.
Povolení funkce selhalo kvůli chybám autorizace tokenu nebo účtu
Při povolování této funkce se ujistěte, že používáte účet globálního Správa istratoru jen pro cloud. Existuje známý problém s účty globálního Správa istratoru s podporou vícefaktorového ověřování (MFA) a vypněte vícefaktorové ověřování dočasně (jenom k dokončení operace) jako alternativní řešení.
Shromažďování protokolů předávacího ověřovacího agenta
V závislosti na typu problému, který můžete mít, budete muset hledat na různých místech protokoly předávacího ověřovacího agenta.
Protokoly Microsoft Entra Připojení
V případě chyb souvisejících s instalací zkontrolujte protokoly Microsoft Entra Připojení na adrese %ProgramData%\AADConnect\trace-*.log.
Protokoly událostí agenta ověřování
V případě chyb souvisejících s agentem ověřování otevřete aplikaci Prohlížeč událostí na serveru a podívejte se do Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Pokud chcete získat podrobnou analýzu, povolte protokol Relace (kliknutím pravým tlačítkem myši do aplikace Prohlížeč událostí tuto možnost vyhledejte). Nespouštějte agenta ověřování s tímto povoleným protokolem během normálního provozu. Tuto možnost použijte pouze pro řešení potíží. Obsah protokolu se zobrazí až po opětovném zakázání protokolu.
Podrobné protokoly trasování
Pokud chcete řešit potíže se selháním přihlašování uživatelů, vyhledejte protokoly trasování na adrese %ProgramData%\Microsoft\Azure AD Připojení Ověřovacího agenta\Trace\. Mezi tyto protokoly patří důvody, proč se přihlášení konkrétního uživatele nezdařilo pomocí funkce předávacího ověřování. Tyto chyby se také mapují na důvody selhání přihlášení zobrazené v tabulce s předchozími důvody selhání přihlášení. Následuje příklad položky protokolu:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Popisné podrobnosti o chybě (1328 v předchozím příkladu) můžete získat tak, že otevřete příkazový řádek a spustíte následující příkaz (Poznámka: Nahraďte 1328 skutečným číslem chyby, které vidíte v protokolech):
Net helpmsg 1328
Protokoly předávacího ověřování
Pokud je protokolování auditu povolené, najdete další informace v protokolech zabezpečení vašeho předávacího ověřovacího serveru. Jednoduchým způsobem, jak dotazovat žádosti o přihlášení, je filtrovat protokoly zabezpečení pomocí následujícího dotazu:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Čítače Sledování výkonu
Dalším způsobem monitorování agentů ověřování je sledování konkrétních čítačů Sledování výkonu na každém serveru, na kterém je nainstalovaný ověřovací agent. Použijte následující globální čítače (# ověřování PTA, #PTA neúspěšná ověřování a #PTA úspěšné ověřování) a čítače chyb (chyby ověřování #PTA):
Důležité
Předávací ověřování poskytuje vysokou dostupnost pomocí více agentů ověřování a ne vyrovnávání zatížení. V závislosti na konfiguraci ne všichni agenti ověřování obdrží zhruba stejný počet požadavků. Je možné, že konkrétní ověřovací agent nepřijímá vůbec žádný provoz.