Behandeln von Problemen mit der Microsoft Entra-Passthrough-Authentifizierung
Dieser Artikel hilft Ihnen beim Auffinden von Informationen zur Problembehandlung von bekannten Problemen mit der Microsoft Entra-Passthrough-Authentifizierung.
Wichtig
Wenn Sie es mit Benutzeranmeldeproblemen bei der Passthrough-Authentifizierung zu tun haben, deaktivieren das Feature nicht. Deinstallieren auch keine Agents für die Passthrough-Authentifizierung ohne ein ausschließlich cloudbasiertes globales Administratorkonto oder ein Administratorkonto für hybride Identitäten, auf das ein Fallback ausgeführt werden kann. Erfahren Sie, wie Sie ein rein cloudbasiertes Konto für den globalen Administrator hinzufügen. Dieser Schritt ist unerlässlich und stellt sicher, dass Sie sich nicht aus Ihrem Mandanten aussperren.
Allgemeine Probleme
Überprüfen des Status der Funktion und der Authentifizierungs-Agents
Stellen Sie sicher, dass die Passthrough-Authentifizierung in Ihrem Mandanten immer noch aktiviert ist und der Status der Authentifizierungs-Agents als aktiv angezeigt wird, nicht als inaktiv. Den Status können Sie im Microsoft Entra Admin Center auf dem Blatt Microsoft Entra Connect überprüfen.
Benutzerseitige Fehler bei der Anmeldung
Wenn Benutzer*innen sich nicht mit der Passthrough-Authentifizierung anmelden können, wird ihnen möglicherweise einer der folgenden Fehler für Benutzer*innen auf der Microsoft Entra-Anmeldeseite angezeigt:
| Error | Beschreibung | Lösung |
|---|---|---|
| AADSTS80001 | Verbindung mit Active Directory kann nicht hergestellt werden. | Ensure that agent servers are members of the same AD forest as the users whose passwords need to be validated and they are able to connect to Active Directory. (Stellen Sie sicher, dass die Agent-Server Mitglieder derselben AD-Gesamtstruktur wie die Benutzer sind, deren Kennwörter überprüft werden müssen, und dass sie eine Verbindung zu Active Directory herstellen können.) |
| AADSTS80002 | Bei der Verbindung mit Active Directory ist ein Timeout aufgetreten. | Check to ensure that Active Directory is available and is responding to requests from the agents. (Überprüfen Sie, ob Active Directory verfügbar ist und auf Anforderungen der Agents antwortet.) |
| AADSTS80004 | The username passed to the agent was not valid (Der an den Agent übergebene Benutzername war ungültig.) | Stellen Sie sicher, dass der Benutzer den richtigen Benutzernamen für die Anmeldung verwendet. |
| AADSTS80005 | Bei der Überprüfung ist eine unvorhersehbare WebException aufgetreten. | A transient error. (Vorübergehender Fehler.) Wiederholen Sie die Anforderung. Sollte der Fehler weiterhin auftreten, wenden Sie sich an den Microsoft-Support. |
| AADSTS80007 | Bei der Kommunikation mit Active Directory ist ein Fehler aufgetreten. | Suchen Sie in den Agent-Protokollen nach weiteren Informationen, und überprüfen Sie, ob Active Directory erwartungsgemäß funktioniert. |
Benutzer erhalten Fehler aufgrund eines ungültigen Benutzernamens/Kennworts.
Dieser Fall kann eintreten, wenn sich der lokale Benutzerprinzipalname (User Principal Name, UPN) des Benutzers vom Cloud-UPN des Benutzers unterscheidet.
Überprüfen Sie zunächst, ob der Agent für die Passthrough-Authentifizierung ordnungsgemäß funktioniert:
Erstellen Sie ein Testkonto.
Importieren Sie das PowerShell-Modul auf dem Agent-Computer:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Führen Sie den PowerShell-Befehl „Invoke“ aus:
Invoke-PassthroughAuthOnPremLogonTroubleshooterWenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie den für die Anmeldung verwendeten Benutzernamen und das entsprechende Kennwort ein (https://login.microsoftonline.com).
Sollte der gleiche Benutzernamen-/Kennwortfehler auftreten, funktioniert der Agent für die Passthrough-Authentifizierung ordnungsgemäß, und das Problem ist möglicherweise auf einen nicht routingfähigen lokalen UPN zurückzuführen. Weitere Informationen finden Sie unter Konfigurieren einer alternativen Anmelde-ID.
Wichtig
Wenn der Microsoft Entra Connect-Server nicht in die Domäne eingebunden ist, eine Anforderung, die unter Microsoft Entra Connect: Voraussetzungen erwähnt wird, tritt das Problem mit dem ungültigen Namen der Benutzer*innen/Kennwort auf.
Ursachen für Anmeldefehler im Microsoft Entra Admin Center (erfordert Premium-Lizenz)
Wenn Ihrem Mandanten eine Microsoft Entra ID P1- oder P2-Lizenz zugeordnet ist, können Sie sich auch den Bericht zu den Anmeldeaktivitäten im Microsoft Entra Admin Center ansehen.
Navigieren Sie im [Microsoft Entra Admin Center](https://portal.azure.com/) zu Microsoft Entra ID ->Anmeldungen, und klicken Sie auf die Anmeldeaktivität bestimmter Benutzer*innen. Suchen Sie nach dem Feld Code des Anmeldefehlers. Ordnen Sie den Wert in diesem Feld mithilfe der folgenden Tabelle einer Ursache und einer Lösung zu:
| Anmeldefehler | Grund des Anmeldefehlers | Lösung |
|---|---|---|
| 50144 | Das Active Directory-Kennwort des Benutzers ist abgelaufen. | Reset the user's password in your on-premises Active Directory. (Setzen Sie das Kennwort des Benutzers in Ihrem lokalen Active Directory zurück.) |
| 80001 | Kein Authentifizierungs-Agent verfügbar. | Installieren und registrieren Sie einen Authentifizierungs-Agent. |
| 80002 | Zeitüberschreitung für die Anforderung zur Kennwortüberprüfung des Authentifizierungs-Agents. | Überprüfen Sie, ob Ihr Active Directory über den Authentifizierungs-Agent erreichbar ist. |
| 80003 | Der Authentifizierungs-Agent hat eine ungültige Antwort erhalten. | If the problem is consistently reproducible across multiple users, check your Active Directory configuration. (Wenn das Problem bei mehreren Benutzer genauso reproduziert werden kann, überprüfen Sie die Active Directory-Konfiguration.) |
| 80004 | In der Anmeldeanforderung wurde ein falscher Benutzerprinzipalname (UPN) verwendet. | Ask the user to sign in with the correct username. (Fordern Sie den Benutzer dazu auf, sich mit dem richtigen Benutzernamen anzumelden.) |
| 80005 | Authentifizierungs-Agent: Fehler. | Transient error. (Vorübergehender Fehler.) Versuchen Sie es später noch einmal. |
| 80007 | Der Authentifizierungs-Agent kann keine Verbindung mit Active Directory herstellen. | Überprüfen Sie, ob Ihr Active Directory über den Authentifizierungs-Agent erreichbar ist. |
| 80010 | Der Authentifizierungs-Agent kann das Kennwort nicht entschlüsseln. | If the problem is consistently reproducible, install and register a new Authentication Agent. (Wenn das Problem konsistent reproduziert werden kann, installieren und registrieren Sie einen neuen Authentifizierungs-Agent.) And uninstall the current one. (Deinstallieren der Sie außerdem den aktuellen.) |
| 80011 | Der Authentifizierungs-Agent kann den Entschlüsselungsschlüssel nicht abrufen. | If the problem is consistently reproducible, install and register a new Authentication Agent. (Wenn das Problem konsistent reproduziert werden kann, installieren und registrieren Sie einen neuen Authentifizierungs-Agent.) And uninstall the current one. (Deinstallieren der Sie außerdem den aktuellen.) |
| 80014 | Die Überprüfungsanforderung wurde erst nach Überschreiten der maximal zulässigen Zeit beantwortet. | Für den Authentifizierungs-Agent ist ein Timeout aufgetreten. Öffnen Sie ein Supportticket mit dem Fehlercode, der Korrelations-ID und dem Zeitstempel, um weitere Details zu diesem Fehler zu erhalten. |
Wichtig
Passthrough-Authentifizierungs-Agents authentifizieren Microsoft Entra-Benutzer*innen, indem sie die Namen der Benutzer*innen und Kennwörter für Active Directory durch Aufrufen der Win32 LogonUser-API überprüfen. Wenn Sie in Active Directory die Einstellung „Anmeldung bei“ zum Einschränken des Anmeldezugriffs für Arbeitsstationen festgelegt haben, müssen Sie daher auch der Serverliste „Anmeldung bei“ Server hinzufügen, auf denen Passthrough-Authentifizierungs-Agents gehostet werden. Wenn Sie dies nicht tun, können sich Ihre Benutzer*innen nicht bei Microsoft Entra ID anmelden.
Probleme bei der Installation des Authentifizierungs-Agents
Ein unerwarteter Fehler ist aufgetreten.
Sammeln Sie Agent-Protokolle vom Server, und wenden Sie sich mit Ihrem Problem an den Microsoft-Support.
Probleme bei der Registrierung des Authentifizierungs-Agents
Registration of the Authentication Agent failed due to blocked ports (Fehler bei der Registrierung des Authentifizierungs-Agents aufgrund von blockierten Ports)
Stellen Sie sicher, dass der Server, auf dem der Authentifizierungs-Agent installiert wurde, mit unseren Dienst-URLs und den hier aufgeführten Ports kommunizieren kann.
Registration of the Authentication Agent failed due to token or account authorization errors (Fehler bei der Registrierung des Authentifizierungs-Agents aufgrund von Token- oder Kontoautorisierungsfehlern)
Stellen Sie sicher, dass Sie ein ausschließlich für die Cloud geltendes globales Konto für Administrator*innen oder ein Konto für Administrator*innen für hybride Identitäten für alle Vorgänge zur Installation und Registrierung von Microsoft Entra Connect- oder eigenständigen Authentifizierungs-Agents verwenden. Es gibt ein bekanntes Problem mit MFA-fähigen globalen Administratorkonten. Deaktivieren Sie als Umgehungsmaßnahme vorübergehend MFA (nur bis zum Abschluss der Vorgänge).
Ein unerwarteter Fehler ist aufgetreten.
Sammeln Sie Agent-Protokolle vom Server, und wenden Sie sich mit Ihrem Problem an den Microsoft-Support.
Probleme bei der Deinstallation von Authentifizierungs-Agents
Warnmeldung bei der Deinstallation von Microsoft Entra Connect
Wenn Sie die Passthrough-Authentifizierung für Ihren Mandanten aktiviert haben und versuchen, Microsoft Entra ID Connect zu deinstallieren, wird die folgende Warnmeldung angezeigt: „Users will not be able to sign-in to Microsoft Entra ID unless you have other Pass-through Authentication agents installed on other servers“ (Benutzer*innen können sich nur dann bei Microsoft Entra ID anmelden, wenn Sie andere Passthrough-Authentifizierungs-Agents auf anderen Servern installiert haben).
Stellen Sie sicher, dass das Setup hoch verfügbar ist, bevor Sie Microsoft Entra Connect deinstallieren, um eine Unterbrechung von Anmeldungen der Benutzer*innen zu vermeiden.
Probleme bei der Aktivierung des Features
Enabling the feature failed because there were no Authentication Agents available (Beim Aktivieren des Features ist ein Fehler aufgetreten, weil keine Authentifizierungs-Agents verfügbar waren)
Es muss mindestens ein Authentifizierungs-Agent aktiv sein, damit die Passthrough-Authentifizierung in Ihrem Mandanten aktiviert werden kann. Sie können einen Authentifizierungs-Agent durch die Installation von Microsoft Entra Connect oder eines eigenständigen Authentifizierungs-Agents installieren.
Enabling the feature failed due to blocked ports (Beim Aktivierung des Features ist aufgrund blockierter Ports ein Fehler aufgetreten)
Stellen Sie sicher, dass der Server, auf dem Microsoft Entra Connect installiert ist, mit unseren hier aufgeführten Dienst-URLs und Ports kommunizieren kann.
Enabling the feature failed due to token or account authorization errors (Beim Aktivieren des Features ist aufgrund von Token- oder Kontoautorisierungsfehlern ein Fehler aufgetreten)
Stellen Sie sicher, dass Sie ein ausschließlich für die Cloud geltendes globales Administratorkonto verwenden, wenn Sie das Feature aktivieren. Es gibt ein bekanntes Problem mit MFA-fähigen (Multi-Factor Authentication) globalen Administratorkonten. Deaktivieren Sie als Umgehungsmaßnahme vorübergehend MFA (nur bis zum Abschluss der Vorgänge).
Sammeln von Protokollen von Passthrough-Authentifizierungs-Agent
Je nach Problem müssen Sie an verschiedenen Stellen nach Protokollen von Passthrough-Authentifizierungs-Agents suchen.
Microsoft Entra Connect-Protokolle
Bei Fehlern im Zusammenhang mit der Installation sehen Sie in den Microsoft Entra Connect-Protokollen unter %ProgramData%\AADConnect\trace-*.log nach.
Ereignisprotokolle von Authentifizierungs-Agents
Öffnen Sie bei Fehlern in Zusammenhang mit dem Authentifizierungs-Agent die Ereignisanzeige auf dem Server unter Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin, und prüfen Sie sie.
Aktivieren Sie zur detaillierten Analyse das Sitzungsprotokoll. (Klicken Sie mit der rechten Maustaste in die Anwendung „Ereignisanzeige“, um diese Option zu finden.). Führen Sie den Authentifizierungs-Agent im Normalbetrieb nicht mit diesem Protokoll aus. Verwenden Sie es ausschließlich zur Problembehandlung. Die Protokollinhalte werden nur angezeigt, nachdem das Protokoll wieder deaktiviert wird.
Ausführliche Ablaufverfolgungsprotokolle
Um Benutzeranmeldefehler zu beheben, suchen Sie unter %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\ nach Ablaufverfolgungsprotokollen. Diese Protokolle enthalten die Gründe, warum eine bestimmte Benutzeranmeldung mittels der Passthrough-Authentifizierungsfunktion fehlgeschlagen ist. Diese Fehler werden auch den Gründen für Anmeldefehler zugeordnet, die in der obigen Tabelle mit den Gründen für Anmeldefehler aufgeführt sind. Es folgt ein Beispiel für einen Protokolleintrag:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Sie können erklärende Details zum Fehler (im obigen Beispiel „1328“) abrufen, indem Sie die Eingabeaufforderung öffnen und den folgenden Befehl ausführen (Hinweis: Ersetzen Sie „1328“ durch die tatsächliche Fehlernummer, die in Ihren Protokollen angezeigt wird):
Net helpmsg 1328
Protokolle für Anmeldung per Passthrough-Authentifizierung
Weitere Informationen finden Sie auch in den Sicherheitsprotokollen Ihrer Server für Passthrough-Authentifizierung, sofern die Überwachungsprotokollierung aktiviert ist. Eine einfache Möglichkeit zum Abfragen von Anmeldeanforderungen besteht darin, Sicherheitsprotokolle mithilfe der folgenden Abfrage zu filtern:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Leistungsüberwachungsindikatoren
Eine weitere Möglichkeit zum Überwachen des Authentifizierung-Agents ist das Nachverfolgen bestimmter Leistungsüberwachungsindikatoren auf jedem Server, auf dem der Authentifizierung-Agent installiert ist. Verwenden Sie die folgenden globalen Indikatoren # PTA authentications, #PTA failed authentications und #PTA successful authentications) und Fehlerzähler ( # PTA authentication errors):
Wichtig
Die Passthrough-Authentifizierung bietet mit mehreren Authentifizierungs-Agents Hochverfügbarkeit, jedoch keinen Lastenausgleich. Abhängig von Ihrer Konfiguration erhalten nicht alle Ihre Authentifizierungs-Agents ungefähr die gleiche Anzahl von Anforderungen. Es ist möglich, dass ein bestimmter Authentifizierungs-Agent überhaupt keinen Datenverkehr empfängt.