Troubleshoot Microsoft Entra pass-through authentication
Ez a cikk segítséget nyújt a Microsoft Entra átmenő hitelesítéssel kapcsolatos gyakori problémák hibaelhárítási információinak megkeresésében.
Fontos
Ha felhasználói bejelentkezési problémákat tapasztal az átmenő hitelesítéssel kapcsolatban, ne tiltsa le a funkciót, és ne távolítsa el az átmenő hitelesítési ügynököket anélkül, hogy csak felhőalapú globális Rendszergazda istrator-fiókkal vagy hibrid identitású Rendszergazda istrator-fiókkal kellene visszaesnie. Megtudhatja, hogyan adhat hozzá csak felhőalapú globális Rendszergazda istrator-fiókot. Ez a lépés kritikus fontosságú, és biztosítja, hogy ne zárják ki a bérlőből.
General issues
A szolgáltatás és a hitelesítési ügynökök állapotának ellenőrzése
Győződjön meg arról, hogy az átmenő hitelesítés funkció továbbra is engedélyezve van a bérlőn, és a hitelesítési ügynökök állapota aktív, nem pedig inaktív. You can check status by going to the Microsoft Entra Connect blade on the Microsoft Entra admin center.
Felhasználói bejelentkezési hibaüzenetek
Ha a felhasználó nem tud bejelentkezni az átmenő hitelesítés használatával, a Microsoft Entra bejelentkezési képernyőjén az alábbi felhasználói hibák valamelyike jelenhet meg:
Hiba | Leírás | Resolution (Osztás) |
---|---|---|
AADSTS80001 | Nem lehet csatlakozni az Active Directoryhoz | Győződjön meg arról, hogy az ügynökkiszolgálók ugyanahhoz az AD-erdőhöz tartoznak, mint azok a felhasználók, akiknek a jelszavát ellenőrizni kell, és képesek csatlakozni az Active Directoryhoz. |
AADSTS80002 | Időtúllépés történt az Active Directoryhoz való csatlakozáskor | Ellenőrizze, hogy az Active Directory elérhető-e, és válaszol-e az ügynököktől érkező kérésekre. |
AADSTS80004 | Az ügynöknek átadott felhasználónév érvénytelen volt | Győződjön meg arról, hogy a felhasználó a megfelelő felhasználónévvel próbál bejelentkezni. |
AADSTS80005 | Kiszámíthatatlan WebException érvényesítés történt | Átmeneti hiba. Ismételje meg a kérést. Ha továbbra is sikertelen, forduljon a Microsoft ügyfélszolgálatához. |
AADSTS80007 | Hiba történt az Active Directoryval való kommunikáció során | További információt az ügynöknaplókban talál, és ellenőrizze, hogy az Active Directory a várt módon működik-e. |
A felhasználók érvénytelen felhasználónevet/jelszót kapnak
Ez akkor fordulhat elő, ha egy felhasználó helyszíni UserPrincipalName (UPN) neve eltér a felhasználó felhőbeli UPN-étől.
Annak ellenőrzéséhez, hogy ez a probléma áll-e elő, először ellenőrizze, hogy az átmenő hitelesítési ügynök megfelelően működik-e:
Hozzon létre egy tesztfiókot.
Importálja a PowerShell-modult az ügynökgépre:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
Futtassa a PowerShell meghívása parancsot:
Invoke-PassthroughAuthOnPremLogonTroubleshooter
Amikor a rendszer kéri a hitelesítő adatok megadását, adja meg ugyanazt a felhasználónevet és jelszót, amelybe () bejelentkezikhttps://login.microsoftonline.com.
Ha ugyanazt a felhasználónév/jelszó hibát kapja, az azt jelenti, hogy az átmenő hitelesítési ügynök megfelelően működik, és a probléma az lehet, hogy a helyszíni UPN nem érhető el. További információ: Alternatív bejelentkezési azonosító konfigurálása.
Fontos
Ha a Microsoft Entra Csatlakozás-kiszolgáló nem csatlakozik tartományhoz, a Microsoft Entra Csatlakozás: Előfeltételek, érvénytelen felhasználónév/jelszó probléma lép fel.
Bejelentkezési hibák okai a Microsoft Entra felügyeleti központban (prémium szintű licencre van szükség)
Ha a bérlőhöz P1 vagy P2 azonosítójú Microsoft Entra-licenc van társítva, a bejelentkezési tevékenységről szóló jelentést a Microsoft Entra felügyeleti központban is megtekintheti.
Lépjen a Microsoft Entra ID ->Bejelentkezések elemre a [Microsoft Entra felügyeleti központban](https://portal.azure.com/), és kattintson egy adott felhasználó bejelentkezési tevékenységére. Look for the SIGN-IN ERROR CODE field. Map the value of that field to a failure reason and resolution using the following table:
Bejelentkezési hiba kódja | Bejelentkezési hiba oka | Resolution (Osztás) |
---|---|---|
50144 | User's Active Directory password has expired. | Állítsa alaphelyzetbe a felhasználó jelszavát a helyi Active Directory. |
80001 | No Authentication Agent available. | Install and register an Authentication Agent. |
80002 | Authentication Agent's password validation request timed out. | Check if your Active Directory is reachable from the Authentication Agent. |
80003 | Invalid response received by Authentication Agent. | Ha a probléma folyamatosan reprodukálható több felhasználó között, ellenőrizze az Active Directory konfigurációját. |
80004 | A bejelentkezési kérésben helytelen egyszerű felhasználónevet (UPN-t) használtak. | Ask the user to sign in with the correct username. |
80005 | Authentication Agent: Error occurred. | Transient error. Try again later. |
80007 | Authentication Agent unable to connect to Active Directory. | Check if your Active Directory is reachable from the Authentication Agent. |
80010 | Authentication Agent unable to decrypt password. | Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. És távolítsa el az aktuálisat. |
80011 | Authentication Agent unable to retrieve decryption key. | Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. És távolítsa el az aktuálisat. |
80014 | Validation request responded after maximum elapsed time exceeded. | A hitelesítési ügynök időtúllépést tapasztalt. Nyisson meg egy támogatási jegyet a hibakóddal, a korrelációs azonosítóval és az időbélyeggel, hogy további részleteket kapjon erről a hibáról |
Fontos
Az átmenő hitelesítési ügynökök úgy hitelesítik a Microsoft Entra-felhasználókat, hogy a Win32 LogonUser API meghívásával érvényesítik a felhasználóneveket és a jelszavakat az Active Directoryban. Ennek eredményeképpen, ha az Active Directoryban beállította a "Bejelentkezés" beállítást a munkaállomás bejelentkezési hozzáférésének korlátozásához, akkor az átmenő hitelesítési ügynököket futtató kiszolgálókat is fel kell adnia a "Bejelentkezési adatok" kiszolgálók listájára. Ennek elmulasztása megakadályozza, hogy a felhasználók bejelentkezhessenek a Microsoft Entra-azonosítóba.
Authentication Agent installation issues
Váratlan hiba történt
Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a problémával.
Authentication Agent registration issues
Registration of the Authentication Agent failed due to blocked ports
Győződjön meg arról, hogy a hitelesítési ügynököt futtató kiszolgáló képes kommunikálni a szolgáltatás URL-címeivel és az itt felsorolt portokkal.
Registration of the Authentication Agent failed due to token or account authorization errors
Győződjön meg arról, hogy csak felhőalapú globális Rendszergazda istrator-fiókot vagy hibrid identitás Rendszergazda istrator-fiókot használ az összes Microsoft Entra Csatlakozás vagy önálló hitelesítési ügynök telepítési és regisztrációs műveletéhez. There is a known issue with MFA-enabled Global Administrator accounts; turn off MFA temporarily (only to complete the operations) as a workaround.
Váratlan hiba történt
Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a problémával.
Authentication Agent uninstallation issues
Figyelmeztető üzenet a Microsoft Entra Csatlakozás eltávolításakor
Ha a bérlőn engedélyezve van az áthaladó hitelesítés, és megpróbálja eltávolítani a Microsoft Entra Connectet, a következő figyelmeztető üzenet jelenik meg: "A felhasználók nem tudnak bejelentkezni a Microsoft Entra ID rendszerbe, kivéve, ha más kiszolgálókon más áthaladó hitelesítési ügynökök vannak telepítve."
A Microsoft Entra Connect eltávolítása előtt győződjön meg arról, hogy a beállítás a magas rendelkezésre állású címen található, hogy elkerülje a felhasználói bejelentkezés megszakadását.
Issues with enabling the feature
A szolgáltatás engedélyezése nem sikerült, mert nem voltak elérhető hitelesítési ügynökök
Legalább egy aktív hitelesítési ügynökkel kell rendelkeznie ahhoz, hogy engedélyezze az átmenő hitelesítést a bérlőn. Hitelesítési ügynököt a Microsoft Entra Csatlakozás vagy egy különálló hitelesítési ügynök telepítésével telepíthet.
A szolgáltatás engedélyezése blokkolt portok miatt meghiúsult
Győződjön meg arról, hogy az a kiszolgáló, amelyre a Microsoft Entra Csatlakozás telepítve van, képes kommunikálni az itt felsorolt szolgáltatás URL-címekkel és portokkal.
A szolgáltatás engedélyezése jogkivonat- vagy fiókengedélyezési hibák miatt meghiúsult
A funkció engedélyezésekor győződjön meg arról, hogy csak felhőalapú globális Rendszergazda istrator-fiókot használ. Ismert probléma merült fel a többtényezős hitelesítés (MFA)-kompatibilis globális Rendszergazda istrator-fiókok esetében; kerülő megoldásként kapcsolja ki ideiglenesen az MFA-t (csak a művelet befejezéséhez).
Átmenő hitelesítési ügynök naplóinak gyűjtése
Az esetleges probléma típusától függően különböző helyeken kell keresnie az átmenő hitelesítési ügynök naplóit.
Microsoft Entra Csatlakozás naplók
A telepítéssel kapcsolatos hibákért tekintse meg a Microsoft Entra Csatlakozás naplóit a következő helyen%ProgramData%\AADConnect\trace-*.log
: .
Authentication Agent event logs
A hitelesítési ügynökhöz kapcsolódó hibákért nyissa meg az Eseménynapló alkalmazást a kiszolgálón, és tekintse meg az Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin mappa tartalmát.
A részletes elemzéshez engedélyezze a "Munkamenet" naplót (kattintson a jobb gombbal a Eseménynapló alkalmazáson belül a beállítás megkereséséhez). Don't run the Authentication Agent with this log enabled during normal operations; use only for troubleshooting. A napló tartalma csak a napló ismételt letiltása után látható.
Részletes nyomkövetési naplók
A felhasználói bejelentkezési hibák elhárításához keressen nyomkövetési naplókat a %ProgramData%\Microsoft\Azure AD Csatlakozás Authentication Agent\Trace\ webhelyen. Ezek a naplók tartalmazzák azokat az okokat, amelyek miatt egy adott felhasználó bejelentkezése sikertelen volt az átmenő hitelesítés funkcióval. Ezek a hibák az előző bejelentkezési hiba okai táblában látható bejelentkezési hibák okaira is le vannak képezve. Az alábbiakban egy példanapló-bejegyzés látható:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
A hiba leíró részleteit (az előző példában 1328) a parancssor megnyitásával és a következő parancs futtatásával kaphatja meg (Megjegyzés: Cserélje le az 1328-at a naplókban látható tényleges hibaszámra):
Net helpmsg 1328
Átmenő hitelesítés bejelentkezési naplói
Ha a naplózás engedélyezve van, további információk találhatók az átmenő hitelesítési kiszolgáló biztonsági naplóiban. A bejelentkezési kérelmek lekérdezésének egyszerű módja a biztonsági naplók szűrése a következő lekérdezéssel:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Teljesítményfigyelő számlálók
A hitelesítési ügynökök monitorozásának másik módja az egyes teljesítményfigyelő számlálók nyomon követése minden kiszolgálón, amelyen a hitelesítési ügynök telepítve van. Használja a következő globális számlálókat (# PTA-hitelesítések, #PTA sikertelen hitelesítések és #PTA sikeres hitelesítések) és hibaszámlálókat (# PTA-hitelesítési hibák):
Fontos
Az átmenő hitelesítés több hitelesítési ügynökkel biztosítja a magas rendelkezésre állást, és nem a terheléselosztást. A konfigurációtól függően nem minden hitelesítési ügynök kap nagyjából ugyanannyi kérést. Lehetséges, hogy egy adott hitelesítési ügynök egyáltalán nem fogad forgalmat.