Az Azure Active Directory átmenő hitelesítésének hibaelhárítása

Ez a cikk segítséget nyújt az Azure AD átmenő hitelesítésével kapcsolatos gyakori problémák hibaelhárítási információinak megkeresésében.

Fontos

Ha felhasználói bejelentkezési problémákat szembesül az átmenő hitelesítéssel kapcsolatban, ne tiltsa le a funkciót, és ne távolítsa el az átmenő hitelesítési ügynököket anélkül, hogy csak felhőalapú globális rendszergazdai fiókra lenne szükség. Ismerje meg, hogyan adhat hozzá csak felhőalapú globális rendszergazdai fiókot. Ez a lépés kritikus fontosságú, és gondoskodik arról, hogy ne zárják ki a bérlőből.

Általános problémák

A szolgáltatás és a hitelesítési ügynökök állapotának ellenőrzése

Győződjön meg arról, hogy az átmenő hitelesítés funkció továbbra is engedélyezve van a bérlőn, és a hitelesítési ügynökök állapota Aktív,és nem Inaktív. Az állapotot a felügyeleti központ Azure AD Csatlakozáspaneljével Azure Active Directory ellenőrizheti.

Azure Active Directory admin center - Azure AD Connect blade

Azure Active Directory admin center - Pass-through Authentication blade

Felhasználói bejelentkezési hibaüzenetek

Ha a felhasználó nem tud átmenő hitelesítéssel bejelentkezni, a következő felhasználói hibák egyikét láthatja az Azure AD bejelentkezési képernyőjén:

Hiba Leírás Feloldás
AADSTS80001 Nem lehet csatlakozni a Active Directory Győződjön meg arról, hogy az ügynökkiszolgálók ugyanannak az AD-erdőnek a tagjai, mint azok a felhasználók, akiknek a jelszavát ellenőrizni kell, és képesek csatlakozni a Active Directory.
AADSTS8002 Időtúllépés történt a Active Directory Ellenőrizze, hogy a Active Directory elérhető-e, és válaszol-e az ügynököktől származó kérelmekre.
AADSTS80004 Az ügynöknek átadott felhasználónév érvénytelen volt Győződjön meg arról, hogy a felhasználó a megfelelő felhasználónévvel próbál bejelentkezni.
AADSTS80005 Az ellenőrzés előre nem látható WebException hibába ütközött Átmeneti hiba. Próbálja újra a kérést. Ha továbbra is sikertelen, forduljon a Microsoft ügyfélszolgálatához.
AADSTS80007 Hiba történt a Active Directory További információért tekintse meg az ügynöknaplókat, és ellenőrizze, Active Directory a várt módon működik-e.

Érvénytelen felhasználónév/jelszó hibaüzenet jelenik meg a felhasználók számára

Ez akkor fordulhat elő, ha a felhasználó helyszíni UserPrincipalName (UPN) neve eltér a felhasználó felhőalapú UPN-jtől.

Annak megerősítéséhez, hogy ez a probléma, először tesztelje, hogy az átmenő hitelesítési ügynök megfelelően működik-e:

  1. Hozzon létre egy tesztfiókot.

  2. Importálja a PowerShell-modult az ügynökgépre:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
    
  3. Futtassa a PowerShell meghívása parancsot:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter 
    
  4. Amikor a rendszer a hitelesítő adatok megadását kéri, adja meg ugyanazt a felhasználónevet és jelszót, amely a () -be való bejelentkezéshez https://login.microsoftonline.com szükséges.

Ha ugyanaz a felhasználónév/jelszó hiba jelenik meg, az azt jelenti, hogy az átmenő hitelesítési ügynök megfelelően működik, és a probléma az lehet, hogy a helyszíni UPN nem átirányítható. További információ: Alternatív bejelentkezési azonosító konfigurálása.

Fontos

Ha az Azure AD Csatlakozás-kiszolgáló nincs tartományhoz csatlakozva, akkor az Azure AD Csatlakozás: Előfeltételek– érvénytelen felhasználónévvel/jelszóval kapcsolatos probléma lép fel.

Bejelentkezési hibák okai a Azure Active Directory felügyeleti központban (Prémium szükséges)

Ha a bérlőhöz prémium szintű Azure AD licenc van társítva, a bejelentkezési tevékenységről szóló jelentést a felügyeleti Azure Active Directory is meg.

Azure Active Directory admin center - Sign-ins report

Lépjen a Azure Active Directory – Bejelentkezések elemre Azure Active Directory felügyeleti központban, és kattintson egy adott felhasználó bejelentkezési tevékenységére. Keresse meg a BEJELENTKEZÉSI HIBAKÓD mezőt. Az alábbi táblázat segítségével leképezi a mező értékét a hiba okának és megoldásának ére:

Bejelentkezési hibakód Bejelentkezési hiba oka Feloldás
50144 A felhasználó Active Directory jelszava lejárt. Állítsa alaphelyzetbe a felhasználó jelszavát a helyi Active Directory.
80001 Nem érhető el hitelesítési ügynök. Hitelesítési ügynök telepítése és regisztrálása.
80002 A hitelesítési ügynök jelszó-érvényesítési kérése túllépte az időkorlátot. Ellenőrizze, hogy a Active Directory elérhető-e a hitelesítési ügynökről.
80003 A hitelesítési ügynök érvénytelen választ kapott. Ha a probléma folyamatosan reprodukálható több felhasználóra nézve, ellenőrizze a Active Directory konfigurációját.
80004 A bejelentkezési kérésben helytelen egyszerű felhasználónevet (UPN-t) használtak. Kérje meg a felhasználót, hogy a megfelelő felhasználónévvel jelentkezzen be.
80005 Hitelesítési ügynök: hiba történt. Átmeneti hiba. Próbálkozzon újra később.
80007 A hitelesítési ügynök nem tudott csatlakozni az Active Directory-hoz. Ellenőrizze, hogy a Active Directory elérhető-e a hitelesítési ügynökről.
80010 A hitelesítési ügynök nem tudta visszafejteni a jelszót. Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. Távolítsa el az aktuálisat.
80011 A hitelesítési ügynök nem tudta lekérni a visszafejtési kulcsot. Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. Távolítsa el az aktuálisat.
80014 Az érvényesítési kérelem a maximális eltelt idő túllépése után válaszolt. A hitelesítési ügynök időkorrekta. Nyisson meg egy támogatási jegyet a hibakóddal, a korrelációs azonosítóval és az időbélyegzővel, hogy további részleteket kapjon a hibáról

Fontos

Az átmenő hitelesítési ügynökök a Win32 LogonUser APIhívása révén hitelesítik az Azure AD-felhasználókat a felhasználónevük és jelszavuk Active Directory való hitelesítésével. Ennek eredményeképpen, ha a Active Directory bejelentkezési hozzáférésének korlátozására beállította a "Bejelentkezés a következőre" beállítást, akkor az átmenő hitelesítési ügynököket üzemeltető kiszolgálókat is hozzá kell adni a "Bejelentkezési cél" kiszolgálók listájához. Ha ezt nem teszi meg, a felhasználók nem fognak bejelentkezni az Azure AD-be.

A hitelesítési ügynök telepítésével kapcsolatos problémák

Váratlan hiba történt

Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a probléma megoldásához.

A hitelesítési ügynök regisztrációjával kapcsolatos problémák

A hitelesítési ügynök regisztrációja blokkolt portok miatt meghiúsult

Győződjön meg arról, hogy a kiszolgáló, amelyre a hitelesítési ügynök telepítve van, képes kommunikálni az itt felsorolt szolgáltatás-URL-címekkel és portokkal.

A hitelesítési ügynök regisztrációja jogkivonat- vagy fiókengedélyezési hibák miatt meghiúsult

Győződjön meg arról, hogy csak felhőalapú globális rendszergazdai fiókot használ az Azure AD összes Csatlakozás hitelesítési ügynök telepítési és regisztrációs műveletéhez. Ismert probléma van az MFA-kompatibilis globális rendszergazdai fiókokkal; áthidaló megoldásként ideiglenesen (csak a műveletek befejezéséhez) kapcsolja ki az MFA-t.

Váratlan hiba történt

Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a probléma megoldásához.

A hitelesítési ügynök eltávolításával kapcsolatos problémák

Figyelmeztető üzenet az Azure AD-Csatlakozás

Ha az átmenő hitelesítés engedélyezve van a bérlőn, és megpróbálja eltávolítani az Azure AD Csatlakozás-t, a következő figyelmeztető üzenet jelenik meg: "A felhasználók nem fognak tudni bejelentkezni az Azure AD-be, kivéve, ha más átmenő hitelesítési ügynökök vannak telepítve más kiszolgálókon."

Az Azure AD Csatlakozás eltávolítása előtt győződjön meg arról, hogy a beállítás magas rendelkezésre áll.

A funkció engedélyezésével kapcsolatos problémák

A szolgáltatás engedélyezése nem sikerült, mert nem voltak elérhető hitelesítési ügynökök

Az átmenő hitelesítés bérlőn való engedélyezéséhez legalább egy aktív hitelesítési ügynökre van szükség. Hitelesítési ügynök telepítéséhez telepítse az Azure AD-Csatlakozás vagy egy különálló hitelesítési ügynököt.

A szolgáltatás engedélyezése blokkolt portok miatt meghiúsult

Győződjön meg arról, hogy az a kiszolgáló, amelyre az Azure AD Csatlakozás telepítve van, képes kommunikálni az itt felsorolt szolgáltatási URL-címekkel és portokkal.

A funkció engedélyezése jogkivonat- vagy fiókengedélyezési hibák miatt meghiúsult

Győződjön meg arról, hogy csak felhőalapú globális rendszergazdai fiókot használ a funkció engedélyezésekor. Ismert probléma van a többtényezős hitelesítéssel (MFA) kompatibilis globális rendszergazdai fiókokkal; áthidaló megoldásként ideiglenesen (csak a művelet befejezéséhez) kapcsolja ki az MFA-t.

Átmenő hitelesítési ügynök naplóinak gyűjtése

A probléma típusától függően különböző helyeken kell keresnie az átmenő hitelesítési ügynök naplóit.

Azure AD Csatlakozás naplók

A telepítéssel kapcsolatos hibákért tekintse meg az Azure AD Csatlakozás naplóit a %ProgramData%\AADConnect\trace-*.log mappában.

Hitelesítési ügynök eseménynaplói

A hitelesítési ügynökkel kapcsolatos hibákért nyissa meg a Eseménynapló-alkalmazást a kiszolgálón, és ellenőrizze az Alkalmazás- és szolgáltatásnaplók\Microsoft\AzureAdConnect\AuthenticationAgent\Admin mappában.

A részletes elemzéshez engedélyezze a "Munkamenet" naplót (kattintson a jobb gombbal a Eseménynapló az alkalmazáson belül, hogy megtalálja ezt a lehetőséget). Ne futtassa a hitelesítési ügynököt, ha a napló engedélyezve van a normál működés során; A csak hibaelhárításhoz használható. A napló tartalma csak akkor látható, ha a napló ismét le van tiltva.

Részletes nyomkövetési naplók

A felhasználói bejelentkezési hibák elhárításához keresse meg a nyomkövetési naplókat a %ProgramData%\Microsoft\Azure AD Csatlakozás Authentication Agent\Trace\ mappában. Ezek a naplók okokat tartalmaznak arra, hogy egy adott felhasználói bejelentkezés miért nem sikerült az átmenő hitelesítés funkció használatával. Ezek a hibák a bejelentkezési hibák okaira is leképezve vannak, amelyek a bejelentkezés sikertelenségére vonatkozó fenti táblázatban láthatók. Az alábbiakban egy példa látható naplóbejegyzésre:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

A hiba leíró részleteit ("1328" az előző példában) a parancssor megnyitásával és a következő parancs futtatásával kaphatja meg (Megjegyzés: Cserélje le az 1328-at a naplókban látható tényleges hibaszámra):

Net helpmsg 1328

Pass-through Authentication

Tartományvezérlő naplói

Ha a naplózás engedélyezve van, további információk találhatók a tartományvezérlők biztonsági naplóiban. Az átmenő hitelesítési ügynökök által küldött bejelentkezési kérelmek lekérdezésének egyszerű módja a következő:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Teljesítményfigyelő számlálói

A hitelesítési ügynökök figyelése egy másik módja, ha nyomon követi a teljesítményfigyelő számlálóit minden olyan kiszolgálón, ahol telepítve van a hitelesítési ügynök. Használja a következő globális számlálókat ( #PTA-hitelesítések,#PTA sikertelen hitelesítések és #PTAsikeres hitelesítések ) és hibaszámlálókat ( #PTA-hitelesítési hibák):

Pass-through Authentication Performance Monitor counters

Fontos

Az átmenő hitelesítés több hitelesítési ügynök használatával biztosít magas rendelkezésre állást, nem pedig terheléselosztást. A konfigurációtól függően nem minden hitelesítési ügynök kap nagyjából ugyanannyi kérést. Lehetséges, hogy egy adott hitelesítési ügynök egyáltalán nem kap forgalmat.