Mengatasi pesan kesalahan dari ekstensi NPS untuk autentikasi multifaktor Microsoft Entra
Jika Anda mengalami kesalahan dengan ekstensi NPS untuk autentikasi multifaktor Microsoft Entra, gunakan artikel ini untuk mencapai resolusi lebih cepat. Log ekstensi NPS ditemukan di Pemantau Peristiwa pada Log Aplikasi dan Layanan>Microsoft>AzureMfa>AuthN>AuthZ di server tempat Ekstensi NPS terinstal.
Langkah pemecahan masalah untuk kesalahan umum
| Kode kesalahan | Langkah-langkah pemecahan masalah |
|---|---|
| CONTACT_SUPPORT | Hubungi dukungan, dan sebutkan daftar langkah-langkah untuk mengumpulkan log. Berikan informasi sebanyak mungkin tentang apa yang terjadi sebelum kesalahan, termasuk ID penyewa, dan nama prinsipal pengguna (UPN). |
| CLIENT_CERT_INSTALL_ERROR | Mungkin terdapat masalah dengan instalasi sertifikat klien atau terkait dengan penyewa Anda. Ikuti petunjuk dalam Pemecahan masalah ekstensi NPS MFA untuk menyelidiki masalah sertifikasi klien. |
| ESTS_TOKEN_ERROR | Ikuti petunjuk di Memecahkan masalah ekstensi MFA NPS untuk menyelidiki masalah sertifikat klien dan token keamanan. |
| HTTPS_COMMUNICATION_ERROR | Server NPS tidak dapat menerima respons dari autentikasi multifaktor Microsoft Entra. Verifikasi bahwa firewall Anda terbuka dua arah untuk lalu lintas menuju dan dari https://adnotifications.windowsazure.com dan bahwa TLS 1.2 diaktifkan (secara default). Jika TLS 1.2 dinonaktifkan, autentikasi pengguna gagal dan ID peristiwa 36871 dengan SChannel sumber dimasukkan dalam log Sistem di Pemantau Peristiwa. Untuk memverifikasi TLS 1.2 diaktifkan, lihat Pengaturan registri TLS. |
| HTTP_CONNECT_ERROR | Pada server yang menjalankan ekstensi NPS, verifikasi bahwa Anda dapat menjangkau https://adnotifications.windowsazure.com dan https://login.microsoftonline.com/. Jika situs tersebut tidak dimuat, pecahkan masalah konektivitas di server tersebut. |
| Ekstensi NPS untuk autentikasi multifaktor Microsoft Entra (AccessReject): Ekstensi NPS untuk autentikasi multifaktor Microsoft Entra hanya melakukan Autentikasi Sekunder untuk permintaan Radius dalam Status AccessAccept. Permintaan diterima untuk nama pengguna User dengan status respons AccessReject, yang mengabaikan permintaan. |
Kesalahan ini biasanya mencerminkan kegagalan autentikasi dalam AD atau server NPS tidak dapat menerima respons dari Microsoft Entra ID. Verifikasi bahwa firewall Anda terbuka dua arah untuk lalu lintas ke dan dari https://adnotifications.windowsazure.com dan https://login.microsoftonline.com menggunakan port 80 dan 443. Penting juga untuk memeriksa bahwa pada tab DIAL-IN Izin Akses Jaringan, pengaturan diatur ke "mengontrol akses melalui Kebijakan Jaringan NPS". Kesalahan ini juga dapat memicu jika pengguna tidak diberi lisensi. |
| Ekstensi NPS untuk autentikasi multifaktor Microsoft Entra (AccessChallenge): Ekstensi NPS untuk autentikasi multifaktor Microsoft Entra hanya melakukan Autentikasi Sekunder untuk permintaan Radius dalam Status AccessAccept. Permintaan diterima untuk Nama pengguna pengguna dengan status respons AccessChallenge, mengabaikan permintaan. |
Respons ini digunakan ketika informasi tambahan diperlukan dari pengguna untuk menyelesaikan proses autentikasi atau otorisasi. Server NPS mengirimkan tantangan kepada pengguna, meminta kredensial atau informasi lebih lanjut. Biasanya mendahului respons Access-Accept atau Access-Reject. |
| REGISTRY_CONFIG_ERROR | Sebuah kunci tidak ada di registri untuk aplikasi, yang mungkin karena skrip PowerShell tidak dijalankan setelah instalasi. Pesan kesalahan harus menyertakan kunci yang tidak ada. Pastikan Anda memiliki kunci pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
| REQUEST_FORMAT_ERROR Permintaan Radius kehilangan atribut wajib Radius userName\Identifier. Verifikasi bahwa NPS menerima permintaan RADIUS |
Kesalahan ini biasanya mencerminkan masalah penginstalan. Ekstensi NPS harus dipasang di server NPS yang dapat menerima permintaan RADIUS. Server NPS yang dipasang sebagai dependensi untuk layanan seperti RDG dan RRAS tidak menerima permintaan radius. Ekstensi NPS tidak berfungsi saat diinstal melalui penginstalan dan kesalahan tersebut karena tidak dapat membaca detail dari permintaan autentikasi. |
| REQUEST_MISSING_CODE | Pastikan bahwa protokol enkripsi kata sandi antara server NPS dan NAS mendukung metode autentikasi sekunder yang Anda gunakan. PAP mendukung semua metode autentikasi autentikasi multifaktor Microsoft Entra di cloud: panggilan telepon, pesan teks satu arah, pemberitahuan aplikasi seluler, dan kode verifikasi aplikasi seluler. CHAPV2 dan EAP mendukung panggilan telepon dan pemberitahuan aplikasi seluler. |
| USERNAME_CANONICALIZATION_ERROR | Verifikasi bahwa pengguna ada di instans Active Directory lokal Anda, dan Layanan NPS memiliki izin untuk mengakses direktori. Jika Anda menggunakan kepercayaan hutan, hubungi dukungan untuk bantuan lebih lanjut. |
| Tantangan yang diminta dalam Ext Autentikasi untuk Pengguna | Organisasi yang menggunakan protokol RADIUS selain PAP melihat otorisasi VPN pengguna gagal dengan peristiwa ini muncul di log peristiwa AuthZOptCh dari server Ekstensi NPS. Anda dapat mengonfigurasi Server NPS untuk mendukung PAP. Jika PAP bukan opsi, Anda dapat mengatur OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE untuk kembali ke Pemberitahuan push Setujui/Tolak. Untuk bantuan lebih lanjut, silakan periksa Pencocokan nomor menggunakan Ekstensi NPS. |
Kesalahan ID masuk alternatif
| Kode kesalahan | Pesan kesalahan | Langkah-langkah pemecahan masalah |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Kesalahan: lookup userObjectSid gagal | Verifikasi bahwa pengguna ada di instans Active Directory lokal Anda. Jika Anda menggunakan kepercayaan hutan, hubungi dukungan untuk bantuan lebih lanjut. |
| ALTERNATE_LOGIN_ID_ERROR | Kesalahan: Lookup LoginId alternatif gagal | Verifikasi bahwa LDAP_ALTERNATE_LOGINID_ATTRIBUTE diatur ke atribut direktori aktif yang valid. Jika LDAP_FORCE_GLOBAL_CATALOG diatur ke True, atau LDAP_LOOKUP_FORESTS dikonfigurasi dengan nilai yang tidak kosong, verifikasi bahwa Anda telah mengonfigurasi Katalog Global dan atribut AlternateLoginId ditambahkan ke dalamnya. Jika LDAP_LOOKUP_FORESTS dikonfigurasi dengan nilai tidak kosong, verifikasi bahwa nilai tersebut benar. Jika ada lebih dari satu nama forest, nama-nama tersebut harus dipisahkan dengan titik koma, bukan spasi. Jika langkah-langkah ini tidak memperbaiki masalah, hubungi dukungan untuk bantuan lebih lanjut. |
| ALTERNATE_LOGIN_ID_ERROR | Kesalahan: Nilai LoginId alternatif kosong | Verifikasi bahwa atribut AlternateLoginId dikonfigurasi untuk pengguna. |
Kesalahan yang mungkin dihadapi pengguna Anda
| Kode kesalahan | Pesan kesalahan | Langkah-langkah pemecahan masalah |
|---|---|---|
| AccessDenied | Penyewa penelepon tidak memiliki izin akses untuk melakukan autentikasi bagi pengguna | Periksa apakah domain penyewa dan domain nama prinsipal pengguna (UPN) sama. Misalnya, pastikan bahwa user@contoso.com mencoba untuk melakukan autentikasi ke penyewa Contoso. UPN mewakili pengguna yang valid untuk penyewa di Azure. |
| AuthenticationMethodNotConfigured | Metode autentikasi yang ditentukan tidak dikonfigurasi untuk pengguna | Minta pengguna menambahkan atau memverifikasi metode verifikasi mereka sesuai dengan instruksi dalam Kelola pengaturan Anda untuk verifikasi dua langkah. |
| AuthenticationMethodNotSupported | Metode autentikasi yang ditentukan tidak didukung. | Kumpulkan semua log Anda yang menyertakan kesalahan ini, dan hubungi dukungan. Saat Anda menghubungi dukungan, berikan nama pengguna dan metode verifikasi sekunder yang memicu kesalahan. |
| BecAccessDenied | Panggilan MSODS Bec mengembalikan akses ditolak, mungkin nama pengguna tidak ditentukan dalam penyewa | Pengguna ada di Direktori Aktif lokal tetapi tidak disinkronkan ke ID Microsoft Entra oleh AD Koneksi. Atau, pengguna tidak ada untuk penyewa. Tambahkan pengguna ke MICROSOFT Entra ID dan minta mereka menambahkan metode verifikasi sesuai dengan instruksi di Mengelola pengaturan Anda untuk verifikasi dua langkah. |
| InvalidFormat atau StrongAuthenticationServiceInvalidParameter | Nomor telepon dalam format yang tidak dikenali | Minta pengguna memperbaiki nomor telepon verifikasi mereka. |
| InvalidSession | Sesi yang ditentukan tidak valid atau mungkin telah kedaluwarsa | Sesi ini telah memakan waktu lebih dari tiga menit untuk diselesaikan. Verifikasi bahwa pengguna memasukkan kode verifikasi, atau menanggapi pemberitahuan aplikasi, dalam waktu tiga menit sejak memulai permintaan autentikasi. Jika itu tidak memperbaiki masalah, periksa apakah tidak ada latensi jaringan antara klien, NAS Server, NPS Server, dan titik akhir autentikasi multifaktor Microsoft Entra. |
| NoDefaultAuthenticationMethodIsConfigured | Tidak ada metode autentikasi default yang dikonfigurasi untuk pengguna | Minta pengguna menambahkan atau memverifikasi metode verifikasi mereka sesuai dengan instruksi dalam Kelola pengaturan Anda untuk verifikasi dua langkah. Verifikasi bahwa pengguna telah memilih metode autentikasi default, dan mengonfigurasi metode tersebut untuk akun mereka. |
| OathCodePinIncorrect | Kode dan pin yang salah dimasukkan. | Kesalahan ini tidak diharapkan dalam ekstensi NPS. Jika pengguna Anda mengalami hal ini, hubungi dukungan untuk bantuan pemecahan masalah. |
| ProofDataNotFound | Data bukti tidak dikonfigurasi untuk metode autentikasi yang ditentukan. | Minta pengguna mencoba metode verifikasi yang berbeda, atau menambahkan metode verifikasi baru sesuai dengan instruksi di Mengelola pengaturan Anda untuk verifikasi dua langkah. Jika pengguna terus melihat kesalahan ini setelah Anda mengonfirmasi bahwa metode verifikasi mereka disiapkan dengan benar, hubungi dukungan. |
| SMSAuthFailedWrongCodePinEntered | Kode dan pin yang salah dimasukkan. (OneWaySMS) | Kesalahan ini tidak diharapkan dalam ekstensi NPS. Jika pengguna Anda mengalami hal ini, hubungi dukungan untuk bantuan pemecahan masalah. |
| TenantIsBlocked | Penyewa diblokir | Hubungi dukungan dengan ID Penyewa dari halaman properti Microsoft Entra di pusat admin Microsoft Entra. |
| UserNotFound | Pengguna yang ditentukan tidak ditemukan | Penyewa tidak lagi terlihat sebagai aktif di ID Microsoft Entra. Pastikan langganan Anda aktif dan Anda memiliki aplikasi pihak pertama yang diperlukan. Pastikan juga penyewa dalam subjek sertifikat sudah benar dan sertifikat masih berlaku dan terdaftar di bawah perwakilan layanan. |
Pesan yang mungkin ditemui pengguna Anda yang bukan kesalahan
Terkadang, pengguna Anda mungkin mendapatkan pesan dari autentikasi multifaktor karena permintaan autentikasi mereka gagal. Ini bukan kesalahan dari konfigurasi, tetapi merupakan peringatan yang disengaja yang menjelaskan alasan permintaan autentikasi ditolak.
| Kode kesalahan | Pesan kesalahan | Langkah-langkah yang disarankan |
|---|---|---|
| OathCodeIncorrect | Kode yang salah dimasukkan\Kode OATH Salah | Pengguna memasukkan kode yang salah. Minta pengguna mencoba lagi dengan meminta kode baru atau masuk lagi. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Percobaan kode yang diperbolehkan mencapai maksimum | Pengguna terlalu sering gagal dalam tantangan verifikasi. Bergantung pada pengaturan Anda, mereka mungkin perlu dibatalkan blokirnya oleh admin sekarang. |
| SMSAuthFailedWrongCodeEntered | Kode yang salah dimasukkan/Pesan Teks OTP Salah | Pengguna memasukkan kode yang salah. Minta pengguna mencoba lagi dengan meminta kode baru atau masuk lagi. |
| AuthenticationThrottled | Terlalu banyak upaya oleh pengguna dalam waktu singkat. Pembatasan. | Microsoft dapat membatasi upaya autentikasi berulang yang dilakukan oleh pengguna yang sama dalam waktu singkat. Batasan ini tidak berlaku untuk Microsoft Authenticator atau kode verifikasi. Jika telah mencapai batas ini, Anda dapat menggunakan Aplikasi Authenticator, kode verifikasi, atau mencoba masuk lagi dalam beberapa menit. |
| AuthenticationMethodLimitReached | Batas Metode Autentikasi Tercapai. Pembatasan. | Microsoft dapat membatasi upaya autentikasi berulang yang dilakukan oleh pengguna yang sama menggunakan jenis metode autentikasi yang sama dalam waktu singkat, khususnya Panggilan suara atau SMS. Batasan ini tidak berlaku untuk Microsoft Authenticator atau kode verifikasi. Jika telah mencapai batas ini, Anda dapat menggunakan Aplikasi Authenticator, kode verifikasi, atau mencoba masuk lagi dalam beberapa menit. |
Kesalahan yang memerlukan dukungan
Jika Anda mengalami salah satu kesalahan ini, kami sarankan Anda menghubungi dukungan untuk bantuan diagnostik. Tidak ada rangkaian langkah standar yang dapat mengatasi kesalahan ini. Saat Anda menghubungi dukungan, pastikan untuk menyertakan informasi sebanyak mungkin tentang langkah-langkah yang menyebabkan kesalahan, dan informasi penyewa Anda.
| Kode kesalahan | Pesan kesalahan |
|---|---|
| InvalidParameter | Permintaan tidak boleh null |
| InvalidParameter | ObjectId tidak boleh null atau kosong untuk ReplicationScope:{0} |
| InvalidParameter | Panjang CompanyName {0}\ lebih panjang dari panjang maksimum yang diizinkan {1} |
| InvalidParameter | UserPrincipalName tidak boleh null atau kosong |
| InvalidParameter | TenantId yang disediakan tidak dalam format yang benar |
| InvalidParameter | SessionId tidak boleh null atau kosong |
| InvalidParameter | Tidak dapat menyelesaikan ProofData apa pun dari permintaan atau Msods. ProofData tidak diketahui |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Langkah berikutnya
Memecahkan masalah akun pengguna
Jika pengguna Anda Mengalami masalah dengan verifikasi dua langkah, bantu mereka mendiagnosis masalah sendiri.
Skrip pemeriksaan kondisi
Skrip pemeriksaan kesehatan Ekstensi NPS autentikasi multifaktor Microsoft Entra melakukan beberapa pemeriksaan kesehatan dasar saat memecahkan masalah ekstensi NPS. Berikut adalah ringkasan singkat tentang setiap opsi yang tersedia saat skrip dijalankan:
- Opsi 1 - untuk mengisolasi penyebab masalah: jika masalah NPS atau MFA (Ekspor MFA RegKeys, Mulai Ulang NPS, Uji, Impor RegKeys, Mulai Ulang NPS)
- Opsi 2 - untuk memeriksa serangkaian pengujian lengkap, ketika tidak semua pengguna dapat menggunakan Ekstensi NPS MFA (Menguji Akses ke Azure/Membuat Laporan HTML)
- Opsi 3 - untuk memeriksa serangkaian pengujian tertentu, saat pengguna tertentu tidak dapat menggunakan Ekstensi NPS MFA (Uji MFA untuk UPN tertentu)
- Opsi 4 - untuk mengumpulkan log untuk menghubungi dukungan Microsoft (Aktifkan Pengelogan/Mulai Ulang NPS/Kumpulkan Log)
Hubungi dukungan Microsoft
Jika Anda memerlukan bantuan tambahan, hubungi profesional dukungan melalui dukungan MFA. Saat menghubungi kami, sangat berguna jika Anda dapat menyertakan informasi sebanyak mungkin tentang masalah Anda. Informasi yang dapat Anda berikan mencakup halaman tempat Anda melihat kesalahan, kode kesalahan spesifik, ID sesi spesifik, ID pengguna yang melihat kesalahan tersebut, dan log debug.
Untuk mengumpulkan log debug untuk diagnostik dukungan, jalankan skrip pemeriksaan kesehatan Ekstensi NPS autentikasi multifaktor Microsoft Entra di server NPS dan pilih opsi 4 untuk mengumpulkan log untuk menyediakannya ke dukungan Microsoft.
Di akhir, unggah file output zip yang dihasilkan pada folder C:\NPS dan lampirkan ke kasus dukungan.