Risolvere i problemi di connettività con Azure AD ConnectTroubleshoot connectivity issues with Azure AD Connect

Questo articolo illustra il funzionamento della connettività tra Azure AD Connect e Azure AD e come risolverne i problemi.This article explains how connectivity between Azure AD Connect and Azure AD works and how to troubleshoot connectivity issues. Questi problemi si verificano con maggiore probabilità in un ambiente con un server proxy.These issues are most likely to be seen in an environment with a proxy server.

Risolvere i problemi di connettività nell'Installazione guidataTroubleshoot connectivity issues in the installation wizard

Azure AD Connect usa l'autenticazione moderna con la libreria ADAL per l'autenticazione.Azure AD Connect is using Modern Authentication (using the ADAL library) for authentication. L'Installazione guidata e il motore di sincronizzazione richiedono machine.config per una corretta configurazione, in quanto si tratta di due applicazioni .NET.The installation wizard and the sync engine proper require machine.config to be properly configured since these two are .NET applications.

Questo articolo illustra in che modo Fabrikam si connette ad Azure AD tramite il proxy.In this article, we show how Fabrikam connects to Azure AD through its proxy. Il server proxy è denominato fabrikamproxy e usa la porta 8080.The proxy server is named fabrikamproxy and is using port 8080.

Prima di tutto è necessario verificare che machine.config sia configurato correttamente.First we need to make sure machine.config is correctly configured.
machineconfigmachineconfig

Nota

In alcuni blog non Microsoft è invece documentato che le modifiche devono essere apportate al file miiserver.exe.config.In some non-Microsoft blogs, it is documented that changes should be made to miiserver.exe.config instead. Questo file viene però sovrascritto a ogni aggiornamento, quindi anche se funziona durante l'installazione iniziale, il sistema smetterà di funzionare al primo aggiornamento.However, this file is overwritten on every upgrade so even if it works during initial install, the system stops working on first upgrade. Per questo motivo è consigliabile aggiornare machine.config.For that reason, the recommendation is to update machine.config instead.

Per il server proxy devono essere aperti anche gli URL necessari.The proxy server must also have the required URLs opened. L'elenco ufficiale è documentato in URL e intervalli di indirizzi IP per Office 365 .The official list is documented in Office 365 URLs and IP address ranges.

Nella tabella seguente sono riportate le impostazioni minime relative agli URL assolutamente indispensabili per potersi connettere ad Azure AD.Of these URLs, the following table is the absolute bare minimum to be able to connect to Azure AD at all. L'elenco non include le funzionalità facoltative, ad esempio il writeback delle password o Azure AD Connect Health.This list does not include any optional features, such as password writeback, or Azure AD Connect Health. Le impostazioni documentate di seguito sono finalizzate alla risoluzione dei problemi relativi alla configurazione iniziale.It is documented here to help in troubleshooting for the initial configuration.

URLURL PortPort DescrizioneDescription
mscrl.microsoft.commscrl.microsoft.com HTTP/80HTTP/80 Usate per scaricare gli elenchi di CRL.Used to download CRL lists.
*.verisign.com*.verisign.com HTTP/80HTTP/80 Usate per scaricare gli elenchi di CRL.Used to download CRL lists.
*.entrust.com*.entrust.com HTTP/80HTTP/80 Usato per scaricare gli elenchi di CRL per MFA.Used to download CRL lists for MFA.
*.windows.net*.windows.net HTTPS/443HTTPS/443 Usato per accedere ad Azure AD.Used to sign in to Azure AD.
secure.aadcdn.microsoftonline-p.comsecure.aadcdn.microsoftonline-p.com HTTPS/443HTTPS/443 Usato per MFA.Used for MFA.
*.microsoftonline.com*.microsoftonline.com HTTPS/443HTTPS/443 Usato per configurare la directory di Azure AD e i dati di importazione/esportazione.Used to configure your Azure AD directory and import/export data.

Errori nella procedura guidataErrors in the wizard

L'Installazione guidata usa due diversi contesti di sicurezza.The installation wizard is using two different security contexts. Nella pagina Connessione ad Azure AD usa l'utente attualmente connesso.On the page Connect to Azure AD, it is using the currently signed in user. Nella pagina Configura passa all'account che esegue il servizio per il motore di sincronizzazione.On the page Configure, it is changing to the account running the service for the sync engine. La presenza di un eventuale problema sarà probabilmente già evidente nella pagina Connessione ad Azure AD della procedura guidata, in quanto la configurazione del proxy è globale.If there is an issue, it appears most likely already at the Connect to Azure AD page in the wizard since the proxy configuration is global.

Di seguito sono riportati i problemi più comuni che vengono visualizzati nell'Installazione guidata.The following issues are the most common errors you encounter in the installation wizard.

L'Installazione guidata non è stata configurata correttamenteThe installation wizard has not been correctly configured

Questo errore viene visualizzato quando la procedura guidata non riesce a raggiungere il proxy.This error appears when the wizard itself cannot reach the proxy.
nomachineconfig

  • Se viene visualizzato questo errore, verificare che machine.config sia stato configurato correttamente.If you see this error, verify the machine.config has been correctly configured.
  • Se il file è corretto, seguire i passaggi in Verificare la connettività del proxy per vedere se il problema è presente anche all'esterno della procedura guidata.If that looks correct, follow the steps in Verify proxy connectivity to see if the issue is present outside the wizard as well.

Viene usato un account MicrosoftA Microsoft account is used

Se si usa un account Microsoft anziché un account dell'istituto di istruzione o dell'organizzazione, viene visualizzato un errore generico.If you use a Microsoft account rather than a school or organization account, you see a generic error.
Viene usato un account MicrosoftA Microsoft Account is used

L'endpoint MFA non è raggiungibileThe MFA endpoint cannot be reached

Questo errore viene visualizzato se l'endpoint https://secure.aadcdn.microsoftonline-p.com non è raggiungibile e l'amministratore globale ha abilitato l'autenticazione MFA.This error appears if the endpoint https://secure.aadcdn.microsoftonline-p.com cannot be reached and your global admin has MFA enabled.
nomachineconfignomachineconfig

  • Se viene visualizzato questo errore, verificare che l'endpoint secure.aadcdn.microsoftonline-p.com sia stato aggiunto al proxy.If you see this error, verify that the endpoint secure.aadcdn.microsoftonline-p.com has been added to the proxy.

La password non può essere verificataThe password cannot be verified

Se l'Installazione guidata riesce a connettersi ad Azure AD, ma non è possibile verificare la password, viene visualizzato questo errore:If the installation wizard is successful in connecting to Azure AD, but the password itself cannot be verified you see this error:
badpassword

  • È una password temporanea e deve essere modificata?Is the password a temporary password and must be changed? È effettivamente la password corretta?Is it actually the correct password? Provare ad accedere ad https://login.microsoftonline.com da un computer diverso dal server Azure AD Connect e verificare che l'account sia utilizzabile.Try to sign in to https://login.microsoftonline.com (on another computer than the Azure AD Connect server) and verify the account is usable.

Verificare la connettività del proxyVerify proxy connectivity

Per verificare se il server Azure AD Connect può effettivamente connettersi al proxy e a Internet, usare alcuni comandi di PowerShell per controllare se il proxy consente o meno le richieste Web.To verify if the Azure AD Connect server has actual connectivity with the Proxy and Internet, use some PowerShell to see if the proxy is allowing web requests or not. Al prompt di PowerShell eseguire Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc.In a PowerShell prompt, run Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. Tecnicamente la prima chiamata viene effettuata a https://login.microsoftonline.com. Sebbene tale URI funzioni comunque, la risposta dell'altro URI è più veloce.(Technically the first call is to https://login.microsoftonline.com and this URI works as well, but the other URI is faster to respond.)

PowerShell usa la configurazione presente in machine.config per contattare il proxy.PowerShell uses the configuration in machine.config to contact the proxy. Le impostazioni in winhttp/netsh non dovranno influire su questi cmdlet.The settings in winhttp/netsh should not impact these cmdlets.

Se il proxy è configurato correttamente, viene visualizzato lo stato corrispondente alla riuscita dell'operazione: proxy200If the proxy is correctly configured, you should get a success status: proxy200

Se viene visualizzato il messaggio Impossibile effettuare la connessione al server remoto, PowerShell sta provando a effettuare una chiamata diretta senza usare il proxy oppure il DNS non è configurato correttamente.If you receive Unable to connect to the remote server, then PowerShell is trying to make a direct call without using the proxy or DNS is not correctly configured. Verificare che il file machine.config sia configurato correttamente.Make sure the machine.config file is correctly configured. unabletoconnectunabletoconnect

Se il proxy non è configurato correttamente, verrà visualizzato un errore: proxy200 proxy407If the proxy is not correctly configured, you get an error: proxy200 proxy407

Tipi di erroreError Testo dell'erroreError Text CommentoComment
403403 Accesso negatoForbidden Il proxy non è stato aperto per l'URL richiesto.The proxy has not been opened for the requested URL. Rivedere la configurazione del proxy e assicurarsi che gli URL siano stati aperti.Revisit the proxy configuration and make sure the URLs have been opened.
407407 Autenticazione proxy obbligatoriaProxy Authentication Required Il server proxy ha richiesto l'accesso, che non è stato eseguito.The proxy server required a sign-in and none was provided. Se il server proxy richiede l'autenticazione, assicurarsi che tale impostazione sia configurata in machine.config. Verificare anche di usare account di dominio sia per l'utente che esegue la procedura guidata sia per l'account del servizio.If your proxy server requires authentication, make sure to have this setting configured in the machine.config. Also make sure you are using domain accounts for the user running the wizard and for the service account.

Impostazione del timeout di inattività del proxyProxy idle timeout setting

Quando Azure AD Connect invia una richiesta di esportazione ad Azure AD, potrebbero volerci fino a 5 minuti affinché Azure AD elabori la richiesta prima di generare una risposta.When Azure AD Connect sends an export request to Azure AD, Azure AD can take up to 5 minutes to process the request before generating a response. Questo può verificarsi soprattutto se sono presenti un numero di oggetti del gruppo con appartenenza a un gruppo di grandi dimensioni incluso nella stessa richiesta di esportazione.This can happen especially if there are a number of group objects with large group memberships included in the same export request. Verificare che il timeout di inattività del proxy sia configurato per essere superiore ai 5 minuti.Ensure the Proxy idle timeout is configured to be greater than 5 minutes. In caso contrario, è possibile che si verifichino problemi di connettività intermittente con Azure Active Directory nel server di Azure AD Connect.Otherwise, intermittent connectivity issue with Azure AD may be observed on the Azure AD Connect server.

Modello di comunicazione tra Azure AD Connect e Azure ADThe communication pattern between Azure AD Connect and Azure AD

Se sono stati eseguiti tutti i passaggi precedenti e ancora non è possibile connettersi, si può iniziare a esaminare i log di rete.If you have followed all these preceding steps and still cannot connect, you might at this point start looking at network logs. Questa sezione documenta un normale modello di connettività riuscita.This section is documenting a normal and successful connectivity pattern. Sono elencati anche alcuni diversivi comuni che possono essere ignorati durante la lettura dei log di rete.It is also listing common red herrings that can be ignored when you are reading the network logs.

  • Vengono effettuate chiamate a https://dc.services.visualstudio.com. Non è necessario che questo URL sia aperto nel proxy perché l'installazione riesca e le chiamate possono essere ignorate.There are calls to https://dc.services.visualstudio.com. It is not required to have this URL open in the proxy for the installation to succeed and these calls can be ignored.
  • La risoluzione DNS elenca gli host effettivi che devono essere presenti nello spazio dei nomi DNS nsatc.net e altri spazi dei nomi non in microsoftonline.com. Non sono tuttavia presenti richieste di servizi Web su nomi di server effettivi e non è necessario aggiungere tali URL al proxy.You see that dns resolution lists the actual hosts to be in the DNS name space nsatc.net and other namespaces not under microsoftonline.com. However, there are not any web service requests on the actual server names and you do not have to add these URLs to the proxy.
  • Gli endpoint adminwebservice e provisioningapi sono endpoint di individuazione e servono per trovare l'endpoint effettivo da usare.The endpoints adminwebservice and provisioningapi are discovery endpoints and used to find the actual endpoint to use. Questi endpoint variano in base al paese.These endpoints are different depending on your region.

Log del proxy di riferimentoReference proxy logs

Ecco il dump del log di un proxy effettivo e la pagina dell'Installazione guidata dalla quale è stato rilevato. Le voci duplicate per lo stesso endpoint sono state rimosse.Here is a dump from an actual proxy log and the installation wizard page from where it was taken (duplicate entries to the same endpoint have been removed). Questa sezione può essere usata come riferimento per i log di rete e proxy in uso.This section can be used as a reference for your own proxy and network logs. È possibile che gli endpoint effettivi siano diversi nell'ambiente in uso, in particolare gli URL riportati in corsivo.The actual endpoints might be different in your environment (in particular those URLs in italic).

Connessione ad Azure ADConnect to Azure AD

TimeTime URLURL
1/11/2016 8:311/11/2016 8:31 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:311/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:321/11/2016 8:32 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:321/11/2016 8:32 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:331/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:331/11/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443connect://bwsc02-relay.microsoftonline.com:443

ConfiguraConfigure

TimeTime URLURL
1/11/2016 8:431/11/2016 8:43 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:431/11/2016 8:43 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:431/11/2016 8:43 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://bba900-anchor.microsoftonline.com:443connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:461/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:461/11/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443connect://bwsc02-relay.microsoftonline.com:443

Sincronizzazione inizialeInitial Sync

TimeTime URLURL
1/11/2016 8:481/11/2016 8:48 connect://login.windows.net:443connect://login.windows.net:443
1/11/2016 8:491/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:491/11/2016 8:49 connect://bba900-anchor.microsoftonline.com:443connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:491/11/2016 8:49 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443

Errori di autenticazioneAuthentication errors

Questa sezione illustra gli errori che possono essere restituiti da ADAL (la libreria di autenticazione usata da Azure AD Connect) e PowerShell.This section covers errors that can be returned from ADAL (the authentication library used by Azure AD Connect) and PowerShell. La spiegazione dell'errore può essere utile per comprendere i passaggi successivi.The error explained should help you in understand your next steps.

Concessione non validaInvalid Grant

Nome utente o password non validi.Invalid username or password. Per altre informazioni, vedere La password non può essere verificata.For more information, see The password cannot be verified.

Tipo di utente sconosciutoUnknown User Type

Non è possibile trovare o risolvere la directory di Azure AD.Your Azure AD directory cannot be found or resolved. Si tenta di accedere con un nome utente in un dominio non verificato?Maybe you try to login with a username in an unverified domain?

Individuazione dell'area di autenticazione utente non riuscitaUser Realm Discovery Failed

Problemi di configurazione di rete o del proxy.Network or proxy configuration issues. Non è possibile raggiungere la rete.The network cannot be reached. Vedere Risolvere i problemi di connettività nell'Installazione guidata.See Troubleshoot connectivity issues in the installation wizard.

Password utente scadutaUser Password Expired

Le credenziali sono scadute.Your credentials have expired. Modificare la password.Change your password.

Errore di autorizzazioneAuthorizationFailure

Problema sconosciuto.Unknown issue.

Autenticazione annullataAuthentication Cancelled

La richiesta di autenticazione a più fattori (MFA) è stata annullata.The multi-factor authentication (MFA) challenge was cancelled.

Connessione a MS OnlineConnectToMSOnline

L'autenticazione ha avuto esito positivo, ma Azure AD PowerShell ha un problema di autenticazione.Authentication was successful, but Azure AD PowerShell has an authentication problem.

Ruolo di Azure mancanteAzureRoleMissing

L'autenticazione ha avuto esito positivo.Authentication was successful. L'utente non è un amministratore globale.You are not a global administrator.

Privileged Identity ManagementPrivilegedIdentityManagement

L'autenticazione ha avuto esito positivo.Authentication was successful. Privileged Identity Management è abilitata e l'utente attualmente non è un amministratore globale.Privileged identity management has been enabled and you are currently not a global administrator. Per altre informazioni, vedere Privileged Identity Management.For more information, see Privileged Identity Management.

Informazioni aziendali non disponibiliCompanyInfoUnavailable

L'autenticazione ha avuto esito positivo.Authentication was successful. Impossibile recuperare le informazioni aziendali da Azure AD.Could not retrieve company information from Azure AD.

Recupero dominiRetrieveDomains

L'autenticazione ha avuto esito positivo.Authentication was successful. Impossibile recuperare le informazioni sul dominio da Azure AD.Could not retrieve domain information from Azure AD.

Eccezione imprevistaUnexpected exception

Visualizzata come un errore imprevisto nell'Installazione guidata,Shown as Unexpected error in the installation wizard. può verificarsi se si tenta di usare un Account Microsoft anziché un account dell'istituto di istruzione o dell'organizzazione.Can happen if you try to use a Microsoft Account rather than a school or organization account.

Procedure di risoluzione dei problemi per le versioni precedenti.Troubleshooting steps for previous releases.

L'Assistente per l'accesso è stato ritirato a partire dalle versioni con numero di build 1.1.105.0, rilasciata nel mese di febbraio 2016.With releases starting with build number 1.1.105.0 (released February 2016), the sign-in assistant was retired. Questa sezione e la configurazione non dovrebbero essere più necessarie, ma vengono conservate come riferimento.This section and the configuration should no longer be required, but is kept as reference.

Per consentire il funzionamento dell'Assistente per l'accesso, è necessario configurare winhttpFor the single-sign in assistant to work, winhttp must be configured. Questa configurazione può essere eseguita con netsh.This configuration can be done with netsh.
netshnetsh

L'Assistente per l'accesso non è stato configurato correttamenteThe Sign-in assistant has not been correctly configured

Questo errore viene visualizzato quando l'Assistente per l'accesso non riesce a raggiungere il proxy o il proxy non consente la richiesta.This error appears when the Sign-in assistant cannot reach the proxy or the proxy is not allowing the request. nonetshnonetsh

  • Se viene visualizzato questo errore, esaminare la configurazione del proxy in netsh e verificare che sia corretta.If you see this error, look at the proxy configuration in netsh and verify it is correct. netshshownetshshow
  • Se il file è corretto, seguire i passaggi in Verificare la connettività del proxy per vedere se il problema è presente anche all'esterno della procedura guidata.If that looks correct, follow the steps in Verify proxy connectivity to see if the issue is present outside the wizard as well.

Passaggi successiviNext steps

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.