Risolvere i problemi di autenticazione pass-through di Azure Active DirectoryTroubleshoot Azure Active Directory Pass-through Authentication

Questo articolo consente di trovare informazioni utili per risolvere i problemi comuni relativi all'autenticazione pass-through di Azure AD.This article helps you find troubleshooting information about common issues regarding Azure AD Pass-through Authentication.

Importante

Se si verificano problemi di accesso utente con l'autenticazione pass-through, non disabilitare la funzionalità o disinstallare gli agenti di autenticazione pass-through se non è disponibile un account amministratore globale solo cloud per eseguire il fallback.If you are facing user sign-in issues with Pass-through Authentication, don't disable the feature or uninstall Pass-through Authentication Agents without having a cloud-only Global Administrator account to fall back on. Informazioni su come aggiungere un account amministratore globale di tipo solo cloud.Learn about adding a cloud-only Global Administrator account. L'esecuzione di questo passaggio è fondamentale ed evita di rimanere bloccati fuori dal tenant.Doing this step is critical and ensures that you don't get locked out of your tenant.

Problemi generaliGeneral issues

Controllare lo stato della funzionalità e degli agenti di autenticazioneCheck status of the feature and Authentication Agents

Verificare che la funzionalità di autenticazione pass-through sia ancora abilitata nel tenant e che lo stato degli agenti di autenticazione mostri Attivoe non Inattivo.Ensure that the Pass-through Authentication feature is still Enabled on your tenant and the status of Authentication Agents shows Active, and not Inactive. Per verificare lo stato, è possibile passare al pannello Azure AD Connect nell'interfaccia di amministrazione di Azure Active Directory.You can check status by going to the Azure AD Connect blade on the Azure Active Directory admin center.

Interfaccia di amministrazione di Azure Active Directory - Pannello Azure AD Connect

Interfaccia di amministrazione di Azure Active Directory - Pannello Autenticazione pass-through

Messaggi di errore visualizzati in fase di accessoUser-facing sign-in error messages

Se l'utente non è in grado di accedere usando l'autenticazione pass-through, è possibile che venga visualizzato uno dei seguenti errori nella schermata di accesso di Azure AD:If the user is unable to sign into using Pass-through Authentication, they may see one of the following user-facing errors on the Azure AD sign-in screen:

ErroreError DescriptionDescription RisoluzioneResolution
AADSTS80001AADSTS80001 Impossibile connettersi ad Active DirectoryUnable to connect to Active Directory Verificare che i server degli agenti siano membri della stessa foresta AD degli utenti le cui password devono essere convalidate e siano in grado di connettersi ad Active Directory.Ensure that agent servers are members of the same AD forest as the users whose passwords need to be validated and they are able to connect to Active Directory.
AADSTS8002AADSTS8002 Si è verificato un timeout di connessione ad Active DirectoryA timeout occurred connecting to Active Directory Verificare che Active Directory sia disponibile e risponda alle richieste degli agenti.Check to ensure that Active Directory is available and is responding to requests from the agents.
AADSTS80004AADSTS80004 Il nome utente passato all'agente non era validoThe username passed to the agent was not valid Assicurarsi che l'utente stia tentando di accedere con il nome utente corretto.Ensure the user is attempting to sign in with the right username.
AADSTS80005AADSTS80005 La convalida ha rilevato un errore WebException imprevedibileValidation encountered unpredictable WebException Errore temporaneo.A transient error. ripetere la richiesta.Retry the request. Se il problema persiste, contattare il supporto Microsoft.If it continues to fail, contact Microsoft support.
AADSTS80007AADSTS80007 Errore durante la comunicazione con Active DirectoryAn error occurred communicating with Active Directory Controllare i registri dell'agente per altre informazioni e verificare che Active Directory funzioni come previsto.Check the agent logs for more information and verify that Active Directory is operating as expected.

Motivi degli errori di accesso nell'interfaccia di amministrazione di Azure Active Directory (necessaria licenza Premium)Sign-in failure reasons on the Azure Active Directory admin center (needs Premium license)

Se al tenant è associata una licenza di Azure AD Premium, è anche possibile esaminare il report delle attività di accesso nell'interfaccia di amministrazione di Azure Active Directory.If your tenant has an Azure AD Premium license associated with it, you can also look at the sign-in activity report on the Azure Active Directory admin center.

Interfaccia di amministrazione di Azure Active Directory - Report sugli accessi

Passare ad Azure Active Directory -> Accessi nell'interfaccia di amministrazione di Azure Active Directory e fare clic sull'attività di accesso di un utente specifico.Navigate to Azure Active Directory -> Sign-ins on the Azure Active Directory admin center and click a specific user's sign-in activity. Individuare il campo CODICE ERRORE DI ACCESSO.Look for the SIGN-IN ERROR CODE field. Eseguire il mapping del valore del campo a un motivo e una risoluzione dell'errore usando la tabella seguente:Map the value of that field to a failure reason and resolution using the following table:

Codice dell'errore di accessoSign-in error code Motivo dell'errore di accessoSign-in failure reason RisoluzioneResolution
5014450144 La password di Active Directory dell'utente è scaduta.User's Active Directory password has expired. Reimpostare la password dell'utente nella sessione locale di Active Directory.Reset the user's password in your on-premises Active Directory.
8000180001 Non sono disponibili agenti di autenticazione.No Authentication Agent available. Installare e registrare un agente di autenticazione.Install and register an Authentication Agent.
8000280002 Timeout della richiesta di convalida della password dell'agente di autenticazione.Authentication Agent's password validation request timed out. Verificare se Active Directory è raggiungibile dall'agente di autenticazione.Check if your Active Directory is reachable from the Authentication Agent.
8000380003 Risposta non valida ricevuta dall'agente di autenticazione.Invalid response received by Authentication Agent. Se il problema è riproducibile in modo coerente tra più utenti, controllare la configurazione di Active Directory.If the problem is consistently reproducible across multiple users, check your Active Directory configuration.
8000480004 È stato usato un nome dell'entità utente (UPN) non corretto nella richiesta di accesso.Incorrect User Principal Name (UPN) used in sign-in request. Chiedere all'utente di accedere con il nome utente corretto.Ask the user to sign in with the correct username.
8000580005 Agente di autenticazione: si è verificato un errore.Authentication Agent: Error occurred. Errore temporaneo.Transient error. Riprovare.Try again later.
8000780007 L'agente di autenticazione non è in grado di connettersi ad Active Directory.Authentication Agent unable to connect to Active Directory. Verificare se Active Directory è raggiungibile dall'agente di autenticazione.Check if your Active Directory is reachable from the Authentication Agent.
8001080010 L'agente di autenticazione non è in grado di decrittografare la password.Authentication Agent unable to decrypt password. Se il problema è riproducibile in modo coerente, installare e registrare un nuovo agente di autenticazione.If the problem is consistently reproducible, install and register a new Authentication Agent. E disinstallare quello corrente.And uninstall the current one.
8001180011 L'agente di autenticazione non è in grado di recuperare la chiave di decrittografia.Authentication Agent unable to retrieve decryption key. Se il problema è riproducibile in modo coerente, installare e registrare un nuovo agente di autenticazione.If the problem is consistently reproducible, install and register a new Authentication Agent. E disinstallare quello corrente.And uninstall the current one.

Problemi di installazione dell'agente di autenticazioneAuthentication Agent installation issues

Si è verificato un errore imprevistoAn unexpected error occurred

Raccogliere i registri dell'agente dal server e contattare il supporto tecnico Microsoft per risolvere il problema.Collect agent logs from the server and contact Microsoft Support with your issue.

Problemi di registrazione dell'agente di autenticazioneAuthentication Agent registration issues

La registrazione dell'agente di autenticazione non è riuscita a causa di porte bloccateRegistration of the Authentication Agent failed due to blocked ports

Verificare che il server in cui è installato l'agente di autenticazione sia in grado di comunicare con gli URL del nostro servizio e le porte indicate qui.Ensure that the server on which the Authentication Agent has been installed can communicate with our service URLs and ports listed here.

La registrazione dell'agente di autenticazione non è riuscita a causa di errori di autorizzazione dell'account o del tokenRegistration of the Authentication Agent failed due to token or account authorization errors

Assicurarsi di usare un account amministratore globale solo cloud per tutte le operazioni di installazione e registrazione dell'agente di autenticazione autonomo o di Azure AD Connect.Ensure that you use a cloud-only Global Administrator account for all Azure AD Connect or standalone Authentication Agent installation and registration operations. Esiste un problema noto con gli account amministratore globale con autenticazione MFA abilitata: disattivare l'autenticazione MFA temporaneamente (solo per completare le operazioni) come soluzione alternativa.There is a known issue with MFA-enabled Global Administrator accounts; turn off MFA temporarily (only to complete the operations) as a workaround.

Si è verificato un errore imprevistoAn unexpected error occurred

Raccogliere i registri dell'agente dal server e contattare il supporto tecnico Microsoft per risolvere il problema.Collect agent logs from the server and contact Microsoft Support with your issue.

Problemi di disinstallazione dell'agente di autenticazioneAuthentication Agent uninstallation issues

Messaggio di avviso quando si disinstalla Azure AD ConnectWarning message when uninstalling Azure AD Connect

Se l'autenticazione pass-through è abilitata nel tenant e si tenta di disinstallare Azure AD Connect, un messaggio di avviso indica che gli utenti non potranno accedere ad Azure AD se non sono installati altri agenti di autenticazione pass-through in altri server.If you have Pass-through Authentication enabled on your tenant and you try to uninstall Azure AD Connect, it shows you the following warning message: "Users will not be able to sign-in to Azure AD unless you have other Pass-through Authentication agents installed on other servers."

Verificare che l'installazione in uso sia a disponibilità elevata prima di disinstallare Azure AD Connect per evitare interruzioni degli accessi utente.Ensure that your setup is high available before you uninstall Azure AD Connect to avoid breaking user sign-in.

Problemi con l'abilitazione della funzionalitàIssues with enabling the feature

L'abilitazione della funzionalità non è riuscita perché non erano disponibili agenti di autenticazioneEnabling the feature failed because there were no Authentication Agents available

È necessario che sia attivo almeno un agente di autenticazione per abilitare l'autenticazione pass-through nel tenant.You need to have at least one active Authentication Agent to enable Pass-through Authentication on your tenant. È possibile installare sia un agente di autenticazione di Azure AD Connect sia un agente di autenticazione autonomo.You can install an Authentication Agent by either installing Azure AD Connect or a standalone Authentication Agent.

L'abilitazione della funzionalità non è riuscita a causa di porte bloccateEnabling the feature failed due to blocked ports

Assicurasi che il server in cui è installato Azure AD Connect possa comunicare con gli URL del nostro servizio e le porte elencate qui.Ensure that the server on which Azure AD Connect is installed can communicate with our service URLs and ports listed here.

L'abilitazione della funzionalità non è riuscita a causa di errori di autorizzazione dell'account o del tokenEnabling the feature failed due to token or account authorization errors

Assicurarsi di usare un account amministratore globale solo cloud quando si abilita la funzionalità.Ensure that you use a cloud-only Global Administrator account when enabling the feature. Esiste un problema noto con gli account amministratore globale con autenticazione MFA abilitata: disattivare l'autenticazione MFA temporaneamente (solo per completare le operazioni) come soluzione alternativa.There is a known issue with multi-factor authentication (MFA)-enabled Global Administrator accounts; turn off MFA temporarily (only to complete the operation) as a workaround.

Problemi di configurazione di Exchange ActiveSyncExchange ActiveSync configuration issues

Questi sono i problemi comuni quando si configura il supporto di Exchange ActiveSync per l'autenticazione pass-through.These are the common issues when you configure Exchange ActiveSync support for Pass-through Authentication.

Problema relativo a PowerShell per ExchangeExchange PowerShell issue

Se viene restituito l'errore "Impossibile trovare un parametro corrispondente al nome 'PerTenantSwitchToESTSEnabled'."If you see the "A parameter cannot be found that matches parameter name 'PerTenantSwitchToESTSEnabled'." quando si esegue il comando Set-OrganizationConfig di PowerShell per Exchange, contattare il supporto Microsoft.error when you run the Set-OrganizationConfig Exchange PowerShell command, contact Microsoft Support.

Exchange ActiveSync non funzionaExchange ActiveSync not working

L'applicazione della configurazione richiede tempo. Il periodo di tempo dipende dall'ambiente.The configuration takes some time to take effect - the time period depends on your environment. Se il problema persiste a lungo, contattare il supporto Microsoft.If the situation persists for a long time, contact Microsoft Support.

Raccolta dei registri dell'agente di autenticazione pass-throughCollecting Pass-through Authentication Agent logs

In base al tipo di problema, i registri dell'agente di autenticazione pass-through vanno cercati in posizioni diverse.Depending on the type of issue you may have, you need to look in different places for Pass-through Authentication Agent logs.

Log di Azure AD ConnectAzure AD Connect logs

Per gli errori relativi all'installazione, controllare i log di Azure AD Connect in %ProgramData%\AADConnect\trace-*.log.For errors related to installation, check the Azure AD Connect logs at %ProgramData%\AADConnect\trace-*.log.

Registri eventi dell'agente di autenticazioneAuthentication Agent event logs

Per gli errori correlati all'agente di autenticazione aprire l'applicazione Visualizzatore eventi sul server e controllare in Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.For errors related to the Authentication Agent, open up the Event Viewer application on the server and check under Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.

Per un'analisi dettagliata, abilitare il registro "Session".For detailed analytics, enable the "Session" log. Non eseguire l'agente di autenticazione con questo registro abilitato durante il funzionamento normale, usarlo solo per la risoluzione dei problemi.Don't run the Authentication Agent with this log enabled during normal operations; use only for troubleshooting. Il contenuto del registro è visibile solo dopo che il registro è stato nuovamente disattivato.The log contents are only visible after the log is disabled again.

Log di traccia dettagliatiDetailed trace logs

Per risolvere gli errori di accesso utente, esaminare i log di traccia in %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\.To troubleshoot user sign-in failures, look for trace logs at %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Questi log includono i motivi per cui l'accesso di un utente specifico non è riuscito tramite la funzionalità di autenticazione pass-through.These logs include reasons why a specific user sign-in failed using the Pass-through Authentication feature. Questi errori sono anche associati ai motivi degli errori di accesso indicati nella tabella precedente.These errors are also mapped to the sign-in failure reasons shown in the preceding table. Di seguito è riportato un esempio di voce di registro:Following is an example log entry:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

È possibile ottenere una descrizione dettagliata dell'errore, "1328" nell'esempio precedente, aprendo il prompt dei comandi ed eseguendo il comando seguente (sostituire "1328" con il numero di errore effettivo visualizzato nei registri):You can get descriptive details of the error ('1328' in the preceding example) by opening up the command prompt and running the following command (Note: Replace '1328' with the actual error number that you see in your logs):

Net helpmsg 1328

Autenticazione pass-through

Log del controller di dominioDomain Controller logs

Se la registrazione di controllo è abilitata, sono disponibili informazioni aggiuntive nei log di sicurezza dei controller di dominio.If audit logging is enabled, additional information can be found in the security logs of your Domain Controllers. Un modo semplice per eseguire query sulle richieste di accesso inviate dagli agenti di autenticazione pass-through è il seguente:A simple way to query sign-in requests sent by Pass-through Authentication Agents is as follows:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Contatori di Performance MonitorPerformance Monitor counters

Un altro metodo per monitorare gli agenti di autenticazione consiste nel monitorare contatori di Performance Monitor specifici in ogni server in cui è installato l'agente di autenticazione.Another way to monitor Authentication Agents is to track specific Performance Monitor counters on each server where the Authentication Agent is installed. Usare i contatori globali (relativi a numero di autenticazioni pass-through, numero di autenticazioni pass-through non riuscite e numero di autenticazioni pass-through riuscite) e i contatori di errori (relativi a numero di errori di autenticazione pass-through) seguenti:Use the following Global counters (# PTA authentications, #PTA failed authentications and #PTA successful authentications) and Error counters (# PTA authentication errors):

Contatori di Performance Monitor per l'autenticazione pass-through

Importante

L'autenticazione pass-through fornisce disponibilità elevata tramite più agenti di autenticazione, senza il bilanciamento del carico.Pass-through Authentication provides high availability using multiple Authentication Agents, and not load balancing. A seconda della configurazione, non tutti gli agenti di autenticazione ricevono all'incirca un numero uguale di richieste.Depending on your configuration, not all your Authentication Agents receive roughly equal number of requests. È possibile che un agente di autenticazione specifico non riceva traffico del tutto.It is possible that a specific Authentication Agent receives no traffic at all.