Risolvere i problemi di connettività di Azure AD

Questo articolo illustra il funzionamento della connettività tra Azure AD Connect e Azure AD e come risolverne i problemi. Questi problemi si verificano con maggiore probabilità in un ambiente con un server proxy.

Risolvere i problemi di connettività nell'Installazione guidata

Azure AD Connect usa la libreria MSAL per l'autenticazione. L'Installazione guidata e il motore di sincronizzazione richiedono machine.config per una corretta configurazione, in quanto si tratta di due applicazioni .NET.

Nota

Azure AD Connect v1.6.xx.x usa la libreria ADAL. La libreria ADAL è deprecata e il supporto termina a giugno 2022. Microsoft consiglia di eseguire l'aggiornamento alla versione più recente di Azure AD Connect v2.

Questo articolo illustra in che modo Fabrikam si connette ad Azure AD tramite il proxy. Il server proxy è denominato fabrikamproxy e usa la porta 8080.

Prima di tutto è necessario assicurarsi chemachine.config sia configurato correttamente e il servizio di sincronizzazione di Microsoft Azure AD sia stato riavviato una volta dopo l'aggiornamento del file machine.config. Screenshot shows part of the machine dot config file.

Nota

In alcuni blog non Microsoft è invece documentato che le modifiche devono essere apportate al file miiserver.exe.config. Questo file viene però sovrascritto a ogni aggiornamento, quindi anche se funziona durante l'installazione iniziale, il sistema smetterà di funzionare al primo aggiornamento. Per questo motivo è consigliabile aggiornare machine.config.

Per il server proxy devono essere aperti anche gli URL necessari. L'elenco ufficiale è documentato in URL e intervalli di indirizzi IP per Office 365 .

Nella tabella seguente sono riportate le impostazioni minime relative agli URL assolutamente indispensabili per potersi connettere ad Azure AD. L'elenco non include le funzionalità facoltative, ad esempio il writeback delle password o Azure AD Connect Health. Le impostazioni documentate di seguito sono finalizzate alla risoluzione dei problemi relativi alla configurazione iniziale.

URL Porta Descrizione
mscrl.microsoft.com HTTP/80 Usate per scaricare gli elenchi di CRL.
*.verisign.com HTTP/80 Usate per scaricare gli elenchi di CRL.
*.entrust.net HTTP/80 Usato per scaricare gli elenchi di CRL per MFA.
*.management.core.windows.net (Archiviazione di Azure)
*.graph.windows.net (Azure AD Graph)
HTTPS/443 Usato per i vari servizi di Azure
secure.aadcdn.microsoftonline-p.com HTTPS/443 Usato per MFA.
*.microsoftonline.com HTTPS/443 Usato per configurare la directory di Azure AD e i dati di importazione/esportazione.
*.crl3.digicert.com HTTP/80 Usato per verificare i certificati.
*.crl4.digicert.com HTTP/80 Usato per verificare i certificati.
*.ocsp.digicert.com HTTP/80 Usato per verificare i certificati.
*.www.d-trust.net HTTP/80 Usato per verificare i certificati.
*.root-c3-ca2-2009.ocsp.d-trust.net HTTP/80 Usato per verificare i certificati.
*.crl.microsoft.com HTTP/80 Usato per verificare i certificati.
*.oneocsp.microsoft.com HTTP/80 Usato per verificare i certificati.
*.ocsp.msocsp.com HTTP/80 Usato per verificare i certificati.

Errori nella procedura guidata

L'Installazione guidata usa due diversi contesti di sicurezza. Nella pagina Connettersi ad Azure AD viene usato l'utente attualmente connesso. Nella pagina Configura viene modificato l'account che esegue il servizio per il motore di sincronizzazione. La presenza di un eventuale problema sarà probabilmente già evidente nella pagina Connessione ad Azure AD della procedura guidata, in quanto la configurazione del proxy è globale.

Di seguito sono riportati i problemi più comuni che vengono visualizzati nell'Installazione guidata.

L'Installazione guidata non è stata configurata correttamente

Questo errore viene visualizzato quando la procedura guidata non riesce a raggiungere il proxy. Screenshot shows an error: Unable to validate credentials.

  • Se viene visualizzato questo errore, verificare che machine.config sia stato configurato correttamente.
  • Se il file è corretto, seguire i passaggi in Verificare la connettività del proxy per vedere se il problema è presente anche all'esterno della procedura guidata.

Viene usato un account Microsoft

Se si usa un account Microsoft anziché un account dell'istituto di istruzione o dell'organizzazione, viene visualizzato un errore generico. A Microsoft Account is used

L'endpoint MFA non è raggiungibile

Questo errore viene visualizzato se l'endpoint https://secure.aadcdn.microsoftonline-p.com non è raggiungibile e l'amministratore globale ha abilitato l'autenticazione MFA. nomachineconfig

  • Se viene visualizzato questo errore, verificare che l'endpoint secure.aadcdn.microsoftonline-p.com sia stato aggiunto al proxy.

La password non può essere verificata

Se l'installazione guidata ha esito positivo nella connessione ad Azure AD, ma la password stessa non può essere verificata, viene visualizzato questo errore: Bad password.

  • È una password temporanea e deve essere modificata? È effettivamente la password corretta? Provare ad accedere a https://login.microsoftonline.com da un computer diverso dal server di Azure AD Connect e verificare che l'account sia utilizzabile.

Verificare la connettività del proxy

Per verificare se il server Azure AD Connect può effettivamente connettersi al proxy e a Internet, usare alcuni comandi di PowerShell per controllare se il proxy consente o meno le richieste Web. Al prompt di PowerShell eseguire Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. Tecnicamente la prima chiamata viene effettuata a https://login.microsoftonline.com e anche questo URI funziona, ma la risposta dell'altro URI è più veloce.

PowerShell usa la configurazione presente in machine.config per contattare il proxy. Le impostazioni in winhttp/netsh non dovranno influire su questi cmdlet.

Se il proxy è configurato correttamente, è necessario ottenere uno stato di esito positivo: Screenshot that shows the success status when the proxy is configured correctly.

Se non è possibile connettersi al server remoto, PowerShell sta tentando di eseguire una chiamata diretta senza usare il proxy o il DNS non è configurato correttamente. Assicurarsi che il file machine.config sia configurato correttamente. unabletoconnect

Se il proxy non è configurato correttamente, viene visualizzato un errore: proxy200proxy407

Errore Testo dell'errore Commento
403 Accesso negato Il proxy non è stato aperto per l'URL richiesto. Rivedere la configurazione del proxy e assicurarsi che gli URL siano stati aperti.
407 Autenticazione proxy obbligatoria Il server proxy ha richiesto l'accesso, che non è stato eseguito. Se il server proxy richiede l'autenticazione, assicurarsi di avere questa impostazione configurata nella machine.config. Assicurarsi inoltre di usare gli account di dominio per l'utente che esegue la procedura guidata e per l'account del servizio.

Impostazione del timeout di inattività del proxy

Quando Azure AD Connect invia una richiesta di esportazione ad Azure AD, potrebbero volerci fino a 5 minuti affinché Azure AD elabori la richiesta prima di generare una risposta. Questo può verificarsi soprattutto se sono presenti un numero di oggetti del gruppo con appartenenza a un gruppo di grandi dimensioni incluso nella stessa richiesta di esportazione. Verificare che il timeout di inattività del proxy sia configurato per essere superiore ai 5 minuti. In caso contrario, è possibile che si verifichino problemi di connettività intermittente con Azure Active Directory nel server di Azure AD Connect.

Modello di comunicazione tra Azure AD Connect e Azure AD

Se sono stati eseguiti tutti i passaggi precedenti e ancora non è possibile connettersi, si può iniziare a esaminare i log di rete. Questa sezione documenta un normale modello di connettività riuscita. Sono elencati anche alcuni diversivi comuni che possono essere ignorati durante la lettura dei log di rete.

  • Vengono effettuate chiamate a https://dc.services.visualstudio.com. Non è necessario che questo URL sia aperto nel proxy perché l'installazione riesca e le chiamate possono essere ignorate.
  • La risoluzione DNS elenca gli host effettivi che devono essere presenti nello spazio dei nomi DNS nsatc.net e altri spazi dei nomi non in microsoftonline.com. Non sono tuttavia presenti richieste di servizi Web su nomi di server effettivi e non è necessario aggiungere tali URL al proxy.
  • Gli endpoint adminwebservice e provisioningapi sono endpoint di individuazione e servono per trovare l'endpoint effettivo da usare. Questi endpoint variano in base al paese.

Log del proxy di riferimento

Ecco il dump del log di un proxy effettivo e la pagina dell'Installazione guidata dalla quale è stato rilevato. Le voci duplicate per lo stesso endpoint sono state rimosse. Questa sezione può essere usata come riferimento per i log di rete e proxy in uso. È possibile che gli endpoint effettivi siano diversi nell'ambiente in uso, in particolare gli URL riportati in corsivo.

Connessione ad Azure AD

Tempo URL
1/11/2016 8:31 connect://login.microsoftonline.com:443
1/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:32 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:32 connect://login.microsoftonline.com:443
1/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443

Configurare

Tempo URL
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:43 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443

Sincronizzazione iniziale

Tempo URL
1/11/2016 8:48 connect://login.windows.net:443
1/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:49 connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:49 connect://bba800-anchor.microsoftonline.com:443

Errori di autenticazione

Questa sezione illustra gli errori che possono essere restituiti da ADAL (la libreria di autenticazione usata da Azure AD Connect) e PowerShell. La spiegazione dell'errore può essere utile per comprendere i passaggi successivi.

Concessione non valida

Nome utente o password non validi. Per altre informazioni, vedere La password non può essere verificata.

Tipo di utente sconosciuto

Non è possibile trovare o risolvere la directory di Azure AD. Si tenta di accedere con un nome utente in un dominio non verificato?

Individuazione dell'area di autenticazione utente non riuscita

Problemi di configurazione di rete o del proxy. Non è possibile raggiungere la rete. Vedere Risolvere i problemi di connettività nell'Installazione guidata.

Password utente scaduta

Le credenziali sono scadute. Modificare la password.

Errore di autorizzazione

Non è stato possibile autorizzare l'utente a eseguire azioni in Azure AD.

Autenticazione annullata

La sfida MFA (Multi-Factor Authentication) è stata annullata.

Connessione a MS Online non riuscita

L'autenticazione ha avuto esito positivo, ma Azure AD PowerShell ha un problema di autenticazione.

È necessario il ruolo di amministratore globale di Azure AD

Utente autenticato correttamente. All'utente non è stato assegnato il ruolo di amministratore globale. In questo modo è possibile assegnare il ruolo di amministratore globale all'utente.

Privileged Identity Management (PIM) abilitata

L'autenticazione ha avuto esito positivo. Privileged Identity Management è abilitata e l'utente attualmente non è un amministratore globale. Per altre informazioni, vedere Privileged Identity Management.

Informazioni sulla società non disponibili

L'autenticazione ha avuto esito positivo. Impossibile recuperare le informazioni aziendali da Azure AD.

Informazioni sul dominio non disponibili

L'autenticazione ha avuto esito positivo. Impossibile recuperare le informazioni sul dominio da Azure AD.

Errore di autenticazione non specificato

Visualizzata come un errore imprevisto nell'Installazione guidata, può verificarsi se si tenta di usare un Account Microsoft anziché un account dell'istituto di istruzione o dell'organizzazione.

Procedure di risoluzione dei problemi per le versioni precedenti.

L'Assistente per l'accesso è stato ritirato a partire dalle versioni con numero di build 1.1.105.0, rilasciata nel mese di febbraio 2016. Questa sezione e la configurazione non dovrebbero essere più necessarie, ma vengono conservate come riferimento.

Per consentire il funzionamento dell'Assistente per l'accesso, è necessario configurare winhttp Questa configurazione può essere eseguita con netsh. Screenshot shows a command prompt window running the netsh tool to set a proxy.

L'Assistente per l'accesso non è stato configurato correttamente

Questo errore viene visualizzato quando l'Assistente per l'accesso non riesce a raggiungere il proxy o il proxy non consente la richiesta. Screenshot shows an error: Unable to validate credentials, Verify network connectivity and firewall or proxy settings.

  • Se viene visualizzato questo errore, esaminare la configurazione del proxy in netsh e verificare che sia corretta. Screenshot shows a command prompt window running the netsh tool to show the proxy configuration.
  • Se il file è corretto, seguire i passaggi in Verificare la connettività del proxy per vedere se il problema è presente anche all'esterno della procedura guidata.

Passaggi successivi

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.