Autenticazione pass-through Microsoft Entra
Questo articolo consente di trovare informazioni sulla risoluzione dei problemi comuni relativi all'autenticazione pass-through di Microsoft Entra.
Importante
Se si verificano problemi di accesso utente con l'autenticazione pass-through, non disabilitare la funzionalità o disinstallare gli agenti di autenticazione pass-through senza avere un account globale Amministrazione istrator solo cloud o un account di identità ibrida Amministrazione istrator per eseguire il fallback. Informazioni su come aggiungere un account amministratore globale di tipo solo cloud. L'esecuzione di questo passaggio è fondamentale ed evita di rimanere bloccati fuori dal tenant.
Problemi generali
Controllare lo stato della funzionalità e degli agenti di autenticazione
Verificare che la funzionalità di autenticazione pass-through sia ancora abilitata nel tenant e che lo stato degli agenti di autenticazione mostri Attivoe non Inattivo. È possibile controllare lo stato andando al pannello Microsoft Entra Connect nell'interfaccia di amministrazione di Microsoft Entra.
Messaggi di errore visualizzati in fase di accesso
Se l'utente non è in grado di accedere tramite l'autenticazione pass-through, potrebbe essere visualizzato uno degli errori seguenti per l'utente nella schermata di accesso di Microsoft Entra:
| Errore | Descrizione | Risoluzione |
|---|---|---|
| AADSTS80001 | Impossibile connettersi ad Active Directory | Verificare che i server degli agenti siano membri della stessa foresta AD degli utenti le cui password devono essere convalidate e siano in grado di connettersi ad Active Directory. |
| AADSTS80002 | Si è verificato un timeout di connessione ad Active Directory | Verificare che Active Directory sia disponibile e risponda alle richieste degli agenti. |
| AADSTS80004 | Il nome utente passato all'agente non era valido | Assicurarsi che l'utente stia tentando di accedere con il nome utente corretto. |
| AADSTS80005 | La convalida ha rilevato un errore WebException imprevedibile | Errore temporaneo. ripetere la richiesta. Se il problema persiste, contattare il supporto Microsoft. |
| AADSTS80007 | Errore durante la comunicazione con Active Directory | Controllare i log dell'agente per altre informazioni e verificare che Active Directory funzioni come previsto. |
Gli utenti ricevono un errore di nome utente/password non valido
Questo problema può verificarsi quando l'UPN (UserPrincipalName) locale di un utente è diverso dall'UPN cloud dell'utente.
Per verificare che si tratta del problema, verificare innanzitutto che l'agente di autenticazione pass-through funzioni correttamente:
Creare un account di test.
Importare il modulo PowerShell nel computer agente:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Eseguire il comando Invoke PowerShell:
Invoke-PassthroughAuthOnPremLogonTroubleshooterQuando viene richiesto di immettere le credenziali, immettere lo stesso nome utente e la stessa password usati per accedere a (https://login.microsoftonline.com).
Se viene visualizzato lo stesso errore di nome utente/password, significa che l'agente di autenticazione pass-through funziona correttamente e il problema potrebbe essere che l'UPN locale non è instradabile. Per altre informazioni, vedere Configurazione dell'ID di accesso alternativo.
Importante
Se il server Microsoft Entra Connessione non è aggiunto a un dominio, si verifica un requisito indicato in Microsoft Entra Connessione: Prerequisiti, si verifica il problema relativo al nome utente/password non valido.
Motivi di errore di accesso nell'interfaccia di amministrazione di Microsoft Entra (richiede una licenza Premium)
Se al tenant è associata una licenza Microsoft Entra ID P1 o P2, è anche possibile esaminare il report sulle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra.
Passare a Microsoft Entra ID ->Accessi nell'[interfaccia di amministrazione di Microsoft Entra](https://portal.azure.com/) e fare clic sull'attività di accesso di un utente specifico. Individuare il campo CODICE ERRORE DI ACCESSO. Eseguire il mapping del valore del campo a un motivo e una risoluzione dell'errore usando la tabella seguente:
| Codice dell'errore di accesso | Motivo dell'errore di accesso | Risoluzione |
|---|---|---|
| 50144 | La password di Active Directory dell'utente è scaduta. | Reimpostare la password dell'utente nella sessione locale di Active Directory. |
| 80001 | Non sono disponibili agenti di autenticazione. | Installare e registrare un agente di autenticazione. |
| 80002 | Timeout della richiesta di convalida della password dell'agente di autenticazione. | Verificare se Active Directory è raggiungibile dall'agente di autenticazione. |
| 80003 | Risposta non valida ricevuta dall'agente di autenticazione. | Se il problema è riproducibile in modo coerente tra più utenti, controllare la configurazione di Active Directory. |
| 80004 | È stato usato un nome dell'entità utente (UPN) non corretto nella richiesta di accesso. | Chiedere all'utente di accedere con il nome utente corretto. |
| 80005 | Agente di autenticazione: si è verificato un errore. | Errore temporaneo. Riprovare. |
| 80007 | L'agente di autenticazione non è in grado di connettersi ad Active Directory. | Verificare se Active Directory è raggiungibile dall'agente di autenticazione. |
| 80010 | L'agente di autenticazione non è in grado di decrittografare la password. | Se il problema è riproducibile in modo coerente, installare e registrare un nuovo agente di autenticazione. E disinstallare quello corrente. |
| 80011 | L'agente di autenticazione non è in grado di recuperare la chiave di decrittografia. | Se il problema è riproducibile in modo coerente, installare e registrare un nuovo agente di autenticazione. E disinstallare quello corrente. |
| 80014 | La risposta della richiesta di convalida è pervenuta dopo il superamento del tempo massimo. | Timeout dell'agente di autenticazione. Aprire un ticket di supporto con il codice di errore, l'ID di correlazione e il timestamp per ottenere altri dettagli su questo errore |
Importante
Gli agenti di autenticazione pass-through autenticano gli utenti di Microsoft Entra convalidando i nomi utente e le password in Active Directory chiamando l'API Di accesso Win32User. Di conseguenza, se è stata impostata l'impostazione "Accesso a" in Active Directory per limitare l'accesso alla workstation, sarà necessario aggiungere server che ospitano agenti di autenticazione pass-through all'elenco dei server "Accesso a". Se non si esegue questa operazione, gli utenti non potranno accedere a Microsoft Entra ID.
Problemi di installazione dell'agente di autenticazione
Si è verificato un errore imprevisto
Raccogliere i log dell'agente dal server e contattare il supporto tecnico Microsoft per risolvere il problema.
Problemi di registrazione dell'agente di autenticazione
La registrazione dell'agente di autenticazione non è riuscita a causa di porte bloccate
Verificare che il server in cui è installato l'agente di autenticazione sia in grado di comunicare con gli URL del nostro servizio e le porte indicate qui.
La registrazione dell'agente di autenticazione non è riuscita a causa di errori di autorizzazione dell'account o del token
Assicurarsi di usare un account globale Amministrazione istrator solo cloud o un account di identità ibrida Amministrazione istrator per tutte le operazioni di installazione e registrazione di Microsoft Entra Connessione o dell'agente di autenticazione autonomo. Esiste un problema noto con gli account amministratore globale con autenticazione MFA abilitata: disattivare l'autenticazione MFA temporaneamente (solo per completare le operazioni) come soluzione alternativa.
Si è verificato un errore imprevisto
Raccogliere i log dell'agente dal server e contattare il supporto tecnico Microsoft per risolvere il problema.
Problemi di disinstallazione dell'agente di autenticazione
Messaggio di avviso durante la disinstallazione di Microsoft Entra Connessione
Se l'autenticazione pass-through è abilitata nel tenant e si tenta di disinstallare Microsoft Entra Connect, compare il seguente messaggio di avviso: "Gli utenti non potranno accedere a Microsoft Entra ID e non sono installati altri agenti di autenticazione pass-through in altri server."
Verificare che l'installazione in uso sia a disponibilità elevata prima di disinstallare Microsoft Entra Connect per evitare interruzioni degli accessi utente.
Problemi con l'abilitazione della funzionalità
L'abilitazione della funzionalità non è riuscita perché non erano disponibili agenti di autenticazione
È necessario che sia attivo almeno un agente di autenticazione per abilitare l'autenticazione pass-through nel tenant. È possibile installare un agente di autenticazione installando Microsoft Entra Connessione o un agente di autenticazione autonomo.
L'abilitazione della funzionalità non è riuscita a causa di porte bloccate
Assicurarsi che il server in cui sia installato Microsoft Entra Connessione possa comunicare con gli URL e le porte del servizio elencati qui.
L'abilitazione della funzionalità non è riuscita a causa di errori di autorizzazione dell'account o del token
Assicurarsi di usare un account amministratore globale solo cloud quando si abilita la funzionalità. Esiste un problema noto con gli account amministratore globale con autenticazione MFA abilitata: disattivare l'autenticazione MFA temporaneamente (solo per completare le operazioni) come soluzione alternativa.
Raccolta dei log dell'agente di autenticazione pass-through
In base al tipo di problema, i log dell'agente di autenticazione pass-through vanno cercati in posizioni diverse.
Log di Microsoft Entra Connessione
Per gli errori relativi all'installazione, controllare i log Connessione di Microsoft Entra all'indirizzo %ProgramData%\AADConnect\trace-*.log.
Log eventi dell'agente di autenticazione
Per gli errori correlati all'agente di autenticazione aprire l'applicazione Visualizzatore eventi sul server e controllare in Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Per un'analisi dettagliata, abilitare il log sessione (fare clic con il pulsante destro del mouse all'interno dell'applicazione Visualizzatore eventi per trovare questa opzione). Non eseguire l'agente di autenticazione con questo registro abilitato durante il funzionamento normale, usarlo solo per la risoluzione dei problemi. Il contenuto del registro è visibile solo dopo che il registro è stato nuovamente disattivato.
Log di traccia dettagliati
Per risolvere gli errori di accesso utente, cercare i log di traccia in %ProgramData%\Microsoft\Azure AD Connessione Authentication Agent\Trace\. Questi log includono i motivi per cui l'accesso di un utente specifico non è riuscito tramite la funzionalità di autenticazione pass-through. Questi errori sono anche associati ai motivi degli errori di accesso indicati nella tabella dei motivi degli errori di accesso precedente. Di seguito è riportato un esempio di voce di registro:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
È possibile ottenere una descrizione dettagliata dell'errore, "1328" nell'esempio precedente, aprendo il prompt dei comandi ed eseguendo il comando seguente (sostituire "1328" con il numero di errore effettivo visualizzato nei log):
Net helpmsg 1328
Log di accesso dell'autenticazione pass-through
Se la registrazione di controllo è abilitata, sono disponibili informazioni aggiuntive nei log di sicurezza del server di autenticazione pass-through. Un modo semplice per eseguire query sulle richieste di accesso consiste nel filtrare i log di sicurezza usando la query seguente:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Contatori di Performance Monitor
Un altro metodo per monitorare gli agenti di autenticazione consiste nel monitorare contatori di Performance Monitor specifici in ogni server in cui è installato l'agente di autenticazione. Usare i contatori globali (relativi a numero di autenticazioni pass-through, numero di autenticazioni pass-through non riuscite e numero di autenticazioni pass-through riuscite) e i contatori di errori (relativi a numero di errori di autenticazione pass-through) seguenti:
Importante
L'autenticazione pass-through fornisce disponibilità elevata tramite più agenti di autenticazione, senza il bilanciamento del carico. A seconda della configurazione, non tutti gli agenti di autenticazione ricevono all'incirca un numero uguale di richieste. È possibile che un agente di autenticazione specifico non riceva traffico del tutto.