Risolvere i messaggi di errore dall'estensione NPS per Multi-Factor Authentication di AzureResolve error messages from the NPS extension for Azure Multi-Factor Authentication

Se si verificano errori con l'estensione NPS per Multi-Factor Authentication di Azure, usare questo articolo per ottenere una soluzione in modo rapido.If you encounter errors with the NPS extension for Azure Multi-Factor Authentication, use this article to reach a resolution faster.

Procedura per la risoluzione di errori comuniTroubleshooting steps for common errors

Codice di erroreError code Passaggi per la risoluzione dei problemiTroubleshooting steps
CONTACT_SUPPORTCONTACT_SUPPORT Contattare il supporto tecnico e segnalare l'elenco dei passaggi per la raccolta dei log.Contact support, and mention the list of steps for collecting logs. Dare quante più informazioni possibili sulle operazioni verificatesi prima dell'errore, tra cui ID tenant e il nome dell'entità utente.Provide as much information as you can about what happened before the error, including tenant id, and user principal name (UPN).
CLIENT_CERT_INSTALL_ERRORCLIENT_CERT_INSTALL_ERROR Potrebbe esserci un problema con la modalità di installazione del certificato client o con la modalità di associazione al tenant.There may be an issue with how the client certificate was installed or associated with your tenant. Per analizzare i problemi del certificato client seguire le istruzioni in Risoluzione dei problemi dell'estensione NPS MFA.Follow the instructions in Troubleshooting the MFA NPS extension to investigate client cert problems.
ESTS_TOKEN_ERRORESTS_TOKEN_ERROR Per analizzare i problemi del certificato client e del token ADAL seguire le istruzioni in Risoluzione dei problemi dell'estensione NPS MFA.Follow the instructions in Troubleshooting the MFA NPS extension to investigate client cert and ADAL token problems.
HTTPS_COMMUNICATION_ERRORHTTPS_COMMUNICATION_ERROR Il server NPS non è in grado di ricevere risposte da Azure MFA.The NPS server is unable to receive responses from Azure MFA. Verificare che i firewall siano aperti in modalità bidirezionale per il traffico da e verso https://adnotifications.windowsazure.comVerify that your firewalls are open bidirectionally for traffic to and from https://adnotifications.windowsazure.com
HTTP_CONNECT_ERRORHTTP_CONNECT_ERROR Nel server che esegue l'estensione NPS, verificare la possibilità di raggiungere https://adnotifications.windowsazure.com e https://login.microsoftonline.com/.On the server that runs the NPS extension, verify that you can reach https://adnotifications.windowsazure.com and https://login.microsoftonline.com/. Se tali siti non vengono caricati, risolvere i problemi di connettività sul server.If those sites don't load, troubleshoot connectivity on that server.
REGISTRY_CONFIG_ERRORREGISTRY_CONFIG_ERROR Manca una chiave nel registro per l'applicazione. Questa potrebbe essere la causa per cui lo script di PowerShell non viene eseguito dopo l'installazione.A key is missing in the registry for the application, which may be because the PowerShell script wasn't run after installation. Il messaggio di errore deve includere la chiave mancante.The error message should include the missing key. Assicurarsi che la chiave si trovi in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Make sure you have the key under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
REQUEST_FORMAT_ERRORREQUEST_FORMAT_ERROR
Nella richiesta RADIUS manca l'attributo RADIUS userName\Identifier attributo obbligatorio. Verificare che NPS riceva le richieste RADIUSRadius Request missing mandatory Radius userName\Identifier attribute.Verify that NPS is receiving RADIUS requests
Questo errore indica in genere un problema di installazione.This error usually reflects an installation issue. L'estensione NPS deve essere installata nei server NPS che possono ricevere le richieste RADIUS.The NPS extension must be installed in NPS servers that can receive RADIUS requests. I server NPS installati come dipendenze dei servizi come RDG e RRAS non ricevono le richieste RADIUS.NPS servers that are installed as dependencies for services like RDG and RRAS don't receive radius requests. L'estensione NPS non funziona quando è installata su tali installazioni e genera degli errori poiché è impossibile leggere i dettagli della richiesta di autenticazione.NPS Extension does not work when installed over such installations and errors out since it cannot read the details from the authentication request.
REQUEST_MISSING_CODEREQUEST_MISSING_CODE Verificare che il protocollo di crittografia delle password tra i server dei criteri di rete e di accesso alla rete supporti il metodo di autenticazione secondario usato.Make sure that the password encryption protocol between the NPS and NAS servers supports the secondary authentication method that you're using. PAP supporta tutti i metodi di autenticazione di Azure MFA nel cloud: chiamata telefonica, SMS unidirezionale, notifica dell'app per dispositivi mobili e codice di verifica dell'app per dispositivi mobili.PAP supports all the authentication methods of Azure MFA in the cloud: phone call, one-way text message, mobile app notification, and mobile app verification code. CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili.CHAPV2 and EAP support phone call and mobile app notification.
USERNAME_CANONICALIZATION_ERRORUSERNAME_CANONICALIZATION_ERROR Verificare che l'utente sia presente nell'istanza di Active Directory locale e che il servizio NPS disponga delle autorizzazioni per accedere alla directory.Verify that the user is present in your on-premises Active Directory instance, and that the NPS Service has permissions to access the directory. Se si usano i trust tra foreste, contattare il supporto tecnico per maggiore assistenza.If you are using cross-forest trusts, contact support for further help.

Errori relativi all'ID di accesso alternativoAlternate login ID errors

Codice di erroreError code Messaggio di erroreError message Passaggi per la risoluzione dei problemiTroubleshooting steps
ALTERNATE_LOGIN_ID_ERRORALTERNATE_LOGIN_ID_ERROR Errore: la ricerca di userObjectSid non è riuscitaError: userObjectSid lookup failed Verificare che l'utente esista nell'istanza di Active Directory locale.Verify that the user exists in your on-premises Active Directory instance. Se si usano i trust tra foreste, contattare il supporto tecnico per maggiore assistenza.If you are using cross-forest trusts, contact support for further help.
ALTERNATE_LOGIN_ID_ERRORALTERNATE_LOGIN_ID_ERROR Errore: la ricerca dell'ID di accesso alternativo non è riuscitaError: Alternate LoginId lookup failed Verificare che LDAP_ALTERNATE_LOGINID_ATTRIBUTE sia impostato su un attributo di Active Directory valido.Verify that LDAP_ALTERNATE_LOGINID_ATTRIBUTE is set to a valid active directory attribute.

Se LDAP_FORCE_GLOBAL_CATALOG è impostata su True o LDAP_LOOKUP_FORESTS è configurato con un valore non vuoto, verificare di avere configurato un catalogo globale e che vi sia stato aggiunto l'attributo AlternateLoginId.If LDAP_FORCE_GLOBAL_CATALOG is set to True, or LDAP_LOOKUP_FORESTS is configured with a non-empty value, verify that you have configured a Global Catalog and that the AlternateLoginId attribute is added to it.

Se LDAP_LOOKUP_FORESTS è configurato con un valore non vuoto, verificare che il valore sia corretto.If LDAP_LOOKUP_FORESTS is configured with a non-empty value, verify that the value is correct. Se è presente più di un nome di foresta, i nomi devono essere separati da punti e virgola, non da spazi.If there is more than one forest name, the names must be separated with semi-colons, not spaces.

Se questi passaggi non risolvono il problema, contattare il supporto tecnico per maggiore assistenza.If these steps don't fix the problem, contact support for more help.
ALTERNATE_LOGIN_ID_ERRORALTERNATE_LOGIN_ID_ERROR Errore: il valore dell'ID di accesso alternativo è vuotoError: Alternate LoginId value is empty Verificare che l'attributo AlternateLoginId sia configurato per l'utente.Verify that the AlternateLoginId attribute is configured for the user.

Errori che possono verificarsi per gli utentiErrors your users may encounter

Codice di erroreError code Messaggio di erroreError message Passaggi per la risoluzione dei problemiTroubleshooting steps
AccessDeniedAccessDenied Caller tenant does not have access permissions to do authentication for the user (Il tenant chiamante non dispone delle autorizzazioni di accesso per eseguire l'autenticazione per l'utente)Caller tenant does not have access permissions to do authentication for the user Controllare che il dominio del tenant e il dominio del nome dell'entità utente (UPN) corrispondano.Check whether the tenant domain and the domain of the user principal name (UPN) are the same. Ad esempio, assicurarsi che user@contoso.com stia tentando di eseguire l'autenticazione al tenant di Contoso.For example, make sure that user@contoso.com is trying to authenticate to the Contoso tenant. L'UPN rappresenta un utente valido per il tenant in Azure.The UPN represents a valid user for the tenant in Azure.
AuthenticationMethodNotConfiguredAuthenticationMethodNotConfigured The specified authentication method was not configured for the user (Il metodo di autenticazione specificato non è stato configurato per l'utente)The specified authentication method was not configured for the user Richiedere all'utente di aggiungere o verificare i metodi di verifica seguendo le istruzioni in Gestire le impostazioni per la verifica in due passaggi.Have the user add or verify their verification methods according to the instructions in Manage your settings for two-step verification.
AuthenticationMethodNotSupportedAuthenticationMethodNotSupported Specified authentication method is not supported. (Il metodo di autenticazione specificato non è supportato.)Specified authentication method is not supported. Raccogliere tutti i log che includono questo errore e contattare il supporto tecnico.Collect all your logs that include this error, and contact support. Quando si contatta il supporto tecnico, comunicare il nome utente e il metodo di verifica secondaria che ha generato l'errore.When you contact support, provide the username and the secondary verification method that triggered the error.
BecAccessDeniedBecAccessDenied MSODS Bec call returned access denied, probably the username is not defined in the tenant (La chiamata MSODS Bec ha restituito un accesso negato, probabilmente il nome utente non è definito nel tenant)MSODS Bec call returned access denied, probably the username is not defined in the tenant L'utente è presente in Active Directory locale, ma non è sincronizzato in Azure AD da AD Connect.The user is present in Active Directory on-premises but is not synced into Azure AD by AD Connect. Oppure manca l'utente per il tenant.Or, the user is missing for the tenant. Aggiungere l'utente ad Azure AD e richiedergli di aggiungere i metodi di verifica seguendo le istruzioni in Gestire le impostazioni per la verifica in due passaggi.Add the user to Azure AD and have them add their verification methods according to the instructions in Manage your settings for two-step verification.
InvalidFormat o StrongAuthenticationServiceInvalidParameterInvalidFormat or StrongAuthenticationServiceInvalidParameter The phone number is in an unrecognizable format (Il numero di telefono presenta un formato non riconoscibile)The phone number is in an unrecognizable format Richiedere all'utente di correggere i numeri di telefono per la verifica.Have the user correct their verification phone numbers.
InvalidSessionInvalidSession The specified session is invalid or may have expired (La sessione specificata non è valida o potrebbe essere scaduta)The specified session is invalid or may have expired Il completamente della sessione ha richiesto più di tre minuti.The session has taken more than three minutes to complete. Verificare che l'utente inserisca il codice di verifica o risponda alla notifica app, entro tre minuti dall'avvio della richiesta di autenticazione.Verify that the user is entering the verification code, or responding to the app notification, within three minutes of initiating the authentication request. Se il problema non viene risolto, verificare che non ci siano latenze di rete tra client, server NAS, server NPS ed endpoint MFA di Azure.If that doesn't fix the problem, check that there are no network latencies between client, NAS Server, NPS Server, and the Azure MFA endpoint.
NoDefaultAuthenticationMethodIsConfiguredNoDefaultAuthenticationMethodIsConfigured No default authentication method was configured for the user (Non è stato configurato alcun metodo di autenticazione predefinito per l'utente)No default authentication method was configured for the user Richiedere all'utente di aggiungere o verificare i metodi di verifica seguendo le istruzioni in Gestire le impostazioni per la verifica in due passaggi.Have the user add or verify their verification methods according to the instructions in Manage your settings for two-step verification. Verificare che l'utente abbia scelto un metodo di autenticazione predefinito e che questo sia stato configurato per il proprio account.Verify that the user has chosen a default authentication method, and configured that method for their account.
OathCodePinIncorrectOathCodePinIncorrect Wrong code and pin entered. (Codice e pin inseriti non corretti.)Wrong code and pin entered. Questo errore non è previsto nell'estensione NPS.This error is not expected in the NPS extension. Se l'utente rileva questo errore, contattare il supporto tecnico per la risoluzione del problema.If your user encounters this, contact support for troubleshooting help.
ProofDataNotFoundProofDataNotFound Proof data was not configured for the specified authentication method. (I dati di prova non sono stati configurati per il metodo di autenticazione specificato.)Proof data was not configured for the specified authentication method. Richiedere all'utente provare un metodo di verifica diverso o di aggiungerne uno nuovo seguendo le istruzioni in Gestire le impostazioni per la verifica in due passaggi.Have the user try a different verification method, or add a new verification methods according to the instructions in Manage your settings for two-step verification. Se l'errore viene visualizzato ancora anche dopo aver confermato che il metodo di verifica è stato configurato correttamente, contattare il supporto tecnico.If the user continues to see this error after you confirmed that their verification method is set up correctly, contact support.
SMSAuthFailedWrongCodePinEnteredSMSAuthFailedWrongCodePinEntered Wrong code and pin entered. (Codice e pin inseriti non corretti.)Wrong code and pin entered. (OneWaySMS)(OneWaySMS) Questo errore non è previsto nell'estensione NPS.This error is not expected in the NPS extension. Se l'utente rileva questo errore, contattare il supporto tecnico per la risoluzione del problema.If your user encounters this, contact support for troubleshooting help.
TenantIsBlockedTenantIsBlocked Tenant is blocked (Il tenant è bloccato)Tenant is blocked Contattare il supporto tecnico con l'ID directory dalla pagina delle proprietà di Azure AD nel portale di Azure.Contact support with Directory ID from the Azure AD properties page in the Azure portal.
UserNotFoundUserNotFound The specified user was not found (Impossibile trovare l'utente specificato)The specified user was not found Il tenant non è più visibile in Azure AD come attivo.The tenant is no longer visible as active in Azure AD. Verificare che la sottoscrizione sia attiva e che si dispone delle app proprietarie necessarie.Check that your subscription is active and you have the required first party apps. Assicurarsi anche che il tenant nel soggetto del certificato sia quello previsto e che il certificato sia ancora valido e registrato nell'entità servizio.Also make sure the tenant in the certificate subject is as expected and the cert is still valid and registered under the service principal.

Messaggi che l'utente potrebbe visualizzare ma che non sono erroriMessages your users may encounter that aren't errors

In alcuni casi, gli utenti possono ricevere messaggi da Multi-Factor Authentication in quanto la richiesta di autenticazione ha esito negativo.Sometimes, your users may get messages from Multi-Factor Authentication because their authentication request failed. Non si tratta di errori del prodotto di configurazione, ma sono avvisi intenzionali che spiegano il motivo per cui una richiesta di autenticazione è stata negata.These aren't errors in the product of configuration, but are intentional warnings explaining why an authentication request was denied.

Codice di erroreError code Messaggio di erroreError message Procedure consigliateRecommended steps
OathCodeIncorrectOathCodeIncorrect Wrong code entered\OATH Code Incorrect (Codice inserito non corretto\Codice OATH errato)Wrong code entered\OATH Code Incorrect Non è un errore, l'utente ha immesso un codice errato.Not an error,User has entered wrong code.
SMSAuthFailedMaxAllowedCodeRetryReachedSMSAuthFailedMaxAllowedCodeRetryReached Maximum allowed code retry reached (Numero massimo di tentativi di inserimento del codice raggiunto)Maximum allowed code retry reached L'utente ha superato il numero di richieste di verifica consentito.The user failed the verification challenge too many times. A seconda delle impostazioni, potrebbe essere necessaria una procedura di sblocco da parte dell'amministratore.Depending on your settings, they may need to be unblocked by an admin now.
SMSAuthFailedWrongCodeEnteredSMSAuthFailedWrongCodeEntered Wrong code entered/Text Message OTP Incorrect (Codice inserito errato/OTP del messaggio di testo errato)Wrong code entered/Text Message OTP Incorrect L'utente ha immesso il codice errato.The user entered the wrong code. Fare in modo che l'utente ripeta l'operazione richiedendo un nuovo codice o effettuando di nuovo l'accesso.Have them try again by requesting a new code or signing in again.

Errori per cui è necessario il supporto tecnicoErrors that require support

Se si verifica uno di questi errori, è consigliabile contattare il supporto tecnico per assistenza diagnostica.If you encounter one of these errors, we recommend that you contact support for diagnostic help. Non esistono procedure standard che consentono di risolvere questi errori.There's no standard set of steps that can address these errors. Quando si contatta il supporto tecnico, assicurarsi di includere più informazioni possibili sui passaggi che hanno causato l'errore e le informazioni del tenant.When you do contact support, be sure to include as much information as possible about the steps that led to an error, and your tenant information.

Codice di erroreError code Messaggio di erroreError message
InvalidParameterInvalidParameter Request must not be null (La richiesta non deve essere null)Request must not be null
InvalidParameterInvalidParameter ObjectId must not be null or empty for ReplicationScope:{0} (ObjectId non deve essere null o vuoto per ReplicationScope: {0})ObjectId must not be null or empty for ReplicationScope:{0}
InvalidParameterInvalidParameter The length of CompanyName {0}\ is longer than the maximum allowed length {1} (La lunghezza di CompanyName {0}\ supera la lunghezza massima consentita {1})The length of CompanyName {0}\ is longer than the maximum allowed length {1}
InvalidParameterInvalidParameter UserPrincipalName must not be null or empty (UserPrincipalName non deve essere null o vuoto)UserPrincipalName must not be null or empty
InvalidParameterInvalidParameter The provided TenantId is not in correct format (Il TenantId inserito non è nel formato corretto)The provided TenantId is not in correct format
InvalidParameterInvalidParameter SessionId must not be null or empty (SessionId non deve essere null o vuoto)SessionId must not be null or empty
InvalidParameterInvalidParameter Could not resolve any ProofData from request or Msods. (Impossibile risolvere ProofData dalla richiesta o Msods.)Could not resolve any ProofData from request or Msods. The ProofData is unKnown (ProofData è sconosciuto)The ProofData is unKnown
InternalErrorInternalError
OathCodePinIncorrectOathCodePinIncorrect
VersionNotSupportedVersionNotSupported
MFAPinNotSetupMFAPinNotSetup

Passaggi successiviNext steps

Risolvere i problemi relativi agli account utenteTroubleshoot user accounts

Se gli utenti hanno Problemi con la verifica in due passaggi è necessario aiutarli a diagnosticare autonomamente i problemi.If your users are Having trouble with two-step verification, help them self-diagnose problems.

Contattare il supporto MicrosoftContact Microsoft support

Se è necessario avere un maggiore supporto, contattare un tecnico del supporto tramite il supporto del server Multi-Factor Authentication di Azure.If you need additional help, contact a support professional through Azure Multi-Factor Authentication Server support. Quando si contatta Microsoft, è utile includere il maggior numero possibile di informazioni relative al problema.When contacting us, it's helpful if you can include as much information about your issue as possible. Le informazioni da dare includono la pagina in cui viene visualizzato l'errore, il codice dell'errore specifico, l'ID della sessione specifico, l'ID dell'utente che visualizza l'errore e i registri debug.Information you can supply includes the page where you saw the error, the specific error code, the specific session ID, the ID of the user who saw the error, and debug logs.

Per raccogliere i registri di debug per la diagnostica di supporto, attenersi alla procedura seguente nel server dei criteri di rete:To collect debug logs for support diagnostics, use the following steps on the NPS server:

  1. Aprire l'Editor del Registro di sistema e passare a set HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa VERBOSE_LOG a TRUEOpen Registry Editor and browse to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa set VERBOSE_LOG to TRUE
  2. Aprire un prompt dei comandi di amministratore ed eseguire questi comandi:Open an Administrator command prompt and run these commands:

    Mkdir c:\NPS
    Cd NPS
    netsh trace start Scenario=NetConnection capture=yes tracefile=c:\NPS\nettrace.etl
    logman create trace "NPSExtension" -ow -o c:\NPS\NPSExtension.etl -p {7237ED00-E119-430B-AB0F-C63360C8EE81} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
    logman update trace "NPSExtension" -p {EC2E6D3A-C958-4C76-8EA4-0262520886FF} 0xffffffffffffffff 0xff -ets
    
  3. Riprodurre il problemaReproduce the issue

  4. Arrestare la traccia con i comandi seguenti:Stop the tracing with these commands:

    logman stop "NPSExtension" -ets
    netsh trace stop
    wevtutil epl AuthNOptCh C:\NPS\%computername%_AuthNOptCh.evtx
    wevtutil epl AuthZOptCh C:\NPS\%computername%_AuthZOptCh.evtx
    wevtutil epl AuthZAdminCh C:\NPS\%computername%_AuthZAdminCh.evtx
    Start .
    
  5. Aprire l'Editor del Registro di sistema e passare a set HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa VERBOSE_LOG a FALSEOpen Registry Editor and browse to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa set VERBOSE_LOG to FALSE

  6. Comprimere il contenuto della cartella C:\NPS e allegare il file compresso al caso di supporto.Zip the contents of the C:\NPS folder and attach the zipped file to the support case.