Problemen met Azure AD-verbinding oplossenTroubleshoot Azure AD connectivity

In dit artikel wordt uitgelegd hoe connectiviteit tussen Azure AD Connect en Azure AD werkt en het oplossen van problemen met de netwerkverbinding.This article explains how connectivity between Azure AD Connect and Azure AD works and how to troubleshoot connectivity issues. Deze problemen zijn ondergebracht in een omgeving met een proxyserver worden weergegeven.These issues are most likely to be seen in an environment with a proxy server.

Problemen met verbindingen in de installatiewizardTroubleshoot connectivity issues in the installation wizard

Azure AD Connect maakt gebruik van moderne verificatie (met behulp van de ADAL-bibliotheek) voor verificatie.Azure AD Connect is using Modern Authentication (using the ADAL library) for authentication. De installatiewizard en de juiste synchronisatie-engine moeten machine.config correct worden geconfigureerd omdat deze twee .NET-toepassingen.The installation wizard and the sync engine proper require machine.config to be properly configured since these two are .NET applications.

In dit artikel laten we zien hoe Fabrikam verbinding maakt met Azure AD via de proxy.In this article, we show how Fabrikam connects to Azure AD through its proxy. De proxy-server met de naam fabrikamproxy en poort 8080 is gebruiken.The proxy server is named fabrikamproxy and is using port 8080.

Eerst moeten we om te controleren of machine.config correct is geconfigureerd.First we need to make sure machine.config is correctly configured.
machineconfigmachineconfig

Notitie

In bepaalde niet-Microsoft-blogs, wordt dat de wijzigingen moeten worden aangebracht aan miiserver.exe.config in plaats daarvan beschreven.In some non-Microsoft blogs, it is documented that changes should be made to miiserver.exe.config instead. Dit bestand is echter overschreven bij elke upgrade dus zelfs dat als het niet werkt tijdens de initiële installatie, het systeem werkt niet meer bij eerst een upgrade.However, this file is overwritten on every upgrade so even if it works during initial install, the system stops working on first upgrade. Om die reden is de aanbeveling om bij te werken machine.config in plaats daarvan.For that reason, the recommendation is to update machine.config instead.

De proxy-server moet ook de vereiste URL's die wordt geopend.The proxy server must also have the required URLs opened. De officiële lijst wordt beschreven in de Office 365-URL's en IP-adresbereiken.The official list is documented in Office 365 URLs and IP address ranges.

URL's is de volgende tabel het absolute minimum dat bare kunnen verbinding maken met Azure AD helemaal.Of these URLs, the following table is the absolute bare minimum to be able to connect to Azure AD at all. Deze lijst bevat geen eventuele optionele functies, zoals het terugschrijven van wachtwoorden of Azure AD Connect Health.This list does not include any optional features, such as password writeback, or Azure AD Connect Health. Dit wordt hier beschreven om te helpen bij het oplossen van problemen voor de eerste configuratie.It is documented here to help in troubleshooting for the initial configuration.

URLURL PoortPort DescriptionDescription
mscrl.microsoft.commscrl.microsoft.com HTTP/80HTTP/80 Voor het downloaden van de CRL-lijsten.Used to download CRL lists.
*.verisign.com*.verisign.com HTTP/80HTTP/80 Voor het downloaden van de CRL-lijsten.Used to download CRL lists.
*.entrust.net*.entrust.net HTTP/80HTTP/80 Voor het downloaden van een lijst met CRL's voor MFA.Used to download CRL lists for MFA.
*.windows.net*.windows.net HTTPS/443HTTPS/443 Gebruikt om aan te melden bij Azure AD.Used to sign in to Azure AD.
secure.aadcdn.microsoftonline-p.comsecure.aadcdn.microsoftonline-p.com HTTPS/443HTTPS/443 Gebruikt voor MFA.Used for MFA.
*.microsoftonline.com*.microsoftonline.com HTTPS/443HTTPS/443 Gebruikt voor het configureren van uw Azure AD-directory en gegevens importeren/exporteren.Used to configure your Azure AD directory and import/export data.

Fouten in de wizardErrors in the wizard

De installatiewizard maakt gebruik van twee andere beveiligingscontext.The installation wizard is using two different security contexts. Op de pagina verbinding maken met Azure AD, wordt de momenteel aangemelde gebruiker gebruikt.On the page Connect to Azure AD, it is using the currently signed in user. Op de pagina configureren, deze wordt gewijzigd in de account dat de service voor de synchronisatie-engine.On the page Configure, it is changing to the account running the service for the sync engine. Als er een probleem is, wordt deze weergegeven waarschijnlijk al op de verbinding maken met Azure AD pagina in de wizard omdat de proxyconfiguratie globale.If there is an issue, it appears most likely already at the Connect to Azure AD page in the wizard since the proxy configuration is global.

De volgende problemen zijn de meest voorkomende fouten die in de installatiewizard optreden.The following issues are the most common errors you encounter in the installation wizard.

De installatiewizard is niet correct geconfigureerdThe installation wizard has not been correctly configured

Deze fout treedt op wanneer de wizard zelf de proxy kan bereiken.This error appears when the wizard itself cannot reach the proxy.
nomachineconfig

  • Als u deze fout ziet, controleert u of de machine.config correct is geconfigureerd.If you see this error, verify the machine.config has been correctly configured.
  • Als die er goed uitziet, volgt u de stappen in Controleer de proxy verbinding om te zien als het probleem zich buiten de wizard ook.If that looks correct, follow the steps in Verify proxy connectivity to see if the issue is present outside the wizard as well.

Een Microsoft-account wordt gebruiktA Microsoft account is used

Als u een Microsoft-account in plaats van een school of organisatie -account, ziet u een algemene fout.If you use a Microsoft account rather than a school or organization account, you see a generic error.
Een Microsoft-Account wordt gebruiktA Microsoft Account is used

Het MFA-eindpunt kan niet worden bereiktThe MFA endpoint cannot be reached

Deze fout treedt op als het eindpunt https://secure.aadcdn.microsoftonline-p.com kan niet worden bereikt en de globale beheerder is voor MFA is ingeschakeld.This error appears if the endpoint https://secure.aadcdn.microsoftonline-p.com cannot be reached and your global admin has MFA enabled.
nomachineconfignomachineconfig

  • Als u deze fout ziet, controleert u of dat het eindpunt secure.aadcdn.microsoftonline p.com is toegevoegd aan de proxy.If you see this error, verify that the endpoint secure.aadcdn.microsoftonline-p.com has been added to the proxy.

Het wachtwoord kan niet worden geverifieerd.The password cannot be verified

Als de installatiewizard voltooid is in de verbinding te maken met Azure AD, maar het wachtwoord zelf kan niet worden geverifieerd op dat deze fout wordt weergegeven:If the installation wizard is successful in connecting to Azure AD, but the password itself cannot be verified you see this error:
Onjuist wachtwoord.

  • Het wachtwoord is een tijdelijk wachtwoord en moet worden gewijzigd?Is the password a temporary password and must be changed? Is het daadwerkelijk het juiste wachtwoord?Is it actually the correct password? Probeer te melden bij https://login.microsoftonline.com (op een andere computer dan de Azure AD Connect-server) en controleer of het account kan worden gebruikt.Try to sign in to https://login.microsoftonline.com (on another computer than the Azure AD Connect server) and verify the account is usable.

Controleer de proxy-verbindingVerify proxy connectivity

Om te controleren of de Azure AD Connect-server de werkelijke connectiviteit met de Proxy- en Internet heeft, gebruikt u PowerShell om te zien als de proxy webaanvragen of niet toestaat.To verify if the Azure AD Connect server has actual connectivity with the Proxy and Internet, use some PowerShell to see if the proxy is allowing web requests or not. Voer in een PowerShell-prompt Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc.In a PowerShell prompt, run Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Technisch de eerste aanroep is https://login.microsoftonline.com en deze URI als goed werkt, maar de andere URI is sneller te reageren.)(Technically the first call is to https://login.microsoftonline.com and this URI works as well, but the other URI is faster to respond.)

PowerShell maakt gebruik van de configuratie in machine.config contact opnemen met de proxy.PowerShell uses the configuration in machine.config to contact the proxy. De instellingen van winhttp/netsh moeten geen invloed op deze cmdlets.The settings in winhttp/netsh should not impact these cmdlets.

Als de proxy correct is geconfigureerd, moet u de status geslaagd: proxy200If the proxy is correctly configured, you should get a success status: proxy200

Als u ontvangt kan geen verbinding maken met de externe server, klikt u vervolgens PowerShell probeert te maken van een directe aanroep zonder met behulp van de proxy of DNS is niet correct geconfigureerd.If you receive Unable to connect to the remote server, then PowerShell is trying to make a direct call without using the proxy or DNS is not correctly configured. Zorg ervoor dat de machine.config bestand correct is geconfigureerd.Make sure the machine.config file is correctly configured. unabletoconnectunabletoconnect

Als de proxy niet correct is geconfigureerd, krijgt u een fout opgetreden: proxy200 proxy407If the proxy is not correctly configured, you get an error: proxy200 proxy407

FoutError FouttekstError Text OpmerkingComment
403403 VerbodenForbidden De proxy is niet geopend voor de aangevraagde URL.The proxy has not been opened for the requested URL. Terug naar de proxyconfiguratie en zorg ervoor dat de URL's zijn geopend.Revisit the proxy configuration and make sure the URLs have been opened.
407407 Proxyverificatie is vereistProxy Authentication Required De proxyserver vereist een aanmelding en is geen taaksequencer opgegeven.The proxy server required a sign-in and none was provided. Als uw proxyserver verificatie is vereist, zorg ervoor dat u deze instelling is geconfigureerd in machine.config. Controleer ook of dat u domeinaccounts gebruikt voor de gebruiker die de wizard en voor het serviceaccount.If your proxy server requires authentication, make sure to have this setting configured in the machine.config. Also make sure you are using domain accounts for the user running the wizard and for the service account.

Proxy-instelling voor time-out voor inactiviteitProxy idle timeout setting

Wanneer Azure AD Connect een aanvraag voor exporteren naar Azure AD verzendt, kan Azure AD verwerking van aanvragen vóór het genereren van een antwoord tot vijf minuten duren.When Azure AD Connect sends an export request to Azure AD, Azure AD can take up to 5 minutes to process the request before generating a response. Dit kan gebeuren met name als er een aantal groepsbeleidsobjecten met grote groepslidmaatschappen opgenomen in de dezelfde aanvraag voor exporteren.This can happen especially if there are a number of group objects with large group memberships included in the same export request. Zorg ervoor dat de time-out voor inactiviteit Proxy is geconfigureerd voor het niet groter zijn dan 5 minuten.Ensure the Proxy idle timeout is configured to be greater than 5 minutes. Anders kan onregelmatige connectiviteitsprobleem met Azure AD worden waargenomen op de Azure AD Connect-server.Otherwise, intermittent connectivity issue with Azure AD may be observed on the Azure AD Connect server.

Het communicatiepatroon tussen Azure AD Connect en Azure ADThe communication pattern between Azure AD Connect and Azure AD

Als u alle voorgaande stappen hebt gevolgd en nog steeds geen verbinding kan maken, kunt u op dit moment start netwerklogboeken kijken.If you have followed all these preceding steps and still cannot connect, you might at this point start looking at network logs. In deze sectie wordt een patroon van normaal en geslaagde verbinding documenteren.This section is documenting a normal and successful connectivity pattern. Het is ook algemene red herrings die kan worden genegeerd wanneer u de netwerklogboeken leest aanbieding.It is also listing common red herrings that can be ignored when you are reading the network logs.

  • Er zijn aanroepen naar https://dc.services.visualstudio.com.There are calls to https://dc.services.visualstudio.com. Dit is niet vereist dat deze URL openen in de proxy voor de installatie te voltooien en deze aanroepen kunnen worden genegeerd.It is not required to have this URL open in the proxy for the installation to succeed and these calls can be ignored.
  • U ziet dat de werkelijke hosts moeten in de DNS-naam van ruimte nsatc.net en andere naamruimten niet onder microsoftonline.com een lijst met dns-omzetting.You see that dns resolution lists the actual hosts to be in the DNS name space nsatc.net and other namespaces not under microsoftonline.com. Maar er zijn niet alle web service-aanvragen op de namen van de werkelijke en u hoeft niet te deze URL's toevoegen aan de proxy.However, there are not any web service requests on the actual server names and you do not have to add these URLs to the proxy.
  • De eindpunten adminwebservice provisioningapi detectie-eindpunten en zijn gebruikt voor het vinden van de echt eindpunt te gebruiken.The endpoints adminwebservice and provisioningapi are discovery endpoints and used to find the actual endpoint to use. Deze eindpunten zijn verschillend, afhankelijk van uw regio.These endpoints are different depending on your region.

Naslaginformatie over proxy-LogboekenReference proxy logs

Hier volgt een dump uit een werkelijke proxy-logboek en op de pagina van de wizard installatie van waar die is gemaakt (hetzelfde eindpunt van dubbele items zijn verwijderd).Here is a dump from an actual proxy log and the installation wizard page from where it was taken (duplicate entries to the same endpoint have been removed). In deze sectie kan worden gebruikt als uitgangspunt voor uw eigen logboeken proxy en het netwerk.This section can be used as a reference for your own proxy and network logs. De werkelijke eindpunten kunnen afwijken in uw omgeving (met name de URL's in cursief).The actual endpoints might be different in your environment (in particular those URLs in italic).

Verbinding maken met Azure ADConnect to Azure AD

TimeTime URLURL
1/11/2016 8:311/11/2016 8:31 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:311/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:321/11/2016 8:32 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:321/11/2016 8:32 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:331/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:331/11/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443connect://bwsc02-relay.microsoftonline.com:443

ConfigurerenConfigure

TimeTime URLURL
1/11/2016 8:431/11/2016 8:43 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:431/11/2016 8:43 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:431/11/2016 8:43 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://bba900-anchor.microsoftonline.com:443connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:461/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:461/11/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443connect://bwsc02-relay.microsoftonline.com:443

Initiële synchronisatieInitial Sync

TimeTime URLURL
1/11/2016 8:481/11/2016 8:48 connect://login.windows.net:443connect://login.windows.net:443
1/11/2016 8:491/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:491/11/2016 8:49 connect://bba900-anchor.microsoftonline.com:443connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:491/11/2016 8:49 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443

VerificatiefoutenAuthentication errors

In deze sectie bevat informatie over fouten die kunnen worden geretourneerd van ADAL (de verificatiebibliotheek die worden gebruikt door Azure AD Connect) en PowerShell.This section covers errors that can be returned from ADAL (the authentication library used by Azure AD Connect) and PowerShell. De fout uitgelegd kunt u in de volgende stappen te begrijpen.The error explained should help you in understand your next steps.

Ongeldig verleendInvalid Grant

Ongeldige gebruikersnaam of wachtwoord.Invalid username or password. Zie voor meer informatie, het wachtwoord kan niet worden geverifieerd.For more information, see The password cannot be verified.

Onbekende gebruikerstypeUnknown User Type

Uw Azure AD-directory kan niet worden gevonden of is opgelost.Your Azure AD directory cannot be found or resolved. Misschien wilt u zich aanmeldt met een gebruikersnaam in een niet-geverifieerd domein?Maybe you try to login with a username in an unverified domain?

Gebruiker Realm detectie is misluktUser Realm Discovery Failed

Netwerk- of proxyinstellingen configuratieproblemen.Network or proxy configuration issues. Het netwerk kan niet worden bereikt.The network cannot be reached. Zie oplossen van problemen met de netwerkverbinding in de installatiewizard.See Troubleshoot connectivity issues in the installation wizard.

Het gebruikerswachtwoord is verlopenUser Password Expired

Uw referenties zijn verlopen.Your credentials have expired. Uw wachtwoord wijzigen.Change your password.

AutorisatiefoutAuthorization Failure

Kan geen gebruiker actie uit te voeren in Azure AD te verlenen.Failed to authorize user to perform action in Azure AD.

Verificatie geannuleerdAuthentication Canceled

De uitdaging multi-factor authentication (MFA) is geannuleerd.The multi-factor authentication (MFA) challenge was canceled.

Verbinding maken met MS Online is misluktConnect To MS Online Failed

Verificatie is voltooid, maar er is een verificatieprobleem met Azure AD PowerShell.Authentication was successful, but Azure AD PowerShell has an authentication problem.

Azure AD-hoofdbeheerder rol nodigAzure AD Global Admin Role Needed

Gebruiker is geverifieerd.User was authenticated successfully. Gebruiker is echter niet toegewezen rol van globale beheerder.However user is not assigned global admin role. Dit is hoe kunt u globale beheerdersrol toewijzen aan de gebruiker.This is how you can assign global admin role to the user.

Privileged Identity Management is ingeschakeldPrivileged Identity Management Enabled

Verificatie is voltooid.Authentication was successful. Privileged identity management is ingeschakeld en u bent momenteel niet een globale beheerder.Privileged identity management has been enabled and you are currently not a global administrator. Zie voor meer informatie, Privileged Identity Management.For more information, see Privileged Identity Management.

Bedrijfsgegevens die niet beschikbaarCompany Information Unavailable

Verificatie is voltooid.Authentication was successful. Kan de bedrijfsgegevens niet ophalen uit Azure AD.Could not retrieve company information from Azure AD.

Domeininformatie niet beschikbaarDomain Information Unavailable

Verificatie is voltooid.Authentication was successful. Kan de domeingegevens niet ophalen uit Azure AD.Could not retrieve domain information from Azure AD.

Niet-opgegeven verificatie is misluktUnspecified Authentication Failure

Onverwachte fout opgetreden in de installatiewizard weergegeven.Shown as Unexpected error in the installation wizard. Kan gebeuren als u probeert te gebruiken een Microsoft-Account in plaats van een school-of organisatieaccount.Can happen if you try to use a Microsoft Account rather than a school or organization account.

Stappen voor probleemoplossing voor eerdere versies.Troubleshooting steps for previous releases.

Met versies vanaf build-nummer 1.1.105.0 (uitgebracht februari 2016), de aanmeldhulp is buiten gebruik gesteld.With releases starting with build number 1.1.105.0 (released February 2016), the sign-in assistant was retired. In deze sectie en de configuratie mag niet langer vereist, maar wordt opgeslagen als referentie.This section and the configuration should no longer be required, but is kept as reference.

Voor de eenmalige aanmelding in assistent om te werken, moet winhttp worden geconfigureerd.For the single-sign in assistant to work, winhttp must be configured. Deze configuratie kunt u doen met netsh.This configuration can be done with netsh.
Netshnetsh

De aanmeldhulp is niet correct geconfigureerdThe Sign-in assistant has not been correctly configured

Deze fout treedt op wanneer de aanmeldhulp de proxy niet bereiken kan of de proxy is niet toegestaan voor de aanvraag.This error appears when the Sign-in assistant cannot reach the proxy or the proxy is not allowing the request. nonetshnonetsh

  • Als u deze fout ziet, bekijkt u de configuratie van de proxy in netsh en controleer of deze juist is.If you see this error, look at the proxy configuration in netsh and verify it is correct. netshshownetshshow
  • Als die er goed uitziet, volgt u de stappen in Controleer de proxy verbinding om te zien als het probleem zich buiten de wizard ook.If that looks correct, follow the steps in Verify proxy connectivity to see if the issue is present outside the wizard as well.

Volgende stappenNext steps

Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.