Resolver Problemas com a Autenticação Pass-through do Microsoft Entra
Este artigo ajuda você a encontrar informações de solução de problemas comuns relacionados à autenticação de passagem do Microsoft Entra.
Importante
Se você estiver enfrentando problemas de login do usuário com a Autenticação de Passagem, não desative o recurso ou desinstale os Agentes de Autenticação de Passagem sem ter uma conta de Administrador Global somente na nuvem ou uma conta de Administrador de Identidade Híbrida para recorrer. Saiba mais sobre como adicionar uma conta de Administrador Global somente na nuvem. Fazer essa etapa é fundamental e garante que você não fique bloqueado do seu inquilino.
Problemas gerais
Verificar o status do recurso e dos Agentes de Autenticação
Verifique se o recurso Autenticação de Passagem ainda está Habilitado em seu locatário e se o status de Agentes de Autenticação mostra Ativo e não Inativo. Pode verificar o estado no painel Microsoft Entra Connect no Centro de administração do Microsoft Entra.
Mensagens de erro de entrada voltadas para o usuário
Se o usuário não conseguir entrar usando a Autenticação de Passagem, ele poderá ver um dos seguintes erros voltados para o usuário na tela de entrada do Microsoft Entra:
| Erro | Description | Resolução |
|---|---|---|
| AADSTS80001 | Não é possível conectar-se ao Ative Directory | Verifique se os servidores do agente são membros da mesma floresta do AD que os usuários cujas senhas precisam ser validadas e se eles podem se conectar ao Ative Directory. |
| AADSTS80002 | Ocorreu um tempo limite de conexão com o Ative Directory | Verifique se o Ative Directory está disponível e respondendo às solicitações dos agentes. |
| AADSTS80004 | O nome de usuário passado para o agente não era válido | Verifique se o usuário está tentando entrar com o nome de usuário correto. |
| AADSTS80005 | A validação encontrou WebException imprevisível | Um erro transitório. Repita o pedido. Se continuar a falhar, contacte o suporte da Microsoft. |
| AADSTS80007 | Ocorreu um erro na comunicação com o Ative Directory | Verifique os logs do agente para obter mais informações e verifique se o Ative Directory está operando conforme o esperado. |
Os usuários obtêm erro de nome de usuário/senha inválido
Isso pode acontecer quando o UserPrincipalName (UPN) local de um usuário é diferente do UPN na nuvem do usuário.
Para confirmar que esse é o problema, primeiro teste se o agente de autenticação de passagem está funcionando corretamente:
Crie uma conta de teste.
Importe o módulo PowerShell na máquina do agente:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Execute o comando Invoke PowerShell:
Invoke-PassthroughAuthOnPremLogonTroubleshooterQuando lhe for pedido para introduzir credenciais, introduza o mesmo nome de utilizador e palavra-passe que são utilizados para iniciar sessão em (https://login.microsoftonline.com).
Se você receber o mesmo erro de nome de usuário/senha, isso significa que o agente de Autenticação de Passagem está funcionando corretamente e o problema pode ser que o UPN local não é roteável. Para saber mais, consulte Configurando ID de login alternativo.
Importante
Se o servidor Microsoft Entra Connect não estiver associado ao domínio, um requisito mencionado em Microsoft Entra Connect: Pré-requisitos, ocorrerá o problema de nome de usuário/senha inválido.
Motivos de falha de entrada no centro de administração do Microsoft Entra (precisa de licença Premium)
Se o seu locatário tiver uma licença do Microsoft Entra ID P1 ou P2 associada a ele, você também poderá consultar o relatório de atividade de entrada no centro de administração do Microsoft Entra.
Navegue até Microsoft Entra ID -Sign-ins> no [Centro de administração do Microsoft Entra](https://portal.azure.com/) e clique na atividade de entrada de um usuário específico. Procure no campo CÓDIGO DE ERRO DE INÍCIO DE SESSÃO. Mapeie o valor desse campo para um motivo de falha e resolução através da seguinte tabela:
| Código de erro de início de sessão | Motivo de falha do início de sessão | Resolução |
|---|---|---|
| 50144 | A palavra-passe do Active Directory do utilizador expirou. | Redefina a senha do usuário no Ative Directory local. |
| 80001 | Não existe nenhum Agente de Autenticação disponível. | Instale e registe um Agente de Autenticação. |
| 80002 | O pedido de validação da palavra-passe do Agente de Autenticação atingiu o tempo limite. | Verifique se é possível contactar o seu Active Directory a partir do Agente de Autenticação. |
| 80003 | O Agente de Autenticação recebeu uma resposta inválida. | Se o problema for consistentemente reproduzível em vários usuários, verifique a configuração do Ative Directory. |
| 80004 | Foi utilizado um Nome Principal de Utilizador (UPN) no pedido de início de sessão. | Peça ao utilizador para iniciar sessão com o nome de utilizador correto. |
| 80005 | Agente de Autenticação: ocorreu um erro. | Erro transitório. Tente novamente mais tarde. |
| 80007 | O Agente de Autenticação não se consegue ligar ao Active Directory. | Verifique se é possível contactar o seu Active Directory a partir do Agente de Autenticação. |
| 80010 | O Agente de Autenticação não conseguiu desencriptar a palavra-passe. | Se o problema for consistentemente reproduzível, instale e registre um novo Agente de Autenticação. E desinstale o atual. |
| 80011 | O Agente de Autenticação não conseguiu obter a chave de desencriptação. | Se o problema for consistentemente reproduzível, instale e registre um novo Agente de Autenticação. E desinstale o atual. |
| 80014 | O pedido de validação respondeu após o tempo de máximo ter sido excedido. | O agente de autenticação atingiu o tempo limite. Abra um tíquete de suporte com o código de erro, ID de correlação e carimbo de data/hora para obter mais detalhes sobre esse erro |
Importante
Os Agentes de Autenticação de Passagem autenticam os usuários do Microsoft Entra validando seus nomes de usuário e senhas em relação ao Ative Directory chamando a API Win32 LogonUser. Como resultado, se você tiver definido a configuração "Logon em" no Ative Directory para limitar o acesso de logon da estação de trabalho, você terá que adicionar servidores que hospedam agentes de autenticação de passagem à lista de servidores "Logon em" também. Se não fizer isso, os usuários não entrarão no Microsoft Entra ID.
Problemas na instalação do Agente de Autenticação
Ocorreu um erro inesperado
Colete logs de agente do servidor e entre em contato com o Suporte da Microsoft com seu problema.
Problemas no registo do Agente de Autenticação
O registo do Agente de Autenticação falhou devido a portas bloqueadas
Certifique-se de que o servidor no qual o Agente de Autenticação foi instalado possa se comunicar com nossas URLs e portas de serviço listadas aqui.
O registo do Agente de Autenticação falhou devido a erros de autorização do token ou da conta
Certifique-se de usar uma conta de Administrador Global somente na nuvem ou uma conta de Administrador de Identidade Híbrida para todas as operações de instalação e registro do Microsoft Entra Connect ou do Agente de Autenticação autônomo. Existe um problema conhecido com as contas de Administrador Global ativadas para MFA; desative temporariamente a MFA (apenas para concluir as operações) como uma solução alternativa.
Ocorreu um erro inesperado
Colete logs de agente do servidor e entre em contato com o Suporte da Microsoft com seu problema.
Problemas na desinstalação do Agente de Autenticação
Mensagem de aviso ao desinstalar o Microsoft Entra Connect
Se tiver a Autenticação Pass-through ativada no inquilino e tentar desinstalar o Microsoft Entra Connect, será apresentada a seguinte mensagem de aviso: “Os utilizadores não poderão iniciar sessão no Microsoft Entra ID, a menos que tenha outros agentes de Autenticação Pass-through instalados noutros servidores”.
Confirme que a configuração está altamente disponível antes de desinstalar o Microsoft Entra Connect para evitar que o utilizador inicie sessão.
Problemas ao ativar a funcionalidade
A ativação do recurso falhou porque não havia agentes de autenticação disponíveis
Você precisa ter pelo menos um Agente de Autenticação ativo para habilitar a Autenticação de Passagem em seu locatário. Você pode instalar um Agente de Autenticação instalando o Microsoft Entra Connect ou um Agente de Autenticação autônomo.
A ativação do recurso falhou devido a portas bloqueadas
Certifique-se de que o servidor no qual o Microsoft Entra Connect está instalado pode se comunicar com nossas URLs e portas de serviço listadas aqui.
A ativação do recurso falhou devido a erros de autorização de token ou conta
Certifique-se de usar uma conta de Administrador Global somente na nuvem ao ativar o recurso. Há um problema conhecido com contas de Administrador Global habilitadas para autenticação multifator (MFA); desative o MFA temporariamente (apenas para concluir a operação) como uma solução alternativa.
Coletando logs do Agente de Autenticação de Passagem
Dependendo do tipo de problema que você possa ter, você precisa procurar logs do Agente de Autenticação de Passagem em locais diferentes.
Logs do Microsoft Entra Connect
Para erros relacionados à instalação, verifique os logs do Microsoft Entra Connect em %ProgramData%\AADConnect\trace-*.log.
Registos de eventos do Agente de Autenticação
Para erros relacionados com o Agente de Autenticação, abra a aplicação do Visualizador de Eventos no servidor e verifique em Registos de Serviços e Aplicações\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Para análises detalhadas, ative o log "Sessão" (clique com o botão direito do mouse dentro do aplicativo Visualizador de Eventos para encontrar essa opção). Não execute o Agente de Autenticação com este registo ativado durante as operações normais; utilize apenas para a resolução de problemas. O conteúdo do log só fica visível depois que o log é desativado novamente.
Logs de rastreamento detalhados
Para solucionar problemas de falhas de entrada do usuário, procure logs de rastreamento em %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Esses logs incluem os motivos pelos quais o login de um usuário específico falhou usando o recurso de Autenticação de Passagem. Esses erros também são mapeados para os motivos de falha de entrada mostrados na tabela de motivos de falha de entrada anterior. Segue-se um exemplo de entrada de registo:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Você pode obter detalhes descritivos do erro ('1328' no exemplo anterior) abrindo o prompt de comando e executando o seguinte comando (Nota: Substitua '1328' pelo número de erro real que você vê em seus logs):
Net helpmsg 1328
Logs de entrada de autenticação de passagem
Se o log de auditoria estiver habilitado, informações adicionais poderão ser encontradas nos logs de segurança do servidor de Autenticação de Passagem. Uma maneira simples de consultar solicitações de entrada é filtrar logs de segurança usando a seguinte consulta:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Contadores do Monitor de Desempenho
Outra maneira de monitorar os Agentes de Autenticação é rastrear contadores específicos do Monitor de Desempenho em cada servidor onde o Agente de Autenticação está instalado. Use os seguintes contadores globais (# autenticações PTA, #PTA autenticações com falha e #PTA autenticações bem-sucedidas) e contadores de erro (# erros de autenticação PTA):
Importante
A Autenticação de Passagem fornece alta disponibilidade usando vários Agentes de Autenticação e não balanceamento de carga. Dependendo da sua configuração, nem todos os seus Agentes de Autenticação recebem aproximadamente o mesmo número de solicitações. É possível que um Agente de Autenticação específico não receba tráfego.