Устранение неполадок подключения Azure ADTroubleshoot Azure AD connectivity

В этой статье рассказывается, как работает подключение между Azure AD Connect и Azure AD и как устранять неполадки подключения.This article explains how connectivity between Azure AD Connect and Azure AD works and how to troubleshoot connectivity issues. Как правило, проблемы возникают в среде с прокси-сервером.These issues are most likely to be seen in an environment with a proxy server.

Устранение неполадок подключения в мастере установкиTroubleshoot connectivity issues in the installation wizard

Azure AD Connect использует для аутентификации современную проверку подлинности (с использованием библиотеки ADAL).Azure AD Connect is using Modern Authentication (using the ADAL library) for authentication. Поскольку речь идет о двух приложениях .NET, мастер установки и модуль синхронизации требуют правильной настройки файла machine.config.The installation wizard and the sync engine proper require machine.config to be properly configured since these two are .NET applications.

В этой статье показано, как Fabrikam подключается к Azure AD через прокси-сервер.In this article, we show how Fabrikam connects to Azure AD through its proxy. Прокси-сервер имеет имя fabrikamproxy и использует порт 8080.The proxy server is named fabrikamproxy and is using port 8080.

Во-первых, проверим правильность настройки файла machine.config .First we need to make sure machine.config is correctly configured.
machineconfigmachineconfig

Примечание

В некоторых сторонних блогах говорится, что вместо него изменения необходимо вносить в файл miiserver.exe.config.In some non-Microsoft blogs, it is documented that changes should be made to miiserver.exe.config instead. Однако при каждом обновлении этот файл перезаписывается, так что даже если при первичной установке все работает, то с первым же обновлением система работать перестанет.However, this file is overwritten on every upgrade so even if it works during initial install, the system stops working on first upgrade. По этой причине рекомендуется обновлять файл machine.config.For that reason, the recommendation is to update machine.config instead.

На прокси-сервере должен быть также открыт необходимый URL-адрес.The proxy server must also have the required URLs opened. Официальный список см. в статье URL-адреса и диапазоны IP-адресов Office 365.The official list is documented in Office 365 URLs and IP address ranges.

Для этих URL-адресов в приведенной ниже таблице показаны минимальные условия, которые должны соблюдаться для подключения к Azure AD.Of these URLs, the following table is the absolute bare minimum to be able to connect to Azure AD at all. Этот список не включает дополнительные функции, такие как обратная запись паролей или Azure AD Connect Health.This list does not include any optional features, such as password writeback, or Azure AD Connect Health. Он предназначен только для поиска и устранения неполадок, связанных с начальной конфигурацией.It is documented here to help in troubleshooting for the initial configuration.

URL-адресURL PortPort ОписаниеDescription
mscrl.microsoft.commscrl.microsoft.com HTTP/80HTTP/80 Используется для загрузки списков CRL.Used to download CRL lists.
*.verisign.com*.verisign.com HTTP/80HTTP/80 Используется для загрузки списков CRL.Used to download CRL lists.
*.entrust.net*.entrust.net HTTP/80HTTP/80 Используется для загрузки списков CRL для MFA.Used to download CRL lists for MFA.
*.windows.net*.windows.net HTTPS/443HTTPS/443 Используется для входа в Azure AD.Used to sign in to Azure AD.
secure.aadcdn.microsoftonline-p.comsecure.aadcdn.microsoftonline-p.com HTTPS/443HTTPS/443 Используется для многофакторной проверки подлинности (MFA).Used for MFA.
*.microsoftonline.com*.microsoftonline.com HTTPS/443HTTPS/443 Используется для настройки каталога Azure AD, а также импорта и экспорта данных.Used to configure your Azure AD directory and import/export data.

Ошибки в мастереErrors in the wizard

Мастер установки использует два различных контекста безопасности.The installation wizard is using two different security contexts. На странице Подключение к Azure AD он использует имя пользователя, выполнившего вход.On the page Connect to Azure AD, it is using the currently signed in user. На странице Настройка он переключается на учетную запись, под которой работает служба модуля синхронизации.On the page Configure, it is changing to the account running the service for the sync engine. Если возникают проблемы, то обычно они проявляются уже на странице мастера Подключение к Azure AD, так как конфигурация прокси-сервера является глобальной.If there is an issue, it appears most likely already at the Connect to Azure AD page in the wizard since the proxy configuration is global.

Ниже приведены наиболее распространенные ошибки, которые встречаются в мастере установки.The following issues are the most common errors you encounter in the installation wizard.

Неправильно настроен мастер установкиThe installation wizard has not been correctly configured

Эта ошибка появляется в случае, если мастер не может связаться с прокси-сервером.This error appears when the wizard itself cannot reach the proxy.
nomachineconfig

  • Если возникает эта ошибка, проверьте конфигурацию в файле machine.config.If you see this error, verify the machine.config has been correctly configured.
  • Если конфигурация выглядит нормально, выполните действия, описанные в разделе Проверка подключения прокси-сервера , и убедитесь в том, что проблема возникает не только в мастере.If that looks correct, follow the steps in Verify proxy connectivity to see if the issue is present outside the wizard as well.

Используется учетная запись МайкрософтA Microsoft account is used

Если использовать учетную запись Майкрософт вместо учебной или рабочей учетной записи, то возникнет общая ошибка.If you use a Microsoft account rather than a school or organization account, you see a generic error.
Используется учетная запись МайкрософтA Microsoft Account is used

Не удается связаться с конечной точкой многофакторной проверки подлинностиThe MFA endpoint cannot be reached

Эта ошибка отображается в том случае, если не удается связаться с конечной точкой https://secure.aadcdn.microsoftonline-p.com и глобальный администратор включил Многофакторную идентификацию (MFA).This error appears if the endpoint https://secure.aadcdn.microsoftonline-p.com cannot be reached and your global admin has MFA enabled.
nomachineconfignomachineconfig

  • Если вы видите эту ошибку, то убедитесь, что конечная точка secure.aadcdn.microsoftonline-p.com добавлена на прокси-сервер.If you see this error, verify that the endpoint secure.aadcdn.microsoftonline-p.com has been added to the proxy.

Невозможно проверить парольThe password cannot be verified

Если мастер установки успешно подключается к Azure AD, но проверить пароль невозможно, то отображается следующая ошибка:If the installation wizard is successful in connecting to Azure AD, but the password itself cannot be verified you see this error:
Неправильный пароль.

  • Проверьте, не используется ли временный пароль, который необходимо сменить.Is the password a temporary password and must be changed? Проверьте, правильно ли указан пароль.Is it actually the correct password? Попробуйте войти в систему по адресу https://login.microsoftonline.com (на другом компьютере, отличном от сервера Azure AD Connect), и убедитесь, что учетная запись доступна.Try to sign in to https://login.microsoftonline.com (on another computer than the Azure AD Connect server) and verify the account is usable.

Проверка подключения прокси-сервераVerify proxy connectivity

Для проверки возможности подключения сервера Azure AD Connect к прокси-серверу и Интернету можно использовать некоторые командлеты PowerShell, показывающие, пропускает ли прокси-сервер веб-запросы.To verify if the Azure AD Connect server has actual connectivity with the Proxy and Internet, use some PowerShell to see if the proxy is allowing web requests or not. В командной строке PowerShell выполните командлет Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc.In a PowerShell prompt, run Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (С технической точки зрения первый вызов направляется по адресу https://login.microsoftonline.com, и этот URI также будет работать, хотя другие URI отвечают быстрее.)(Technically the first call is to https://login.microsoftonline.com and this URI works as well, but the other URI is faster to respond.)

Для связи с прокси-сервером PowerShell использует конфигурацию в файле machine.config.PowerShell uses the configuration in machine.config to contact the proxy. Параметры в winhttp/netsh не должны влиять на эти командлеты.The settings in winhttp/netsh should not impact these cmdlets.

Если прокси-сервер настроен правильно, то вы должны получить успешное состояние: proxy200.If the proxy is correctly configured, you should get a success status: proxy200

Если отображается сообщение Невозможно соединиться с удаленным сервером, то это означает, что PowerShell пытается передать прямой вызов, не используя прокси-сервер, или неправильно настроен DNS.If you receive Unable to connect to the remote server, then PowerShell is trying to make a direct call without using the proxy or DNS is not correctly configured. Проверьте правильность настройки файла machine.config .Make sure the machine.config file is correctly configured. unabletoconnectunabletoconnect

Если прокси-сервер настроен неправильно, то появляется ошибка: proxy200 proxy407.If the proxy is not correctly configured, you get an error: proxy200 proxy407

ОшибкаError Текст сообщения об ошибкеError Text КомментарийComment
403403 ЗапрещеноForbidden Прокси-сервер не был открыт для запрошенного URL-адреса.The proxy has not been opened for the requested URL. Проверьте конфигурацию прокси-сервера и убедитесь, что URL-адреса открыты.Revisit the proxy configuration and make sure the URLs have been opened.
407407 Требуется проверка подлинности прокси-сервераProxy Authentication Required Для прокси-сервера требуется имя входа, которое не было указано.The proxy server required a sign-in and none was provided. Если прокси-сервер требует аутентификации, то убедитесь, что этот параметр настроен в файле machine.config. Также убедитесь, что используются учетные записи домена для пользователя, который работает с мастером, а также учетная запись службы.If your proxy server requires authentication, make sure to have this setting configured in the machine.config. Also make sure you are using domain accounts for the user running the wizard and for the service account.

Параметр времени ожидания прокси-сервера в режиме простояProxy idle timeout setting

Когда Azure AD Connect отправляет запрос на экспорт в службу Azure AD, службе Azure AD может потребоваться около 5 минут на обработку запроса и создание ответа.When Azure AD Connect sends an export request to Azure AD, Azure AD can take up to 5 minutes to process the request before generating a response. Это особенно актуально в случаях, когда один запрос на экспорт содержит несколько объектов групп с большим количеством участников.This can happen especially if there are a number of group objects with large group memberships included in the same export request. Убедитесь, что время ожидания прокси-сервера в режиме простоя превышает 5 минут.Ensure the Proxy idle timeout is configured to be greater than 5 minutes. В противном случае на сервере Azure AD Connect могут наблюдаться перебои с подключением к Azure AD.Otherwise, intermittent connectivity issue with Azure AD may be observed on the Azure AD Connect server.

Шаблон взаимодействия между Azure AD Connect и Azure ADThe communication pattern between Azure AD Connect and Azure AD

Если вы выполнили все описанные выше действия, а подключение по-прежнему невозможно, то обратитесь к журналам сети.If you have followed all these preceding steps and still cannot connect, you might at this point start looking at network logs. В этом разделе описан нормальный, работающий шаблон подключения,This section is documenting a normal and successful connectivity pattern. а также перечислены распространенные ложные сигналы, которые при чтении журналов сети можно игнорировать.It is also listing common red herrings that can be ignored when you are reading the network logs.

  • Есть вызовы по адресу https://dc.services.visualstudio.com.There are calls to https://dc.services.visualstudio.com. Для успешной установки открытие этого URL-адреса в прокси-сервере не требуется, и эти вызовы можно игнорировать.It is not required to have this URL open in the proxy for the installation to succeed and these calls can be ignored.
  • Вы заметите, что в разрешении DNS указано, что фактически узлы находятся в пространстве DNS-имен nsatc.net и других, а не в microsoftonline.com.You see that dns resolution lists the actual hosts to be in the DNS name space nsatc.net and other namespaces not under microsoftonline.com. Фактические имена серверов в запросах к веб-службам не указываются, и добавлять эти URL-адреса в прокси-сервер не нужно.However, there are not any web service requests on the actual server names and you do not have to add these URLs to the proxy.
  • Конечные точки adminwebservice и provisioningapi представляют собой конечные точки обнаружения и используются для поиска фактически используемой конечной точки.The endpoints adminwebservice and provisioningapi are discovery endpoints and used to find the actual endpoint to use. Выбор этих конечных точек зависит от вашего региона.These endpoints are different depending on your region.

Справочные журналы прокси-сервераReference proxy logs

Приведем дамп из действительного журнала прокси-сервера и страницу мастера установки, с которой он был взят (дублирующиеся записи, относящиеся к одной и той же конечной точке, были удалены).Here is a dump from an actual proxy log and the installation wizard page from where it was taken (duplicate entries to the same endpoint have been removed). Этот раздел можно использовать как образец для собственных журналов прокси-сервера и сети.This section can be used as a reference for your own proxy and network logs. В вашей среде конечные точки могут отличаться (особенно URL-адреса, выделенные курсивом).The actual endpoints might be different in your environment (in particular those URLs in italic).

Подключение к Azure ADConnect to Azure AD

ВремяTime URL-адресURL
1/11/2016 8:311/11/2016 8:31 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:311/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:321/11/2016 8:32 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:321/11/2016 8:32 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:331/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:331/11/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443connect://bwsc02-relay.microsoftonline.com:443

НастройкаConfigure

ВремяTime URL-адресURL
1/11/2016 8:431/11/2016 8:43 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:431/11/2016 8:43 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:431/11/2016 8:43 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://bba900-anchor.microsoftonline.com:443connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:441/11/2016 8:44 connect://login.microsoftonline.com:443connect://login.microsoftonline.com:443
1/11/2016 8:461/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:461/11/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443connect://bwsc02-relay.microsoftonline.com:443

Первоначальная синхронизацияInitial Sync

ВремяTime URL-адресURL
1/11/2016 8:481/11/2016 8:48 connect://login.windows.net:443connect://login.windows.net:443
1/11/2016 8:491/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:491/11/2016 8:49 connect://bba900-anchor.microsoftonline.com:443connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:491/11/2016 8:49 connect://bba800-anchor.microsoftonline.com:443connect://bba800-anchor.microsoftonline.com:443

Ошибки проверки подлинностиAuthentication errors

В этом разделе описываются ошибки, которые могут возвращаться ADAL (библиотекой аутентификации, используемой службой Azure AD Connect) и PowerShell.This section covers errors that can be returned from ADAL (the authentication library used by Azure AD Connect) and PowerShell. Объяснение ошибки поможет понять причины ее возникновения и определить дальнейшие действия.The error explained should help you in understand your next steps.

Недопустимый набор правInvalid Grant

Недопустимое имя пользователя или пароль.Invalid username or password. Дополнительные сведения см. в разделе Невозможно проверить пароль.For more information, see The password cannot be verified.

Неизвестный тип пользователяUnknown User Type

Невозможно найти или разрешить каталог Azure AD.Your Azure AD directory cannot be found or resolved. Возможно, при попытке входа в систему вы используете имя пользователя в непроверенном домене?Maybe you try to login with a username in an unverified domain?

Не удалось выполнить обнаружение области пользователяUser Realm Discovery Failed

Проблемы конфигурации сети или прокси-сервера.Network or proxy configuration issues. Сеть недоступна.The network cannot be reached. Ознакомьтесь с разделом Устранение неполадок подключения в мастере установки.See Troubleshoot connectivity issues in the installation wizard.

Срок действия пароля пользователя истекUser Password Expired

Срок действия ваших учетных данных истек.Your credentials have expired. Измените пароль.Change your password.

"Authorization Failure" (Сбой авторизации)Authorization Failure

Не удалось авторизовать пользователя для выполнения действия в Azure AD.Failed to authorize user to perform action in Azure AD.

Проверка подлинности отмененаAuthentication Canceled

Запрос проверки подлинности многофакторной идентификации (MFA) был отменен.The multi-factor authentication (MFA) challenge was canceled.

"Connect To MS Online Failed" (Не удалось подключиться к Microsoft Online)Connect To MS Online Failed

Проверка подлинности прошла успешно, но есть проблема с проверкой подлинности в Azure AD PowerShell.Authentication was successful, but Azure AD PowerShell has an authentication problem.

"Azure AD Global Admin Role Needed" (Требуется роль глобального администратора Azure AD)Azure AD Global Admin Role Needed

Пользователь успешно прошел аутентификацию.User was authenticated successfully. Однако ему не назначена роль глобального администратора.However user is not assigned global admin role. Вот как можно назначить роль глобального администратора пользователю.This is how you can assign global admin role to the user.

"Privileged Identity Management Enabled" (Включено управление привилегированными пользователями)Privileged Identity Management Enabled

Проверка подлинности прошла успешно.Authentication was successful. Было включено управление привилегированными пользователями, и в настоящее время вы не являетесь глобальным администратором.Privileged identity management has been enabled and you are currently not a global administrator. Дополнительные сведения см. в статье Приступая к работе с управлением привилегированными пользователями Azure AD.For more information, see Privileged Identity Management.

"Company Information Unavailable" (Сведения об организации недоступны)Company Information Unavailable

Проверка подлинности прошла успешно.Authentication was successful. Не удалось получить от Azure AD сведения об организации.Could not retrieve company information from Azure AD.

"Domain Information Unavailable" (Сведения о домене недоступны)Domain Information Unavailable

Проверка подлинности прошла успешно.Authentication was successful. Не удалось получить от Azure AD сведения о домене.Could not retrieve domain information from Azure AD.

"Unspecified Authentication Failure" (Неопределенная ошибка аутентификации)Unspecified Authentication Failure

Отображается как непредвиденная ошибка в мастере установки.Shown as Unexpected error in the installation wizard. Она может возникнуть при попытке использовать учетную запись Майкрософт вместо учебной или рабочей учетной записи.Can happen if you try to use a Microsoft Account rather than a school or organization account.

Действия по устранению неполадок для предыдущих версий.Troubleshooting steps for previous releases.

Начиная с версии с номером сборки 1.1.105.0 (выпущенной в феврале 2016 г.) помощник по входу более не используется.With releases starting with build number 1.1.105.0 (released February 2016), the sign-in assistant was retired. Этот раздел и конфигурация больше не требуются, но хранятся для ссылки.This section and the configuration should no longer be required, but is kept as reference.

Для работы помощника по единому входу необходимо настроить winhttp.For the single-sign in assistant to work, winhttp must be configured. Эту настройку можно сделать с помощью netsh.This configuration can be done with netsh.
netshnetsh

Неправильно настроен помощник по входуThe Sign-in assistant has not been correctly configured

Эта ошибка появляется, если помощник по входу не может связаться с прокси-сервером или прокси-сервер не пропускает запрос.This error appears when the Sign-in assistant cannot reach the proxy or the proxy is not allowing the request. nonetshnonetsh

  • Если возникает эта ошибка, проверьте конфигурацию прокси-сервера в netsh и убедитесь в правильности ее настройки.If you see this error, look at the proxy configuration in netsh and verify it is correct. netshshownetshshow
  • Если конфигурация выглядит нормально, выполните действия, описанные в разделе Проверка подключения прокси-сервера , и убедитесь в том, что проблема возникает не только в мастере.If that looks correct, follow the steps in Verify proxy connectivity to see if the issue is present outside the wizard as well.

Дальнейшие действияNext steps

Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.