Устранение неполадок в работе сквозной аутентификации Azure Active DirectoryTroubleshoot Azure Active Directory Pass-through Authentication

В этой статье вы найдете информацию по устранению распространенных неполадок в работе сквозной аутентификации Azure AD.This article helps you find troubleshooting information about common issues regarding Azure AD Pass-through Authentication.

Важно!

Если вы столкнулись с проблемами в работе сквозной аутентификации, которые касаются входа пользователей, не отключайте эту функцию и не удаляйте агенты сквозной аутентификации, если у вас нет облачной учетной записи глобального администратора, на которую можно переключиться.If you are facing user sign-in issues with Pass-through Authentication, don't disable the feature or uninstall Pass-through Authentication Agents without having a cloud-only Global Administrator account to fall back on. См. дополнительные сведения о добавлении облачной учетной записи глобального администратора.Learn about adding a cloud-only Global Administrator account. Этот шаг очень важен для того, чтобы не потерять доступ к клиенту.Doing this step is critical and ensures that you don't get locked out of your tenant.

Общие проблемыGeneral issues

Проверьте состояние компонента и агентов проверки подлинностиCheck status of the feature and Authentication Agents

Убедитесь, что компонент сквозной проверки подлинности по-прежнему включен в клиенте и что для состояния агентов проверки подлинности отображается значение Active (Активны), а не Inactive (Неактивны).Ensure that the Pass-through Authentication feature is still Enabled on your tenant and the status of Authentication Agents shows Active, and not Inactive. Можно проверить состояние, перейдя в колонку Azure AD Connect в центре администрирования Azure Active Directory.You can check status by going to the Azure AD Connect blade on the Azure Active Directory admin center.

Центр администрирования Active Directory Azure — колонка "Azure AD Connect"

Центр администрирования Active Directory Azure — колонка "Сквозная проверка подлинности"

Сообщения об ошибках при входе пользователейUser-facing sign-in error messages

Если пользователи не могут выполнить вход с использованием сквозной аутентификации, для них могут отображаться следующие ошибки на экране входа в Azure AD:If the user is unable to sign into using Pass-through Authentication, they may see one of the following user-facing errors on the Azure AD sign-in screen:

ОшибкаError ОписаниеDescription Способы устранения:Resolution
AADSTS80001AADSTS80001 Не удалось подключиться к Active DirectoryUnable to connect to Active Directory Убедитесь, что серверы с агентами являются членами того же леса, что и пользователи, чьи пароли должны быть проверены, и могут подключиться к Active Directory.Ensure that agent servers are members of the same AD forest as the users whose passwords need to be validated and they are able to connect to Active Directory.
AADSTS8002AADSTS8002 Истекло время ожидания подключения к Active DirectoryA timeout occurred connecting to Active Directory Убедитесь, что служба Active Directory доступна и отвечает на запросы агентов.Check to ensure that Active Directory is available and is responding to requests from the agents.
AADSTS80004AADSTS80004 Агенту передано недопустимое имя пользователяThe username passed to the agent was not valid Убедитесь, что пользователь пытается войти в систему с правильным именем пользователя.Ensure the user is attempting to sign in with the right username.
AADSTS80005AADSTS80005 При проверке было обнаружено непредсказуемое исключение WebExceptionValidation encountered unpredictable WebException Это временная проблема.A transient error. Повторите запрос.Retry the request. Если проблема не исчезла, обратитесь в службу поддержки Майкрософт.If it continues to fail, contact Microsoft support.
AADSTS80007AADSTS80007 Произошла ошибка при взаимодействии с Active DirectoryAn error occurred communicating with Active Directory Посмотрите дополнительные сведения в журналах агентов и убедитесь, что Active Directory работает должным образом.Check the agent logs for more information and verify that Active Directory is operating as expected.

Причины сбоя единого входа в центре администрирования Azure Active Directory (требуется лицензия Premium)Sign-in failure reasons on the Azure Active Directory admin center (needs Premium license)

Если к клиенту привязана лицензия Azure AD Premium, вы можете также изучить отчет о действиях при входе в центре администрирования Azure Active Directory.If your tenant has an Azure AD Premium license associated with it, you can also look at the sign-in activity report on the Azure Active Directory admin center.

Центр администрирования Azure Active Directory — отчет о действиях входа

Перейдите в раздел Azure Active Directory -> Вход в систему в центре администрирования Azure Active Directory и щелкните конкретное действие пользователя при входе.Navigate to Azure Active Directory -> Sign-ins on the Azure Active Directory admin center and click a specific user's sign-in activity. Найдите поле КОД ОШИБКИ ВХОДА.Look for the SIGN-IN ERROR CODE field. Сопоставьте значение этого поля c причиной сбоя и способом разрешения с помощью следующей таблицы:Map the value of that field to a failure reason and resolution using the following table:

Код ошибки входаSign-in error code Причина ошибки входаSign-in failure reason Способы устранения:Resolution
5014450144 Истек срок действия пароля пользователя Active Directory.User's Active Directory password has expired. Сбросьте пароль пользователя в локальной службе Active Directory.Reset the user's password in your on-premises Active Directory.
8000180001 Агент аутентификации недоступен.No Authentication Agent available. Установите и зарегистрируйте агент аутентификации.Install and register an Authentication Agent.
8000280002 Истекло время ожидания запроса на проверку пароля агента аутентификации.Authentication Agent's password validation request timed out. Проверьте, доступна ли из агента аутентификации служба Active Directory.Check if your Active Directory is reachable from the Authentication Agent.
8000380003 Агент аутентификации получил недопустимый ответ.Invalid response received by Authentication Agent. Если проблема возникает постоянно для многих пользователей, проверьте конфигурацию Active Directory.If the problem is consistently reproducible across multiple users, check your Active Directory configuration.
8000480004 В запросе на вход использовано неправильное имя участника-пользователя (UPN).Incorrect User Principal Name (UPN) used in sign-in request. Попросите пользователя выполнить вход, используя правильное имя пользователя.Ask the user to sign in with the correct username.
8000580005 Агент проверки подлинности. Произошла ошибка.Authentication Agent: Error occurred. Это временная проблема.Transient error. Повторите попытку позже.Try again later.
8000780007 Агенту аутентификации не удалось подключиться к Active Directory.Authentication Agent unable to connect to Active Directory. Проверьте, доступна ли из агента аутентификации служба Active Directory.Check if your Active Directory is reachable from the Authentication Agent.
8001080010 Агенту аутентификации не удалось расшифровать пароль.Authentication Agent unable to decrypt password. Если проблема возникает постоянно, установите и зарегистрируйте новый агент аутентификации.If the problem is consistently reproducible, install and register a new Authentication Agent. Также удалите текущий агент.And uninstall the current one.
8001180011 Агенту аутентификации не удается получить ключ расшифровки.Authentication Agent unable to retrieve decryption key. Если проблема возникает постоянно, установите и зарегистрируйте новый агент аутентификации.If the problem is consistently reproducible, install and register a new Authentication Agent. Также удалите текущий агент.And uninstall the current one.

Важно!

Агенты сквозной проверки подлинности проверки подлинности пользователей Azure AD путем проверки имен пользователей и пароли в Active Directory путем вызова Win32 LogonUser API.Pass-through Authentication Agents authenticate Azure AD users by validating their usernames and passwords against Active Directory by calling the Win32 LogonUser API. Таким образом Если выбран параметр «Вход в систему для» в Active Directory для ограничения доступа для входа в рабочую станцию, необходимо добавить серверы, на которых агенты сквозной проверки подлинности в список «Входа в систему для» серверов, а также.As a result, if you have set the "Logon To" setting in Active Directory to limit workstation logon access, you will have to add servers hosting Pass-through Authentication Agents to the list of "Logon To" servers as well. Если сделать это будет блокировать пользователей войти в Azure AD.Failing to do this will block your users from signing into Azure AD.

Проблемы с установкой агента аутентификацииAuthentication Agent installation issues

Произошла непредвиденная ошибкаAn unexpected error occurred

Соберите журналы агента с сервера и обратитесь в службу поддержки Майкрософт с этой проблемой.Collect agent logs from the server and contact Microsoft Support with your issue.

Проблемы с регистрацией агента аутентификацииAuthentication Agent registration issues

Зарегистрировать агент аутентификации не удалось из-за заблокированных портовRegistration of the Authentication Agent failed due to blocked ports

Убедитесь, что сервер, на котором установлен агент аутентификации, может взаимодействовать с URL-адресами и портами нашей службы, перечисленными здесь.Ensure that the server on which the Authentication Agent has been installed can communicate with our service URLs and ports listed here.

Сбой регистрации агента аутентификации из-за ошибок проверки подлинности учетной записи или токенаRegistration of the Authentication Agent failed due to token or account authorization errors

Вы должны использовать облачную учетную запись глобального администратора для установки и регистрации изолированного агента аутентификации или Azure AD Connect.Ensure that you use a cloud-only Global Administrator account for all Azure AD Connect or standalone Authentication Agent installation and registration operations. Существует известная проблема с учетными записями глобального администратора с поддержкой Многофакторной идентификации. В качестве обходного решения временно отключите Многофакторную идентификацию (только чтобы завершить операции).There is a known issue with MFA-enabled Global Administrator accounts; turn off MFA temporarily (only to complete the operations) as a workaround.

Произошла непредвиденная ошибкаAn unexpected error occurred

Соберите журналы агента с сервера и обратитесь в службу поддержки Майкрософт с этой проблемой.Collect agent logs from the server and contact Microsoft Support with your issue.

Проблемы с удалением агента аутентификацииAuthentication Agent uninstallation issues

Предупреждение при удалении Azure AD ConnectWarning message when uninstalling Azure AD Connect

Если у вашего клиента включена сквозная аутентификация и вы пытаетесь удалить Azure AD Connect, появится следующее предупреждающее сообщение: "Пользователи не смогут войти в Azure AD, если на других серверах не установлены другие агенты сквозной аутентификации".If you have Pass-through Authentication enabled on your tenant and you try to uninstall Azure AD Connect, it shows you the following warning message: "Users will not be able to sign-in to Azure AD unless you have other Pass-through Authentication agents installed on other servers."

Прежде чем удалять Azure AD Connect, убедитесь, что у вас высокодоступная конфигурация, чтобы избежать нарушения входа пользователей.Ensure that your setup is highly available before you uninstall Azure AD Connect to avoid breaking user sign-in.

Проблемы с включением функцииIssues with enabling the feature

Не удалось включить функцию из-за отсутствия доступных агентов аутентификацииEnabling the feature failed because there were no Authentication Agents available

Чтобы включить сквозную аутентификацию на клиенте, необходимо иметь хотя бы один активный агент аутентификации.You need to have at least one active Authentication Agent to enable Pass-through Authentication on your tenant. Можно установить агент аутентификации, установив либо Azure AD Connect, либо отдельный агент аутентификации.You can install an Authentication Agent by either installing Azure AD Connect or a standalone Authentication Agent.

Не удалось включить функцию из-за заблокированных портовEnabling the feature failed due to blocked ports

Убедитесь, что сервер, на котором установлена служба Azure AD Connect, может взаимодействовать с URL-адресами и портами нашей службы, перечисленными здесь.Ensure that the server on which Azure AD Connect is installed can communicate with our service URLs and ports listed here.

Не удалось включить функцию из-за ошибок проверки подлинности учетной записи или токенаEnabling the feature failed due to token or account authorization errors

При включении функции вы должны использовать только облачную учетную запись глобального администратора.Ensure that you use a cloud-only Global Administrator account when enabling the feature. Существует известная проблема с учетными записями глобального администратора с поддержкой MFA. В качестве обходного решения временно отключите Многофакторную идентификацию (только чтобы завершить операции).There is a known issue with multi-factor authentication (MFA)-enabled Global Administrator accounts; turn off MFA temporarily (only to complete the operation) as a workaround.

Сбор журналов агента сквозной аутентификацииCollecting Pass-through Authentication Agent logs

Журналы агента сквозной аутентификации будут находиться в разных расположениях в зависимости от типа возникшей проблемы.Depending on the type of issue you may have, you need to look in different places for Pass-through Authentication Agent logs.

Журналы Azure AD ConnectAzure AD Connect logs

Ошибки, связанные с установкой, можно проверить в журналах Azure AD Connect здесь: %ProgramData%\AADConnect\trace-*.log.For errors related to installation, check the Azure AD Connect logs at %ProgramData%\AADConnect\trace-*.log.

Журналы событий агента аутентификацииAuthentication Agent event logs

Чтобы посмотреть ошибки, связанные с агентом проверки подлинности, откройте на сервере приложение "Просмотр событий" и проверьте расположение Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.For errors related to the Authentication Agent, open up the Event Viewer application on the server and check under Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.

Для получения подробных сведений включите журнал "Сеанс" (кликните правой кнопкой мыши в приложении "Просмотр событий", чтобы найти этот параметр).For detailed analytics, enable the "Session" log (right-click inside the Event Viewer application to find this option). Не запускайте агент аутентификации со включенным журналом во время обычной работы. Используйте его только для устранения неполадок.Don't run the Authentication Agent with this log enabled during normal operations; use only for troubleshooting. Содержимое этого журнала будет видно только после того, как он снова будет отключен.The log contents are only visible after the log is disabled again.

Подробные журналы трассировкиDetailed trace logs

Для диагностики и устранения неполадок при входе пользователей найдите журналы трассировки в папке %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\ .To troubleshoot user sign-in failures, look for trace logs at %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. В этих журналах содержатся причины сбоев, возникших при входе пользователей с помощью сквозной аутентификации.These logs include reasons why a specific user sign-in failed using the Pass-through Authentication feature. Эти ошибки также сопоставляются с причинами ошибок входа, показанными в предыдущей таблице причин ошибок входа.These errors are also mapped to the sign-in failure reasons shown in the preceding sign-in failure reasons table. Ниже приведен пример записи в журнале.Following is an example log entry:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

Описание ошибки (1328 в приведенном выше примере) можно получить, открыв окно командной строки и выполнив следующую команду. Примечание. Необходимо будет заменить число "1328" номером ошибки, которая отображается в ваших журналах).You can get descriptive details of the error ('1328' in the preceding example) by opening up the command prompt and running the following command (Note: Replace '1328' with the actual error number that you see in your logs):

Net helpmsg 1328

Сквозная проверка подлинности

Журналы контроллеров доменаDomain Controller logs

Если включено ведение журнала аудита, то дополнительные сведения можно найти в журналах безопасности контроллеров домена.If audit logging is enabled, additional information can be found in the security logs of your Domain Controllers. Ниже показан простой способ получения запросов на вход, отправленных агентами сквозной аутентификации.A simple way to query sign-in requests sent by Pass-through Authentication Agents is as follows:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Счетчики системного монитораPerformance Monitor counters

Другой способ наблюдения за агентами аутентификации — отслеживание счетчиков системного монитора на каждом сервере, на котором установлен агент аутентификации.Another way to monitor Authentication Agents is to track specific Performance Monitor counters on each server where the Authentication Agent is installed. Используйте приведенные глобальные счетчики ( # PTA authentications, #PTA failed authentications и #PTA successful authentications) и счетчики ошибок ( # PTA authentication errors).Use the following Global counters (# PTA authentications, #PTA failed authentications and #PTA successful authentications) and Error counters (# PTA authentication errors):

Счетчики системного монитора для сквозной аутентификации

Важно!

Сквозная аутентификация обеспечивает высокий уровень доступности за счет нескольких агентов аутентификации, но не предоставляет возможности балансировки нагрузки.Pass-through Authentication provides high availability using multiple Authentication Agents, and not load balancing. В зависимости от вашей конфигурации не все агенты аутентификации могут получать примерно одинаковое число запросов.Depending on your configuration, not all your Authentication Agents receive roughly equal number of requests. Возможно, какой-либо агент аутентификации вообще не получает трафик.It is possible that a specific Authentication Agent receives no traffic at all.