針對 Microsoft Entra 連線連線問題進行疑難排解
本文說明 Microsoft Entra 連線 與 Microsoft Entra ID 之間的連線如何運作,以及如何針對連線問題進行疑難排解。 這些問題最有可能出現在使用 Proxy 伺服器的環境中。
安裝精靈中的連線性問題
Microsoft Entra 連線使用 Microsoft 驗證程式庫 (MSAL) 進行驗證。 安裝精靈和同步處理引擎需要正確設定 machine.config,因為這兩個是 .NET 應用程式。
注意
Azure AD 連線 v1.6.xx.x 使用 Active Directory 驗證程式庫 (ADAL)。 ADAL 即將淘汰,支援將于 2022 年 6 月結束。 我們建議您升級至最新版本的 Microsoft Entra 連線 v2 。
在本文中,我們會示範 Fabrikam 如何透過其 Proxy 連線到 Microsoft Entra ID。 Proxy 伺服器的名稱為 fabrikamproxy ,並使用埠 8080。
首先,請確定已正確設定 machine.config ,而且在 machine.config 檔案更新之後 ,Microsoft Entra ID Sync 服務已重新開機一次。
注意
某些非 Microsoft 部落格指出您應該變更 miiserver.exe.config,而不是 machine.config 檔案。 不過, 每次升級時都會覆寫 miiserver.exe.config 檔案。 即使檔案在初始安裝期間運作,系統仍會在第一次升級期間停止運作。 基於這個理由,我們建議您更新 machine.config ,如本文所述。
Proxy 伺服器也必須開啟必要的 URL。 官方清單記載于 Office 365 URL 和 IP 位址範圍 中。
在這些 URL 中,下表所列的 URL 是完全無法連線到 Microsoft Entra 識別碼的絕對最小值。 此清單不包含任何選擇性功能,例如密碼回寫或 Microsoft Entra 連線 Health。 這裡提供的資訊可協助針對初始設定進行疑難排解。
| URL | Port | 描述 |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | 用來下載憑證撤銷清單 (CRL) 清單。 |
*.verisign.com |
HTTP/80 | 用來下載 CRL 清單。 |
*.entrust.net |
HTTP/80 | 用來下載多重要素驗證的 CRL 清單(MFA)。 |
*.management.core.windows.net(Azure 儲存體) *.graph.windows.net (Azure AD Graph) |
HTTPS/443 | 用於各種 Azure 服務。 |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | 用於 MFA。 |
*.microsoftonline.com |
HTTPS/443 | 用來設定您的 Microsoft Entra 目錄和匯入/匯出資料。 |
*.crl3.digicert.com |
HTTP/80 | 用來驗證憑證。 |
*.crl4.digicert.com |
HTTP/80 | 用來驗證憑證。 |
*.digicert.cn |
HTTP/80 | 用來驗證憑證。 |
*.ocsp.digicert.com |
HTTP/80 | 用來驗證憑證。 |
*.www.d-trust.net |
HTTP/80 | 用來驗證憑證。 |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | 用來驗證憑證。 |
*.crl.microsoft.com |
HTTP/80 | 用來驗證憑證。 |
*.oneocsp.microsoft.com |
HTTP/80 | 用來驗證憑證。 |
*.ocsp.msocsp.com |
HTTP/80 | 用來驗證憑證。 |
精靈中的錯誤
安裝精靈會使用兩個不同的安全性內容。 在 [連線至 Microsoft Entra 識別碼 ] 頁面上,它會使用目前登入的使用者。 在 [ 設定 ] 頁面上,它會變更為 執行同步處理引擎 服務的帳戶。 如果發生問題,錯誤最有可能出現在精靈中 microsoft Entra 識別碼 頁面連線,因為 Proxy 組態是全域的。
下列問題是您在安裝精靈中可能會遇到的最常見錯誤。
安裝精靈尚未正確設定
當精靈本身無法連線到 Proxy 時,就會出現此錯誤。
如果您看到此錯誤,請確認 machine.config 檔案 已正確設定。 如果 machine.config 看起來正確,請完成驗證 Proxy 連線 中的 步驟,以查看問題是否也存在於精靈外部。
使用 Microsoft 帳戶
如果您使用 Microsoft 帳戶 ,而不是 學校或組織帳戶 ,您會看到一般錯誤:
無法連線到 MFA 端點
如果無法連線到端點 https://secure.aadcdn.microsoftonline-p.com ,且您的混合式身分識別管理員istrator 已啟用 MFA,則會出現此錯誤。
如果您看到此錯誤,請確認端點 secure.aadcdn.microsoftonline-p.com 已新增至 Proxy。
無法驗證密碼
如果安裝精靈成功連線到 Microsoft Entra ID,但無法驗證密碼本身,您會看到此錯誤:
密碼是否為必須變更的暫時密碼? 這實際上是正確的密碼嗎? 嘗試在 https://login.microsoftonline.com 與 Microsoft Entra 連線 伺服器不同的電腦上登入,並確認帳戶可供使用。
確認 Proxy 連線能力
若要檢查 Microsoft Entra 連線 伺服器是否連線到 Proxy 和網際網路,請使用一些 PowerShell Cmdlet 來查看 Proxy 是否允許 Web 要求。 在 PowerShell 中,執行 Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc。 (技術上,第一次呼叫是 , https://login.microsoftonline.com 而且此 URI 也有效,但另一個 URI 回應更快。
PowerShell 會使用 machine.config 中的 組態來連絡 Proxy。 winHTTP/netsh 中的 設定不應該影響這些 Cmdlet。
如果 Proxy 已正確設定,就會顯示成功狀態:
如果您看到無法連線到遠端伺服器的 訊息 ,PowerShell 會嘗試在沒有使用 Proxy 或 DNS 的情況下進行直接呼叫,但未正確設定。 請確定已正確設定 machine.config 檔案。
如果 Proxy 未正確設定,則會出現 403 或 407 錯誤訊息:
下表描述 403 和 407 Proxy 錯誤:
| 錯誤 | 錯誤文字 | 註解 |
|---|---|---|
| 403 | 禁止 | 尚未針對要求的 URL 開啟 Proxy。 重新流覽 Proxy 設定,並確定 URL 已開啟。 |
| 407 | 需要 Proxy 驗證 | Proxy 伺服器需要登入,而且未提供任何登入。 如果您的 Proxy 伺服器需要驗證,請確定您已在 machine.config 中 設定此設定。此外,請確定您是針對執行精靈的使用者,以及服務帳戶使用網域帳戶。 |
Proxy 閒置逾時設定
當 Microsoft Entra 連線將匯出要求傳送至 Microsoft Entra ID 時,Microsoft Entra ID 最多可能需要 5 分鐘的時間來處理要求,才能產生回應。 如果許多具有大型群組成員資格的群組物件包含在相同的匯出要求中,則回應特別可能會延遲。 確定 Proxy 閒置逾時已設定為大於 5 分鐘。 否則,您可能會在 Microsoft Entra 連線 伺服器上發生 Microsoft Entra 識別碼的間歇性連線問題。
Microsoft Entra 連線與 Microsoft Entra 識別碼之間的通訊模式
如果您已遵循本文所述的所有步驟,但仍無法連線,此時您可能會查看網路記錄。 本節說明一般且成功的連線模式。
但首先,以下是有關網路記錄中資料的一些常見問題,您可以忽略:
- 呼叫
https://dc.services.visualstudio.com。 不需要在 Proxy 中開啟此 URL,安裝才會成功,而且可以忽略這些呼叫。 - 您會看到 DNS 解析會將實際主機列為在 DNS 命名空間
nsatc.net中,以及不在 下microsoftonline.com的其他命名空間中。 不過,實際伺服器名稱上沒有任何 Web 服務要求。 您不需要將這些 URL 新增至 Proxy。 - 端點
adminwebservice和provisioningapi是探索端點,用來尋找要使用的實際端點。 這些端點會根據您的區域而有所不同。
參考 Proxy 記錄
下列範例是實際 Proxy 記錄的傾印,以及從中擷取的安裝精靈頁面(已移除相同端點的重複專案)。 本節可作為您自己的 Proxy 和網路記錄的參考。 實際端點在您的環境中可能不同(特別是斜體 中的 URL)。
連線至 Microsoft Entra 識別碼
| Time | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
設定
| Time | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
初始同步處理
| Time | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
驗證錯誤
本節涵蓋可能從 ADAL 和 PowerShell 傳回的錯誤。 錯誤說明應該可協助您識別後續步驟。
不正確授與
您輸入的使用者名稱或密碼無效。 如需詳細資訊,請參閱 無法驗證 密碼。
未知的使用者類型
找不到或解析您的 Microsoft Entra 目錄。 也許您嘗試使用未驗證網域中的使用者名稱登入?
使用者領域探索失敗
網路或 Proxy 設定問題。 無法連線到網路。 請參閱 安裝精靈 中的連線性問題。
使用者密碼已過期
您的認證已過期。 變更您的密碼。
授權失敗
Microsoft Entra 連線無法授權使用者在 Microsoft Entra ID 中執行動作。
已取消驗證
MFA 挑戰已取消。
連線至 MSOnline 失敗
驗證成功,但 Azure AD PowerShell 發生驗證問題。
需要 Microsoft Entra Global 管理員istrator 角色
使用者已成功驗證,但使用者未獲指派全域管理員istrator 角色。 您可以將 全域管理員istrator 角色 指派給使用者。
已啟用 Privileged Identity Management
驗證成功,但已啟用 Privileged Identity Management,且使用者目前不是混合式身分識別管理員istrator。 如需詳細資訊,請參閱 Privileged Identity Management 。
無法使用公司資訊
驗證成功,但無法從 Microsoft Entra 識別碼擷取公司資訊。
網域資訊無法使用
驗證成功,但無法從 Microsoft Entra ID 擷取網域資訊。
未指定的驗證失敗
在安裝精靈中顯示為 非預期的錯誤 。 如果您嘗試使用 Microsoft 帳戶 ,而不是 學校或組織帳戶 ,可能會發生此錯誤。
舊版的疑難排解步驟
從組建編號 1.1.105.0 開始的版本(2016 年 2 月發行),登入助理已淘汰。 設定登入小幫手應該不再需要,但下一節中的資訊會包含在參考中。
若要讓單一登入小幫手能夠運作,必須設定 Microsoft Windows HTTP 服務 (WinHTTP)。 您可以使用 netsh 來 設定 WinHTTP。
登入小幫手未正確設定
當登入小幫手無法連線到 Proxy 或 Proxy 不允許要求時,就會顯示此錯誤。
如果您看到此錯誤,請查看 netsh 中的 Proxy 設定,並確認其正確無誤。
如果 Proxy 設定看起來正確,請完成驗證 Proxy 連線 中的 步驟,以查看問題是否發生在精靈外部。