Řešení chybových zpráv z rozšíření NPS pro vícefaktorové ověřování Microsoft Entra
Pokud dojde k chybám s rozšířením NPS pro vícefaktorové ověřování Microsoft Entra, použijte tento článek k rychlejšímu řešení. Protokoly rozšíření NPS najdete v Prohlížeč událostí v části Protokoly>aplikací a služeb Microsoft>AzureMfa>AuthN AuthZ> na serveru, na kterém je nainstalované rozšíření NPS.
Postup řešení běžných chyb
| Kód chyby | Postup při řešení potíží |
|---|---|
| CONTACT_SUPPORT | Kontaktujte podporu a uveďte seznam kroků pro shromažďování protokolů. Zadejte co nejvíce informací o tom, co se stalo před chybou, včetně ID tenanta a hlavního názvu uživatele (UPN). |
| CLIENT_CERT_INSTALL_ERROR | Možná je problém s tím, jakým způsobem se klientský certifikát nainstaloval nebo přidružil k vašemu tenantovi. Postupujte podle pokynů v tématu Řešení potíží s rozšířením MFA NPS a prozkoumejte problémy s certifikáty klienta. |
| ESTS_TOKEN_ERROR | Postupujte podle pokynů v tématu Řešení potíží s rozšířením MFA NPS a prozkoumejte problémy s klientskými certifikáty a tokeny zabezpečení. |
| HTTPS_COMMUNICATION_ERROR | Server NPS nemůže přijímat odpovědi z vícefaktorového ověřování Microsoft Entra. Ověřte, že jsou brány firewall otevřené obousměrně pro provoz do a z a z https://adnotifications.windowsazure.com a že je povolený protokol TLS 1.2 (výchozí). Pokud je protokol TLS 1.2 zakázaný, ověřování uživatelů selže a do systémového protokolu Prohlížeč událostí se zadá ID události 36871 se zdrojovým SChannel. Pokud chcete ověřit, že je protokol TLS 1.2 povolený, přečtěte si téma Nastavení registru PROTOKOLU TLS. |
| HTTP_CONNECT_ERROR | Na serveru, na kterém je spuštěné rozšíření NPS, ověřte, že se můžete připojit k doménám https://adnotifications.windowsazure.com a https://login.microsoftonline.com/. Pokud se tyto weby nenačítají, vyřešte potíže s připojením na tomto serveru. |
| Rozšíření NPS pro vícefaktorové ověřování Microsoft Entra (AccessReject): Rozšíření NPS pro vícefaktorové ověřování Microsoft Entra provádí sekundární ověřování pouze pro požadavky radius ve stavu AccessAccept. Žádost přijatá pro uživatelské jméno uživatele se stavem odpovědi AccessReject bez ohledu na požadavek. |
Tato chyba obvykle značí selhání ověřování v AD nebo to, že server NPS nemůže přijímat odpovědi z Microsoft Entra ID. Ověřte, že jsou vaše brány firewall otevřené pro obousměrný provoz do a z domén https://adnotifications.windowsazure.com a https://login.microsoftonline.com na portech 80 a 443. Je také důležité zkontrolovat, že na kartě DIAL-IN v části Oprávnění přístupu k síti je toto nastavení nastavené na "Řízení přístupu prostřednictvím zásad sítě NPS". Tato chyba se může aktivovat také v případě, že uživatel nemá přiřazenou licenci. |
| Rozšíření NPS pro vícefaktorové ověřování Microsoft Entra (AccessChallenge): Rozšíření NPS pro vícefaktorové ověřování Microsoft Entra provádí sekundární ověřování pouze pro požadavky radius ve stavu AccessAccept. Žádost přijatá pro uživatelské jméno uživatele s stavem odpovědi AccessChallenge, která ignoruje požadavek. |
Tato odpověď se používá v případě, že se od uživatele vyžadují další informace k dokončení procesu ověřování nebo autorizace. Server NPS odešle uživateli výzvu a požádá o další přihlašovací údaje nebo informace. Obvykle předchází odpovědi Access-Accept nebo Access-Reject. |
| REGISTRY_CONFIG_ERROR | V registru pro aplikaci chybí klíč, což může být způsobeno tím, že se po dokončení instalace nespustil skript PowerShellu. Chybová zpráva by měla obsahovat chybějící klíč. Ujistěte se, že máte klíč v části HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
| REQUEST_FORMAT_ERROR V požadavku radius chybí povinný atribut Radius userName\Identifier. Ověřte, že NPS přijímá požadavky RADIUS. |
Tato chyba obvykle značí problém s instalací. Rozšíření NPS musí být nainstalované na serverech NPS, které můžou přijímat požadavky RADIUS. Servery NPS, které jsou nainstalované jako závislosti pro služby, jako jsou RDG nebo RRAS, nepřijímají požadavky RADIUS. Rozšíření NPS nefunguje při instalaci těchto instalací a chybách, protože nemůže přečíst podrobnosti z žádosti o ověření. |
| REQUEST_MISSING_CODE | Ujistěte se, že protokol šifrování hesel mezi servery NPS a NAS podporuje metodu sekundárního ověřování, kterou používáte. PAP podporuje všechny metody ověřování vícefaktorového ověřování Microsoft Entra v cloudu: telefonní hovor, jednosměrná textová zpráva, oznámení mobilní aplikace a ověřovací kód mobilní aplikace. PROTOKOL CHAPV2 a EAP podporují telefonní hovor a oznámení mobilní aplikace. |
| USERNAME_CANONICALIZATION_ERROR | Ověřte, že je uživatel ve vaší instanci místní Active Directory a že má služba NPS oprávnění pro přístup k adresáři. Pokud používáte vztahy důvěryhodnosti doménové struktury, požádejte o další pomoc podporu . |
| Výzva požadovaná v rozšíření ověřování pro uživatele | Organizace používající jiný protokol RADIUS než PAP vidí selhání autorizace VPN uživatele s těmito událostmi, které se zobrazují v protokolu událostí AuthZOptCh serveru NPS Extension. Server NPS můžete nakonfigurovat tak, aby podporoval PAP. Pokud pap není možnost, můžete nastavit OVERRIDE_NUMBER_MATCHING_WITH_OTP = NEPRAVDA, aby se vrátila na Nabízená oznámení schvalovat nebo odepřít. Pokud potřebujete další pomoc, pomocí rozšíření NPS zkontrolujte párování čísel. |
Chyby alternativního přihlašovacího ID
| Kód chyby | Chybová zpráva | Postup při řešení potíží |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Chyba: vyhledávání userObjectSid selhalo | Ověřte, že uživatel existuje ve vaší instanci místní Active Directory. Pokud používáte vztahy důvěryhodnosti doménové struktury, požádejte o další pomoc podporu . |
| ALTERNATE_LOGIN_ID_ERROR | Chyba: Alternativní vyhledávání LoginId selhalo. | Ověřte, že je LDAP_ALTERNATE_LOGINID_ATTRIBUTE nastaven na platný atribut služby Active Directory. Pokud je LDAP_FORCE_GLOBAL_CATALOG nastavena na hodnotu True nebo LDAP_LOOKUP_FORESTS je nakonfigurována neprázdná hodnota, ověřte, že jste nakonfigurovali globální katalog a že je do něj přidaný atribut AlternateLoginId. Pokud je LDAP_LOOKUP_FORESTS nakonfigurovaná neprázdná hodnota, ověřte správnost hodnoty. Pokud existuje více než jeden název doménové struktury, musí být názvy oddělené středníky, nikoli mezerami. Pokud tyto kroky problém nevyřeší, požádejte o pomoc podporu . |
| ALTERNATE_LOGIN_ID_ERROR | Chyba: Alternativní hodnota LoginId je prázdná. | Ověřte, že je pro uživatele nakonfigurovaný atribut AlternateLoginId. |
Chyby, se kterými se můžou uživatelé setkat
| Kód chyby | Chybová zpráva | Postup při řešení potíží |
|---|---|---|
| AccessDenied | Tenant volajícího nemá přístupová oprávnění k ověřování uživatele. | Zkontrolujte, jestli je doména tenanta a doména hlavního názvu uživatele (UPN) stejné. Ujistěte se například, že user@contoso.com se pokoušíte ověřit tenanta Contoso. Hlavní název uživatele (UPN) představuje platného uživatele pro tenanta v Azure. |
| AuthenticationMethodNotConfigured | Zadaná metoda ověřování nebyla pro uživatele nakonfigurována. | Požádejte uživatele, aby přidal nebo ověřil své metody ověřování podle pokynů v části Správa nastavení pro dvoustupňové ověření. |
| AuthenticationMethodNotSupported | Zadaná metoda ověřování není podporovaná. | Shromážděte všechny protokoly, které obsahují tuto chybu, a obraťte se na podporu. Když se obrátíte na podporu, zadejte uživatelské jméno a sekundární metodu ověření, která chybu aktivovala. |
| BecAccessDenied | Volání MSODS Bec vrátilo odepření přístupu, pravděpodobně uživatelské jméno není definováno v tenantovi. | Uživatel se nachází v místní službě Active Directory, ale nesynchronizuje se s ID Microsoft Entra službou AD Připojení. Nebo uživatel pro tenanta chybí. Přidejte uživatele do Microsoft Entra ID a nechte ho přidat své metody ověření podle pokynů v části Správa nastavení pro dvoustupňové ověření. |
| InvalidFormat nebo StrongAuthenticationServiceInvalidParameter | Telefonní číslo je v nerozpoznatelném formátu. | Požádejte uživatele, aby opravil svoje ověřovací telefonní čísla. |
| Neplatná platnost | Zadaná relace je neplatná nebo vypršela jeho platnost. | Dokončení relace trvalo déle než tři minuty. Ověřte, že uživatel zadává ověřovací kód nebo reaguje na oznámení aplikace do tří minut od zahájení žádosti o ověření. Pokud se tím problém nevyřeší, zkontrolujte, jestli mezi klientem, serverem NAS, serverem NPS a koncovým bodem vícefaktorového ověřování Microsoft Entra nejsou žádné latence sítě. |
| NoDefaultAuthenticationMethodIsConfigured | Pro uživatele nebyla nakonfigurována žádná výchozí metoda ověřování. | Požádejte uživatele, aby přidal nebo ověřil své metody ověřování podle pokynů v části Správa nastavení pro dvoustupňové ověření. Ověřte, že uživatel zvolil výchozí metodu ověřování a nakonfiguroval tuto metodu pro svůj účet. |
| OathCodePinIncorrect | Byl zadán nesprávný kód a pin kód. | Tato chyba se v rozšíření NPS neočekává. Pokud na to uživatel narazí, obraťte se na podporu s žádostí o pomoc s řešením potíží. |
| ProofDataNotFound | Pro zadanou metodu ověřování nebyla nakonfigurována data kontroly pravopisu. | Požádejte uživatele, aby vyzkoušel jinou metodu ověření nebo přidal novou metodu ověření podle pokynů v části Správa nastavení dvoustupňového ověření. Pokud se uživateli tato chyba zobrazí i po potvrzení, že je metoda ověření správně nastavená, obraťte se na podporu. |
| SMSAuthFailedWrongCodePinEntered | Byl zadán nesprávný kód a pin kód. (OneWaySMS) | Tato chyba se v rozšíření NPS neočekává. Pokud na to uživatel narazí, obraťte se na podporu s žádostí o pomoc s řešením potíží. |
| TenantIsBlocked | Tenant je zablokovaný | Obraťte se na podporu s ID tenanta na stránce vlastností Microsoft Entra v Centru pro správu Microsoft Entra. |
| UserNotFound | Zadaný uživatel nebyl nalezen. | Tenant už není v MICROSOFT Entra ID viditelný jako aktivní. Zkontrolujte, jestli je vaše předplatné aktivní a že máte požadované aplikace první strany. Ujistěte se také, že tenant v předmětu certifikátu je podle očekávání a certifikát je stále platný a zaregistrovaný v instančním objektu. |
Zprávy, na které můžou uživatelé narazit, že nejsou chyby
Někdy můžou uživatelé dostávat zprávy z vícefaktorového ověřování, protože jejich žádost o ověření selhala. Nejedná se o chyby v produktu konfigurace, ale jedná se o úmyslná upozornění vysvětlující, proč se žádost o ověření zamítla.
| Kód chyby | Chybová zpráva | Doporučené kroky |
|---|---|---|
| OathCodeIncorrect | Nesprávný kód zadaný\Nesprávný kód OATH | Uživatel zadal nesprávný kód. Zkuste to znovu tak, že požádáte o nový kód nebo se znovu přihlásíte. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Bylo dosaženo maximálního povoleného opakování kódu. | Uživatel nepovedl ověřovací výzvu příliš mnohokrát. V závislosti na nastavení můžou být teď muset správce odblokovat. |
| SMSAuthFailedWrongCodeEntered | Nesprávný kód zadaný / Nesprávný jednorázový heslo textové zprávy | Uživatel zadal nesprávný kód. Zkuste to znovu tak, že požádáte o nový kód nebo se znovu přihlásíte. |
| Omezení ověřování | Příliš mnoho pokusů uživatelem za krátkou dobu. Omezení kapacity. | Microsoft může omezit opakované pokusy o ověření prováděné stejným uživatelem za krátkou dobu. Toto omezení se nevztahuje na ověřovací kód nebo Microsoft Authenticator. Pokud jste dosáhli těchto limitů, můžete během několika minut použít ověřovací aplikaci, ověřovací kód nebo se znovu přihlásit. |
| AuthenticationMethodLimitReached | Bylo dosaženo limitu metody ověřování. Omezení kapacity. | Microsoft může omezit opakované pokusy o ověření prováděné stejným uživatelem pomocí stejného typu metody ověřování za krátkou dobu, konkrétně hlasový hovor nebo SMS. Toto omezení se nevztahuje na ověřovací kód nebo Microsoft Authenticator. Pokud jste dosáhli těchto limitů, můžete během několika minut použít ověřovací aplikaci, ověřovací kód nebo se znovu přihlásit. |
Chyby, které vyžadují podporu
Pokud narazíte na některou z těchto chyb, doporučujeme kontaktovat podporu s diagnostickou nápovědou. Neexistuje žádná standardní sada kroků, které by mohly tyto chyby vyřešit. Při kontaktování podpory nezapomeňte uvést co nejvíce informací o krocích, které vedly k chybě, a informace o vašem tenantovi.
| Kód chyby | Chybová zpráva |
|---|---|
| InvalidParameter | Požadavek nesmí mít hodnotu null. |
| InvalidParameter | ObjectId nesmí být pro ReplicationScope null nebo prázdný:{0} |
| InvalidParameter | Délka CompanyName {0}\ je delší než maximální povolená délka {1} |
| InvalidParameter | UserPrincipalName nesmí být null ani prázdný. |
| InvalidParameter | Zadané ID tenanta není ve správném formátu. |
| InvalidParameter | Id relace nesmí být null ani prázdné. |
| InvalidParameter | Nelze přeložit žádná data ProofData z požadavku nebo msods. The ProofData is unKnown |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Další kroky
Řešení potíží s uživatelskými účty
Pokud mají vaši uživatelé potíže s dvoustupňovým ověřováním, pomozte jim s vlastní diagnostikou problémů.
Skript kontroly stavu
Skript kontroly stavu rozšíření NPS s vícefaktorovým ověřováním Microsoft Entra provádí při řešení potíží s rozšířením NPS několik základních kontrol stavu. Tady je rychlý souhrn jednotlivých dostupných možností při spuštění skriptu:
- Možnost 1 – izolace příčiny problému: pokud se jedná o problém NPS nebo MFA (export regulárních klíčů MFA, restartování NPS, testování, import regkeys, restartování NPS)
- Možnost 2 – kontrola úplné sady testů, pokud ne všichni uživatelé můžou použít rozšíření MFA NPS (testování přístupu k Azure nebo vytvoření sestavy HTML)
- Možnost 3 : Pokud chcete zkontrolovat konkrétní sadu testů, když konkrétní uživatel nemůže použít rozšíření MFA NPS (test MFA pro konkrétní hlavní název uživatele (UPN)
- Možnost 4 – shromažďování protokolů za účelem kontaktování podpory Microsoftu (povolení protokolování, restartování serveru NPS nebo shromažďování protokolů)
Kontaktujte podporu Microsoftu.
Pokud potřebujete další pomoc, kontaktujte pracovníka podpory prostřednictvím podpory vícefaktorového ověřování. Když nás kontaktujete, je užitečné, pokud můžete uvést co nejvíce informací o vašem problému. Mezi informace, které můžete zadat, patří stránka, kde jste viděli chybu, konkrétní kód chyby, konkrétní ID relace, ID uživatele, který chybu viděl, a protokoly ladění.
Pokud chcete shromáždit protokoly ladění pro diagnostiku podpory, spusťte na serveru NPS skript kontroly stavu rozšíření NPS s vícefaktorovým ověřováním Microsoft Entra a zvolte možnost 4 , která shromáždí protokoly, které jim poskytne podporu Microsoftu.
Na konci nahrajte výstupní soubor zip vygenerovaný ve složce C:\NPS a připojte ho k případu podpory.