Řešení potíží s připojením k Microsoft Entra Připojení
Tento článek vysvětluje, jak funguje připojení mezi Microsoft Entra Připojení a ID Microsoft Entra a jak řešit problémy s připojením. Tyto problémy se s největší pravděpodobností projeví v prostředí, které používá proxy server.
problémy Připojení v průvodci instalací
Microsoft Entra Připojení používá k ověřování knihovnu MSAL (Microsoft Authentication Library). Průvodce instalací a synchronizační modul vyžadují správnou konfiguraci machine.config, protože se jedná o aplikace .NET.
Poznámka:
Azure AD Připojení v1.6.xx.x používá knihovnu ADAL (Active Directory Authentication Library). Knihovna ADAL je zastaralá a podpora skončí v červnu 2022. Doporučujeme upgradovat na nejnovější verzi microsoft Entra Připojení v2.
V tomto článku si ukážeme, jak se Fabrikam připojuje k Microsoft Entra ID prostřednictvím svého proxy serveru. Proxy server má název fabrikamproxy a používá port 8080.
Nejprve se ujistěte, že je machine.config správně nakonfigurovaný a že se služba Synchronizace ID Microsoftu po aktualizaci souboru machine.config jednou restartovala.
Poznámka:
Některé blogy jiné společnosti než Microsoft označují, že byste měli místo souboru machine.config provést změny souboru miiserver.exe.config. Nicméně , miiserver.exe.config soubor je přepsán při každém upgradu. I když soubor funguje během počáteční instalace, systém během prvního upgradu přestane fungovat. Z tohoto důvodu doporučujeme aktualizovat machine.config , jak je popsáno v tomto článku.
Proxy server musí mít také otevřené požadované adresy URL. Oficiální seznam je zdokumentovaný v adresách URL a rozsahech IP adres Office 365.
Z těchto adres URL jsou adresy URL uvedené v následující tabulce absolutní minimum, aby se vůbec mohly připojit k Microsoft Entra ID. Tento seznam neobsahuje žádné volitelné funkce, jako je zpětný zápis hesla nebo Microsoft Entra Připojení Health. Tady najdete informace, které vám pomůžou s řešením potíží s počáteční konfigurací.
| Adresa URL | Port | Description |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Slouží ke stažení seznamů odvolaných certifikátů (CRL). |
*.verisign.com |
HTTP/80 | Používá se ke stažení seznamů seznamu CRL. |
*.entrust.net |
HTTP/80 | Používá se ke stažení seznamů CRL pro vícefaktorové ověřování (MFA). |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Používá se pro různé služby Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Používá se pro vícefaktorové ověřování. |
*.microsoftonline.com |
HTTPS/443 | Slouží ke konfiguraci adresáře Microsoft Entra a importu a exportu dat. |
*.crl3.digicert.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.crl4.digicert.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.digicert.cn |
HTTP/80 | Slouží k ověření certifikátů. |
*.ocsp.digicert.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.www.d-trust.net |
HTTP/80 | Slouží k ověření certifikátů. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Slouží k ověření certifikátů. |
*.crl.microsoft.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.oneocsp.microsoft.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.ocsp.msocsp.com |
HTTP/80 | Slouží k ověření certifikátů. |
Chyby v průvodci
Průvodce instalací používá dva různé kontexty zabezpečení. Na Připojení na stránce Microsoft Entra ID používá uživatele, který je aktuálně přihlášený. Na stránce Konfigurovat se změní účet, na kterém běží služba synchronizačního modulu. Pokud dojde k problému, chyba se pravděpodobně zobrazí na stránce Připojení na stránce ID Microsoft Entra v průvodci, protože konfigurace proxy serveru je globální.
Následující problémy jsou nejběžnější chyby, se kterými se můžete setkat v průvodci instalací.
Průvodce instalací nebyl správně nakonfigurován.
Tato chyba se zobrazí, když se samotný průvodce nemůže spojit s proxy serverem.
Pokud se zobrazí tato chyba, ověřte, že je soubor machine.config správně nakonfigurovaný. Pokud machine.config vypadá správně, proveďte kroky v části Ověření připojení proxy serveru a zjistěte, jestli se problém vyskytuje i mimo průvodce.
Používá se účet Microsoft.
Pokud místo školního nebo organizačního účtu používáte účet Microsoft, zobrazí se obecná chyba:
Koncový bod vícefaktorového ověřování není dostupný.
Tato chyba se zobrazí, pokud koncový bod https://secure.aadcdn.microsoftonline-p.com není dostupný a vaše hybridní identita Správa istrator má povolené vícefaktorové ověřování.
Pokud se zobrazí tato chyba, ověřte, že se koncový bod secure.aadcdn.microsoftonline-p.com přidal do proxy serveru.
Heslo nejde ověřit.
Pokud je průvodce instalací úspěšný při připojování k ID Microsoft Entra, ale samotné heslo se nedá ověřit, zobrazí se tato chyba:
Jedná se o dočasné heslo, které se musí změnit? Je to ve skutečnosti správné heslo? Zkuste se přihlásit k https://login.microsoftonline.com jinému počítači než na serveru Microsoft Entra Připojení a ověřte, že je účet použitelný.
Ověření připojení proxy serveru
Pokud chcete zkontrolovat, jestli se server Microsoft Entra Připojení připojuje k proxy serveru a internetu, pomocí některých rutin PowerShellu zjistěte, jestli proxy server povoluje webové požadavky. V PowerShellu spusťte rutinu Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Technicky vzato je prvním voláním https://login.microsoftonline.coma tento identifikátor URI funguje také, ale druhý identifikátor URI je rychlejší reagovat.)
PowerShell používá konfiguraci v machine.config ke kontaktování proxy serveru. Nastavení v winhttp/netsh by neměla mít vliv na tyto rutiny.
Pokud je proxy server správně nakonfigurovaný, zobrazí se stav úspěchu:
Pokud se zobrazí zpráva Nejde se připojit ke vzdálenému serveru, PowerShell se pokouší provést přímé volání bez použití proxy serveru nebo DNS není správně nakonfigurované. Ujistěte se, že je soubor machine.config správně nakonfigurovaný.
Pokud proxy server není správně nakonfigurovaný, zobrazí se chybová zpráva 403 nebo 407:
Následující tabulka popisuje chyby proxy serveru 403 a 407:
| Chyba | Text chyby | Komentář |
|---|---|---|
| 403 | Zakázáno | Proxy server nebyl otevřen pro požadovanou adresu URL. Zkontrolujte konfiguraci proxy serveru a ujistěte se, že jsou otevřené adresy URL . |
| 407 | Vyžaduje se ověření proxy serverem | Proxy server vyžadoval přihlášení a nebyl poskytnut žádný. Pokud proxy server vyžaduje ověření, ujistěte se, že jste toto nastavení nakonfigurovali v souboru machine.config. Ujistěte se také, že používáte účty domény pro uživatele, který spouští průvodce a účet služby. |
Nastavení časového limitu nečinnosti proxy serveru
Když Microsoft Entra Připojení odešle žádost o export na ID Microsoft Entra, může trvat až 5 minut, než vygeneruje odpověď. Odpověď je zvlášť pravděpodobně zpožděná, pokud je do stejného požadavku na export zahrnuto mnoho objektů skupiny s velkým členstvím ve skupinách. Ujistěte se, že je časový limit nečinnosti proxy serveru nakonfigurovaný na více než 5 minut. Jinak může dojít k přerušovaným problémům s připojením k ID Microsoft Entra na serveru Microsoft Entra Připojení.
Komunikační model mezi microsoft entra Připojení a Microsoft Entra ID
Pokud jste postupovali podle všech kroků popsaných v tomto článku a stále se nemůžete připojit, můžete se v tomto okamžiku podívat na síťové protokoly. Tato část popisuje normální a úspěšný vzor připojení.
Nejprve je ale tady několik běžných obav o data v síťových protokolech, které můžete ignorovat:
- Existují volání
https://dc.services.visualstudio.comna . Aby byla instalace úspěšná, nemusí být tato adresa URL otevřená v proxy serveru a tato volání se dají ignorovat. - Uvidíte, že překlad DNS uvádí skutečné hostitele jako hostitele v oboru názvů
nsatc.netDNS a dalších oborech názvů, které nejsou podmicrosoftonline.com. Na skutečných názvech serverů ale nejsou žádné požadavky webové služby. Tyto adresy URL nemusíte přidávat do proxy serveru. - Koncové body
adminwebserviceaprovisioningapikoncové body zjišťování a slouží k vyhledání skutečného koncového bodu, který se má použít. Tyto koncové body se liší v závislosti na vaší oblasti.
Referenční protokoly proxy serveru
Následující příklad je výpis ze skutečného protokolu proxy serveru a stránka průvodce instalací, ze které byla pořízena (byly odebrány duplicitní položky do stejného koncového bodu). Tuto část můžete použít jako referenci pro vlastní protokoly proxy serveru a sítě. Skutečné koncové body se můžou ve vašem prostředí lišit (zejména adresy URL v kurzívě).
Připojení do Microsoft Entra ID
| Čas | Adresa URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
Konfigurace
| Čas | Adresa URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
Počáteční synchronizace
| Čas | Adresa URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
Chyby ověřování
Tato část popisuje chyby, které můžou být vráceny z knihovny ADAL a PowerShellu. Vysvětlení chyby by vám mělo pomoct identifikovat další kroky.
Neplatné udělení
Zadali jste neplatné uživatelské jméno nebo heslo. Další informace naleznete v tématu Heslo nelze ověřit.
Neznámý typ uživatele
Váš adresář Microsoft Entra nebyl nalezen ani vyřešen. Možná jste se pokusili přihlásit pomocí uživatelského jména v neověřené doméně?
Zjišťování sféry uživatele se nezdařilo.
Problémy s konfigurací sítě nebo proxy serveru Síť není dostupná. V průvodci instalací si prohlédnou problémy s Připojení ivity.
Platnost hesla uživatele vypršela.
Platnost vašich přihlašovacích údajů vypršela. Změňte heslo.
Selhání autorizace
Microsoft Entra Připojení uživateli se nepodařilo autorizovat k provedení akce v ID Microsoft Entra.
Ověřování bylo zrušeno.
Výzva vícefaktorového ověřování byla zrušena.
Připojení do MSOnline se nezdařilo.
Ověřování proběhlo úspěšně, ale Azure AD PowerShell má problém s ověřováním.
Potřeba role Globální Správa istrator microsoftu Entra
Uživatel byl úspěšně ověřen, ale uživatel nemá přiřazenou roli Globální Správa istrator. Roli globálního Správa istratoru můžete přiřadit uživateli.
Privileged Identity Management povolená
Ověřování proběhlo úspěšně, ale služba Privileged Identity Management byla povolená a uživatel v současné době není hybridní identitou Správa istrator. Další informace najdete v tématu Privileged Identity Management.
Informace o společnosti nejsou k dispozici
Ověření proběhlo úspěšně, ale informace o společnosti se nepodařilo načíst z ID Microsoft Entra.
Informace o doméně nejsou k dispozici
Ověření proběhlo úspěšně, ale informace o doméně se nepodařilo načíst z ID Microsoft Entra.
Nespecifikované selhání ověřování
Zobrazuje se jako neočekávaná chyba v průvodci instalací. K této chybě může dojít, pokud se pokusíte použít účet Microsoft místo školního nebo organizačního účtu.
Postup řešení potíží s dřívějšími verzemi
Ve verzích, které začínají číslem buildu 1.1.105.0 (vydáno v únoru 2016), byl pomocník pro přihlášení vyřazený. Konfigurace pomocníka pro přihlášení už by se neměla vyžadovat, ale informace v dalších částech najdete pro referenci.
Aby pomocník s jednotným přihlašováním fungoval, musí být nakonfigurována služba Microsoft Windows HTTP Services (WinHTTP). WinHTTP můžete nakonfigurovat pomocí netsh.
Pomocník pro přihlášení není správně nakonfigurovaný.
Tato chyba se zobrazí, když se pomocník pro přihlášení nemůže spojit s proxy serverem nebo proxy server nepovoluje požadavek.
Pokud se zobrazí tato chyba, podívejte se na konfiguraci proxy serveru v netsh a ověřte, že je správná.
Pokud konfigurace proxy serveru vypadá správně, proveďte kroky v části Ověření připojení proxy a zjistěte, jestli k problému dochází mimo průvodce.
Další kroky
Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.