Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek vám pomůže najít informace o řešení běžných problémů souvisejících s předávacím ověřováním Microsoft Entra.
Důležité
Pokud máte problémy s přihlašováním uživatelů s předávacím ověřováním, nezakažte funkci ani neodinstalujte agenty předávacího ověřování, aniž byste měli účet správce identity hybridního prostředí, který je pouze v cloudu, jako záložní řešení.
Obecné problémy
Zkontrolujte stav funkce a autentizačních agentů
Ujistěte se, že je ve vašem tenantovi stále povolená funkce Předávací ověřování a že stav agentů ověřování je aktivní a ne neaktivní. Stav můžete zkontrolovat v okně Microsoft Entra Connect v Centru pro správu Microsoft Entra.
Chybové zprávy směřující k uživateli při přihlašování
Pokud se uživatel nemůže přihlásit pomocí předávacího ověřování, může se na přihlašovací obrazovce Microsoft Entra zobrazit jedna z následujících chyb:
| Chyba | Popis | Řešení |
|---|---|---|
| AADSTS80001 | Nejde se připojit ke službě Active Directory | Ujistěte se, že jsou servery agentů členy stejné doménové struktury AD jako uživatelé, jejichž hesla je potřeba ověřit, a že se můžou připojit ke službě Active Directory. |
| AADSTS80002 | Došlo k vypršení časového limitu připojení ke službě Active Directory. | Zkontrolujte, jestli je služba Active Directory dostupná a reaguje na požadavky z agentů. |
| AADSTS80004 | Uživatelské jméno předané agentu nebylo platné. | Ujistěte se, že se uživatel snaží přihlásit pomocí správného uživatelského jména. |
| AADSTS80005 | Při ověřování došlo k nepředvídatelné chybě WebException | Přechodná chyba. Zkuste požadavek zopakovat. Pokud i nadále selže, obraťte se na podporu Microsoftu. |
| AADSTS80007 | Při komunikaci se službou Active Directory došlo k chybě. | V protokolech agenta vyhledejte další informace a ověřte, že služba Active Directory funguje podle očekávání. |
Uživatelům se zobrazuje chyba s neplatným uživatelským jménem nebo heslem
K tomu může dojít, když se místní hlavní název uživatele (UPN) uživatele liší od hlavního názvu uživatele (UPN) v cloudu.
Pokud chcete ověřit, že se jedná o tento problém, nejprve otestujte, jestli agent předávacího ověřování funguje správně:
Vytvořte testovací účet.
Naimportujte modul PowerShellu na počítač agenta:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Spusťte příkaz pro vyvolání PowerShellu:
Invoke-PassthroughAuthOnPremLogonTroubleshooterPo zobrazení výzvy k zadání přihlašovacích údajů zadejte stejné uživatelské jméno a heslo, ke kterému se přihlašujete (
https://login.microsoftonline.com).
Pokud se zobrazí stejná chyba uživatelského jména nebo hesla, znamená to, že agent předávacího ověřování funguje správně a problém může být v tom, že místní hlavní název uživatele (UPN) není směrovatelný. Další informace najdete v tématu Konfigurace alternativního přihlašovacího ID.
Důležité
Pokud server Microsoft Entra Connect není připojený k doméně, což je požadavek uvedený v Microsoft Entra Connect: Požadavky, dojde k problému s neplatným uživatelským jménem nebo heslem.
Důvody selhání přihlášení v Centru pro správu Microsoft Entra (vyžaduje licenci Premium)
Pokud má váš tenant přidruženou licenci Microsoft Entra ID P1 nebo P2, můžete se také podívat na přehled přihlašovací aktivity v Microsoft Entra Centru pro správu.
V [Centru pro správu Microsoft Entra](>) přejděte napřihlášení k Microsoft Entra IDhttps://portal.azure.com/ a klikněte na přihlašovací aktivitu konkrétního uživatele. Vyhledejte pole SIGN-IN KÓD CHYBY . Na základě hodnoty tohoto pole vyhledejte příčinu selhání a příslušné řešení v následující tabulce:
| Kód chyby přihlášení | Příčina selhání přihlášení | Řešení |
|---|---|---|
| 50144 | Vypršela platnost hesla uživatele pro Active Directory. | Resetujte heslo uživatele v místní Active Directory. |
| 80001 | Není k dispozici žádný ověřovací agent. | Nainstalujte a zaregistrujte ověřovacího agenta. |
| 80002 | Vypršel časový limit žádosti o ověření hesla ověřovacího agenta. | Ověřte, zda je služba Active Directory dosažitelná z ověřovacího agenta. |
| 80003 | Ověřovací agent přijal neplatnou odpověď. | Pokud je problém konzistentně reprodukovatelný u více uživatelů, zkontrolujte konfiguraci služby Active Directory. |
| 80004 | V žádosti o přihlášení byl použit nesprávný hlavní název uživatele (UPN). | Požádejte uživatele, aby se přihlásil pomocí správného uživatelského jména. |
| 80005 | Ověřovací agent: Došlo k chybě. | Přechodná chyba. Zkuste to později. |
| 80007 | Ověřovací agent se nemohl připojit k Active Directory. | Ověřte, zda je služba Active Directory dosažitelná z ověřovacího agenta. |
| 80010 | Ověřovací agent nebyl schopen dešifrovat heslo. | Pokud je problém konzistentně reprodukovatelný, nainstalujte a zaregistrujte nového ověřovacího agenta. A odinstalujte aktuální. |
| 80011 | Ověřovací agent nebyl schopen získat dešifrovací klíč. | Pokud je problém konzistentně reprodukovatelný, nainstalujte a zaregistrujte nového ověřovacího agenta. A odinstalujte aktuální. |
| 80014 | Na požadavek na ověření bylo odpovězeno po překročení maximálního povoleného času. | Vypršel čas agenta ověřování. Otevřete požadavek na podporu s kódem chyby, korelačním ID a časovým razítkem, aby se získaly další podrobnosti o této chybě. |
Důležité
Agenti pro průchozí ověřování autentizují uživatele Microsoft Entra ověřením jejich uživatelských jmen a hesel ve službě Active Directory pomocí volání rozhraní API Win32 LogonUser. Pokud jste v Active Directory nastavili možnost "Přihlásit se k" tak, aby omezovala přístup pro přihlášení na pracovní stanici, budete muset do seznamu serverů "Přihlásit se k" přidat také servery, které hostí agenty pro přímé ověřování. Pokud to neuděláte, uživatelé se nebudou moci přihlásit k Microsoft Entra ID.
Problémy s instalací ověřovacího agenta
Došlo k neočekávané chybě.
Shromážděte protokoly agenta ze serveru a obraťte se na podporu Microsoftu s vaším problémem.
Problémy s registrací ověřovacího agenta
Registrace agenta ověřování selhala kvůli zablokovaným portům
Ujistěte se, že server, na kterém je nainstalovaný ověřovací agent, může komunikovat s našimi adresami URL služeb a porty uvedenými tady.
Registrace agenta ověřování selhala kvůli chybám autorizace tokenu nebo účtu
Ujistěte se, že používáte účet správce hybridní identity pouze v cloudu pro všechny operace instalace a registrace agenta Microsoft Entra Connect nebo samostatného ověřovacího agenta. Došlo ke známému problému s účty správce hybridních identit s podporou vícefaktorového ověřování; Vypněte vícefaktorové ověřování dočasně (pouze k dokončení operací) jako alternativní řešení.
Došlo k neočekávané chybě.
Shromážděte protokoly agenta ze serveru a obraťte se na podporu Microsoftu s vaším problémem.
Problémy s odinstalací ověřovacího agenta
Zpráva upozornění při odinstalaci nástroje Microsoft Entra Connect
Pokud máte ve vašem tenantovi povolené předávací ověřování a pokusíte se odinstalovat Microsoft Entra Connect, zobrazí se vám následující upozornění: „Uživatelé se nebudou moct přihlásit k Microsoft Entra ID, pokud nemáte na jiných serverech nainstalované jiné agenty předávacího ověřování.“
Před odinstalací nástroje Microsoft Entra Connect se ujistěte, že je vaše nastavení vysoce dostupné , abyste se vyhnuli porušení přihlašování uživatelů.
Problémy s povolením funkce
Povolení funkce se nezdařilo, protože nejsou k dispozici žádní agenti ověřování.
Abyste mohli povolit předávací ověřování ve vašem tenantovi, musíte mít aspoň jednoho aktivního ověřovacího agenta. Ověřovacího agenta můžete nainstalovat buď instalací microsoft Entra Connect, nebo samostatného ověřovacího agenta.
Povolení funkce selhalo kvůli blokovaným portům
Ujistěte se, že server, na kterém je nainstalovaný Microsoft Entra Connect, může komunikovat s našimi adresami URL služeb a porty uvedenými tady.
Povolení funkce selhalo kvůli chybám autorizace tokenu nebo účtu
Při povolování této funkce se ujistěte, že používáte účet správce hybridní identity pouze v cloudu. Došlo ke známému problému s účty správce hybridní identity s podporou vícefaktorového ověřování (MFA). Vypněte vícefaktorové ověřování dočasně (pouze k dokončení operace) jako alternativní řešení.
Shromažďování protokolů agenta zprostředkování ověření
V závislosti na typu problému, který můžete mít, budete muset hledat na různých místech protokoly předávacího ověřovacího agenta.
Protokoly Microsoft Entra Connect
V případě chyb souvisejících s instalací zkontrolujte protokoly Microsoft Entra Connect na adrese %ProgramData%\AADConnect\trace-*.log.
Protokoly událostí agenta ověřování
V případě chyb souvisejících s ověřovacím agentem otevřete na serveru aplikaci Prohlížeč událostí a zkontrolujte ji v části Protokoly aplikací a služeb\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Pokud chcete získat podrobnou analýzu, povolte protokol relace (možnost najdete kliknutím pravým tlačítkem myši v aplikaci Prohlížeč událostí). Nespouštějte agenta ověřování s tímto logem povoleným během běžného provozu; tuto možnost použijte pouze pro řešení potíží. Obsah protokolu se zobrazí až po opětovném zakázání protokolu.
Podrobné protokoly trasování
Pokud chcete řešit potíže se selháním přihlašování uživatelů, najděte záznamy trasování v %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Mezi tyto protokoly patří důvody, proč se přihlášení konkrétního uživatele nezdařilo s použitím funkce Passthrough ověřování. Tyto chyby se také mapují na důvody selhání přihlášení zobrazené v tabulce s předchozími důvody selhání přihlášení. Následuje příklad položky protokolu:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Popisné podrobnosti o chybě (1328 v předchozím příkladu) můžete získat tak, že otevřete příkazový řádek a spustíte následující příkaz (Poznámka: Nahraďte 1328 skutečným číslem chyby, které vidíte v protokolech):
Net helpmsg 1328
Protokoly přihlašování průchozího ověřování
Pokud je protokolování auditu povolené, najdete další informace v protokolech zabezpečení vašeho předávacího ověřovacího serveru. Jednoduchým způsobem, jak dotazovat žádosti o přihlášení, je filtrovat protokoly zabezpečení pomocí následujícího dotazu:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Počítadla sledování výkonu
Dalším způsobem monitorování ověřovacích agentů je sledování konkrétních čítačů sledování výkonu na každém serveru, kde je ověřovací agent nainstalován. Použijte následující globální čítače (počet ověřování PTA, počet neúspěšných ověřování PTA a počet úspěšných ověřování PTA) a chybové čítače (počet chyb ověřování PTA):
Důležité
Předávací ověřování poskytuje vysokou dostupnost pomocí více agentů ověřování, nikoliv vyrovnáváním zatížení. V závislosti na konfiguraci ne všichni agenti ověřování obdrží zhruba stejný počet požadavků. Je možné, že konkrétní ověřovací agent nepřijímá vůbec žádný provoz.