Teilen über

Behandeln von Problemen mit der Microsoft Entra-Passthrough-Authentifizierung

  • Artikel

Dieser Artikel hilft Ihnen beim Auffinden von Informationen zur Problembehandlung von bekannten Problemen mit der Microsoft Entra-Passthrough-Authentifizierung.

Wichtig

Wenn Sie es mit Benutzeranmeldeproblemen bei der Passthrough-Authentifizierung zu tun haben, deaktivieren das Feature nicht. Deinstallieren auch keine Agents für die Passthrough-Authentifizierung ohne ein ausschließlich cloudbasiertes Hybrididentitätsadministratorkonto, auf das ein Fallback ausgeführt werden kann.

Allgemeine Fragen

Überprüfen des Status der Funktion und der Authentifizierungs-Agents

Stellen Sie sicher, dass die Passthrough-Authentifizierung in Ihrem Mandanten immer noch aktiviert ist und der Status der Authentifizierungs-Agents als aktiv angezeigt wird, nicht als inaktiv. Den Status können Sie im Microsoft Entra Admin Center auf dem Blatt Microsoft Entra Connect überprüfen.

Screenshot, der das Blatt „Microsoft Entra Connect“ im Microsoft Entra Admin Center anzeigt.

Screenshot, der das Blatt „Passthrough-Authentifizierung“ im Microsoft Entra Admin Center anzeigt.

Benutzerseitige Fehler bei der Anmeldung

Wenn Benutzer*innen sich nicht mit der Passthrough-Authentifizierung anmelden können, wird ihnen möglicherweise einer der folgenden Fehler für Benutzer*innen auf der Microsoft Entra-Anmeldeseite angezeigt:

Error Beschreibung Lösung
AADSTS80001 Verbindung mit Active Directory kann nicht hergestellt werden Ensure that agent servers are members of the same AD forest as the users whose passwords need to be validated and they are able to connect to Active Directory. (Stellen Sie sicher, dass die Agent-Server Mitglieder derselben AD-Gesamtstruktur wie die Benutzer sind, deren Kennwörter überprüft werden müssen, und dass sie eine Verbindung zu Active Directory herstellen können.)
AADSTS80002 Bei der Verbindung mit Active Directory ist ein Timeout aufgetreten Check to ensure that Active Directory is available and is responding to requests from the agents. (Überprüfen Sie, ob Active Directory verfügbar ist und auf Anforderungen der Agents antwortet.)
AADSTS80004 The username passed to the agent was not valid (Der an den Agent übergebene Benutzername war ungültig.) Stellen Sie sicher, dass der Benutzer den richtigen Benutzernamen für die Anmeldung verwendet.
AADSTS80005 Bei der Überprüfung ist eine unvorhersehbare WebException aufgetreten A transient error. (Vorübergehender Fehler.) Wiederholen Sie die Anforderung. Sollte der Fehler weiterhin auftreten, wenden Sie sich an den Microsoft-Support.
AADSTS80007 Bei der Kommunikation mit Active Directory ist ein Fehler aufgetreten Suchen Sie in den Agent-Protokollen nach weiteren Informationen, und überprüfen Sie, ob Active Directory erwartungsgemäß funktioniert.

Benutzer erhalten Fehler aufgrund eines ungültigen Benutzernamens/Kennworts

Dieser Fall kann eintreten, wenn sich der lokale Benutzerprinzipalname (User Principal Name, UPN) des Benutzers vom Cloud-UPN des Benutzers unterscheidet.

Überprüfen Sie zunächst, ob der Agent für die Passthrough-Authentifizierung ordnungsgemäß funktioniert:

  1. Erstellen Sie ein Testkonto.

  2. Importieren Sie das PowerShell-Modul auf dem Agent-Computer:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"

  3. Führen Sie den PowerShell-Befehl „Invoke“ aus:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter

  4. Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie den für die Anmeldung verwendeten Benutzernamen und das entsprechende Kennwort ein (https://login.microsoftonline.com).

Sollte der gleiche Benutzernamen-/Kennwortfehler auftreten, funktioniert der Agent für die Passthrough-Authentifizierung ordnungsgemäß, und das Problem ist möglicherweise auf einen nicht routingfähigen lokalen UPN zurückzuführen. Weitere Informationen finden Sie unter Konfigurieren einer alternativen Anmelde-ID.

Wichtig

Wenn der Microsoft Entra Connect-Server nicht in die Domäne eingebunden ist, eine Anforderung, die unter Microsoft Entra Connect: Voraussetzungen erwähnt wird, tritt das Problem mit dem ungültigen Namen der Benutzer*innen/Kennwort auf.

Ursachen für Anmeldefehler im Microsoft Entra Admin Center (erfordert Premium-Lizenz)

Wenn Ihrem Mandanten eine Microsoft Entra ID P1- oder P2-Lizenz zugeordnet ist, können Sie sich auch den Bericht zu den Anmeldeaktivitäten im Microsoft Entra Admin Center ansehen.

Screenshot, der den Anmeldebericht im Microsoft Entra Admin Center anzeigt.

Navigieren Sie im [Microsoft Entra Admin Center](https://portal.azure.com/) zu Microsoft Entra ID ->Anmeldungen, und klicken Sie auf die Anmeldeaktivität bestimmter Benutzer*innen. Suchen Sie nach dem Feld Code des Anmeldefehlers. Ordnen Sie den Wert in diesem Feld mithilfe der folgenden Tabelle einer Ursache und einer Lösung zu:

Anmeldefehler Grund des Anmeldefehlers Lösung
50144 Das Active Directory-Kennwort des Benutzers ist abgelaufen. Reset the user's password in your on-premises Active Directory. (Setzen Sie das Kennwort des Benutzers in Ihrem lokalen Active Directory zurück.)
80001 Kein Authentifizierungs-Agent verfügbar. Installieren und registrieren Sie einen Authentifizierungs-Agent.
80002 Zeitüberschreitung für die Anforderung zur Kennwortüberprüfung des Authentifizierungs-Agents. Überprüfen Sie, ob Ihr Active Directory über den Authentifizierungs-Agent erreichbar ist.
80003 Der Authentifizierungs-Agent hat eine ungültige Antwort erhalten. If the problem is consistently reproducible across multiple users, check your Active Directory configuration. (Wenn das Problem bei mehreren Benutzer genauso reproduziert werden kann, überprüfen Sie die Active Directory-Konfiguration.)
80004 In der Anmeldeanforderung wurde ein falscher Benutzerprinzipalname (UPN) verwendet. Ask the user to sign in with the correct username. (Fordern Sie den Benutzer dazu auf, sich mit dem richtigen Benutzernamen anzumelden.)
80005 Authentifizierungs-Agent: Fehler. Transient error. (Vorübergehender Fehler.) Versuchen Sie es später noch einmal.
80007 Der Authentifizierungs-Agent kann keine Verbindung mit Active Directory herstellen. Überprüfen Sie, ob Ihr Active Directory über den Authentifizierungs-Agent erreichbar ist.
80010 Der Authentifizierungs-Agent kann das Kennwort nicht entschlüsseln. If the problem is consistently reproducible, install and register a new Authentication Agent. (Wenn das Problem konsistent reproduziert werden kann, installieren und registrieren Sie einen neuen Authentifizierungs-Agent.) And uninstall the current one. (Deinstallieren der Sie außerdem den aktuellen.)
80011 Der Authentifizierungs-Agent kann den Entschlüsselungsschlüssel nicht abrufen. If the problem is consistently reproducible, install and register a new Authentication Agent. (Wenn das Problem konsistent reproduziert werden kann, installieren und registrieren Sie einen neuen Authentifizierungs-Agent.) And uninstall the current one. (Deinstallieren der Sie außerdem den aktuellen.)
80014 Die Überprüfungsanforderung wurde erst nach Überschreiten der maximal zulässigen Zeit beantwortet. Der Authentifizierungs-Agent hat die Zeit überschritten. Für den Authentifizierungs-Agent ist ein Timeout aufgetreten. Öffnen Sie ein Supportticket mit dem Fehlercode, der Korrelations-ID und dem Zeitstempel, um weitere Details zu diesem Fehler zu erhalten.

Wichtig

Passthrough-Authentifizierungs-Agents authentifizieren Microsoft Entra-Benutzer*innen, indem sie die Namen der Benutzer*innen und Kennwörter für Active Directory durch Aufrufen der Win32 LogonUser-API überprüfen. Wenn Sie in Active Directory die Einstellung „Anmeldung bei“ zum Einschränken des Anmeldezugriffs für Arbeitsstationen festgelegt haben, müssen Sie daher auch der Serverliste „Anmeldung bei“ Server hinzufügen, auf denen Passthrough-Authentifizierungs-Agents gehostet werden. Wenn Sie dies nicht tun, können sich Ihre Benutzer*innen nicht bei Microsoft Entra ID anmelden.

Probleme bei der Installation des Authentifizierungs-Agents

Ein unerwarteter Fehler ist aufgetreten

Sammeln Sie Agent-Protokolle vom Server, und wenden Sie sich mit Ihrem Problem an den Microsoft-Support.

Probleme bei der Registrierung des Authentifizierungs-Agents

Registration of the Authentication Agent failed due to blocked ports (Fehler bei der Registrierung des Authentifizierungs-Agents aufgrund von blockierten Ports)

Stellen Sie sicher, dass der Server, auf dem der Authentifizierungs-Agent installiert wurde, mit unseren Dienst-URLs und den hier aufgeführten Ports kommunizieren kann.

Registration of the Authentication Agent failed due to token or account authorization errors (Fehler bei der Registrierung des Authentifizierungs-Agents aufgrund von Token- oder Kontoautorisierungsfehlern)

Stellen Sie sicher, dass Sie für alle Installations- und Registrierungsvorgänge von Microsoft Entra Connect oder dem eigenständigen Authentifizierungsagenten ein cloudbasiertes Hybrididentitätsadministratorkonto verwenden. Es gibt ein bekanntes Problem mit MFA-fähigen Hybrididentitätsadministratorkonten. Deaktivieren Sie als Umgehungsmaßnahme vorübergehend MFA (nur bis zum Abschluss der Vorgänge).

Ein unerwarteter Fehler ist aufgetreten

Sammeln Sie Agent-Protokolle vom Server, und wenden Sie sich mit Ihrem Problem an den Microsoft-Support.

Probleme bei der Deinstallation von Authentifizierungs-Agents

Warnmeldung bei der Deinstallation von Microsoft Entra Connect

Wenn Sie die Passthrough-Authentifizierung für Ihren Mandanten aktiviert haben und versuchen, Microsoft Entra Connect zu deinstallieren, wird die folgende Warnmeldung angezeigt: Benutzer*innen können sich nur dann bei Microsoft Entra ID anmelden, wenn Sie andere Passthrough-Authentifizierungs-Agents auf anderen Servern installiert haben.

Stellen Sie sicher, dass das Setup hoch verfügbar ist, bevor Sie Microsoft Entra Connect deinstallieren, um eine Unterbrechung von Anmeldungen der Benutzer*innen zu vermeiden.

Probleme bei der Aktivierung des Features

Enabling the feature failed because there were no Authentication Agents available (Beim Aktivieren des Features ist ein Fehler aufgetreten, weil keine Authentifizierungs-Agents verfügbar waren)

Es muss mindestens ein Authentifizierungs-Agent aktiv sein, damit die Passthrough-Authentifizierung in Ihrem Mandanten aktiviert werden kann. Sie können einen Authentifizierungs-Agent durch die Installation von Microsoft Entra Connect oder eines eigenständigen Authentifizierungs-Agents installieren.

Enabling the feature failed due to blocked ports (Beim Aktivierung des Features ist aufgrund blockierter Ports ein Fehler aufgetreten)

Stellen Sie sicher, dass der Server, auf dem Microsoft Entra Connect installiert ist, mit unseren hier aufgeführten Dienst-URLs und Ports kommunizieren kann.

Enabling the feature failed due to token or account authorization errors (Beim Aktivieren des Features ist aufgrund von Token- oder Kontoautorisierungsfehlern ein Fehler aufgetreten)

Stellen Sie sicher, dass Sie ein ausschließlich für die Cloud geltendes Hybrididentitätsadministratorkonto verwenden, wenn Sie das Feature aktivieren. Es gibt ein bekanntes Problem mit MFA-fähigen (Multi-Factor Authentication) Hybrididentitätsadministratorkonten. Deaktivieren Sie als Umgehungsmaßnahme vorübergehend MFA (nur bis zum Abschluss der Vorgänge).

Sammeln von Protokollen von Passthrough-Authentifizierungs-Agent

Je nach Problem müssen Sie an verschiedenen Stellen nach Protokollen von Passthrough-Authentifizierungs-Agents suchen.

Microsoft Entra Connect-Protokolle

Bei Fehlern im Zusammenhang mit der Installation sehen Sie in den Microsoft Entra Connect-Protokollen unter %ProgramData%\AADConnect\trace-*.log nach.

Ereignisprotokolle von Authentifizierungs-Agents

Öffnen Sie bei Fehlern in Zusammenhang mit dem Authentifizierungs-Agent die Ereignisanzeige auf dem Server unter Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin, und prüfen Sie sie.

Aktivieren Sie zur detaillierten Analyse das Sitzungsprotokoll. (Klicken Sie mit der rechten Maustaste in die Anwendung „Ereignisanzeige“, um diese Option zu finden.). Führen Sie den Authentifizierungs-Agent im Normalbetrieb nicht mit diesem Protokoll aus. Verwenden Sie es ausschließlich zur Problembehandlung. Die Protokollinhalte werden nur angezeigt, nachdem das Protokoll wieder deaktiviert wird.

Ausführliche Ablaufverfolgungsprotokolle

Um Benutzeranmeldefehler zu beheben, suchen Sie unter %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\ nach Ablaufverfolgungsprotokollen. Diese Protokolle enthalten die Gründe, warum eine bestimmte Benutzeranmeldung mittels der Passthrough-Authentifizierungsfunktion fehlgeschlagen ist. Diese Fehler werden auch den Gründen für Anmeldefehler zugeordnet, die in der obigen Tabelle mit den Gründen für Anmeldefehler aufgeführt sind. Es folgt ein Beispiel für einen Protokolleintrag:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

Sie können erklärende Details zum Fehler (im obigen Beispiel „1328“) abrufen, indem Sie die Eingabeaufforderung öffnen und den folgenden Befehl ausführen (Hinweis: Ersetzen Sie „1328“ durch die tatsächliche Fehlernummer, die in Ihren Protokollen angezeigt wird):

Net helpmsg 1328

Passthrough-Authentifizierung

Protokolle für Anmeldung per Passthrough-Authentifizierung

Weitere Informationen finden Sie auch in den Sicherheitsprotokollen Ihrer Server für Passthrough-Authentifizierung, sofern die Überwachungsprotokollierung aktiviert ist. Eine einfache Möglichkeit zum Abfragen von Anmeldeanforderungen besteht darin, Sicherheitsprotokolle mithilfe der folgenden Abfrage zu filtern:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Leistungsüberwachungsindikatoren

Eine weitere Möglichkeit zum Überwachen des Authentifizierung-Agents ist das Nachverfolgen bestimmter Leistungsüberwachungsindikatoren auf jedem Server, auf dem der Authentifizierung-Agent installiert ist. Verwenden Sie die folgenden globalen Indikatoren # PTA authentications, #PTA failed authentications und #PTA successful authentications) und Fehlerzähler ( # PTA authentication errors):

Passthrough-Authentifizierungs-Leistungsüberwachungsindikatoren

Wichtig

Die Passthrough-Authentifizierung bietet mit mehreren Authentifizierungs-Agents Hochverfügbarkeit, jedoch keinen Lastenausgleich. Abhängig von Ihrer Konfiguration erhalten nicht alle Ihre Authentifizierungs-Agents ungefähr die gleiche Anzahl von Anforderungen. Es ist möglich, dass ein bestimmter Authentifizierungs-Agent überhaupt keinen Datenverkehr empfängt.