Auflösen von Fehlermeldungen in der NPS-Erweiterung für die Multi-Faktor-Authentifizierung von Microsoft Entra
Wenn Bei der NPS-Erweiterung für die Microsoft Entra-Multifaktor-Authentifizierung Fehler auftreten, verwenden Sie diesen Artikel, um eine schnellere Auflösung zu erreichen. NPS-Erweiterungsprotokolle befinden sich auf dem Server mit der NPS-Erweiterung in der Ereignisanzeige unter Anwendungs- und Dienstprotokolle>Microsoft>AzureMFA>AuthN>AuthZ.
Schritte zur Problembehandlung bei häufigen Fehlern
| Fehlercode | Schritte zur Problembehandlung |
|---|---|
| CONTACT_SUPPORT | Kontaktieren Sie den Support, und geben Sie die Liste der Schritte zum Erfassen von Protokollen an. Stellen Sie so viele Informationen wie möglich über das bereit, was vor dem Fehler passiert ist, einschließlich der Mandanten-ID und des Benutzerprinzipalnamens (UPN). |
| CLIENT_CERT_INSTALL_ERROR | Möglicherweise gibt es ein Problem damit, wie das Clientzertifikat installiert oder Ihrem Mandanten zugeordnet wurde. Befolgen Sie die Anweisungen unter Behandeln von Problemen mit der MFA NPS-Erweiterung, um Clientzertifizierungsprobleme zu untersuchen. |
| ESTS_TOKEN_ERROR | Befolgen Sie die Anweisungen unter Behandeln von Problemen mit der MFA NPS-Erweiterung, um Clientzertifizierungs- und Sicherheitstokenprobleme zu untersuchen. |
| HTTPS_COMMUNICATION_ERROR | Der NPS-Server kann keine Antworten von der mehrstufigen Microsoft Entra-Authentifizierung empfangen. Stellen Sie sicher, dass Ihre Firewalls bidirektional für Datenverkehr an und von https://adnotifications.windowsazure.com geöffnet sind und dass TLS 1.2 aktiviert ist (Standardeinstellung). Wenn TLS 1.2 deaktiviert ist, schlägt die Benutzerauthentifizierung fehl, und die Ereignis-ID36871 mit dem Quell-SChannel wird im Systemprotokoll in der Ereignisanzeige eingegeben. Informationen zum Überprüfen, ob TLS 1.2 aktiviert ist, finden Sie unter TLS-Registrierungseinstellungen. |
| HTTP_CONNECT_ERROR | Vergewissern Sie sich auf dem Server, auf dem die NPS-Erweiterung ausgeführt wird, dass Sie https://adnotifications.windowsazure.com und https://login.microsoftonline.com/ erreichen können. Wenn diese Websites nicht geladen werden, beheben Sie Konnektivitätsprobleme auf diesem Server. |
| NPS-Erweiterung für die mehrstufige Microsoft Entra-Authentifizierung (AccessReject): NPS-Erweiterung für die mehrstufige Microsoft Entra-Authentifizierung führt nur sekundäre Authentifizierung für Radius-Anforderungen im AccessAccept-Zustand aus. Anforderungen für einen Benutzer mit dem Antwortstatus „AccessReject“ werden ignoriert. |
Dieser Fehler spiegelt in der Regel einen Authentifizierungsfehler in AD wider oder bedeutet, dass der NPS-Server keine Antworten von Microsoft Entra ID empfangen kann. Stellen Sie sicher, dass Ihre Firewalls bidirektional für Datenverkehr über die Ports 80 und 443 an und von https://adnotifications.windowsazure.com und https://login.microsoftonline.com geöffnet sind. Überprüfen Sie unbedingt auch auf der Registerkarte „Einwählen“ der Netzwerkzugriffsberechtigungen, ob die Einstellung auf „Zugriff über NPS-Netzwerkrichtlinien steuern“ festgelegt ist. Dieser Fehler kann auch ausgelöst werden, wenn dem Benutzer keine Lizenz zugewiesen wird. |
| NPS-Erweiterung für die mehrstufige Microsoft Entra-Authentifizierung (AccessChallenge): NPS-Erweiterung für die mehrstufige Microsoft Entra-Authentifizierung führt nur sekundäre Authentifizierung für Radius-Anforderungen im AccessAccept-Zustand aus. Die Anforderung für den Benutzer „Benutzername“ mit dem Antwortstatus „AccessChallenge“ wird ignoriert. |
Diese Antwort wird verwendet, wenn zusätzliche Informationen vom Benutzer benötigt werden, um den Authentifizierungs- oder Autorisierungsprozess abzuschließen. Der NPS-Server sendet eine Abfrage an den Benutzer und fordert weitere Anmeldeinformationen oder Informationen an. In der Regel geht dies einer Access-Accept- oder Access-Reject-Antwort voraus. |
| REGISTRY_CONFIG_ERROR | Ein Schlüssel fehlt in der Registrierung für die Anwendung. Die Ursache kann sein, dass ein PowerShell-Skript nach der Installation nicht ausgeführt wurde. Die Fehlermeldung sollte den fehlenden Schlüssel enthalten. Stellen Sie sicher, dass der Schlüssel unter „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa“ vorhanden ist. |
| REQUEST_FORMAT_ERROR Für die RADIUS-Anforderung fehlt das obligatorische Radius-Attribut „userName\Identifier“. Überprüfen, ob NPS RADIUS-Anforderungen empfängt |
Dieser Fehler entsteht normalerweise durch ein Installationsproblem. Die NPS-Erweiterung muss auf NPS-Servern installiert sein, die RADIUS-Anforderungen empfangen können. NPS-Server, die als Abhängigkeiten für Dienste wie RDG und RRAS installiert sind, empfangen keine RADIUS-Anforderungen. Die NPS-Erweiterung funktioniert nicht, wenn sie über Installationen dieser Art installiert wird, und es kommt zu Fehlern, da sie die Details aus der Authentifizierungsanforderung nicht lesen kann. |
| REQUEST_MISSING_CODE | Stellen Sie sicher, dass das Protokoll für die Kennwortverschlüsselung zwischen den NPS- und NAS-Servern die sekundäre Authentifizierungsmethode unterstützt, die Sie verwenden. PAP unterstützt alle Authentifizierungsmethoden von Microsoft Entra Multi-Faktor-Authentifizierung in der Cloud: Telefonanruf, unidirektionale SMS, Benachrichtigung über eine mobile App und Überprüfungscode in einer mobilen App. CHAPV2 und EAP unterstützt Telefonanruf und Benachrichtigung über eine mobile App. |
| USERNAME_CANONICALIZATION_ERROR | Stellen Sie sicher, dass der Benutzer in Ihrer lokalen Active Directory-Instanz vorhanden ist und dass der NPS-Dienst über Berechtigungen zum Zugriff auf das Verzeichnis verfügt. Wenden Sie sich an den Support bei Verwendung von gesamtstrukturübergreifenden Vertrauensstellungen, um weitere Hilfe zu erhalten. |
| In der Authentifizierungserweiterung angeforderte Herausforderung für den Benutzer | Organisationen, die ein anderes RADIUS-Protokoll als PAP verwenden, werden feststellen, dass die VPN-Autorisierung der Benutzer fehlschlägt und diese Ereignisse im AuthZOptCh-Ereignisprotokoll des NPS Extension Servers angezeigt werden. Sie können den NPS-Server für die Unterstützung von PAP konfigurieren. Wenn PAP keine Option ist, können Sie OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE festlegen, um ein Fallback auf Pushbenachrichtigungen für „Genehmigen/Ablehnen“ zu erreichen. Weiterführende Hilfe finden Sie unter Nummernabgleich mithilfe der NPS-Erweiterung. |
Alternative Anmelde-ID-Fehler
| Fehlercode | Fehlermeldung | Schritte zur Problembehandlung |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Fehler: userObjectSid lookup failed (Fehler bei der userObjectSid-Suche) | Stellen Sie sicher, dass der Benutzer in Ihrer lokalen Active Directory-Instanz vorhanden ist. Wenden Sie sich an den Support bei Verwendung von gesamtstrukturübergreifenden Vertrauensstellungen, um weitere Hilfe zu erhalten. |
| ALTERNATE_LOGIN_ID_ERROR | Error: Alternate LoginId lookup failed (Fehler bei der Suche nach alternativer Anmelde-ID) | Stellen Sie sicher, dass LDAP_ALTERNATE_LOGINID_ATTRIBUTE auf ein gültiges Active Directory-Attribut festgelegt ist. Wenn LDAP_FORCE_GLOBAL_CATALOG auf „TRUE“ festgelegt, oder LDAP_LOOKUP_FORESTS mit einem nicht leeren Wert konfiguriert wurde, stellen Sie sicher, dass Sie einen globalen Katalog konfiguriert haben, und dass das AlternateLoginId-Attribut hinzugefügt wurde. Wenn LDAP_LOOKUP_FORESTS mit einem nicht leeren Wert konfiguriert wurde, stellen Sie sicher, dass der Wert richtig ist. Wenn mehr als ein Name der Gesamtstruktur vorhanden ist, müssen die Namen durch Semikolons und nicht durch Leerzeichen getrennt werden. Wenn diese Schritte das Problem nicht beheben, wenden Sie sich an den Support, um mehr Unterstützung zu erhalten. |
| ALTERNATE_LOGIN_ID_ERROR | Error: Alternate LoginId value is empty (Der AlternateLoginId-Wert ist leer) | Stellen Sie sicher, dass das AlternateLoginId-Attribut für den Benutzer konfiguriert ist. |
Fehler, die bei Ihren Benutzern auftreten können
| Fehlercode | Fehlermeldung | Schritte zur Problembehandlung |
|---|---|---|
| AccessDenied | Der Mandant des Aufrufers verfügt nicht über Zugriffsberechtigungen zur Authentifizierung des Benutzers | Überprüfen Sie, ob die Mandantendomäne und die Domäne des Benutzerprinzipalnamens (UPN) identisch sind. Stellen Sie beispielsweise sicher, dass user@contoso.com versucht, sich beim Contoso-Mandanten zu authentifizieren. Der UPN stellt einen gültigen Benutzer für den Mandanten in Azure dar. |
| AuthenticationMethodNotConfigured | Die angegebene Authentifizierungsmethode wurde für den Benutzer nicht konfiguriert. | Fordern Sie den Benutzer auf, die Überprüfungsmethoden gemäß der Anleitung in Verwalten der Einstellungen für die zweistufige Überprüfung hinzuzufügen oder zu überprüfen. |
| AuthenticationMethodNotSupported | Die angegebene Authentifizierungsmethode wird nicht unterstützt. | Erfassen Sie alle Protokolle, die diesen Fehler enthalten, und wenden Sie sich an den Support. Wenn Sie sich an den Support wenden, geben Sie den Benutzernamen und die sekundäre Überprüfungsmethode an, die den Fehler ausgelöst hat. |
| BecAccessDenied | Der MSODS Bec-Aufruf hat „Zugriff verweigert“ zurückgegeben, wahrscheinlich ist der Benutzername im Mandanten nicht definiert | Der Benutzer ist in der lokalen Active Directory-Instanz vorhanden, wird aber nicht mit AD Connect in Microsoft Entra ID synchronisiert. Oder der Benutzer fehlt für den Mandanten. Fügen Sie den Benutzer zu Microsoft Entra ID hinzu, und fordern Sie ihn auf, die Überprüfungsmethoden gemäß der Anleitung in Verwalten der Einstellungen für die zweistufige Überprüfung hinzuzufügen oder zu überprüfen. |
| InvalidFormat oder StrongAuthenticationServiceInvalidParameter | Die Telefonnummer hat ein nicht erkennbares Format. | Bitten Sie die Benutzer, ihre Telefonnummern für die Überprüfung zu korrigieren. |
| InvalidSession | Die angegebene Sitzung ist ungültig oder möglicherweise abgelaufen | Der Abschluss der Sitzung hat mehr als drei Minuten in Anspruch genommen. Stellen Sie sicher, dass der Benutzer innerhalb von drei Minuten nach Initiierung der Authentifizierungsanforderung den Überprüfungscode eingibt oder auf die App-Benachrichtigung antwortet. Wenn das Problem dadurch nicht behoben wird, überprüfen Sie, ob es keine Netzwerklatenz zwischen Client, NAS Server, NPS Server und dem Microsoft Entra-Multifaktor-Authentifizierungsendpunkt gibt. |
| NoDefaultAuthenticationMethodIsConfigured | Für den Benutzer wurde keine Standardauthentifizierungsmethode konfiguriert. | Fordern Sie den Benutzer auf, die Überprüfungsmethoden gemäß der Anleitung in Verwalten der Einstellungen für die zweistufige Überprüfung hinzuzufügen oder zu überprüfen. Stellen Sie sicher, dass der Benutzer eine Standardauthentifizierungsmethode ausgewählt und diese Methode für sein Konto konfiguriert hat. |
| OathCodePinIncorrect | Falscher Code und falsche Pin eingegeben. | Dieser Fehler wird in der NPS-Erweiterung nicht erwartet. Wenn bei Ihrem Benutzer der Fehler auftritt, wenden Sie sich an den Support, um Hilfe bei der Problembehandlung zu erhalten. |
| ProofDataNotFound | Nachweisdaten wurden für die angegebene Authentifizierungsmethode nicht konfiguriert. | Fordern Sie den Benutzer auf, eine andere Überprüfungsmethode auszuprobieren oder eine neue Überprüfungsmethode gemäß der Anleitung in Verwalten der Einstellungen für die zweistufige Überprüfung hinzuzufügen. Wenn dieser Fehler weiterhin angezeigt wird, nachdem Sie sichergestellt haben, dass die Überprüfungsmethode ordnungsgemäß eingerichtet ist, wenden Sie sich an den Support. |
| SMSAuthFailedWrongCodePinEntered | Falscher Code und falsche Pin eingegeben. (OneWaySMS) | Dieser Fehler wird in der NPS-Erweiterung nicht erwartet. Wenn bei Ihrem Benutzer der Fehler auftritt, wenden Sie sich an den Support, um Hilfe bei der Problembehandlung zu erhalten. |
| TenantIsBlocked | Der Mandant wird blockiert. | Wenden Sie sich an den Support und geben Sie die Mandanten-ID von der Microsoft Entra-Eigenschaftenseite im Microsoft Entra Admin Center an. |
| UserNotFound | Der angegebene Benutzer wurde nicht gefunden. | Der Mandant ist nicht mehr als aktiv in der Microsoft Entra-ID sichtbar. Überprüfen Sie, ob Ihr Abonnement aktiv ist und Sie über die erforderlichen Erstanbieter-Apps verfügen. Stellen Sie außerdem sicher, dass der Mandant im Zertifikatantragsteller den erwarteten Wert aufweist und dass das Zertifikat noch gültig und unter dem Dienstprinzipal registriert ist. |
Meldungen, die den Benutzern angezeigt werden können, aber keine Fehler sind
Manchmal können Ihren Benutzern Meldungen bei der Multi-Faktor-Authentifizierung angezeigt werden, da ihre Authentifizierungsanforderung fehlgeschlagen ist. Dies sind keine Fehler als Folge der Konfiguration, sondern absichtliche Warnungen, die erläutern, warum eine Authentifizierungsanforderung verweigert wurde.
| Fehlercode | Fehlermeldung | Empfohlene Schritte |
|---|---|---|
| OathCodeIncorrect | Falscher Code wurde eingegeben/der OATH-Code ist falsch | Der Benutzer hat den falschen Code eingegeben. Fordern Sie ihn auf, es erneut zu versuchen, indem er einen neuen Code anfordert oder sich erneut anmeldet. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Maximal zulässige Anzahl von Codewiederholungen erreicht | Der Benutzer hat die Überprüfung zu oft nicht bestanden. Abhängig von Ihren Einstellungen muss die Sperre jetzt möglicherweise durch einen Administrator aufgehoben werden. |
| SMSAuthFailedWrongCodeEntered | Falscher Code eingegeben/OTP der Textmeldung ist falsch | Der Benutzer hat den falschen Code eingegeben. Fordern Sie ihn auf, es erneut zu versuchen, indem er einen neuen Code anfordert oder sich erneut anmeldet. |
| AuthenticationThrottled | Zu viele Versuche des Benutzers in kurzer Zeit. Einschränkung: | Microsoft begrenzt möglicherweise wiederholte Authentifizierungsversuche, die innerhalb kurzer Zeit vom gleichen Benutzer durchgeführt werden. Diese Einschränkung gilt nicht für den Microsoft Authenticator oder den Prüfcode. Wenn diese Grenzwerte erreicht sind, können Sie die Authenticator-App oder einen Prüfcode verwenden oder nach einigen Minuten erneut versuchen sich anzumelden. |
| AuthenticationMethodLimitReached | Grenzwert für Authentifizierungsmethoden erreicht. Einschränkung: | Microsoft kann wiederholte Authentifizierungsversuche einschränken, die vom gleichen Benutzer mit demselben Authentifizierungsmethodentyp in kurzer Zeit ausgeführt werden, insbesondere Sprachanruf oder SMS. Diese Einschränkung gilt nicht für den Microsoft Authenticator oder den Prüfcode. Wenn diese Grenzwerte erreicht sind, können Sie die Authenticator-App oder einen Prüfcode verwenden oder nach einigen Minuten erneut versuchen sich anzumelden. |
Fehler, für die Support erforderlich ist
Wenn einer dieser Fehler auftritt, sollten Sie sich an den Support wenden, um Hilfe bei der Diagnose zu erhalten. Es gibt keine Standardschritte, um diese Fehler zu beheben. Wenn Sie sich an den Support wenden, sollten Sie möglichst viele Informationen zu den Schritten, die zu einem Fehler geführt haben, und Informationen zum Mandanten angeben.
| Fehlercode | Fehlermeldung |
|---|---|
| InvalidParameter | Die Anforderung darf nicht null sein. |
| InvalidParameter | ObjectId darf nicht null oder leer sein für ReplicationScope:{0} |
| InvalidParameter | Die Länge von CompanyName {0}\ ist länger als die maximal zulässige Länge {1} |
| InvalidParameter | UserPrincipalName darf nicht null oder leer sein. |
| InvalidParameter | Die angegebene TenantId hat nicht das richtige Format |
| InvalidParameter | SessionId darf nicht null oder leer sein. |
| InvalidParameter | ProofData aus der Anforderung oder MSODS konnte nicht aufgelöst werden. ProofData ist unbekannt. |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Nächste Schritte
Problembehandlung bei Benutzerkonten
Wenn Ihre Benutzer Probleme mit der zweistufigen Überprüfung haben, unterstützen Sie sie beim Diagnostizieren der Probleme.
Skript zur Integritätsprüfung
Das Skript zur Integritätsprüfung der Microsoft Entra Multi-Faktor-Authentifizierung NPS-Erweiterung führt mehrere grundlegende Integritätsprüfungen bei der Problembehandlung der NPS-Erweiterung durch. Im Folgenden eine kurze Zusammenfassung der einzelnen Optionen, die bei der Skriptausführung verfügbar sind:
- Option 1: Isolieren der Problemursache – Liegt ein NPS- oder MFA-Problem vor? (MFA-RegKeys exportieren, NPS neu starten, Tests durchführen, RegKeys importieren, NPS neu starten)
- Option 2: Überprüfen einer vollständigen Testgruppe, wenn nicht alle Benutzer die MFA-NPS-Erweiterung verwenden können (Zugriff auf Azure testen/HTML-Bericht erstellen)
- Option 3: Überprüfen einer bestimmten Testgruppe, wenn ein bestimmter Benutzer die MFA-NPS-Erweiterung nicht verwenden kann (MFA auf spezifischen UPN testen)
- Option 4: Sammeln von Protokollen, um den Microsoft-Support zu kontaktieren (Protokollierung aktivieren/NPS neu starten/Protokolle sammeln)
Microsoft-Support kontaktieren
Wenn Sie zusätzliche Hilfe benötigen, wenden Sie sich über MFA-Support an einen Supportspezialisten. Es ist hilfreich, wenn Sie uns so viele Informationen wie möglich über Ihr Problem geben, wenn Sie sich mit uns in Verbindung setzen. Diese Informationen können die Seite umfassen, auf der der Fehler aufgetreten ist, den spezifischen Fehlercode, die spezifische Sitzungs-ID, die ID des Benutzers, der den Fehler beobachtet hat, und Debugprotokolle.
Um Debugprotokolle zur Unterstützung der Diagnose zu sammeln, führen Sie das Skript zur Integritätsprüfung der NPS-Erweiterung von Microsoft Entra-Multi-Faktor-Authentifizierung auf dem NPS-Server aus und wählen Sie Option 4 aus, um die Protokolle zu sammeln und dem Microsoft-Support zur Verfügung zu stellen.
Laden Sie abschließend die ZIP-Ausgabedatei hoch, die im Ordner „C:\NPS“ generiert wurde, und fügen Sie sie an den Supportfall an.