Problembehebung bei Azure AD-Konnektivitätsproblemen

Dieser Artikel erklärt, wie die Konnektivität zwischen Azure AD Connect und Azure AD funktioniert und wie Konnektivitätsprobleme behoben werden können. Diese Probleme können insbesondere in einer Umgebung mit einem Proxyserver auftreten.

Konnektivitätsprobleme mit dem Installations-Assistent beheben

Azure AD Connect verwendet die MSAL-Bibliothek für die Authentifizierung. Für den Installations-Assistenten und das Synchronisierungsmodul ist eine ordnungsgemäße Konfiguration von „machine.config“ erforderlich, weil es sich bei diesen Komponenten um .NET-Anwendungen handelt.

Hinweis

Azure AD Connect v1.6.xx.x verwendet die ADAL-Bibliothek. Die ADAL-Bibliothek ist veraltet, und der Support endet im Juni 2022. Microsoft empfiehlt, ein Upgrade auf die aktuelle Version von Azure AD Connect v2 durchzuführen.

In diesem Artikel zeigen wir Ihnen, wie Fabrikam durch seinen Proxy mit Azure AD verbunden wird. Der Proxyserver heißt fabrikamproxy und verwendet Port 8080.

Sie müssen zunächst sicherstellen, dass machine.config ordnungsgemäß konfiguriert ist und der Microsoft Azure AD-Synchronisierungsdienst nach der Aktualisierung der Datei „machine.config“ neu gestartet wurde. Screenshot: Teil der Datei „machine.config“

Hinweis

In einigen Nicht-Microsoft-Blogs ist dokumentiert, dass Änderungen stattdessen an „miiserver.exe.config“ vorgenommen werden sollen. Diese Datei wird jedoch mit jeder Aktualisierung überschrieben. Selbst wenn das System nach der Erstinstallation funktionieren sollte, ist das nach der ersten Aktualisierung nicht mehr der Fall. Daher wird empfohlen, stattdessen „machine.config“ zu aktualisieren.

Der Proxyserver muss die erforderlichen URLs geöffnet haben. Die offizielle Liste ist unter URLs und IP-Adressbereiche von Office 365 zu finden.

Die in der folgenden Tabelle aufgeführten URLs stellen die Grundvoraussetzungen für eine Verbindung mit Azure AD dar. Diese Liste beinhaltet keine optionalen Funktionen, wie die Kennwortrückschreibung oder Azure AD Connect Health. Sie soll bei der Problembehebung während der Erstkonfiguration helfen.

URL Port BESCHREIBUNG
mscrl.microsoft.com HTTP/80 Wird verwendet um CRL-Listen (Zertifikatsperrlisten) herunterzuladen.
*.verisign.com HTTP/80 Wird verwendet um CRL-Listen (Zertifikatsperrlisten) herunterzuladen.
*.entrust.net HTTP/80 Wird verwendet um CRL-Listen (Zertifikatsperrlisten) für MFA herunterzuladen.
*.management.core.windows.net (Azure Storage)
*.graph.windows.net (Azure AD Graph)
HTTPS/443 Wird für die verschiedenen Azure-Dienste verwendet
secure.aadcdn.microsoftonline-p.com HTTPS/443 Wird für MFA verwendet.
*.microsoftonline.com HTTPS/443 Wird zum Konfigurieren Ihres Azure AD-Verzeichnisses und zum Importieren/Exportieren von Daten verwendet.
*.crl3.digicert.com HTTP/80 Wird zum Überprüfen von Zertifikaten verwendet.
*.crl4.digicert.com HTTP/80 Wird zum Überprüfen von Zertifikaten verwendet.
*.ocsp.digicert.com HTTP/80 Wird zum Überprüfen von Zertifikaten verwendet.
*.www.d-trust.net HTTP/80 Wird zum Überprüfen von Zertifikaten verwendet.
*.root-c3-ca2-2009.ocsp.d-trust.net HTTP/80 Wird zum Überprüfen von Zertifikaten verwendet.
*.crl.microsoft.com HTTP/80 Wird zum Überprüfen von Zertifikaten verwendet.
*.oneocsp.microsoft.com HTTP/80 Wird zum Überprüfen von Zertifikaten verwendet.
*.ocsp.msocsp.com HTTP/80 Wird zum Überprüfen von Zertifikaten verwendet.

Fehler im Assistenten

Der Installations-Assistent verwendet zwei verschiedene Sicherheitskontexte. Auf der Seite Mit Azure AD verbinden verwendet er den aktuell angemeldeten Benutzer. Auf der Seite Konfigurieren wechselt er zu dem Konto, das den Dienst für das Synchronisierungsmodul ausführt. Wenn ein Problem vorliegt, tritt es wahrscheinlich bereits auf der Seite Mit Azure AD verbinden des Assistenten auf, da die Proxykonfiguration global ist.

Die folgenden Probleme sind die häufigsten Fehler, die im Installations-Assistenten auftreten.

Der Installations-Assistent wurde nicht richtig konfiguriert

Dieser Fehler tritt auf, wenn der Assistent den Proxy selbst nicht erreichen kann. Screenshot: Fehler „Die Anmeldeinformationen können nicht überprüft werden.“

  • Falls dieser Fehler angezeigt wird, überprüfen Sie, ob machine.config richtig konfiguriert wurde.
  • Falls dies in Ordnung ist, befolgen Sie die Schritte zur Überprüfung der Proxykonnektivität , um zu sehen, ob die Probleme außerhalb des Assistenten ebenfalls auftreten.

Ein Microsoft-Konto wird verwendet

Bei Verwendung eines Microsoft-Kontos anstelle eines Schul- oder Organisationskontos wird ein generischer Fehler angezeigt. Ein Microsoft-Konto wird verwendet.

Der MFA-Endpunkt ist nicht erreichbar

Dieser Fehler wird angezeigt, wenn der Endpunkt https://secure.aadcdn.microsoftonline-p.com nicht erreichbar ist und Ihr Hybrididentitätsadministrator die MFA aktiviert hat. nomachineconfig

  • Wenn dieser Fehler angezeigt wird, stellen Sie sicher, dass dem Proxy der Endpunkt secure.aadcdn.microsoftonline-p.com hinzugefügt wurde.

Das Kennwort kann nicht überprüft werden

Falls sich der Installations-Assistent erfolgreich mit Azure AD verbinden konnte, aber das Kennwort selbst nicht überprüft werden kann, wird Ihnen dieser Fehler angezeigt: Falsches Kennwort.

  • Handelt es sich um ein temporäres Kennwort, das geändert werden muss? Handelt es sich um das richtige Kennwort? Versuchen Sie, sich bei https://login.microsoftonline.com (auf einem anderen Computer als dem Azure AD Connect-Server) anzumelden, und überprüfen Sie, ob das Konto verwendbar ist.

Überprüfung der Proxykonnektivität

Um nachzuprüfen, ob der Azure AD Connect-Server über eine Verbindung zum Proxy und dem Internet verfügt, verwenden wir einige PowerShell-Teile, um festzustellen, ob der Proxy Webanforderungen zulässt oder nicht. Führen Sie in PowerShell Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc aus. (Streng genommen ist der erste Aufruf an https://login.microsoftonline.com gerichtet. Dieser URI würde auch funktionieren, aber der andere URI antwortet schneller.)

PowerShell verwendet die Konfiguration aus machine.config , um den Proxy zu kontaktieren. Die Einstellungen in winhttp/netsh sollten sich nicht auf diese Cmdlets auswirken.

Wenn der Proxy richtig konfiguriert ist, sollten Sie einen Erfolgsstatus erhalten: Screenshot: Bei ordnungsgemäßer Konfiguration des Proxy wird der Erfolgsstatus angezeigt.

Falls Sie die Meldung Die Verbindung mit dem Remoteserver kann nicht hergestellt werden erhalten, versucht PowerShell entweder gerade einen direkten Aufruf durchzuführen, ohne den Proxy zu verwenden, oder das DNS ist nicht richtig konfiguriert. Stellen Sie sicher, dass die Datei machine.config richtig konfiguriert ist. unabletoconnect

Falls der Proxy nicht richtig konfiguriert ist, tritt folgender Fehler auf: proxy200proxy407

Fehler Fehlertext Comment
403 Verboten Der Proxy wurde für die angeforderte URL nicht geöffnet. Rufen Sie die Proxykonfiguration erneut auf, und stellen Sie sicher, dass die URLs geöffnet wurden.
407 Proxyauthentifizierung erforderlich Der Proxyserver erfordert eine Anmeldung, die nicht erfolgt ist. Stellen Sie sicher, dass Sie in den Konfigurationen von „machine.config“ eine entsprechende Einstellung vorgenommen haben, falls Ihr Proxyserver eine Authentifizierung erfordert. Stellen Sie außerdem sicher, dass Sie sowohl für den Benutzer, der den Assistenten ausführt, als auch für das Dienstkonto Domänenkonten verwenden.

Einstellung für Proxy-Leerlauftimeout

Wenn Azure AD Connect eine Exportanforderung an Azure AD gesendet hat, kann Azure AD bis zu 5 Minuten benötigen, die Anforderung zu verarbeiten und dann eine Antwort zu generieren. Dies kann insbesondere passieren, wenn eine Exportanforderung einige Gruppenobjekte mit großen Gruppenmitgliedschaften enthält. Stellen Sie sicher, dass das Proxy-Leerlauftimeout so konfiguriert ist, dass es größer ist als 5 Minuten. Andernfalls kann es vorkommen, dass auf dem Azure AD Connect-Server zeitweilig Konnektivitätsprobleme mit Azure AD auftreten.

Das Kommunikationsmuster zwischen Azure AD Connect und Azure AD

Falls Sie alle vorhergehenden Schritte ausgeführt haben und immer noch keine Verbindung herstellen können, sollten Sie sich Ihre Netzwerkprotokolle ansehen. Dieser Abschnitt dokumentiert ein normales und erfolgreiches Konnektivitätsmuster. Er zeigt auch häufig auftretende Meldungen, die Sie aber ignorieren können, wenn Sie die Netzwerkprotokolle lesen.

  • Es erfolgen Aufrufe an https://dc.services.visualstudio.com. Für eine erfolgreiche Installation ist es nicht erforderlich, dass diese URL im Proxy geöffnet ist. Sie können diese Aufrufe daher ignorieren.
  • Sie werden sehen, dass die DNS-Auflösung den tatsächlichen Host im DNS-Namen von nsatc.net und anderen Namespaces anzeigt, anstatt unter microsoftonline.com. Es werden jedoch keine Webdienstanfragen an die eigentlichen Servernamen gestellt, und Sie müssen diese URLs dem Proxy nicht hinzufügen.
  • Die Endpunkte „adminwebservice“ und „provisioningapi“ sind Ermittlungsendpunkte und werden benutzt, um die tatsächlich zu verwendeten Endpunkte zu finden. Diese Endpunkte unterscheiden sich abhängig von Ihrer Region.

Verweisproxyprotokolle

Hier nun ein Auszug eines echten Proxyprotokolls und der Seite des Installations-Assistenten, von der er entnommen wurde. (Doppelte Einträge, die zum selben Endpunkt führen, wurden entfernt). Sie können diesen Abschnitt als Referenz für Ihre eigenen Proxy- und Netzwerkprotokolle verwenden. Die tatsächlichen Endpunkte können in Ihrer Umgebung abweichen (insbesondere die kursiv formatierten URLs).

Herstellen einer Verbindung mit Azure AD

Time URL
1/11/2016 8:31 connect://login.microsoftonline.com:443
1/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:32 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:32 connect://login.microsoftonline.com:443
1/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443

Konfigurieren

Time URL
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:43 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443

Erste Synchronisierung

Time URL
1/11/2016 8:48 connect://login.windows.net:443
1/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:49 connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:49 connect://bba800-anchor.microsoftonline.com:443

Authentifizierungsfehler

Dieser Abschnitt deckt Fehler ab, die von ADAL (der von Azure AD Connect verwendeten Authentifizierungsbibliothek) und PowerShell zurückgegeben werden können. Die Fehlererläuterungen sollen Sie beim Verständnis der nächsten Schritte unterstützen.

Ungültige Anmeldedaten

Ungültiger Benutzername oder ungültiges Kennwort. Weitere Informationen finden Sie unter Das Kennwort kann nicht überprüft werden .

Unbekannter Benutzertyp

Ihr Azure AD-Verzeichnis wurde nicht gefunden oder kann nicht aufgelöst werden. Versuchen Sie möglicherweise, sich mit einem Benutzernamen in einer nicht überprüften Domäne anzumelden?

Fehler bei Benutzerbereichserkennung

Es liegen Probleme mit der Netzwerk- oder Proxykonfiguration vor. Das Netzwerk kann nicht erreicht werden. Siehe Konnektivitätsprobleme mit dem Installations-Assistenten beheben.

Benutzerkennwort abgelaufen

Ihre Anmeldeinformationen sind abgelaufen. Ändern Sie Ihr Kennwort.

Autorisierungsfehler

Fehler beim Autorisieren des Benutzers für die Durchführung einer Aktion in Azure AD.

Authentifizierung abgebrochen

Das MFA-Captcha (Multi-Factor Authentication) wurde abgebrochen.

Fehler beim Herstellen der Verbindung mit MS Online

Die Authentifizierung war erfolgreich, aber es liegt ein Authentifizierung bei Azure AD PowerShell vor.

Globale Administratorrolle für Azure AD erforderlich

Der Benutzer wurde erfolgreich authentifiziert. Dem Benutzer ist aber keine globale Administratorrolle zugewiesen. Auf diese Weise können Sie dem Benutzer die globale Administratorrolle zuweisen.

Privileged Identity Management aktiviert

Die Authentifizierung war erfolgreich. Privileged Identity Management wurde aktiviert, und Sie sind aktuell kein Hybrididentitätsadministrator. Weitere Informationen finden Sie unter Privileged Identity Management.

Unternehmensinformationen nicht verfügbar

Die Authentifizierung war erfolgreich. Es konnten keine Unternehmensinformationen aus Azure AD abgerufen werden.

Domäneninformationen nicht verfügbar

Die Authentifizierung war erfolgreich. Es konnten keine Domäneninformationen aus Azure AD abgerufen werden.

Nicht spezifizierter Authentifizierungsfehler

Wird als „Unerwarteter Fehler“ im Installations-Assistenten angezeigt. Dies kann auftreten, wenn Sie versuchen, ein Microsoft-Konto anstelle eines Schul- oder Organisationskontos zu verwenden.

Schritte zur Problembehandlung für frühere Versionen.

Ab Build 1.1.105.0 (veröffentlicht im Februar 2016) wurde der Anmelde-Assistent eingestellt. Dieser Abschnitt und die Konfiguration sind eigentlich nicht mehr erforderlich, werden aber als Referenz beibehalten.

Damit der Assistent für einmaliges Anmelden funktioniert, muss winhttp konfiguriert werden. Diese Konfiguration kann mit netsh durchgeführt werden. Screenshot: Eingabeaufforderungsfenster, in dem das netsh-Tool zum Festlegen eines Proxys ausgeführt wird

Der Anmelde-Assistent wurde nicht richtig konfiguriert

Dieser Fehler tritt auf, wenn der Anmelde-Assistent den Proxy nicht erreichen kann oder der Proxy die Anfrage nicht zulässt. Screenshot mit dem Fehler „Die Anmeldeinformationen können nicht überprüft werden. Überprüfen Sie die Netzwerkkonnektivität und die Firewall- oder Proxyeinstellungen“.

  • Falls dieser Fehler angezeigt wird, prüfen Sie die Proxykonfiguration in netsh. Screenshot mit einem Eingabeaufforderungsfenster, in dem das netsh-Tool ausgeführt wird, um die Proxykonfiguration anzuzeigen
  • Falls dies in Ordnung ist, befolgen Sie die Schritte zur Überprüfung der Proxykonnektivität , um zu sehen, ob die Probleme außerhalb des Assistenten ebenfalls auftreten.

Nächste Schritte

Weitere Informationen zum Integrieren lokaler Identitäten in Azure Active Directory.