Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen beim Auffinden von Informationen zur Problembehandlung von bekannten Problemen mit der Microsoft Entra-Passthrough-Authentifizierung.
Wichtig
Wenn Sie Probleme mit der Benutzeranmeldung bei der Passthrough-Authentifizierung haben, deaktivieren Sie die Funktion nicht und deinstallieren Sie keine Passthrough-Authentifizierungsagents, ohne auf ein ausschließlich cloudbasiertes Hybrid-Identitätsadministrator-Konto zurückgreifen zu können.
Allgemeine Fragen
Überprüfen des Status der Funktion und der Authentifizierungs-Agents
Stellen Sie sicher, dass die Pass-Through-Authentifizierungsfunktion weiterhin auf Ihrem Mandanten aktiviert ist und der Status der Authentifizierungsagenten Aktiv und nicht Inaktiv angezeigt wird. Sie können den Status überprüfen, indem Sie zum Microsoft Entra Connect-Blatt im Microsoft Entra Admin Center wechseln.
An Benutzer gerichtete Fehlermeldungen bei der Anmeldung
Wenn Benutzer*innen sich nicht mit der Passthrough-Authentifizierung anmelden können, wird ihnen möglicherweise einer der folgenden Fehler für Benutzer*innen auf der Microsoft Entra-Anmeldeseite angezeigt:
| Fehler | Beschreibung | Lösung |
|---|---|---|
| AADSTS80001 | Verbindung mit Active Directory kann nicht hergestellt werden. | Ensure that agent servers are members of the same AD forest as the users whose passwords need to be validated and they are able to connect to Active Directory. (Stellen Sie sicher, dass die Agent-Server Mitglieder derselben AD-Gesamtstruktur wie die Benutzer sind, deren Kennwörter überprüft werden müssen, und dass sie eine Verbindung zu Active Directory herstellen können.) |
| AADSTS80002 | Bei der Verbindung mit Active Directory ist ein Timeout aufgetreten. | Check to ensure that Active Directory is available and is responding to requests from the agents. (Überprüfen Sie, ob Active Directory verfügbar ist und auf Anforderungen der Agents antwortet.) |
| AADSTS80004 | The username passed to the agent was not valid (Der an den Agent übergebene Benutzername war ungültig.) | Stellen Sie sicher, dass der Benutzer den richtigen Benutzernamen für die Anmeldung verwendet. |
| AADSTS80005 | Bei der Überprüfung ist eine unvorhersehbare WebException aufgetreten. | A transient error. (Vorübergehender Fehler.) Wiederholen Sie die Anforderung. Sollte der Fehler weiterhin auftreten, wenden Sie sich an den Microsoft-Support. |
| AADSTS80007 | Bei der Kommunikation mit Active Directory ist ein Fehler aufgetreten. | Suchen Sie in den Agent-Protokollen nach weiteren Informationen, und überprüfen Sie, ob Active Directory erwartungsgemäß funktioniert. |
Benutzer erhalten Fehler aufgrund eines ungültigen Benutzernamens/Kennworts.
Dieser Fall kann eintreten, wenn sich der lokale Benutzerprinzipalname (User Principal Name, UPN) des Benutzers vom Cloud-UPN des Benutzers unterscheidet.
Um zu bestätigen, dass dies das Problem ist, überprüfen Sie zunächst, ob der Agent für die Pass-through-Authentifizierung ordnungsgemäß funktioniert:
Erstellen Sie ein Testkonto.
Importieren Sie das PowerShell-Modul auf dem Agent-Computer:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Führen Sie den PowerShell-Befehl „Invoke“ aus:
Invoke-PassthroughAuthOnPremLogonTroubleshooterWenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie den für die Anmeldung verwendeten Benutzernamen und das entsprechende Kennwort ein (
https://login.microsoftonline.com).
Sollte der gleiche Benutzernamen-/Kennwortfehler auftreten, funktioniert der Agent für die Passthrough-Authentifizierung ordnungsgemäß, und das Problem ist möglicherweise auf einen nicht routingfähigen lokalen UPN zurückzuführen. Weitere Informationen finden Sie unter Konfigurieren der alternativen Anmelde-ID.
Wichtig
Wenn der Microsoft Entra Connect-Server nicht mit einer Domäne verbunden ist, wie es in Microsoft Entra Connect: Voraussetzungen erwähnt wird, tritt das Problem mit ungültigen Benutzernamen/Kennwörtern auf.
Anmeldefehlergründe im Microsoft Entra Admin Center (erfordert Premium-Lizenz)
Wenn Ihr Mandant über eine Microsoft Entra ID P1- oder P2-Lizenz verfügt, können Sie sich auch den Anmeldeaktivitätsbericht im Microsoft Entra Admin Center ansehen.
Navigieren Sie im [Microsoft Entra Admin Center](>) zu Microsoft EntraID-Anmeldungenhttps://portal.azure.com/, und klicken Sie auf die Anmeldeaktivität eines bestimmten Benutzers. Suchen Sie nach dem Feld SIGN-IN FEHLERCODE. Ordnen Sie den Wert in diesem Feld mithilfe der folgenden Tabelle einem Fehlergrund und einer Lösung zu.
| Anmeldefehlercode | Grund des Anmeldefehlers | Lösung |
|---|---|---|
| 50144 | Das Active Directory-Kennwort des Benutzers ist abgelaufen. | Reset the user's password in your on-premises Active Directory. (Setzen Sie das Kennwort des Benutzers in Ihrem lokalen Active Directory zurück.) |
| 80001 | Kein Authentifizierungs-Agent verfügbar. | Installieren und registrieren Sie einen Authentifizierungs-Agent. |
| 80002 | Zeitüberschreitung für die Anforderung zur Kennwortüberprüfung des Authentifizierungs-Agents. | Überprüfen Sie, ob Ihr Active Directory über den Authentifizierungs-Agent erreichbar ist. |
| 80003 | Der Authentifizierungs-Agent hat eine ungültige Antwort erhalten. | If the problem is consistently reproducible across multiple users, check your Active Directory configuration. (Wenn das Problem bei mehreren Benutzer genauso reproduziert werden kann, überprüfen Sie die Active Directory-Konfiguration.) |
| 80004 | In der Anmeldeanforderung wurde ein falscher Benutzerprinzipalname (UPN) verwendet. | Ask the user to sign in with the correct username. (Fordern Sie den Benutzer dazu auf, sich mit dem richtigen Benutzernamen anzumelden.) |
| 80005 | Authentifizierungs-Agent: Fehler. | Transient error. (Vorübergehender Fehler.) Versuchen Sie es später noch einmal. |
| 80007 | Der Authentifizierungs-Agent kann keine Verbindung mit Active Directory herstellen. | Überprüfen Sie, ob Ihr Active Directory über den Authentifizierungs-Agent erreichbar ist. |
| 80010 | Der Authentifizierungs-Agent kann das Kennwort nicht entschlüsseln. | If the problem is consistently reproducible, install and register a new Authentication Agent. (Wenn das Problem konsistent reproduziert werden kann, installieren und registrieren Sie einen neuen Authentifizierungs-Agent.) Und deinstallieren Sie den aktuellen. |
| 80011 | Der Authentifizierungs-Agent kann den Entschlüsselungsschlüssel nicht abrufen. | If the problem is consistently reproducible, install and register a new Authentication Agent. (Wenn das Problem konsistent reproduziert werden kann, installieren und registrieren Sie einen neuen Authentifizierungs-Agent.) Und deinstallieren Sie den aktuellen. |
| 80014 | Die Validierungsanforderung wurde beantwortet, nachdem die maximal zulässige Zeit überschritten war. | Für den Authentifizierungs-Agent ist ein Timeout aufgetreten. Öffnen Sie ein Supportticket mit dem Fehlercode, der Korrelations-ID und dem Zeitstempel, um weitere Details zu diesem Fehler zu erhalten. |
Wichtig
Pass-Through-Authentifizierungs-Agents authentifizieren Microsoft Entra-Benutzer, indem sie ihre Benutzernamen und Kennwörter für Active Directory überprüfen, indem sie die Win32-LogonUser-API aufrufen. Wenn Sie in Active Directory die Einstellung „Anmeldung bei“ zum Einschränken des Anmeldezugriffs für Arbeitsstationen festgelegt haben, müssen Sie daher auch der Serverliste „Anmeldung bei“ Server hinzufügen, auf denen Passthrough-Authentifizierungs-Agents gehostet werden. Wenn Sie dies nicht tun, können sich Ihre Benutzer*innen nicht bei Microsoft Entra ID anmelden.
Probleme bei der Installation des Authentifizierungs-Agents
Ein unerwarteter Fehler ist aufgetreten.
Sammeln Sie Agentprotokolle vom Server, und wenden Sie sich an den Microsoft-Support mit Ihrem Problem.
Probleme bei der Registrierung des Authentifizierungs-Agents
Registration of the Authentication Agent failed due to blocked ports (Fehler bei der Registrierung des Authentifizierungs-Agents aufgrund von blockierten Ports)
Stellen Sie sicher, dass der Server, auf dem der Authentifizierungs-Agent installiert wurde, mit unseren hier aufgeführten Dienst-URLs und Ports kommunizieren kann.
Registration of the Authentication Agent failed due to token or account authorization errors (Fehler bei der Registrierung des Authentifizierungs-Agents aufgrund von Token- oder Kontoautorisierungsfehlern)
Stellen Sie sicher, dass Sie für alle Installations- und Registrierungsvorgänge von Microsoft Entra Connect oder dem eigenständigen Authentifizierungsagenten ein cloudbasiertes Hybrididentitätsadministratorkonto verwenden. Es gibt ein bekanntes Problem mit MFA-fähigen Hybrididentitätsadministratorkonten. Deaktivieren Sie als Umgehungsmaßnahme vorübergehend MFA (nur bis zum Abschluss der Vorgänge).
Ein unerwarteter Fehler ist aufgetreten.
Sammeln Sie Agentprotokolle vom Server, und wenden Sie sich an den Microsoft-Support mit Ihrem Problem.
Probleme bei der Deinstallation von Authentifizierungs-Agents
Warnmeldung bei der Deinstallation von Microsoft Entra Connect
Wenn Sie die Passthrough-Authentifizierung für Ihren Mandanten aktiviert haben und versuchen, Microsoft Entra ID Connect zu deinstallieren, wird die folgende Warnmeldung angezeigt: „Users will not be able to sign-in to Microsoft Entra ID unless you have other Pass-through Authentication agents installed on other servers“ (Benutzer*innen können sich nur dann bei Microsoft Entra ID anmelden, wenn Sie andere Passthrough-Authentifizierungs-Agents auf anderen Servern installiert haben).
Stellen Sie sicher, dass Ihr Setup hoch verfügbar ist, bevor Sie Microsoft Entra Connect deinstallieren, um eine Unterbrechung der Benutzeranmeldung zu vermeiden.
Probleme bei der Aktivierung des Features
Enabling the feature failed because there were no Authentication Agents available (Beim Aktivieren des Features ist ein Fehler aufgetreten, weil keine Authentifizierungs-Agents verfügbar waren)
Es muss mindestens ein Authentifizierungs-Agent aktiv sein, damit die Passthrough-Authentifizierung in Ihrem Mandanten aktiviert werden kann. Sie können einen Authentifizierungs-Agent durch die Installation von Microsoft Entra Connect oder eines eigenständigen Authentifizierungs-Agents installieren.
Enabling the feature failed due to blocked ports (Beim Aktivierung des Features ist aufgrund blockierter Ports ein Fehler aufgetreten)
Stellen Sie sicher, dass der Server, auf dem Microsoft Entra Connect installiert ist, mit unseren hier aufgeführten Dienst-URLs und Ports kommunizieren kann.
Enabling the feature failed due to token or account authorization errors (Beim Aktivieren des Features ist aufgrund von Token- oder Kontoautorisierungsfehlern ein Fehler aufgetreten)
Stellen Sie sicher, dass Sie ein ausschließlich für die Cloud geltendes Hybrididentitätsadministratorkonto verwenden, wenn Sie das Feature aktivieren. Es gibt ein bekanntes Problem mit Hybrid-Identitäts-Administratorkonten, bei denen die Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Deaktivieren Sie MFA vorübergehend als Übergangslösung (nur um den Vorgang abzuschließen).
Sammeln von Protokollen von Passthrough-Authentifizierungs-Agent
Je nach Art des Problems müssen Sie an verschiedenen Stellen nach Protokollen von Pass-Through-Authentifizierungs-Agents suchen.
Microsoft Entra Connect-Protokolle
Überprüfen Sie die Microsoft Entra Connect-Protokolle unter %ProgramData%\AADConnect\trace-*.log bei Problemen mit der Installation.
Ereignisprotokolle von Authentifizierungs-Agents
Öffnen Sie bei Fehlern im Zusammenhang mit dem Authentifizierungs-Agent die Ereignisanzeigeanwendung auf dem Server, und überprüfen Sie unter "Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin".
Aktivieren Sie zur detaillierten Analyse das Sitzungsprotokoll. (Klicken Sie mit der rechten Maustaste in die Anwendung „Ereignisanzeige“, um diese Option zu finden.). Führen Sie den Authentifizierungs-Agent im Normalbetrieb nicht mit diesem Protokoll aus. Verwenden Sie es ausschließlich zur Problembehandlung. Die Protokollinhalte werden nur angezeigt, nachdem das Protokoll wieder deaktiviert wird.
Ausführliche Ablaufverfolgungsprotokolle
Um Fehler bei der Benutzeranmeldung zu beheben, suchen Sie unter %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\ nach Ablaufverfolgungsprotokollen. Diese Protokolle enthalten die Gründe, warum eine bestimmte Benutzeranmeldung mittels der Passthrough-Authentifizierungsfunktion fehlgeschlagen ist. Diese Fehler werden auch den Gründen für Anmeldefehler zugeordnet, die in der obigen Tabelle mit den Gründen für Anmeldefehler aufgeführt sind. Es folgt ein Beispiel für einen Protokolleintrag:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Sie können erklärende Details zum Fehler (im obigen Beispiel „1328“) abrufen, indem Sie die Eingabeaufforderung öffnen und den folgenden Befehl ausführen (Hinweis: Ersetzen Sie „1328“ durch die tatsächliche Fehlernummer, die in Ihren Protokollen angezeigt wird):
Net helpmsg 1328
Protokolle für Anmeldung per Passthrough-Authentifizierung
Weitere Informationen finden Sie auch in den Sicherheitsprotokollen Ihrer Server für Passthrough-Authentifizierung, sofern die Überwachungsprotokollierung aktiviert ist. Eine einfache Möglichkeit zum Abfragen von Anmeldeanforderungen besteht darin, Sicherheitsprotokolle mithilfe der folgenden Abfrage zu filtern:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Leistungsüberwachungsindikatoren
Eine weitere Möglichkeit zum Überwachen des Authentifizierung-Agents ist das Nachverfolgen bestimmter Leistungsüberwachungsindikatoren auf jedem Server, auf dem der Authentifizierung-Agent installiert ist. Verwenden Sie die folgenden globalen Leistungsindikatoren (# PTA-Authentifizierungen, #PTA fehlgeschlagene Authentifizierungen und #PTA erfolgreiche Authentifizierungen) und Fehlerindikatoren (# PTA-Authentifizierungsfehler):
Wichtig
Die Passthrough-Authentifizierung bietet mit mehreren Authentifizierungs-Agents Hochverfügbarkeit, jedoch keinen Lastenausgleich. Je nach Konfiguration erhalten nicht alle Authentifizierungs-Agents ungefähr die gleiche Anzahl von Anforderungen. Es ist möglich, dass ein bestimmter Authentifizierungs-Agent überhaupt keinen Datenverkehr empfängt.