Freigeben über


Probleme mit der Microsoft Entra-Passthrough-Authentifizierung beheben

Dieser Artikel hilft Ihnen beim Auffinden von Informationen zur Problembehandlung von bekannten Problemen mit der Microsoft Entra-Passthrough-Authentifizierung.

Wichtig

Wenn Sie Probleme mit der Benutzeranmeldung bei der Passthrough-Authentifizierung haben, deaktivieren Sie die Funktion nicht und deinstallieren Sie keine Passthrough-Authentifizierungsagents, ohne auf ein ausschließlich cloudbasiertes Hybrid-Identitätsadministrator-Konto zurückgreifen zu können.

Allgemeine Fragen

Überprüfen des Status der Funktion und der Authentifizierungs-Agents

Stellen Sie sicher, dass die Pass-Through-Authentifizierungsfunktion weiterhin auf Ihrem Mandanten aktiviert ist und der Status der Authentifizierungsagenten Aktiv und nicht Inaktiv angezeigt wird. Sie können den Status überprüfen, indem Sie zum Microsoft Entra Connect-Blatt im Microsoft Entra Admin Center wechseln.

Screenshot des Microsoft Entra Admin Center – Microsoft Entra Connect Blade.

Screenshot, der das Blatt „Passthrough-Authentifizierung“ im Microsoft Entra Admin Center anzeigt.

An Benutzer gerichtete Fehlermeldungen bei der Anmeldung

Wenn Benutzer*innen sich nicht mit der Passthrough-Authentifizierung anmelden können, wird ihnen möglicherweise einer der folgenden Fehler für Benutzer*innen auf der Microsoft Entra-Anmeldeseite angezeigt:

Fehler Beschreibung Lösung
AADSTS80001 Verbindung mit Active Directory kann nicht hergestellt werden. Ensure that agent servers are members of the same AD forest as the users whose passwords need to be validated and they are able to connect to Active Directory. (Stellen Sie sicher, dass die Agent-Server Mitglieder derselben AD-Gesamtstruktur wie die Benutzer sind, deren Kennwörter überprüft werden müssen, und dass sie eine Verbindung zu Active Directory herstellen können.)
AADSTS80002 Bei der Verbindung mit Active Directory ist ein Timeout aufgetreten. Check to ensure that Active Directory is available and is responding to requests from the agents. (Überprüfen Sie, ob Active Directory verfügbar ist und auf Anforderungen der Agents antwortet.)
AADSTS80004 The username passed to the agent was not valid (Der an den Agent übergebene Benutzername war ungültig.) Stellen Sie sicher, dass der Benutzer den richtigen Benutzernamen für die Anmeldung verwendet.
AADSTS80005 Bei der Überprüfung ist eine unvorhersehbare WebException aufgetreten. A transient error. (Vorübergehender Fehler.) Wiederholen Sie die Anforderung. Sollte der Fehler weiterhin auftreten, wenden Sie sich an den Microsoft-Support.
AADSTS80007 Bei der Kommunikation mit Active Directory ist ein Fehler aufgetreten. Suchen Sie in den Agent-Protokollen nach weiteren Informationen, und überprüfen Sie, ob Active Directory erwartungsgemäß funktioniert.

Benutzer erhalten Fehler aufgrund eines ungültigen Benutzernamens/Kennworts.

Dieser Fall kann eintreten, wenn sich der lokale Benutzerprinzipalname (User Principal Name, UPN) des Benutzers vom Cloud-UPN des Benutzers unterscheidet.

Um zu bestätigen, dass dies das Problem ist, überprüfen Sie zunächst, ob der Agent für die Pass-through-Authentifizierung ordnungsgemäß funktioniert:

  1. Erstellen Sie ein Testkonto.

  2. Importieren Sie das PowerShell-Modul auf dem Agent-Computer:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
    
  3. Führen Sie den PowerShell-Befehl „Invoke“ aus:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter 
    
  4. Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie den für die Anmeldung verwendeten Benutzernamen und das entsprechende Kennwort ein (https://login.microsoftonline.com).

Sollte der gleiche Benutzernamen-/Kennwortfehler auftreten, funktioniert der Agent für die Passthrough-Authentifizierung ordnungsgemäß, und das Problem ist möglicherweise auf einen nicht routingfähigen lokalen UPN zurückzuführen. Weitere Informationen finden Sie unter Konfigurieren der alternativen Anmelde-ID.

Wichtig

Wenn der Microsoft Entra Connect-Server nicht mit einer Domäne verbunden ist, wie es in Microsoft Entra Connect: Voraussetzungen erwähnt wird, tritt das Problem mit ungültigen Benutzernamen/Kennwörtern auf.

Anmeldefehlergründe im Microsoft Entra Admin Center (erfordert Premium-Lizenz)

Wenn Ihr Mandant über eine Microsoft Entra ID P1- oder P2-Lizenz verfügt, können Sie sich auch den Anmeldeaktivitätsbericht im Microsoft Entra Admin Center ansehen.

Screenshot des Microsoft Entra Admin Centers – Anmeldebericht,

Navigieren Sie im [Microsoft Entra Admin Center](>) zu Microsoft EntraID-Anmeldungenhttps://portal.azure.com/, und klicken Sie auf die Anmeldeaktivität eines bestimmten Benutzers. Suchen Sie nach dem Feld SIGN-IN FEHLERCODE. Ordnen Sie den Wert in diesem Feld mithilfe der folgenden Tabelle einem Fehlergrund und einer Lösung zu.

Anmeldefehlercode Grund des Anmeldefehlers Lösung
50144 Das Active Directory-Kennwort des Benutzers ist abgelaufen. Reset the user's password in your on-premises Active Directory. (Setzen Sie das Kennwort des Benutzers in Ihrem lokalen Active Directory zurück.)
80001 Kein Authentifizierungs-Agent verfügbar. Installieren und registrieren Sie einen Authentifizierungs-Agent.
80002 Zeitüberschreitung für die Anforderung zur Kennwortüberprüfung des Authentifizierungs-Agents. Überprüfen Sie, ob Ihr Active Directory über den Authentifizierungs-Agent erreichbar ist.
80003 Der Authentifizierungs-Agent hat eine ungültige Antwort erhalten. If the problem is consistently reproducible across multiple users, check your Active Directory configuration. (Wenn das Problem bei mehreren Benutzer genauso reproduziert werden kann, überprüfen Sie die Active Directory-Konfiguration.)
80004 In der Anmeldeanforderung wurde ein falscher Benutzerprinzipalname (UPN) verwendet. Ask the user to sign in with the correct username. (Fordern Sie den Benutzer dazu auf, sich mit dem richtigen Benutzernamen anzumelden.)
80005 Authentifizierungs-Agent: Fehler. Transient error. (Vorübergehender Fehler.) Versuchen Sie es später noch einmal.
80007 Der Authentifizierungs-Agent kann keine Verbindung mit Active Directory herstellen. Überprüfen Sie, ob Ihr Active Directory über den Authentifizierungs-Agent erreichbar ist.
80010 Der Authentifizierungs-Agent kann das Kennwort nicht entschlüsseln. If the problem is consistently reproducible, install and register a new Authentication Agent. (Wenn das Problem konsistent reproduziert werden kann, installieren und registrieren Sie einen neuen Authentifizierungs-Agent.) Und deinstallieren Sie den aktuellen.
80011 Der Authentifizierungs-Agent kann den Entschlüsselungsschlüssel nicht abrufen. If the problem is consistently reproducible, install and register a new Authentication Agent. (Wenn das Problem konsistent reproduziert werden kann, installieren und registrieren Sie einen neuen Authentifizierungs-Agent.) Und deinstallieren Sie den aktuellen.
80014 Die Validierungsanforderung wurde beantwortet, nachdem die maximal zulässige Zeit überschritten war. Für den Authentifizierungs-Agent ist ein Timeout aufgetreten. Öffnen Sie ein Supportticket mit dem Fehlercode, der Korrelations-ID und dem Zeitstempel, um weitere Details zu diesem Fehler zu erhalten.

Wichtig

Pass-Through-Authentifizierungs-Agents authentifizieren Microsoft Entra-Benutzer, indem sie ihre Benutzernamen und Kennwörter für Active Directory überprüfen, indem sie die Win32-LogonUser-API aufrufen. Wenn Sie in Active Directory die Einstellung „Anmeldung bei“ zum Einschränken des Anmeldezugriffs für Arbeitsstationen festgelegt haben, müssen Sie daher auch der Serverliste „Anmeldung bei“ Server hinzufügen, auf denen Passthrough-Authentifizierungs-Agents gehostet werden. Wenn Sie dies nicht tun, können sich Ihre Benutzer*innen nicht bei Microsoft Entra ID anmelden.

Probleme bei der Installation des Authentifizierungs-Agents

Ein unerwarteter Fehler ist aufgetreten.

Sammeln Sie Agentprotokolle vom Server, und wenden Sie sich an den Microsoft-Support mit Ihrem Problem.

Probleme bei der Registrierung des Authentifizierungs-Agents

Registration of the Authentication Agent failed due to blocked ports (Fehler bei der Registrierung des Authentifizierungs-Agents aufgrund von blockierten Ports)

Stellen Sie sicher, dass der Server, auf dem der Authentifizierungs-Agent installiert wurde, mit unseren hier aufgeführten Dienst-URLs und Ports kommunizieren kann.

Registration of the Authentication Agent failed due to token or account authorization errors (Fehler bei der Registrierung des Authentifizierungs-Agents aufgrund von Token- oder Kontoautorisierungsfehlern)

Stellen Sie sicher, dass Sie für alle Installations- und Registrierungsvorgänge von Microsoft Entra Connect oder dem eigenständigen Authentifizierungsagenten ein cloudbasiertes Hybrididentitätsadministratorkonto verwenden. Es gibt ein bekanntes Problem mit MFA-fähigen Hybrididentitätsadministratorkonten. Deaktivieren Sie als Umgehungsmaßnahme vorübergehend MFA (nur bis zum Abschluss der Vorgänge).

Ein unerwarteter Fehler ist aufgetreten.

Sammeln Sie Agentprotokolle vom Server, und wenden Sie sich an den Microsoft-Support mit Ihrem Problem.

Probleme bei der Deinstallation von Authentifizierungs-Agents

Warnmeldung bei der Deinstallation von Microsoft Entra Connect

Wenn Sie die Passthrough-Authentifizierung für Ihren Mandanten aktiviert haben und versuchen, Microsoft Entra ID Connect zu deinstallieren, wird die folgende Warnmeldung angezeigt: „Users will not be able to sign-in to Microsoft Entra ID unless you have other Pass-through Authentication agents installed on other servers“ (Benutzer*innen können sich nur dann bei Microsoft Entra ID anmelden, wenn Sie andere Passthrough-Authentifizierungs-Agents auf anderen Servern installiert haben).

Stellen Sie sicher, dass Ihr Setup hoch verfügbar ist, bevor Sie Microsoft Entra Connect deinstallieren, um eine Unterbrechung der Benutzeranmeldung zu vermeiden.

Probleme bei der Aktivierung des Features

Enabling the feature failed because there were no Authentication Agents available (Beim Aktivieren des Features ist ein Fehler aufgetreten, weil keine Authentifizierungs-Agents verfügbar waren)

Es muss mindestens ein Authentifizierungs-Agent aktiv sein, damit die Passthrough-Authentifizierung in Ihrem Mandanten aktiviert werden kann. Sie können einen Authentifizierungs-Agent durch die Installation von Microsoft Entra Connect oder eines eigenständigen Authentifizierungs-Agents installieren.

Enabling the feature failed due to blocked ports (Beim Aktivierung des Features ist aufgrund blockierter Ports ein Fehler aufgetreten)

Stellen Sie sicher, dass der Server, auf dem Microsoft Entra Connect installiert ist, mit unseren hier aufgeführten Dienst-URLs und Ports kommunizieren kann.

Enabling the feature failed due to token or account authorization errors (Beim Aktivieren des Features ist aufgrund von Token- oder Kontoautorisierungsfehlern ein Fehler aufgetreten)

Stellen Sie sicher, dass Sie ein ausschließlich für die Cloud geltendes Hybrididentitätsadministratorkonto verwenden, wenn Sie das Feature aktivieren. Es gibt ein bekanntes Problem mit Hybrid-Identitäts-Administratorkonten, bei denen die Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Deaktivieren Sie MFA vorübergehend als Übergangslösung (nur um den Vorgang abzuschließen).

Sammeln von Protokollen von Passthrough-Authentifizierungs-Agent

Je nach Art des Problems müssen Sie an verschiedenen Stellen nach Protokollen von Pass-Through-Authentifizierungs-Agents suchen.

Microsoft Entra Connect-Protokolle

Überprüfen Sie die Microsoft Entra Connect-Protokolle unter %ProgramData%\AADConnect\trace-*.log bei Problemen mit der Installation.

Ereignisprotokolle von Authentifizierungs-Agents

Öffnen Sie bei Fehlern im Zusammenhang mit dem Authentifizierungs-Agent die Ereignisanzeigeanwendung auf dem Server, und überprüfen Sie unter "Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin".

Aktivieren Sie zur detaillierten Analyse das Sitzungsprotokoll. (Klicken Sie mit der rechten Maustaste in die Anwendung „Ereignisanzeige“, um diese Option zu finden.). Führen Sie den Authentifizierungs-Agent im Normalbetrieb nicht mit diesem Protokoll aus. Verwenden Sie es ausschließlich zur Problembehandlung. Die Protokollinhalte werden nur angezeigt, nachdem das Protokoll wieder deaktiviert wird.

Ausführliche Ablaufverfolgungsprotokolle

Um Fehler bei der Benutzeranmeldung zu beheben, suchen Sie unter %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\ nach Ablaufverfolgungsprotokollen. Diese Protokolle enthalten die Gründe, warum eine bestimmte Benutzeranmeldung mittels der Passthrough-Authentifizierungsfunktion fehlgeschlagen ist. Diese Fehler werden auch den Gründen für Anmeldefehler zugeordnet, die in der obigen Tabelle mit den Gründen für Anmeldefehler aufgeführt sind. Es folgt ein Beispiel für einen Protokolleintrag:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

Sie können erklärende Details zum Fehler (im obigen Beispiel „1328“) abrufen, indem Sie die Eingabeaufforderung öffnen und den folgenden Befehl ausführen (Hinweis: Ersetzen Sie „1328“ durch die tatsächliche Fehlernummer, die in Ihren Protokollen angezeigt wird):

Net helpmsg 1328

Pass-Through-Authentifizierung

Protokolle für Anmeldung per Passthrough-Authentifizierung

Weitere Informationen finden Sie auch in den Sicherheitsprotokollen Ihrer Server für Passthrough-Authentifizierung, sofern die Überwachungsprotokollierung aktiviert ist. Eine einfache Möglichkeit zum Abfragen von Anmeldeanforderungen besteht darin, Sicherheitsprotokolle mithilfe der folgenden Abfrage zu filtern:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Leistungsüberwachungsindikatoren

Eine weitere Möglichkeit zum Überwachen des Authentifizierung-Agents ist das Nachverfolgen bestimmter Leistungsüberwachungsindikatoren auf jedem Server, auf dem der Authentifizierung-Agent installiert ist. Verwenden Sie die folgenden globalen Leistungsindikatoren (# PTA-Authentifizierungen, #PTA fehlgeschlagene Authentifizierungen und #PTA erfolgreiche Authentifizierungen) und Fehlerindikatoren (# PTA-Authentifizierungsfehler):

Passthrough-Authentifizierungs-Leistungsüberwachungsindikatoren

Wichtig

Die Passthrough-Authentifizierung bietet mit mehreren Authentifizierungs-Agents Hochverfügbarkeit, jedoch keinen Lastenausgleich. Je nach Konfiguration erhalten nicht alle Authentifizierungs-Agents ungefähr die gleiche Anzahl von Anforderungen. Es ist möglich, dass ein bestimmter Authentifizierungs-Agent überhaupt keinen Datenverkehr empfängt.