A Microsoft Entra többtényezős hitelesítés NPS-bővítményéből érkező hibaüzenetek elhárítása
Ha hibákba ütközik a Microsoft Entra többtényezős hitelesítés NPS-bővítményével kapcsolatban, a jelen cikk segítségével gyorsabban érheti el a megoldást. Az NPS-bővítménynaplók a Eseménynapló az Alkalmazások és szolgáltatások naplók>Microsoft>AzureMfa>AuthN>AuthZ területén találhatók azon a kiszolgálón, amelyen az NPS-bővítmény telepítve van.
Gyakori hibák hibaelhárítási lépései
| Error code | Hibaelhárítási lépések |
|---|---|
| CONTACT_SUPPORT | Lépjen kapcsolatba az ügyfélszolgálattal, és említse meg a naplók gyűjtésének lépéseit. Adjon meg minél több információt arról, hogy mi történt a hiba előtt, beleértve a bérlőazonosítót és a felhasználónevet (UPN). |
| CLIENT_CERT_INSTALL_ERROR | There may be an issue with how the client certificate was installed or associated with your tenant. Kövesse az MFA NPS-bővítmény hibaelhárításával kapcsolatos utasításokat az ügyfél tanúsítványproblémáinak kivizsgálásához. |
| ESTS_TOKEN_ERROR | Kövesse az MFA NPS-bővítmény hibaelhárításával kapcsolatos utasításokat az ügyfél-tanúsítványokkal és a biztonsági jogkivonatokkal kapcsolatos problémák kivizsgálásához. |
| HTTPS_COMMUNICATION_ERROR | Az NPS-kiszolgáló nem tud válaszokat kapni a Microsoft Entra többtényezős hitelesítéstől. Ellenőrizze, hogy a tűzfalak kétirányúan vannak-e megnyitva a bejövő és kimenő https://adnotifications.windowsazure.com forgalom számára, és hogy engedélyezve van-e a TLS 1.2 (alapértelmezett). Ha a TLS 1.2 le van tiltva, a felhasználó hitelesítése meghiúsul, és a forrás SChannellel rendelkező 36871 eseményazonosító be van írva a rendszernaplóba Eseménynapló. A TLS 1.2 engedélyezésének ellenőrzéséhez tekintse meg a TLS beállításjegyzék-beállításait. |
| HTTP_CONNECT_ERROR | On the server that runs the NPS extension, verify that you can reach https://adnotifications.windowsazure.com and https://login.microsoftonline.com/. Ha ezek a helyek nem töltődnek be, hibaelhárítással hárítsa el a kiszolgálón lévő kapcsolatot. |
| NPS-bővítmény a Microsoft Entra többtényezős hitelesítéséhez (AccessReject): A Többtényezős Microsoft Entra-hitelesítés NPS-bővítménye csak Másodlagos hitelesítést hajt végre Az AccessAccept állapotú Radius-kérelmek esetében. Az AccessReject válaszállapotú felhasználói felhasználónévre érkezett kérés, figyelmen kívül hagyva a kérést. |
This error usually reflects an authentication failure in AD or that the NPS server is unable to receive responses from Microsoft Entra ID. Verify that your firewalls are open bidirectionally for traffic to and from https://adnotifications.windowsazure.com and https://login.microsoftonline.com using ports 80 and 443. Azt is fontos ellenőrizni, hogy a Hálózati hozzáférési engedélyek BETÁRCSÁZÁS lapján a beállítás "A hálózati házirenden keresztüli hozzáférés szabályozása" beállításra van beállítva. Ez a hiba akkor is aktiválható, ha a felhasználó nem rendelkezik licenccel. |
| NPS-bővítmény a Microsoft Entra többtényezős hitelesítéséhez (AccessChallenge): A Többtényezős Microsoft Entra-hitelesítés NPS-bővítménye csak Másodlagos hitelesítést hajt végre Az AccessAccept állapotú Radius-kérelmek esetében. Az AccessChallenge válaszállapotú felhasználói felhasználónévre érkezett kérés, figyelmen kívül hagyva a kérést. |
Ezt a választ akkor használja a rendszer, ha további információkra van szükség a felhasználótól a hitelesítési vagy engedélyezési folyamat befejezéséhez. Az NPS-kiszolgáló kihívást küld a felhasználónak, további hitelesítő adatokat vagy információkat kérve. Általában megelőzi az Access-Accept vagy az Access-Reject választ. |
| REGISTRY_CONFIG_ERROR | A key is missing in the registry for the application, which may be because the PowerShell script wasn't run after installation. The error message should include the missing key. Győződjön meg arról, hogy a kulcs a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa területen található. |
| REQUEST_FORMAT_ERROR A Radius-kérelemben hiányzik a kötelező Radius userName\Identifier attribútum. Verify that NPS is receiving RADIUS requests |
This error usually reflects an installation issue. The NPS extension must be installed in NPS servers that can receive RADIUS requests. NPS servers that are installed as dependencies for services like RDG and RRAS don't receive radius requests. Az NPS-bővítmény nem működik az ilyen telepítések és hibák esetén, mivel nem tudja elolvasni a hitelesítési kérelem részleteit. |
| REQUEST_MISSING_CODE | Make sure that the password encryption protocol between the NPS and NAS servers supports the secondary authentication method that you're using. A PAP támogatja a Microsoft Entra többtényezős hitelesítésének összes hitelesítési módszerét a felhőben: telefonhívást, egyirányú szöveges üzenetet, mobilalkalmazás-értesítést és mobilalkalmazás-ellenőrzési kódot. A CHAPV2 és az EAP támogatja a telefonhívásokat és a mobilalkalmazások értesítését. |
| U Standard kiadásRNAME_CANONICALIZATION_ERROR | Ellenőrizze, hogy a felhasználó szerepel-e a helyi Active Directory-példányban, és hogy az NPS-szolgáltatás rendelkezik-e hozzáféréssel a címtárhoz. Ha erdőmegbízhatóságokat használ, további segítségért forduljon az ügyfélszolgálathoz . |
| A felhasználó hitelesítési extrában kért kihívás | A PAP protokolltól eltérő RADIUS-protokollt használó szervezetek úgy látják, hogy a felhasználói VPN-engedélyezés sikertelen, mert ezek az események megjelennek az NPS-bővítménykiszolgáló AuthZOptCh eseménynaplójában. Konfigurálhatja az NPS-kiszolgálót a PAP támogatásához. Ha a PAP nem lehetőség, beállíthatja, hogy OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL Standard kiadás visszaessen a leküldéses értesítések jóváhagyására/elutasítására. További segítségért ellenőrizze a számegyezést az NPS-bővítmény használatával. |
Másodlagos bejelentkezési azonosítóval kapcsolatos hibák
| Error code | Hibaüzenet | Hibaelhárítási lépések |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Hiba: a userObjectSid keresés sikertelen volt | Ellenőrizze, hogy a felhasználó létezik-e a helyi Active Directory-példányban. Ha erdőmegbízhatóságokat használ, további segítségért forduljon az ügyfélszolgálathoz . |
| ALTERNATE_LOGIN_ID_ERROR | Hiba: Az alternatív LoginId-keresés sikertelen volt | Ellenőrizze, hogy a LDAP_ALTERNATE_LOGINID_ATTRIBUTE érvényes Active Directory-attribútumra van-e állítva. Ha LDAP_FORCE_GLOBAL_CATALOG Értéke Igaz, vagy LDAP_LOOKUP_FORESTS nem üres értékkel van konfigurálva, ellenőrizze, hogy konfigurálta-e a globális katalógust, és hogy hozzá lett-e adva az AlternateLoginId attribútum. Ha LDAP_LOOKUP_FORESTS nem üres értékkel van konfigurálva, ellenőrizze, hogy az érték helyes-e. Ha egynél több erdőnév van, a neveket kettőspontokkal kell elválasztani, nem szóközökkel. Ha ezek a lépések nem oldják meg a problémát, további segítségért forduljon az ügyfélszolgálathoz . |
| ALTERNATE_LOGIN_ID_ERROR | Hiba: Az alternatív bejelentkezési azonosító értéke üres | Ellenőrizze, hogy az AlternateLoginId attribútum konfigurálva van-e a felhasználóhoz. |
A felhasználók által észlelt hibák
| Error code | Hibaüzenet | Hibaelhárítási lépések |
|---|---|---|
| AccessDenied | A hívó bérlő nem rendelkezik hozzáférési engedélyekkel a felhasználó hitelesítéséhez | Ellenőrizze, hogy a bérlői tartomány és a felhasználónév tartománya (UPN) megegyezik-e. Győződjön meg például arról, hogy user@contoso.com a Contoso-bérlőn próbál hitelesítést végezni. Az UPN egy érvényes felhasználót jelöl az Azure-bérlő számára. |
| AuthenticationMethodNotConfigured | A megadott hitelesítési módszer nincs konfigurálva a felhasználóhoz | A kétlépéses ellenőrzés beállításainak kezelése című témakör utasításainak megfelelően adja hozzá vagy ellenőrizze a felhasználó ellenőrzési módszereit. |
| AuthenticationMethodNotSupported | A megadott hitelesítési módszer nem támogatott. | Gyűjtse össze a hibát tartalmazó összes naplót, és forduljon az ügyfélszolgálathoz. Amikor kapcsolatba lép az ügyfélszolgálattal, adja meg a hibát kiváltó felhasználónevet és másodlagos ellenőrzési módszert. |
| BecAccessDenied | MSODS Bec hívás visszaadott hozzáférés megtagadva, valószínűleg a felhasználónév nincs definiálva a bérlőben | A felhasználó jelen van a helyszíni Active Directoryban, de az AD Csatlakozás nem szinkronizálja a Microsoft Entra-azonosítóval. Vagy a felhasználó hiányzik a bérlőhöz. Adja hozzá a felhasználót a Microsoft Entra-azonosítóhoz, és adja hozzá az ellenőrzési módszereit a Kétlépéses ellenőrzés beállításainak kezelése című témakör utasításainak megfelelően. |
| InvalidFormat vagy StrongAuthenticationServiceInvalidParameter | A telefonszám felismerhetetlen formátumban van | A felhasználó javítsa ki az ellenőrző telefonszámokat. |
| InvalidSession | A megadott munkamenet érvénytelen vagy lejárt | A munkamenet befejezése több mint három percet vett igénybe. Ellenőrizze, hogy a felhasználó megadja-e az ellenőrző kódot, vagy válaszol-e az alkalmazásértesítésre a hitelesítési kérelem kezdeményezésétől számított három percen belül. Ha ez nem oldja meg a problémát, ellenőrizze, hogy nincsenek-e hálózati késések az ügyfél, a NAS Server, az NPS Server és a Microsoft Entra többtényezős hitelesítési végpontja között. |
| NoDefaultAuthenticationMethodIsConfigured | Nincs alapértelmezett hitelesítési módszer konfigurálva a felhasználóhoz | A kétlépéses ellenőrzés beállításainak kezelése című témakör utasításainak megfelelően adja hozzá vagy ellenőrizze a felhasználó ellenőrzési módszereit. Ellenőrizze, hogy a felhasználó alapértelmezett hitelesítési módszert választott-e, és konfigurálta-e ezt a metódust a fiókjához. |
| OathCodePinIncorrect | Hibás kód és pin-kód beírása. | Ez a hiba nem várható az NPS-bővítményben. Ha a felhasználó ezt tapasztalja, forduljon az ügyfélszolgálathoz hibaelhárítási segítségért. |
| ProofDataNotFound | A hitelesítési adatok nincsenek konfigurálva a megadott hitelesítési módszerhez. | A felhasználó próbálkozzon egy másik ellenőrzési módszerrel, vagy adjon hozzá egy új ellenőrzési módszert a Kétlépéses ellenőrzés beállításainak kezelése című témakör utasításainak megfelelően. Ha a felhasználó továbbra is látja ezt a hibát, miután meggyőződött arról, hogy az ellenőrzési módszer helyesen van beállítva, forduljon az ügyfélszolgálathoz. |
| SMSAuthFailedWrongCodePinEntered | Hibás kód és pin-kód beírása. (OneWaySMS) | Ez a hiba nem várható az NPS-bővítményben. Ha a felhasználó ezt tapasztalja, forduljon az ügyfélszolgálathoz hibaelhárítási segítségért. |
| TenantIsBlocked | A bérlő le van tiltva | Lépjen kapcsolatba az ügyfélszolgálattal a Microsoft Entra felügyeleti központ Microsoft Entra tulajdonságok lapján található bérlőazonosítóval . |
| UserNotFound | A megadott felhasználó nem található | A bérlő már nem látható aktívként a Microsoft Entra-azonosítóban. Ellenőrizze, hogy az előfizetés aktív-e, és rendelkezik-e a szükséges első féltől származó alkalmazásokkal. Győződjön meg arról is, hogy a tanúsítvány tulajdonosának bérlője a vártnak megfelelően működik, és a tanúsítvány továbbra is érvényes és regisztrálva van a szolgáltatásnév alatt. |
Azok az üzenetek, amelyeket a felhasználók tapasztalhatnak, amelyek nem hibák
Előfordulhat, hogy a felhasználók többtényezős hitelesítésről kapnak üzeneteket, mert a hitelesítési kérésük sikertelen volt. Ezek nem hibák a konfiguráció termékében, hanem szándékos figyelmeztetések, amelyek azt mutatják, hogy miért tagadták meg a hitelesítési kérést.
| Error code | Hibaüzenet | Javasolt lépések |
|---|---|---|
| OathCodeIncorrect | Hibás kód beírása\OATH-kód helytelen | A felhasználó helytelen kódot adott meg. Kérje meg őket, hogy próbálkozzon újra egy új kód kérésével, vagy jelentkezzen be újra. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Maximálisan engedélyezett kód újrapróbálkozása | A felhasználó túl sokszor hiúsult meg az ellenőrzési feladaton. A beállításoktól függően előfordulhat, hogy a rendszergazdáknak fel kell oldaniuk a letiltást. |
| SMSAuthFailedWrongCodeEntered | Hibás kód beírása/Szöveges üzenet – OTP helytelen | A felhasználó helytelen kódot adott meg. Kérje meg őket, hogy próbálkozzon újra egy új kód kérésével, vagy jelentkezzen be újra. |
| AuthenticationThrottled | Rövid idő alatt túl sok kísérlet történt a felhasználó részéről. Szabályozás. | A Microsoft korlátozhatja az ugyanazon felhasználó által rövid időn belül végrehajtott ismétlődő hitelesítési kísérleteket. Ez a korlátozás nem vonatkozik a Microsoft Authenticatorra vagy az ellenőrző kódra. Ha elérte ezeket a korlátokat, használhatja az Authenticator alkalmazást, ellenőrző kódot, vagy néhány percen belül megpróbálhat újra bejelentkezni. |
| AuthenticationMethodLimitReached | Elérte a hitelesítési módszer korlátját. Szabályozás. | A Microsoft rövid időn belül korlátozhatja azokat az ismétlődő hitelesítési kísérleteket, amelyeket ugyanaz a felhasználó hajt végre ugyanazzal a hitelesítési módszertípussal, különösen hanghívással vagy SMS-sel. Ez a korlátozás nem vonatkozik a Microsoft Authenticatorra vagy az ellenőrző kódra. Ha elérte ezeket a korlátokat, használhatja az Authenticator alkalmazást, ellenőrző kódot, vagy néhány percen belül megpróbálhat újra bejelentkezni. |
Támogatást igénylő hibák
Ha ilyen hibába ütközik, javasoljuk, hogy forduljon az ügyfélszolgálathoz diagnosztikai segítségért. Nincsenek szabványos lépések, amelyek képesek kezelni ezeket a hibákat. Amikor felveszi a kapcsolatot az ügyfélszolgálattal, mindenképpen adja meg a lehető legtöbb információt a hibához vezető lépésekről és a bérlői adatokról.
| Error code | Hibaüzenet |
|---|---|
| InvalidParameter | A kérelem nem lehet null értékű |
| InvalidParameter | A ReplicationScope objektumazonosítója nem lehet null értékű vagy üres:{0} |
| InvalidParameter | A CompanyName {0}\ hossza hosszabb, mint a megengedett maximális hossz {1} |
| InvalidParameter | A UserPrincipalName nem lehet null értékű vagy üres |
| InvalidParameter | A megadott TenantId formátum nem megfelelő |
| InvalidParameter | A SessionId nem lehet null értékű vagy üres |
| InvalidParameter | A ProofData nem oldható fel a kérelemből vagy az Msods-ból. A ProofData nincs beolvasva |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
További lépések
Felhasználói fiókok hibaelhárítása
Ha a felhasználók problémái vannak a kétlépéses ellenőrzéssel, segítsen nekik a problémák öndiagnosztikában.
Állapot-ellenőrzési szkript
A Microsoft Entra többtényezős hitelesítésŰ NPS-bővítmény állapot-ellenőrző szkriptje számos alapvető állapotellenőrzést hajt végre az NPS-bővítmény hibaelhárítása során. A szkript futtatásakor az alábbi rövid összefoglalást talál az egyes elérhető lehetőségekről:
- 1. lehetőség – a probléma okának elkülönítése: ha az NPS- vagy MFA-probléma (MFA-kulcsok exportálása, NPS újraindítása, tesztelés, regkeyek importálása, NPS újraindítása)
- 2. lehetőség – a tesztek teljes halmazának ellenőrzése, ha nem minden felhasználó használhatja az MFA NPS-bővítményt (Az Azure-hoz való hozzáférés tesztelése/HTML-jelentés létrehozása)
- 3. lehetőség – adott tesztkészlet ellenőrzése, ha egy adott felhasználó nem tudja használni az MFA NPS-bővítményt (MFA tesztelése adott UPN-hez)
- 4. lehetőség – naplók gyűjtése a Microsoft ügyfélszolgálatához való kapcsolódáshoz (Naplózás engedélyezése/NPS újraindítása/Naplók gyűjtése)
Kapcsolatfelvétel a Microsoft ügyfélszolgálatával
Ha további segítségre van szüksége, forduljon egy támogatási szakemberhez az MFA-támogatáson keresztül. Ha kapcsolatba lép velünk, hasznos, ha a lehető legtöbb információt meg tudja adnia a problémáról. A megadható információk közé tartozik a hiba, a konkrét hibakód, a konkrét munkamenet-azonosító, a hibát megtekintő felhasználó azonosítója és a hibakeresési naplók.
A támogatási diagnosztikához tartozó hibakeresési naplók gyűjtéséhez futtassa a Microsoft Entra többtényezős hitelesítésű NPS-bővítmény állapot-ellenőrző szkriptet az NPS-kiszolgálón, és a 4. lehetőséget választva gyűjtse össze a naplókat a Microsoft támogatásához.
A végén töltse fel a C:\NPS mappában létrehozott zip kimeneti fájlt, és csatolja a támogatási esethez.