Az Azure Active Directory átmenő hitelesítésének hibaelhárítása

Ez a cikk segítséget nyújt a Azure AD átmenő hitelesítéssel kapcsolatos gyakori problémák hibaelhárítási információinak megkeresésében.

Fontos

Ha felhasználói bejelentkezési problémákat tapasztal az átmenő hitelesítéssel kapcsolatban, ne tiltsa le a funkciót, és ne távolítsa el az átmenő hitelesítési ügynököket anélkül, hogy csak felhőalapú globális rendszergazdai fiókkal vagy hibrid identitás-rendszergazdai fiókkal kellene visszaállnia. Tudnivalók a csak felhőalapú globális rendszergazdai fiók hozzáadásáról. Ez a lépés kritikus fontosságú, és biztosítja, hogy ne zárják ki a bérlőből.

Általános problémák

A funkció és a hitelesítési ügynökök állapotának ellenőrzése

Győződjön meg arról, hogy az átmenő hitelesítés funkció továbbra is engedélyezve van a bérlőn, és a hitelesítési ügynökök állapota aktív, nem pedig inaktív. Az állapot ellenőrzéséhez lépjen az Azure Active Directory felügyeleti központAzure AD Connect panelére.

Azure Active Directory Felügyeleti központ – Azure AD Csatlakozás panel

Azure Active Directory Felügyeleti központ – Átmenő hitelesítés panel

Felhasználói bejelentkezési hibaüzenetek

Ha a felhasználó nem tud bejelentkezni az átmenő hitelesítéssel, az alábbi felhasználói hibák egyike jelenhet meg a Azure AD bejelentkezési képernyőn:

Hiba Leírás Feloldás
AADSTS80001 Nem lehet csatlakozni az Active Directoryhoz Győződjön meg arról, hogy az ügynökkiszolgálók ugyanahhoz az AD-erdőhöz tartoznak, mint azok a felhasználók, akiknek a jelszavát ellenőrizni kell, és képesek csatlakozni az Active Directoryhoz.
AADSTS80002 Időtúllépés történt az Active Directoryhoz való csatlakozáskor Ellenőrizze, hogy az Active Directory elérhető-e, és válaszol-e az ügynököktől érkező kérésekre.
AADSTS80004 Az ügynöknek átadott felhasználónév érvénytelen volt Győződjön meg arról, hogy a felhasználó a megfelelő felhasználónévvel próbál bejelentkezni.
AADSTS80005 Az ellenőrzés kiszámíthatatlan WebException kivételt észlelt Átmeneti hiba. Ismételje meg a kérést. Ha a hiba továbbra is fennáll, forduljon Microsoft ügyfélszolgálathoz.
AADSTS80007 Hiba történt az Active Directoryval való kommunikáció során További információért tekintse meg az ügynöknaplókat, és ellenőrizze, hogy az Active Directory a várt módon működik-e.

A felhasználók érvénytelen felhasználónevet/jelszót kapnak

Ez akkor fordulhat elő, ha egy felhasználó helyszíni UserPrincipalName (UPN) értéke eltér a felhasználó felhőbeli UPN-étől.

Annak ellenőrzéséhez, hogy ez a probléma áll-e fenn, először tesztelje, hogy az átmenő hitelesítési ügynök megfelelően működik-e:

  1. Hozzon létre egy tesztfiókot.

  2. Importálja a PowerShell-modult az ügynökgépre:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
    
  3. Futtassa a PowerShell meghívása parancsot:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter 
    
  4. Amikor a rendszer kéri a hitelesítő adatok megadását, adja meg ugyanazt a felhasználónevet és jelszót, amelyet a (https://login.microsoftonline.com) szolgáltatásba való bejelentkezéshez használ.

Ha ugyanazt a felhasználónév/jelszó hibát kapja, az azt jelenti, hogy az átmenő hitelesítési ügynök megfelelően működik, és a probléma az lehet, hogy a helyszíni egyszerű felhasználónév nem irányítható. További információ: Alternatív bejelentkezési azonosító konfigurálása.

Fontos

Ha a Azure AD Connect-kiszolgáló nem csatlakozik tartományhoz, a Azure AD Connect: Előfeltételek című témakörben említett követelmény érvénytelen felhasználónévvel/jelszóval kapcsolatos probléma merül fel.

Bejelentkezési hibák okai az Azure Active Directory felügyeleti központban (prémium szintű licencre van szükség)

Ha a bérlőhöz Azure AD Prémium licenc van társítva, a bejelentkezési tevékenységről szóló jelentést az Azure Active Directory felügyeleti központban is megtekintheti.

Azure Active Directory Felügyeleti központ – Bejelentkezési jelentés

Lépjen az Azure Active Directory –>Bejelentkezésekelemre az Azure Active Directory felügyeleti központban, és kattintson egy adott felhasználó bejelentkezési tevékenységére. Keresse meg a BEJELENTKEZÉSI HIBA KÓDJA mezőt. Az alábbi táblázat segítségével keresse meg a mezőnek az értékét a hiba okaként és megoldásaként:

Bejelentkezési hibakód Bejelentkezési hiba oka Feloldás
50144 A felhasználó Active Directory jelszava lejárt. Állítsa alaphelyzetbe a felhasználó jelszavát a helyi Active Directory.
80001 Nem érhető el hitelesítési ügynök. Telepítsen és regisztráljon egy hitelesítési ügynököt.
80002 A hitelesítési ügynök jelszó-érvényesítési kérése túllépte az időkorlátot. Ellenőrizze, hogy az Active Directory elérhető-e a hitelesítési ügynökből.
80003 A hitelesítési ügynök érvénytelen választ kapott. Ha a probléma folyamatosan reprodukálható több felhasználó között, ellenőrizze az Active Directory konfigurációját.
80004 A bejelentkezési kérésben helytelen egyszerű felhasználónevet (UPN-t) használtak. Kérje meg a felhasználót, hogy a megfelelő felhasználónévvel jelentkezzen be.
80005 Hitelesítési ügynök: hiba történt. Átmeneti hiba. Próbálkozzon újra később.
80007 A hitelesítési ügynök nem tudott csatlakozni az Active Directory-hoz. Ellenőrizze, hogy az Active Directory elérhető-e a hitelesítési ügynökből.
80010 A hitelesítési ügynök nem tudta visszafejteni a jelszót. Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. És távolítsa el az aktuálisat.
80011 A hitelesítési ügynök nem tudta lekérni a visszafejtési kulcsot. Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. És távolítsa el az aktuálisat.
80014 Az érvényesítési kérelem a maximális idő túllépése után válaszolt. A hitelesítési ügynök túllépte az időkorlátot. Nyisson meg egy támogatási jegyet a hibakóddal, a korrelációs azonosítóval és az időbélyeggel, hogy további részleteket kapjon erről a hibáról

Fontos

Az átmenő hitelesítési ügynökök úgy hitelesítik Azure AD felhasználókat, hogy a Win32 LogonUser API meghívásával ellenőrzik a felhasználónevüket és a jelszavukat az Active Directoryban. Ennek eredményeképpen, ha az Active Directoryban beállította a "Bejelentkezés" beállítást a munkaállomás bejelentkezési hozzáférésének korlátozására, hozzá kell adnia az átmenő hitelesítési ügynököket futtató kiszolgálókat a "Bejelentkezés a következőhöz" kiszolgálók listájához is. Ennek elmulasztása megakadályozza, hogy a felhasználók bejelentkezhessenek Azure AD.

A hitelesítési ügynök telepítésével kapcsolatos problémák

Váratlan hiba történt

Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a problémával.

A hitelesítési ügynök regisztrációjával kapcsolatos problémák

A hitelesítési ügynök regisztrálása letiltott portok miatt meghiúsult

Győződjön meg arról, hogy az a kiszolgáló, amelyre a hitelesítési ügynök telepítve van, képes kommunikálni az itt felsorolt szolgáltatás URL-címekkel és portokkal.

A hitelesítési ügynök regisztrálása token- vagy fiókengedélyezési hibák miatt meghiúsult

Győződjön meg arról, hogy csak felhőalapú globális rendszergazdai fiókot vagy hibrid identitásadminisztrátori fiókot használ az összes Azure AD Connect- vagy különálló hitelesítési ügynök telepítési és regisztrációs műveletéhez. Az MFA-kompatibilis globális rendszergazdai fiókoknak van egy ismert hibája; áthidaló megoldásként ideiglenesen kapcsolja ki az MFA-t (csak a műveletek elvégzéséhez).

Váratlan hiba történt

Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a problémával.

A hitelesítési ügynök eltávolításával kapcsolatos problémák

Figyelmeztető üzenet Azure AD Connect eltávolításakor

Ha engedélyezve van az átmenő hitelesítés a bérlőn, és megpróbálja eltávolítani az Azure AD Connectet, a következő figyelmeztető üzenet jelenik meg: „Users will not be able to sign-in to Azure AD unless you have other Pass-through Authentication agents installed on other servers” (A felhasználók nem fognak tudni bejelentkezni az Azure AD-be, ha nincs másik átmenő hitelesítési ügynök telepítve a többi kiszolgálón).

A felhasználói bejelentkezési képesség megtartása érdekében győződjön meg arról, hogy a beállítás magas rendelkezésre állású, mielőtt eltávolítaná az Azure AD Connectet.

A funkció engedélyezésével kapcsolatos problémák

A szolgáltatás engedélyezése nem sikerült, mert nem voltak elérhető hitelesítési ügynökök

Legalább egy aktív hitelesítési ügynökkel kell rendelkeznie ahhoz, hogy engedélyezze az átmenő hitelesítést a bérlőn. Hitelesítési ügynököt a Azure AD Connect vagy egy különálló hitelesítési ügynök telepítésével telepíthet.

A szolgáltatás engedélyezése blokkolt portok miatt meghiúsult

Győződjön meg arról, hogy az a kiszolgáló, amelyre a Azure AD Connect telepítve van, képes kommunikálni az itt felsorolt szolgáltatás URL-címekkel és portokkal.

A szolgáltatás engedélyezése jogkivonat- vagy fiókengedélyezési hibák miatt meghiúsult

Győződjön meg arról, hogy csak felhőalapú globális rendszergazdai fiókot használ a funkció engedélyezésekor. A többtényezős hitelesítéssel (MFA)-kompatibilis globális rendszergazdai fiókokkal kapcsolatban ismert probléma merült fel; kerülő megoldásként ideiglenesen kapcsolja ki az MFA-t (csak a művelet befejezéséhez).

Átmenő hitelesítési ügynök naplóinak gyűjtése

Az esetleges probléma típusától függően különböző helyeken kell keresnie az átmenő hitelesítési ügynök naplóit.

Azure AD Connect-naplók

A telepítéssel kapcsolatos hibákért tekintse meg a %ProgramData%\AADConnect\trace-*.log Azure AD Connect-naplókat.

Hitelesítési ügynök eseménynaplói

A hitelesítési ügynökhöz kapcsolódó hibákért nyissa meg az Eseménynapló alkalmazást a kiszolgálón, és tekintse meg az Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin mappa tartalmát.

A részletes elemzéshez engedélyezze a "Munkamenet" naplót (kattintson a jobb gombbal az eseménymegtekintő alkalmazáson belül a beállítás megkereséséhez). A szokásos műveletek során ne futtassa a hitelesítési ügynököt, ha ez a napló engedélyezve van; csak hibaelhárításhoz használja. A napló tartalma csak akkor látható, ha a napló ismét le van tiltva.

Részletes nyomkövetési naplók

A felhasználói bejelentkezési hibák elhárításához keressen nyomkövetési naplókat a %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\ webhelyen. Ezek a naplók tartalmazzák azokat az okokat, amelyek miatt egy adott felhasználó bejelentkezése meghiúsult az átmenő hitelesítés funkcióval. Ezek a hibák az előző bejelentkezési hibák okainak táblázatában látható bejelentkezési hibák okaira is le vannak képezve. Az alábbiakban egy példanapló-bejegyzés látható:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

A hiba leíró részleteit (az előző példában 1328) a parancssor megnyitásával és a következő parancs futtatásával kaphatja meg (Megjegyzés: Cserélje le az 1328-at a naplókban látható tényleges hibaszámra):

Net helpmsg 1328

Átmenő hitelesítés

Tartományvezérlő naplói

Ha az auditnaplózás engedélyezve van, további információk találhatók a tartományvezérlők biztonsági naplóiban. Az átmenő hitelesítési ügynökök által küldött bejelentkezési kérelmek lekérdezésének egyszerű módja a következő:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Teljesítményfigyelő-számlálók

A hitelesítési ügynökök monitorozásának másik módja, hogy nyomon követi a teljesítményfigyelő egyes számlálóit minden olyan kiszolgálón, amelyen a hitelesítési ügynök telepítve van. Használja a következő globális számlálókat (# PTA-hitelesítéseket, #PTA sikertelen hitelesítéseket és #PTA sikeres hitelesítéseket) és hibaszámlálókat (# PTA-hitelesítési hibák):

Átmenő hitelesítési teljesítményfigyelő számlálói

Fontos

Az átmenő hitelesítés magas rendelkezésre állást biztosít több hitelesítési ügynökkel, nem pedig terheléselosztással. A konfigurációtól függően nem minden hitelesítési ügynök kap nagyjából ugyanannyi kérést. Lehetséges, hogy egy adott hitelesítési ügynök egyáltalán nem fogad forgalmat.