A Microsoft Entra Connect csatlakozási problémáinak elhárítása
Ez a cikk bemutatja, hogyan működik a Microsoft Entra Connect és a Microsoft Entra ID közötti kapcsolat, és hogyan háríthatja el a csatlakozási problémákat. Ezek a problémák valószínűleg proxykiszolgálót használó környezetben jelennek meg.
Csatlakozási problémák a telepítővarázslóban
A Microsoft Entra Connect a Microsoft Authentication Libraryt (MSAL) használja a hitelesítéshez. A telepítővarázslónak és a szinkronizálási motornak megfelelően kell konfigurálnia a machine.config fájlt, mert ezek .NET-alkalmazások.
Jegyzet
Az Azure AD Connect v1.6.xx.x az Active Directory Authentication Libraryt (ADAL) használja. Az ADAL elavult, és a támogatás 2022 júniusában megszűnik. Javasoljuk, hogy frissítsen a Microsoft Entra Connect v2 legújabb verziójára.
Ebben a cikkben bemutatjuk, hogyan csatlakozik a Fabrikam a Microsoft Entra-azonosítóhoz a proxyn keresztül. A proxykiszolgáló neve fabrikamproxy a 8080-at használja.
Először győződjön meg arról, hogy a machine.config megfelelően van konfigurálva, és hogy a Microsoft Entra ID Sync szolgáltatás a machine.config fájlfrissítés után egyszer újraindult.
Jegyzet
Egyes nem Microsoft-blogok azt jelzik, hogy a machine.config fájl helyett a miiserver.exe.config fájlt kell módosítania. A miiserver.exe.config fájl azonban minden frissítésnél felülíródik. Még ha a fájl a kezdeti telepítés során is működik, a rendszer az első frissítés során leáll. Ezért javasoljuk, hogy frissítse a machine.config fájlt a cikkben leírtak szerint.
A proxykiszolgálónak meg kell nyitnia a szükséges URL-címeket is. A hivatalos lista az Office 365 URL-címeiben és IP-címtartományaiban van dokumentálva.
Ezen URL-címek közül az alábbi táblázatban felsorolt URL-címek az abszolút minimális értékek ahhoz, hogy egyáltalán csatlakozni tudjanak a Microsoft Entra-azonosítóhoz. Ez a lista nem tartalmaz olyan választható funkciókat, mint például a jelszóvisszaíró vagy a Microsoft Entra Connect Health. Az itt található információk segítenek a kezdeti konfiguráció hibaelhárításában.
| URL-cím | Kikötő | Leírás |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | A visszavont tanúsítványok listájának (CRL) letöltésére szolgál. |
*.verisign.com |
HTTP/80 | CRL-listák letöltésére szolgál. |
*.entrust.net |
HTTP/80 | CRL-listák letöltésére szolgál többtényezős hitelesítéshez (MFA). |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | A különböző Azure-szolgáltatásokhoz használatos. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | MFA-hoz használatos. |
*.microsoftonline.com |
HTTPS/443 | A Microsoft Entra-címtár konfigurálására és az adatok importálására/exportálására szolgál. |
*.crl3.digicert.com |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
*.crl4.digicert.com |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
*.digicert.cn |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
*.ocsp.digicert.com |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
*.www.d-trust.net |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
*.crl.microsoft.com |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
*.oneocsp.microsoft.com |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
*.ocsp.msocsp.com |
HTTP/80 | Tanúsítványok ellenőrzésére szolgál. |
Hibák a varázslóban
A telepítővarázsló két különböző biztonsági környezetet használ. A Csatlakozás a Microsoft Entra-azonosítóhoz lapon a jelenleg bejelentkezett felhasználót használja. A Konfigurálás lapon a szinkronizálási motor szolgáltatását futtató fiókra változik. Ha probléma merül fel, a hiba valószínűleg megjelenik a Varázsló Csatlakozás a Microsoft Entra-azonosítóhoz lapján, mert a proxykonfiguráció globális.
A telepítővarázslóban előforduló leggyakoribb hibák az alábbi problémák.
A telepítővarázsló nincs megfelelően konfigurálva
Ez a hiba akkor jelenik meg, ha maga a varázsló nem tudja elérni a proxyt.
Ha ezt a hibát látja, ellenőrizze, hogy a machine.config fájl megfelelően van-e konfigurálva. Ha a machine.config helyesen néz ki, hajtsa végre a proxykapcsolat ellenőrzésének lépéseit, és ellenőrizze, hogy a probléma a varázslón kívül is fennáll-e.
Microsoft-fiók használata
Ha iskolai vagy szervezeti fiók helyett Microsoft-fiókot használ, általános hibaüzenet jelenik meg:
Az MFA-végpont nem érhető el
Ez a hiba akkor jelenik meg, ha a végpont https://secure.aadcdn.microsoftonline-p.com nem érhető el, és a hibrid identitáskezelő rendszergazdája engedélyezte az MFA használatát.
Ha ezt a hibát látja, ellenőrizze, hogy a végpont secure.aadcdn.microsoftonline-p.com hozzá lett-e adva a proxyhoz.
A jelszó nem ellenőrizhető
Ha a telepítővarázsló sikeresen csatlakozik a Microsoft Entra-azonosítóhoz, de maga a jelszó nem ellenőrizhető, a következő hibaüzenet jelenik meg:
A jelszó ideiglenes jelszó, amelyet módosítani kell? Valóban ez a helyes jelszó? Próbáljon meg bejelentkezni https://login.microsoftonline.com a Microsoft Entra Connect-kiszolgálótól eltérő számítógépre, és ellenőrizze, hogy a fiók használható-e.
Proxykapcsolat ellenőrzése
Annak ellenőrzéséhez, hogy a Microsoft Entra Connect-kiszolgáló csatlakozik-e a proxyhoz és az internethez, használjon néhány PowerShell-parancsmagot annak ellenőrzéséhez, hogy a proxy engedélyezi-e a webes kéréseket. A PowerShellben futtassa a következőt Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc: . (Technikailag az első hívás az https://login.microsoftonline.com, és ez az URI is működik, de a másik URI gyorsabban válaszol.)
A PowerShell a machine.config konfigurációjával lép kapcsolatba a proxyval. A winhttp/netsh beállításai nem lehetnek hatással ezekre a parancsmagokra.
Ha a proxy megfelelően van konfigurálva, sikeres állapot jelenik meg:
Ha az üzenet nem tud csatlakozni a távoli kiszolgálóhoz, a PowerShell a proxy használata nélkül próbál közvetlen hívást kezdeményezni, vagy a DNS nincs megfelelően konfigurálva. Győződjön meg arról, hogy a machine.config fájl megfelelően van konfigurálva.
Ha a proxy nincs megfelelően konfigurálva, megjelenik egy 403-at vagy 407-et jelző hibaüzenet:
Az alábbi táblázat a 403- és a 407-beli proxyhibákat ismerteti:
| Hiba | Hibaszöveg | Megjegyzés |
|---|---|---|
| 403 | Tiltott | A proxy nem lett megnyitva a kért URL-címhez. Tekintse meg újra a proxykonfigurációt, és győződjön meg arról, hogy az URL-címek meg lettek nyitva. |
| 407 | Proxyhitelesítés szükséges | A proxykiszolgálóhoz bejelentkezésre volt szükség, és egyik sem lett megadva. Ha a proxykiszolgáló hitelesítést igényel, győződjön meg arról, hogy ezt a beállítást a machine.config fájlban konfigurálta. Győződjön meg arról is, hogy tartományi fiókokat használ a varázslót futtató felhasználóhoz és a szolgáltatásfiókhoz. |
Proxy tétlen időtúllépési beállítása
Amikor a Microsoft Entra Connect exportálási kérelmet küld a Microsoft Entra ID-nak, a Microsoft Entra ID akár 5 percet is igénybe vehet a kérés feldolgozásához a válasz létrehozása előtt. A válasz különösen akkor késik, ha sok nagy csoporttagságú csoportobjektum szerepel ugyanabban az exportálási kérelemben. Győződjön meg arról, hogy a proxy üresjárati időtúllépése 5 percnél hosszabbra van konfigurálva. Ellenkező esetben előfordulhat, hogy időnként csatlakozási problémák lépnek fel a Microsoft Entra-azonosítóval kapcsolatban a Microsoft Entra Connect-kiszolgálón.
Kommunikációs minta a Microsoft Entra Connect és a Microsoft Entra ID között
Ha követte a cikkben leírt összes lépést, és továbbra sem tud csatlakozni, akkor ezen a ponton a hálózati naplókat tekintheti meg. Ez a szakasz egy normál és sikeres kapcsolati mintát ír le.
Először azonban íme néhány gyakori aggály a hálózati naplók adataival kapcsolatban, amelyeket figyelmen kívül hagyhat:
- Vannak hívások a következőre
https://dc.services.visualstudio.com: . A telepítés sikeres végrehajtásához nem szükséges, hogy ez az URL-cím meg legyen nyitva a proxyban, és ezek a hívások figyelmen kívül hagyhatók. - Láthatja, hogy a DNS-feloldás a tényleges gazdagépeket a DNS-névtérben és az egyéb, nem alatta lévő névterekben
nsatc.nettalálhatóként sorolja felmicrosoftonline.com. A tényleges kiszolgálóneveken azonban nincsenek webszolgáltatás-kérések. Ezeket az URL-címeket nem kell hozzáadnia a proxyhoz. - A végpontok
adminwebservicefelderítésiprovisioningapivégpontok, és a tényleges használandó végpont megkeresésére szolgálnak. Ezek a végpontok régiótól függően eltérőek.
Proxynaplók hivatkozása
Az alábbi példa egy tényleges proxynaplóból származó memóriakép, és a telepítési varázsló lapja, amelyről készült (az ugyanahhoz a végponthoz tartozó ismétlődő bejegyzések el lettek távolítva). Ez a szakasz a saját proxy- és hálózati naplóinak hivatkozásaként használható. A tényleges végpontok eltérőek lehetnek a környezetben (különösen a dőlt url-címek).
Csatlakozás a Microsoft Entra-azonosítóhoz
| Idő | URL-cím |
|---|---|
| 1/11/2016 8:31 | csatlakozás:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
Konfigurál
| Idő | URL-cím |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
Kezdeti szinkronizálás
| Idő | URL-cím |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
Hitelesítési hibák
Ez a szakasz az ADAL és a PowerShell által visszaadott hibákat ismerteti. A hiba magyarázatának segítenie kell a következő lépések azonosításában.
Érvénytelen támogatás
Érvénytelen felhasználónevet vagy jelszót adott meg. További információ: A jelszó nem ellenőrizhető.
Ismeretlen felhasználótípus
A Microsoft Entra-címtár nem található vagy nem oldható fel. Lehet, hogy nem ellenőrzött tartományban próbált bejelentkezni egy felhasználónévvel?
Nem sikerült felderíteni a felhasználói tartományt
Hálózati vagy proxykonfigurációs problémák. A hálózat nem érhető el. Lásd a telepítési varázsló csatlakozási problémáit.
A felhasználói jelszó lejárt
A hitelesítő adatai lejártak. Módosítsa a jelszavát.
Engedélyezési hiba
A Microsoft Entra Connect nem tudta engedélyezni a felhasználónak, hogy műveletet hajt végre a Microsoft Entra-azonosítóban.
A hitelesítés megszakadt
Az MFA-feladat megszakadt.
Nem sikerült csatlakozni az MSOnline-hoz
A hitelesítés sikeres volt, de az Azure AD PowerShell hitelesítési problémával rendelkezik.
A Privileged Identity Management engedélyezve van
A hitelesítés sikeres volt, de a Privileged Identity Management engedélyezve van, és a felhasználó jelenleg nem hibrid identitás-rendszergazda. További információ: Privileged Identity Management.
A vállalati adatok nem érhetők el
A hitelesítés sikeres volt, de a vállalati adatok nem kérhetők le a Microsoft Entra-azonosítóból.
A tartomány adatai nem érhetők el
A hitelesítés sikeres volt, de a tartományadatok nem kérhetők le a Microsoft Entra-azonosítóból.
Meghatározatlan hitelesítési hiba
Váratlan hibaként jelenik meg a telepítővarázslóban. Ez a hiba akkor fordulhat elő, ha iskolai vagy szervezeti fiók helyett Microsoft-fiókot próbál használni.
A korábbi kiadások hibaelhárítási lépései
Az 1.1.105.0-s buildszámmal (2016. februárban megjelent) kezdődő kiadásokban a bejelentkezési segéd kivezetve lett. A bejelentkezési segéd konfigurálására már nincs szükség, de a következő szakaszokban szereplő információk hivatkozásra kerülnek.
Ahhoz, hogy az egyszeri bejelentkezési segéd működjön, konfigurálnia kell a Microsoft Windows HTTP-szolgáltatásokat (WinHTTP). A WinHTTP-t a netsh használatával konfigurálhatja.
A bejelentkezési segéd nincs megfelelően konfigurálva
Ez a hiba akkor jelenik meg, ha a bejelentkezési segéd nem éri el a proxyt, vagy a proxy nem engedélyezi a kérést.
Ha ezt a hibát látja, tekintse meg a netsh proxykonfigurációját, és ellenőrizze, hogy helyes-e.
Ha a proxykonfiguráció helyesnek tűnik, végezze el a proxykapcsolat ellenőrzésének lépéseit, és ellenőrizze, hogy a probléma a varázslón kívül jelentkezik-e.
Következő lépések
További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.