Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk segítséget nyújt a Microsoft Entra átmenő hitelesítéssel kapcsolatos gyakori problémák hibaelhárítási információinak megkeresésében.
Fontos
Ha felhasználói bejelentkezési problémákat tapasztal az átmenő hitelesítéssel kapcsolatban, ne tiltsa le a funkciót, és ne távolítsa el az átmenő hitelesítési ügynököket anélkül, hogy legyen egy kizárólag felhőalapú hibrid identitás-rendszergazdai fiókja tartaléknak.
Általános problémák
A szolgáltatás és a hitelesítési ügynökök állapotának ellenőrzése
Ensure that the Pass-through Authentication feature is still Enabled on your tenant and the status of Authentication Agents shows Active, and not Inactive. Az állapotot a Microsoft Entra Connect lapon ellenőrizheti a Microsoft Entra admin center oldalon.
Felhasználói bejelentkezési hibaüzenetek
Ha a felhasználó nem tud bejelentkezni az átmenő hitelesítés használatával, a Microsoft Entra bejelentkezési képernyőjén az alábbi felhasználói hibák valamelyike jelenhet meg:
| Error | Leírás | Resolution |
|---|---|---|
| AADSTS80001 | Nem lehet csatlakozni az Active Directoryhoz | Győződjön meg arról, hogy az ügynökkiszolgálók ugyanahhoz az AD-erdőhöz tartoznak, mint azok a felhasználók, akiknek a jelszavát ellenőrizni kell, és hogy képesek csatlakozni az Active Directoryhoz. |
| AADSTS80002 | Időtúllépés történt az Active Directoryhoz való csatlakozáskor | Ellenőrizze, hogy az Active Directory elérhető-e, és válaszol-e az ügynököktől érkező kérésekre. |
| AADSTS80004 | Az ügynöknek átadott felhasználónév érvénytelen volt | Győződjön meg arról, hogy a felhasználó a megfelelő felhasználónévvel próbál bejelentkezni. |
| AADSTS80005 | Az érvényesítés kiszámíthatatlan WebException hibát tapasztalt. | Átmeneti hiba. Ismételje meg a kérést. Ha továbbra is sikertelen, forduljon a Microsoft ügyfélszolgálatához. |
| AADSTS80007 | Hiba történt az Active Directoryval való kommunikáció során | További információt az ügynöknaplókban talál, és ellenőrizze, hogy az Active Directory a várt módon működik-e. |
A felhasználók érvénytelen felhasználónevet/jelszót kapnak
Ez akkor fordulhat elő, ha egy felhasználó helyszíni UserPrincipalName (UPN) neve eltér a felhasználó felhőbeli UPN-étől.
Annak ellenőrzéséhez, hogy ez okozza-e a problémát, először ellenőrizze, hogy a továbbításos hitelesítési ügynök megfelelően működik-e:
Hozzon létre egy tesztfiókot.
Importálja a PowerShell-modult az ügynökgépen:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Futtassa a PowerShell meghívása parancsot:
Invoke-PassthroughAuthOnPremLogonTroubleshooterAmikor a rendszer kéri a hitelesítő adatok megadását, adja meg ugyanazt a felhasználónevet és jelszót, amellyel bejelentkezik a https://login.microsoftonline.com szolgáltatásba.
Ha ugyanazt a felhasználónév/jelszó hibát kapja, az azt jelenti, hogy az átmenő hitelesítési ügynök megfelelően működik, és a probléma az lehet, hogy a helyszíni UPN nem irányítható. További információ: Alternatív bejelentkezési azonosító konfigurálása.
Fontos
Az érvénytelen felhasználónév/jelszó probléma akkor jelentkezik, ha a Microsoft Entra Connect-kiszolgáló nincs csatlakoztatva tartományhoz, ami egy követelmény, amit a Microsoft Entra Connect: Előfeltételek rész említ.
Bejelentkezési hibák okai a Microsoft Entra felügyeleti központban (prémium szintű licencre van szükség)
Ha a bérlőhöz P1 vagy P2 azonosítójú Microsoft Entra-licenc van társítva, a bejelentkezési tevékenységről szóló jelentést a Microsoft Entra felügyeleti központban is megtekintheti.
Lépjen a Microsoft Entra ID ->Bejelentkezések elemre a [Microsoft Entra felügyeleti központban](https://portal.azure.com/), és kattintson egy adott felhasználó bejelentkezési tevékenységére. Keresse meg a BEJELENTKEZÉSI HIBA KÓDJA mezőt. Map the value of that field to a failure reason and resolution using the following table:
| Bejelentkezési hiba kódja | Bejelentkezési hiba oka | Resolution |
|---|---|---|
| 50144 | A felhasználó Active Directory jelszava lejárt. | Állítsa vissza a felhasználó jelszavát a helyi Active Directoryban. |
| 80001 | Nem érhető el hitelesítési ügynök. | Telepítsen és regisztráljon egy hitelesítési ügynököt. |
| 80002 | A hitelesítési ügynök jelszó-érvényesítési kérése túllépte az időkorlátot. | Ellenőrizze, hogy az Active Directory elérhető-e a hitelesítési ügynökből. |
| 80003 | A hitelesítési ügynök érvénytelen választ kapott. | Ha a probléma folyamatosan reprodukálható több felhasználó között, ellenőrizze az Active Directory konfigurációját. |
| 80004 | A bejelentkezési kérelemben helytelen User Principal Name-t (UPN-t) használtak. | Kérje meg a felhasználót, hogy a megfelelő felhasználónévvel jelentkezzen be. |
| 80005 | Hitelesítési ügynök: hiba történt. | Átmeneti hiba. Próbálkozzon újra később. |
| 80007 | A hitelesítési ügynök nem tudott csatlakozni az Active Directory-hoz. | Ellenőrizze, hogy az Active Directory elérhető-e a hitelesítési ügynökből. |
| 80010 | A hitelesítési ügynök nem tudta visszafejteni a jelszót. | Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. És távolítsa el az aktuálisat. |
| 80011 | A hitelesítési ügynök nem tudta lekérni a visszafejtési kulcsot. | Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. És távolítsa el az aktuálisat. |
| 80014 | A válasz az érvényesítési kérelemre a maximális idő túllépése után történt meg. | Authentication agent timed out. Open a support ticket with the error code, correlation ID, and timestamp to get more details on this error |
Fontos
Az átmenő hitelesítési ügynökök úgy hitelesítik a Microsoft Entra-felhasználókat, hogy a Win32 LogonUser API meghívásával érvényesítik a felhasználóneveket és a jelszavakat az Active Directoryban. Ennek eredményeképpen, ha az Active Directoryban beállította a "Bejelentkezés itt:" beállítást a munkaállomás bejelentkezési hozzáférésének korlátozásához, akkor az átmenő hitelesítési ügynököket futtató szervereket is fel kell vennie a "Bejelentkezés itt:" szerverek listájára. Ennek elmulasztása megakadályozza, hogy a felhasználók bejelentkezhessenek a Microsoft Entra-azonosítóba.
A hitelesítési ügynök telepítésével kapcsolatos problémák
Váratlan hiba történt
Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a problémával.
A hitelesítési ügynök regisztrációjával kapcsolatos problémák
A hitelesítési ügynök regisztrálása letiltott portok miatt meghiúsult
Győződjön meg arról, hogy a hitelesítési ügynököt futtató kiszolgáló képes kommunikálni a szolgáltatás URL-címeivel és az itt felsorolt portokkal.
A hitelesítési ügynök regisztrálása token- vagy fiókengedélyezési hibák miatt meghiúsult
Győződjön meg arról, hogy az összes Microsoft Entra Connect vagy önálló hitelesítési ügynök telepítési és regisztrációs műveletéhez csak felhőalapú hibrid identitás-rendszergazdai fiókot használ. Ismert probléma merült fel az MFA-kompatibilis hibrid identitásadminisztrátori fiókokkal kapcsolatban; kerülő megoldásként kapcsolja ki ideiglenesen az MFA-t (csak a műveletek elvégzéséhez).
Váratlan hiba történt
Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a problémával.
A hitelesítési ügynök eltávolításával kapcsolatos problémák
Figyelmeztető üzenet a Microsoft Entra Connect eltávolításakor
Ha a bérlőn engedélyezve van az áthaladó hitelesítés, és megpróbálja eltávolítani a Microsoft Entra Connectet, a következő figyelmeztető üzenet jelenik meg: "A felhasználók nem tudnak bejelentkezni a Microsoft Entra ID rendszerbe, kivéve, ha más kiszolgálókon más áthaladó hitelesítési ügynökök vannak telepítve."
Ensure that your setup is highly available before you uninstall Microsoft Entra Connect to avoid breaking user sign-in.
A funkció engedélyezésével kapcsolatos problémák
A szolgáltatás engedélyezése nem sikerült, mert nem voltak elérhető hitelesítési ügynökök
Legalább egy aktív hitelesítési ügynökkel kell rendelkeznie ahhoz, hogy engedélyezze az átmenő hitelesítést a bérlőn. Hitelesítési ügynököt a Microsoft Entra Connect vagy egy különálló hitelesítési ügynök telepítésével telepíthet.
A szolgáltatás engedélyezése blokkolt portok miatt meghiúsult
Győződjön meg arról, hogy az a kiszolgáló, amelyre a Microsoft Entra Connect telepítve van, képes kommunikálni az itt felsorolt szolgáltatás URL-címeivel és portaival.
A szolgáltatás engedélyezése jogkivonat- vagy fiókengedélyezési hibák miatt meghiúsult
A funkció engedélyezésekor győződjön meg arról, hogy csak felhőalapú hibrid identitáskezelő fiókot használ. Ismert probléma merült fel a többtényezős hitelesítés (MFA)-kompatibilis hibrid identitásadminisztrátori fiókok esetében; kerülő megoldásként ideiglenesen kapcsolja ki az MFA-t (csak a művelet befejezéséhez).
Az átmenő hitelesítési ügynök naplóinak gyűjtése
Az esetleges probléma típusától függően különböző helyeken kell keresnie az átmenő hitelesítési ügynök naplóit.
Microsoft Entra Connect logs
A telepítéssel kapcsolatos hibákért tekintse meg a Microsoft Entra Connect naplóit a következő helyen %ProgramData%\AADConnect\trace-*.log: .
Hitelesítési ügynök eseménynaplói
A hitelesítési ügynökhöz kapcsolódó hibákért nyissa meg az Eseménynapló alkalmazást a kiszolgálón, és tekintse meg az Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin mappa tartalmát.
A részletes elemzéshez engedélyezze a "Munkamenet" naplót (kattintson a jobb gombbal a Eseménynapló alkalmazáson belül a beállítás megkereséséhez). A szokásos műveletek során ne futtassa a hitelesítési ügynököt, ha ez a napló engedélyezve van; csak hibaelhárításhoz használja. A napló tartalma csak a napló ismételt letiltása után látható.
Részletes nyomkövetési naplók
A felhasználói bejelentkezési hibák elhárításához keressen nyomkövetési naplókat a következő helyen : %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Ezek a naplók tartalmazzák azokat az okokat, amelyek miatt egy adott felhasználó bejelentkezése sikertelen volt az átmenő hitelesítés funkcióval. Ezek a hibák össze vannak kapcsolva az előző táblázatban látható bejelentkezési hibaokokkal. Az alábbiakban egy példanapló-bejegyzés látható:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
A hiba leíró részleteit (az előző példában 1328) a parancssor megnyitásával és a következő parancs futtatásával kaphatja meg (Megjegyzés: Cserélje le az 1328-at a naplókban látható tényleges hibaszámra):
Net helpmsg 1328
Pass-through Authentication sign-in logs
Ha a naplózás engedélyezve van, további információk találhatók az átmenő hitelesítési kiszolgáló biztonsági naplóiban. A bejelentkezési kérelmek lekérdezésének egyszerű módja a biztonsági naplók szűrése a következő lekérdezéssel:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Teljesítményfigyelő számlálók
A hitelesítési ügynökök monitorozásának másik módja az egyes teljesítményfigyelő számlálók nyomon követése minden kiszolgálón, amelyen a hitelesítési ügynök telepítve van. Használja a következő globális számlálókat (# PTA-hitelesítések, #PTA sikertelen hitelesítések és #PTA sikeres hitelesítések) és hibaszámlálókat (# PTA-hitelesítési hibák):
Fontos
Az átmenő hitelesítés több hitelesítési ügynökkel biztosítja a magas rendelkezésre állást, de nem biztosít terheléselosztást. A konfigurációtól függően nem minden hitelesítési ügynök kap nagyjából ugyanannyi kérést. Lehetséges, hogy egy adott hitelesítési ügynök egyáltalán nem fogad forgalmat.