Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk segítséget nyújt a Microsoft Entra átmenő hitelesítéssel kapcsolatos gyakori problémák hibaelhárítási információinak megkeresésében.
Fontos
Ha felhasználói bejelentkezési problémákat tapasztal az átmenő hitelesítéssel kapcsolatban, ne tiltsa le a funkciót, és ne távolítsa el az átmenő hitelesítési ügynököket anélkül, hogy legyen egy kizárólag felhőalapú hibrid identitás-rendszergazdai fiókja tartaléknak.
Általános problémák
A szolgáltatás és a hitelesítési ügynökök állapotának ellenőrzése
Győződjön meg arról, hogy az átmenő hitelesítési funkció továbbra is engedélyezve van a bérlőjén, és a hitelesítési ügynökök állapota aktív, nem pedig inaktív. Az állapotot a Microsoft Entra Connect lapon ellenőrizheti a Microsoft Entra admin center oldalon.
Felhasználói bejelentkezési hibaüzenetek
Ha a felhasználó nem tud bejelentkezni az átmenő hitelesítés használatával, a Microsoft Entra bejelentkezési képernyőjén az alábbi felhasználói hibák valamelyike jelenhet meg:
| Hiba | Leírás | Felbontás / Határozat |
|---|---|---|
| AADSTS80001 | Nem lehet csatlakozni az Active Directoryhoz | Győződjön meg arról, hogy az ügynökkiszolgálók ugyanahhoz az AD-erdőhöz tartoznak, mint azok a felhasználók, akiknek a jelszavát ellenőrizni kell, és hogy képesek csatlakozni az Active Directoryhoz. |
| AADSTS80002 | Időtúllépés történt az Active Directoryhoz való csatlakozáskor | Ellenőrizze, hogy az Active Directory elérhető-e, és válaszol-e az ügynököktől érkező kérésekre. |
| AADSTS80004 | Az ügynöknek átadott felhasználónév érvénytelen volt | Győződjön meg arról, hogy a felhasználó a megfelelő felhasználónévvel próbál bejelentkezni. |
| AADSTS80005 | Az érvényesítés kiszámíthatatlan WebException hibát tapasztalt. | Átmeneti hiba. Ismételje meg a kérést. Ha továbbra is sikertelen, forduljon a Microsoft ügyfélszolgálatához. |
| AADSTS80007 | Hiba történt az Active Directoryval való kommunikáció során | További információt az ügynöknaplókban talál, és ellenőrizze, hogy az Active Directory a várt módon működik-e. |
A felhasználók érvénytelen felhasználónevet/jelszót kapnak
Ez akkor fordulhat elő, ha egy felhasználó helyszíni UserPrincipalName (UPN) neve eltér a felhasználó felhőbeli UPN-étől.
Annak ellenőrzéséhez, hogy ez okozza-e a problémát, először ellenőrizze, hogy a továbbításos hitelesítési ügynök megfelelően működik-e:
Hozzon létre egy tesztfiókot.
Importálja a PowerShell-modult az ügynökgépen:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Futtassa a PowerShell meghívása parancsot:
Invoke-PassthroughAuthOnPremLogonTroubleshooterAmikor a rendszer kéri a hitelesítő adatok megadását, adja meg ugyanazt a felhasználónevet és jelszót, amellyel bejelentkezik a
https://login.microsoftonline.comszolgáltatásba.
Ha ugyanazt a felhasználónév/jelszó hibát kapja, az azt jelenti, hogy az átmenő hitelesítési ügynök megfelelően működik, és a probléma az lehet, hogy a helyszíni UPN nem irányítható. További információ: Alternatív bejelentkezési azonosító konfigurálása.
Fontos
Az érvénytelen felhasználónév/jelszó probléma akkor jelentkezik, ha a Microsoft Entra Connect-kiszolgáló nincs csatlakoztatva tartományhoz, ami egy követelmény, amit a Microsoft Entra Connect: Előfeltételek rész említ.
Bejelentkezési hibák okai a Microsoft Entra felügyeleti központban (prémium szintű licencre van szükség)
Ha a bérlőhöz P1 vagy P2 azonosítójú Microsoft Entra-licenc van társítva, a bejelentkezési tevékenységről szóló jelentést a Microsoft Entra felügyeleti központban is megtekintheti.
Lépjen a Microsoft Entra-azonosító>bejelentkezéseihez a [Microsoft Entra felügyeleti központban](https://portal.azure.com/), és kattintson egy adott felhasználó bejelentkezési tevékenységére. Keresse meg a BEJELENTKEZÉSI HIBA KÓDJA mezőt. Térképezze fel annak a mezőnek az értékét egy meghibásodási ok és megoldás összekapcsolására a következő táblázat segítségével:
| Bejelentkezési hiba kódja | Bejelentkezési hiba oka | Felbontás / Határozat |
|---|---|---|
| 50144 | A felhasználó Active Directory jelszava lejárt. | Állítsa vissza a felhasználó jelszavát a helyi Active Directoryban. |
| 80001 | Nem érhető el hitelesítési ügynök. | Telepítsen és regisztráljon egy hitelesítési ügynököt. |
| 80002 | A hitelesítési ügynök jelszó-érvényesítési kérése túllépte az időkorlátot. | Ellenőrizze, hogy az Active Directory elérhető-e a hitelesítési ügynökből. |
| 80003 | A hitelesítési ügynök érvénytelen választ kapott. | Ha a probléma folyamatosan reprodukálható több felhasználó között, ellenőrizze az Active Directory konfigurációját. |
| 80004 | A bejelentkezési kérelemben helytelen User Principal Name-t (UPN-t) használtak. | Kérje meg a felhasználót, hogy a megfelelő felhasználónévvel jelentkezzen be. |
| 80005 | Hitelesítési ügynök: hiba történt. | Átmeneti hiba. Próbálkozzon újra később. |
| 80007 | A hitelesítési ügynök nem tudott csatlakozni az Active Directory-hoz. | Ellenőrizze, hogy az Active Directory elérhető-e a hitelesítési ügynökből. |
| 80010 | A hitelesítési ügynök nem tudta visszafejteni a jelszót. | Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. És távolítsa el az aktuálisat. |
| 80011 | A hitelesítési ügynök nem tudta lekérni a visszafejtési kulcsot. | Ha a probléma folyamatosan reprodukálható, telepítsen és regisztráljon egy új hitelesítési ügynököt. És távolítsa el az aktuálisat. |
| 80014 | A válasz az érvényesítési kérelemre a maximális idő túllépése után történt meg. | A hitelesítési ügynöknél időtúllépés történt. Nyisson meg egy támogatási jegyet a hibakóddal, a korrelációs azonosítóval és az időbélyeggel, hogy további részleteket kapjon erről a hibáról. |
Fontos
Az átmenő hitelesítési ügynökök úgy hitelesítik a Microsoft Entra-felhasználókat, hogy a Win32 LogonUser API meghívásával érvényesítik a felhasználóneveket és a jelszavakat az Active Directoryban. Ennek eredményeképpen, ha az Active Directoryban beállította a "Bejelentkezés itt:" beállítást a munkaállomás bejelentkezési hozzáférésének korlátozásához, akkor az átmenő hitelesítési ügynököket futtató szervereket is fel kell vennie a "Bejelentkezés itt:" szerverek listájára. Ennek elmulasztása megakadályozza, hogy a felhasználók bejelentkezhessenek a Microsoft Entra-azonosítóba.
A hitelesítési ügynök telepítésével kapcsolatos problémák
Váratlan hiba történt
Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a problémával.
A hitelesítési ügynök regisztrációjával kapcsolatos problémák
A hitelesítési ügynök regisztrálása letiltott portok miatt meghiúsult
Győződjön meg arról, hogy a hitelesítési ügynököt futtató kiszolgáló képes kommunikálni a szolgáltatás URL-címeivel és az itt felsorolt portokkal.
A hitelesítési ügynök regisztrálása token- vagy fiókengedélyezési hibák miatt meghiúsult
Győződjön meg arról, hogy az összes Microsoft Entra Connect vagy önálló hitelesítési ügynök telepítési és regisztrációs műveletéhez csak felhőalapú hibrid identitás-rendszergazdai fiókot használ. Ismert probléma merült fel az MFA-kompatibilis hibrid identitásadminisztrátori fiókokkal kapcsolatban; kerülő megoldásként kapcsolja ki ideiglenesen az MFA-t (csak a műveletek elvégzéséhez).
Váratlan hiba történt
Gyűjtse össze az ügynöknaplókat a kiszolgálóról, és lépjen kapcsolatba Microsoft ügyfélszolgálata a problémával.
A hitelesítési ügynök eltávolításával kapcsolatos problémák
Figyelmeztető üzenet a Microsoft Entra Connect eltávolításakor
Ha a bérlőn engedélyezve van az áthaladó hitelesítés, és megpróbálja eltávolítani a Microsoft Entra Connectet, a következő figyelmeztető üzenet jelenik meg: "A felhasználók nem tudnak bejelentkezni a Microsoft Entra ID rendszerbe, kivéve, ha más kiszolgálókon más áthaladó hitelesítési ügynökök vannak telepítve."
Győződjön meg róla, hogy a rendszer beállítása nagy rendelkezésre állással működik, mielőtt eltávolítaná a Microsoft Entra Connect-et, hogy elkerülje a felhasználói bejelentkezések megszakítását.
A funkció engedélyezésével kapcsolatos problémák
A szolgáltatás engedélyezése nem sikerült, mert nem voltak elérhető hitelesítési ügynökök
Legalább egy aktív hitelesítési ügynökkel kell rendelkeznie ahhoz, hogy engedélyezze az átmenő hitelesítést a bérlőn. Hitelesítési ügynököt a Microsoft Entra Connect vagy egy különálló hitelesítési ügynök telepítésével telepíthet.
A szolgáltatás engedélyezése blokkolt portok miatt meghiúsult
Győződjön meg arról, hogy az a kiszolgáló, amelyre a Microsoft Entra Connect telepítve van, képes kommunikálni az itt felsorolt szolgáltatás URL-címeivel és portaival.
A szolgáltatás engedélyezése jogkivonat- vagy fiókengedélyezési hibák miatt meghiúsult
A funkció engedélyezésekor győződjön meg arról, hogy csak felhőalapú hibrid identitáskezelő fiókot használ. Ismert probléma merült fel a többtényezős hitelesítés (MFA)-kompatibilis hibrid identitásadminisztrátori fiókok esetében; kerülő megoldásként ideiglenesen kapcsolja ki az MFA-t (csak a művelet befejezéséhez).
Az átmenő hitelesítési ügynök naplóinak gyűjtése
Az esetleges probléma típusától függően különböző helyeken kell keresnie az átmenő hitelesítési ügynök naplóit.
Microsoft Entra Connect naplók
A telepítéssel kapcsolatos hibákért tekintse meg a Microsoft Entra Connect naplóit a következő helyen %ProgramData%\AADConnect\trace-*.log: .
Hitelesítési ügynök eseménynaplói
A hitelesítési ügynökhöz kapcsolódó hibákért nyissa meg az Eseménynapló alkalmazást a kiszolgálón, és tekintse meg az Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin mappa tartalmát.
A részletes elemzéshez engedélyezze a "Munkamenet" naplót (kattintson a jobb gombbal a Eseménynapló alkalmazáson belül a beállítás megkereséséhez). A szokásos műveletek során ne futtassa a hitelesítési ügynököt, ha ez a napló engedélyezve van; csak hibaelhárításhoz használja. A napló tartalma csak a napló ismételt letiltása után látható.
Részletes nyomkövetési naplók
A felhasználói bejelentkezési hibák elhárításához keressen nyomkövetési naplókat a következő helyen : %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Ezek a naplók tartalmazzák azokat az okokat, amelyek miatt egy adott felhasználó bejelentkezése sikertelen volt az átmenő hitelesítés funkcióval. Ezek a hibák össze vannak kapcsolva az előző táblázatban látható bejelentkezési hibaokokkal. Az alábbiakban egy példanapló-bejegyzés látható:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
A hiba leíró részleteit (az előző példában 1328) a parancssor megnyitásával és a következő parancs futtatásával kaphatja meg (Megjegyzés: Cserélje le az 1328-at a naplókban látható tényleges hibaszámra):
Net helpmsg 1328
Átmenő hitelesítés bejelentkezési naplók
Ha a naplózás engedélyezve van, további információk találhatók az átmenő hitelesítési kiszolgáló biztonsági naplóiban. A bejelentkezési kérelmek lekérdezésének egyszerű módja a biztonsági naplók szűrése a következő lekérdezéssel:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Teljesítményfigyelő számlálók
A hitelesítési ügynökök monitorozásának másik módja az egyes teljesítményfigyelő számlálók nyomon követése minden kiszolgálón, amelyen a hitelesítési ügynök telepítve van. Használja a következő globális számlálókat (# PTA-hitelesítések, #PTA sikertelen hitelesítések és #PTA sikeres hitelesítések) és hibaszámlálókat (# PTA-hitelesítési hibák):
Fontos
Az átmenő hitelesítés több hitelesítési ügynökkel biztosítja a magas rendelkezésre állást, de nem biztosít terheléselosztást. A konfigurációtól függően nem minden hitelesítési ügynök kap nagyjából ugyanannyi kérést. Lehetséges, hogy egy adott hitelesítési ügynök egyáltalán nem fogad forgalmat.