Share via

Memecahkan masalah konektivitas Microsoft Entra Koneksi

  • Artikel

Artikel ini menjelaskan cara kerja konektivitas antara Microsoft Entra Koneksi dan ID Microsoft Entra dan cara memecahkan masalah konektivitas. Masalah ini kemungkinan besar terlihat di lingkungan yang menggunakan server proksi.

Koneksi masalah dalam wizard penginstalan

Microsoft Entra Koneksi menggunakan Microsoft Authentication Library (MSAL) untuk autentikasi. Wizard penginstalan dan mesin sinkronisasi memerlukan machine.config untuk dikonfigurasi dengan benar karena keduanya adalah aplikasi .NET.

Catatan

Azure AD Koneksi v1.6.xx.x menggunakan Active Directory Authentication Library (ADAL). ADAL tidak digunakan lagi dan dukungan akan berakhir pada Juni 2022. Kami menyarankan agar Anda meningkatkan ke versi terbaru Microsoft Entra Koneksi v2.

Dalam artikel ini, kami menunjukkan bagaimana Fabrikam terhubung ke ID Microsoft Entra melalui proksinya. Server proksi diberi nama fabrikamproxy dan menggunakan port 8080.

Pertama, pastikan bahwa machine.config dikonfigurasi dengan benar dan layanan Sinkronisasi ID Microsoft Entra telah dimulai ulang sekali setelah pembaruan file machine.config .

Screenshot that shows part of the machine dot config file.

Catatan

Beberapa blog non-Microsoft menunjukkan Anda harus membuat perubahan pada miiserver.exe.config alih-alih file machine.config. Namun, file miiserver.exe.config ditimpa pada setiap peningkatan. Bahkan jika file berfungsi selama penginstalan awal, sistem berhenti berfungsi selama peningkatan pertama. Untuk alasan itu, kami sarankan Anda memperbarui machine.config seperti yang dijelaskan dalam artikel ini.

Server proksi juga harus membuka URL yang diperlukan. Daftar resmi didokumentasikan dalam URL Office 365 URL dan rentang alamat IP.

Dari URL ini, URL yang tercantum dalam tabel berikut adalah minimum mutlak untuk dapat terhubung ke ID Microsoft Entra sama sekali. Daftar ini tidak menyertakan fitur opsional apa pun, seperti tulis balik kata sandi atau Microsoft Entra Koneksi Health. Informasi disediakan di sini untuk membantu pemecahan masalah untuk konfigurasi awal.

URL Port Deskripsi
mscrl.microsoft.com HTTP/80 Digunakan untuk mengunduh daftar pencabutan sertifikat (CRL).
*.verisign.com HTTP/80 Digunakan untuk mengunduh daftar CRL.
*.entrust.net HTTP/80 Digunakan untuk mengunduh daftar CRL untuk autentikasi multifaktor (MFA).
*.management.core.windows.net (Azure Storage)
*.graph.windows.net (Azure AD Graph)		 HTTPS/443 Digunakan untuk berbagai layanan Azure.
secure.aadcdn.microsoftonline-p.com HTTPS/443 Digunakan untuk MFA.
*.microsoftonline.com HTTPS/443 Digunakan untuk mengonfigurasi direktori Microsoft Entra anda dan mengimpor/mengekspor data.
*.crl3.digicert.com HTTP/80 Digunakan untuk memverifikasi sertifikat.
*.crl4.digicert.com HTTP/80 Digunakan untuk memverifikasi sertifikat.
*.digicert.cn HTTP/80 Digunakan untuk memverifikasi sertifikat.
*.ocsp.digicert.com HTTP/80 Digunakan untuk memverifikasi sertifikat.
*.www.d-trust.net HTTP/80 Digunakan untuk memverifikasi sertifikat.
*.root-c3-ca2-2009.ocsp.d-trust.net HTTP/80 Digunakan untuk memverifikasi sertifikat.
*.crl.microsoft.com HTTP/80 Digunakan untuk memverifikasi sertifikat.
*.oneocsp.microsoft.com HTTP/80 Digunakan untuk memverifikasi sertifikat.
*.ocsp.msocsp.com HTTP/80 Digunakan untuk memverifikasi sertifikat.

Kesalahan dalam wizard

Wizard penginstalan menggunakan dua konteks keamanan yang berbeda. Pada halaman Koneksi ke ID Microsoft Entra, ia menggunakan pengguna yang saat ini masuk. Pada halaman Konfigurasikan , akun yang menjalankan layanan untuk mesin sinkronisasi berubah. Jika terjadi masalah, kemungkinan besar kesalahan akan muncul di halaman Koneksi ke ID Microsoft Entra di wizard karena konfigurasi proksi bersifat global.

Masalah berikut adalah kesalahan paling umum yang mungkin Anda temui di wizard penginstalan.

Wizard penginstalan belum dikonfigurasi dengan benar

Kesalahan ini muncul ketika wizard itu sendiri tidak dapat mencapai proksi.

Screenshot shows an error Unable to validate credentials.

Jika Anda melihat kesalahan ini, verifikasi bahwa file machine.config dikonfigurasi dengan benar. Jika machine.config terlihat benar, selesaikan langkah-langkah dalam Memverifikasi konektivitas proksi untuk melihat apakah masalah juga ada di luar wizard.

Akun Microsoft telah digunakan

Jika Anda menggunakan akun Microsoft alih-alih akun sekolah atau organisasi, Anda akan melihat kesalahan umum:

Screenshot that shows a generic credentials validation error.

Titik akhir MFA tidak dapat dicapai

Kesalahan ini muncul jika titik https://secure.aadcdn.microsoftonline-p.com akhir tidak dapat dijangkau dan Administrator Identitas Hibrid Anda mengaktifkan MFA.

Screenshot that shows an example of a script error when the MFA endpoint can't be reached.

Jika Anda melihat kesalahan ini, verifikasi bahwa titik secure.aadcdn.microsoftonline-p.com akhir telah ditambahkan ke proksi.

Kata sandi tidak dapat diverifikasi

Jika wizard penginstalan berhasil menyambungkan ke ID Microsoft Entra tetapi kata sandi itu sendiri tidak dapat diverifikasi, Anda akan melihat kesalahan ini:

Screenshot that shows an error that occurs when the password can't be verified.

Apakah kata sandi adalah kata sandi sementara yang harus diubah? Apakah sebenarnya kata sandi yang benar? Cobalah untuk masuk ke https://login.microsoftonline.com komputer yang berbeda dari server Microsoft Entra Koneksi dan verifikasi bahwa akun tersebut dapat digunakan.

Verifikasi konektivitas proksi

Untuk memeriksa apakah server Microsoft Entra Koneksi tersambung ke proksi dan internet, gunakan beberapa cmdlet PowerShell untuk melihat apakah proksi mengizinkan permintaan web. Pada PowerShell, harap jalankan Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Secara teknis, panggilan pertama adalah ke https://login.microsoftonline.com, dan URI ini juga berfungsi, tetapi URI lainnya lebih cepat merespons.)

PowerShell menggunakan konfigurasi di machine.config untuk menghubungi proksi. Pengaturan dalam winhttp/netsh seharusnya tidak memengaruhi cmdlet ini.

Jika proksi dikonfigurasi dengan benar, status keberhasilan akan muncul:

Screenshot that shows the success status when the proxy is configured correctly.

Jika Anda melihat pesan Tidak dapat tersambung ke server jarak jauh, PowerShell mencoba melakukan panggilan langsung tanpa menggunakan proksi atau DNS tidak dikonfigurasi dengan benar. Pastikan bahwa file machine.config dikonfigurasi dengan benar.

Screenshot of an error message when PowerShell can't connect to the remote server.

Jika proksi tidak dikonfigurasi dengan benar, pesan kesalahan 403 atau 407 muncul:

Screenshot of a 403 proxy error in PowerShell.

Screenshot of a 407 proxy error in PowerShell.

Tabel berikut ini menjelaskan kesalahan proksi 403 dan 407:

Kesalahan Teks Kesalahan Komentar
403 Terlarang Proksi belum dibuka untuk URL yang diminta. Kunjungi kembali konfigurasi proksi dan pastikan URL telah dibuka.
407 Autentikasi Proksi Diperlukan Server proksi memerlukan rincian masuk dan tidak ada yang disediakan. Jika server proksi Anda memerlukan autentikasi, pastikan Anda mengonfigurasi pengaturan ini di machine.config. Pastikan juga Anda menggunakan akun domain untuk pengguna yang menjalankan wizard dan untuk akun layanan.

Pengaturan batas waktu diam proksi

Saat Microsoft Entra Koneksi mengirim permintaan ekspor ke ID Microsoft Entra, ID Microsoft Entra dapat memakan waktu hingga 5 menit untuk memproses permintaan sebelum menghasilkan respons. Respons sangat mungkin tertunda jika banyak objek grup yang memiliki keanggotaan grup besar disertakan dalam permintaan ekspor yang sama. Pastikan bahwa batas waktu diam proksi dikonfigurasi agar lebih besar dari 5 menit. Jika tidak, Anda mungkin memiliki masalah konektivitas terputus-terputus dengan ID Microsoft Entra di server Microsoft Entra Koneksi.

Pola komunikasi antara Microsoft Entra Koneksi dan MICROSOFT Entra ID

Jika Anda telah mengikuti semua langkah yang dijelaskan dalam artikel ini dan Anda masih tidak dapat tersambung, pada titik ini Anda mungkin melihat log jaringan. Bagian ini menjelaskan pola konektivitas normal dan berhasil.

Tetapi pertama-tama, berikut adalah beberapa kekhawatiran umum tentang data di log jaringan yang dapat Anda abaikan:

  • Ada panggilan ke https://dc.services.visualstudio.com. TIDAK diharuskan membuka URL ini di proksi agar penginstalan berhasil, dan panggilan ini dapat diabaikan.
  • Anda melihat bahwa resolusi DNS mencantumkan host aktual sebagai berada di namespace nsatc.net DNS dan namespace layanan lain yang tidak ada di bawah microsoftonline.com. Namun, tidak ada permintaan layanan web pada nama server yang sebenarnya. Anda tidak perlu menambahkan URL ini ke proksi.
  • Titik adminwebservice akhir dan provisioningapi merupakan titik akhir penemuan, dan digunakan untuk menemukan titik akhir aktual untuk digunakan. Titik akhir ini berbeda bergantung pada wilayah Anda.

Mereferensikan log proksi

Contoh berikut adalah cadangan dari log proksi aktual dan halaman wizard penginstalan dari tempatnya diambil (entri duplikat ke titik akhir yang sama telah dihapus). Bagian ini dapat digunakan sebagai referensi untuk proksi dan log jaringan Anda sendiri. Titik akhir aktual mungkin berbeda di lingkungan Anda (khususnya, URL dalam miring).

Koneksi ke ID Microsoft Entra

Waktu URL
1/11/2016 8:31 connect:/login.microsoftonline.com:443
1/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:32 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:32 connect://login.microsoftonline.com:443
1/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443

Konfigurasikan

Waktu URL
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:43 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443

Sinkronisasi awal

Waktu URL
1/11/2016 8:48 connect://login.windows.net:443
1/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:49 connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:49 connect://bba800-anchor.microsoftonline.com:443

Kesalahan autentikasi

Bagian ini mencakup kesalahan yang mungkin dikembalikan dari ADAL dan PowerShell. Penjelasan kesalahan akan membantu Anda mengidentifikasi langkah-langkah berikutnya.

Pemberian tidak valid

Anda memasukkan nama pengguna atau kata sandi yang tidak valid. Untuk informasi selengkapnya, lihat Kata sandi tidak dapat diverifikasi.

Jenis pengguna tidak diketahui

Direktori Microsoft Entra Anda tidak dapat ditemukan atau diselesaikan. Mungkin Anda mencoba masuk dengan nama pengguna di domain yang belum diverifikasi?

Penemuan realm pengguna gagal

Masalah konfigurasi jaringan atau proksi. Jaringan tidak dapat dijangkau. Lihat masalah Koneksi ivitas dalam wizard penginstalan.

Kata sandi pengguna kedaluwarsa

Kredensial Anda sudah kedaluwarsa. Mengubah kata sandi Anda.

Kegagalan otorisasi

Microsoft Entra Koneksi gagal mengotorisasi pengguna untuk melakukan tindakan di ID Microsoft Entra.

Autentikasi dibatalkan

Tantangan MFA dibatalkan.

Koneksi ke MSOnline gagal

Autentikasi berhasil, tetapi Microsoft Azure AD PowerShell memiliki masalah autentikasi.

Peran Administrator Global Microsoft Entra diperlukan

Pengguna berhasil diautentikasi, tetapi pengguna tidak diberi peran Administrator Global. Anda dapat menetapkan peran Administrator Global kepada pengguna.

Privileged Identity Management diaktifkan

Autentikasi berhasil, tetapi Privileged Identity Management telah diaktifkan dan pengguna saat ini bukan Administrator Identitas Hibrid. Untuk informasi selengkapnya, lihat Privileged Identity Management.

Informasi perusahaan tidak tersedia

Autentikasi berhasil, tetapi informasi perusahaan tidak dapat diambil dari ID Microsoft Entra.

Informasi domain tidak tersedia

Autentikasi berhasil, tetapi informasi domain tidak dapat diambil dari ID Microsoft Entra.

Kegagalan autentikasi yang tidak ditentukan

Ditampilkan sebagai Kesalahan tak terduga dalam wizard penginstalan. Kesalahan ini mungkin terjadi jika Anda mencoba menggunakan akun Microsoft alih-alih akun sekolah atau organisasi.

Langkah-langkah pemecahan masalah untuk rilis sebelumnya

Dalam rilis yang dimulai dengan nomor build 1.1.105.0 (dirilis Februari 2016), asisten masuk dihentikan. Mengonfigurasi asisten masuk seharusnya tidak lagi diperlukan, tetapi informasi di bagian berikutnya disertakan untuk referensi.

Agar asisten masuk tunggal berfungsi, Microsoft Windows HTTP Services (WinHTTP) harus dikonfigurasi. Anda dapat mengonfigurasi WinHTTP dengan menggunakan netsh.

Screenshot that shows a command prompt window running the netsh tool to set a proxy.

Asisten masuk tidak dikonfigurasi dengan benar

Kesalahan ini muncul ketika asisten masuk tidak dapat mencapai proksi atau proksi tidak mengizinkan permintaan.

Screenshot of the error Unable to validate credentials, Verify network connectivity and firewall or proxy settings.

Jika Anda melihat kesalahan ini, lihat konfigurasi proksi di netsh dan verifikasi bahwa itu benar.

Screenshot that shows a command prompt window running the netsh tool to show the proxy configuration.

Jika konfigurasi proksi terlihat benar, selesaikan langkah-langkah dalam Memverifikasi konektivitas proksi untuk melihat apakah masalah terjadi di luar wizard.

Langkah berikutnya

Pelajari selengkapnya tentang mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.