Memecahkan masalah konektivitas Microsoft Entra Koneksi
Artikel ini menjelaskan cara kerja konektivitas antara Microsoft Entra Koneksi dan ID Microsoft Entra dan cara memecahkan masalah konektivitas. Masalah ini kemungkinan besar terlihat di lingkungan yang menggunakan server proksi.
Koneksi masalah dalam wizard penginstalan
Microsoft Entra Koneksi menggunakan Microsoft Authentication Library (MSAL) untuk autentikasi. Wizard penginstalan dan mesin sinkronisasi memerlukan machine.config untuk dikonfigurasi dengan benar karena keduanya adalah aplikasi .NET.
Catatan
Azure AD Koneksi v1.6.xx.x menggunakan Active Directory Authentication Library (ADAL). ADAL tidak digunakan lagi dan dukungan akan berakhir pada Juni 2022. Kami menyarankan agar Anda meningkatkan ke versi terbaru Microsoft Entra Koneksi v2.
Dalam artikel ini, kami menunjukkan bagaimana Fabrikam terhubung ke ID Microsoft Entra melalui proksinya. Server proksi diberi nama fabrikamproxy
dan menggunakan port 8080.
Pertama, pastikan bahwa machine.config dikonfigurasi dengan benar dan layanan Sinkronisasi ID Microsoft Entra telah dimulai ulang sekali setelah pembaruan file machine.config .
Catatan
Beberapa blog non-Microsoft menunjukkan Anda harus membuat perubahan pada miiserver.exe.config alih-alih file machine.config. Namun, file miiserver.exe.config ditimpa pada setiap peningkatan. Bahkan jika file berfungsi selama penginstalan awal, sistem berhenti berfungsi selama peningkatan pertama. Untuk alasan itu, kami sarankan Anda memperbarui machine.config seperti yang dijelaskan dalam artikel ini.
Server proksi juga harus membuka URL yang diperlukan. Daftar resmi didokumentasikan dalam URL Office 365 URL dan rentang alamat IP.
Dari URL ini, URL yang tercantum dalam tabel berikut adalah minimum mutlak untuk dapat terhubung ke ID Microsoft Entra sama sekali. Daftar ini tidak menyertakan fitur opsional apa pun, seperti tulis balik kata sandi atau Microsoft Entra Koneksi Health. Informasi disediakan di sini untuk membantu pemecahan masalah untuk konfigurasi awal.
URL | Port | Deskripsi |
---|---|---|
mscrl.microsoft.com |
HTTP/80 | Digunakan untuk mengunduh daftar pencabutan sertifikat (CRL). |
*.verisign.com |
HTTP/80 | Digunakan untuk mengunduh daftar CRL. |
*.entrust.net |
HTTP/80 | Digunakan untuk mengunduh daftar CRL untuk autentikasi multifaktor (MFA). |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Digunakan untuk berbagai layanan Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Digunakan untuk MFA. |
*.microsoftonline.com |
HTTPS/443 | Digunakan untuk mengonfigurasi direktori Microsoft Entra anda dan mengimpor/mengekspor data. |
*.crl3.digicert.com |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
*.crl4.digicert.com |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
*.digicert.cn |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
*.ocsp.digicert.com |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
*.www.d-trust.net |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
*.crl.microsoft.com |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
*.oneocsp.microsoft.com |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
*.ocsp.msocsp.com |
HTTP/80 | Digunakan untuk memverifikasi sertifikat. |
Kesalahan dalam wizard
Wizard penginstalan menggunakan dua konteks keamanan yang berbeda. Pada halaman Koneksi ke ID Microsoft Entra, ia menggunakan pengguna yang saat ini masuk. Pada halaman Konfigurasikan , akun yang menjalankan layanan untuk mesin sinkronisasi berubah. Jika terjadi masalah, kemungkinan besar kesalahan akan muncul di halaman Koneksi ke ID Microsoft Entra di wizard karena konfigurasi proksi bersifat global.
Masalah berikut adalah kesalahan paling umum yang mungkin Anda temui di wizard penginstalan.
Wizard penginstalan belum dikonfigurasi dengan benar
Kesalahan ini muncul ketika wizard itu sendiri tidak dapat mencapai proksi.
Jika Anda melihat kesalahan ini, verifikasi bahwa file machine.config dikonfigurasi dengan benar. Jika machine.config terlihat benar, selesaikan langkah-langkah dalam Memverifikasi konektivitas proksi untuk melihat apakah masalah juga ada di luar wizard.
Akun Microsoft telah digunakan
Jika Anda menggunakan akun Microsoft alih-alih akun sekolah atau organisasi, Anda akan melihat kesalahan umum:
Titik akhir MFA tidak dapat dicapai
Kesalahan ini muncul jika titik https://secure.aadcdn.microsoftonline-p.com
akhir tidak dapat dijangkau dan Administrator Identitas Hibrid Anda mengaktifkan MFA.
Jika Anda melihat kesalahan ini, verifikasi bahwa titik secure.aadcdn.microsoftonline-p.com
akhir telah ditambahkan ke proksi.
Kata sandi tidak dapat diverifikasi
Jika wizard penginstalan berhasil menyambungkan ke ID Microsoft Entra tetapi kata sandi itu sendiri tidak dapat diverifikasi, Anda akan melihat kesalahan ini:
Apakah kata sandi adalah kata sandi sementara yang harus diubah? Apakah sebenarnya kata sandi yang benar? Cobalah untuk masuk ke https://login.microsoftonline.com
komputer yang berbeda dari server Microsoft Entra Koneksi dan verifikasi bahwa akun tersebut dapat digunakan.
Verifikasi konektivitas proksi
Untuk memeriksa apakah server Microsoft Entra Koneksi tersambung ke proksi dan internet, gunakan beberapa cmdlet PowerShell untuk melihat apakah proksi mengizinkan permintaan web. Pada PowerShell, harap jalankan Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc
. (Secara teknis, panggilan pertama adalah ke https://login.microsoftonline.com
, dan URI ini juga berfungsi, tetapi URI lainnya lebih cepat merespons.)
PowerShell menggunakan konfigurasi di machine.config untuk menghubungi proksi. Pengaturan dalam winhttp/netsh seharusnya tidak memengaruhi cmdlet ini.
Jika proksi dikonfigurasi dengan benar, status keberhasilan akan muncul:
Jika Anda melihat pesan Tidak dapat tersambung ke server jarak jauh, PowerShell mencoba melakukan panggilan langsung tanpa menggunakan proksi atau DNS tidak dikonfigurasi dengan benar. Pastikan bahwa file machine.config dikonfigurasi dengan benar.
Jika proksi tidak dikonfigurasi dengan benar, pesan kesalahan 403 atau 407 muncul:
Tabel berikut ini menjelaskan kesalahan proksi 403 dan 407:
Pengaturan batas waktu diam proksi
Saat Microsoft Entra Koneksi mengirim permintaan ekspor ke ID Microsoft Entra, ID Microsoft Entra dapat memakan waktu hingga 5 menit untuk memproses permintaan sebelum menghasilkan respons. Respons sangat mungkin tertunda jika banyak objek grup yang memiliki keanggotaan grup besar disertakan dalam permintaan ekspor yang sama. Pastikan bahwa batas waktu diam proksi dikonfigurasi agar lebih besar dari 5 menit. Jika tidak, Anda mungkin memiliki masalah konektivitas terputus-terputus dengan ID Microsoft Entra di server Microsoft Entra Koneksi.
Pola komunikasi antara Microsoft Entra Koneksi dan MICROSOFT Entra ID
Jika Anda telah mengikuti semua langkah yang dijelaskan dalam artikel ini dan Anda masih tidak dapat tersambung, pada titik ini Anda mungkin melihat log jaringan. Bagian ini menjelaskan pola konektivitas normal dan berhasil.
Tetapi pertama-tama, berikut adalah beberapa kekhawatiran umum tentang data di log jaringan yang dapat Anda abaikan:
- Ada panggilan ke
https://dc.services.visualstudio.com
. TIDAK diharuskan membuka URL ini di proksi agar penginstalan berhasil, dan panggilan ini dapat diabaikan. - Anda melihat bahwa resolusi DNS mencantumkan host aktual sebagai berada di namespace
nsatc.net
DNS dan namespace layanan lain yang tidak ada di bawahmicrosoftonline.com
. Namun, tidak ada permintaan layanan web pada nama server yang sebenarnya. Anda tidak perlu menambahkan URL ini ke proksi. - Titik
adminwebservice
akhir danprovisioningapi
merupakan titik akhir penemuan, dan digunakan untuk menemukan titik akhir aktual untuk digunakan. Titik akhir ini berbeda bergantung pada wilayah Anda.
Mereferensikan log proksi
Contoh berikut adalah cadangan dari log proksi aktual dan halaman wizard penginstalan dari tempatnya diambil (entri duplikat ke titik akhir yang sama telah dihapus). Bagian ini dapat digunakan sebagai referensi untuk proksi dan log jaringan Anda sendiri. Titik akhir aktual mungkin berbeda di lingkungan Anda (khususnya, URL dalam miring).
Koneksi ke ID Microsoft Entra
Waktu | URL |
---|---|
1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Konfigurasikan
Waktu | URL |
---|---|
1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Sinkronisasi awal
Waktu | URL |
---|---|
1/11/2016 8:48 | connect://login.windows.net:443 |
1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
Kesalahan autentikasi
Bagian ini mencakup kesalahan yang mungkin dikembalikan dari ADAL dan PowerShell. Penjelasan kesalahan akan membantu Anda mengidentifikasi langkah-langkah berikutnya.
Pemberian tidak valid
Anda memasukkan nama pengguna atau kata sandi yang tidak valid. Untuk informasi selengkapnya, lihat Kata sandi tidak dapat diverifikasi.
Jenis pengguna tidak diketahui
Direktori Microsoft Entra Anda tidak dapat ditemukan atau diselesaikan. Mungkin Anda mencoba masuk dengan nama pengguna di domain yang belum diverifikasi?
Penemuan realm pengguna gagal
Masalah konfigurasi jaringan atau proksi. Jaringan tidak dapat dijangkau. Lihat masalah Koneksi ivitas dalam wizard penginstalan.
Kata sandi pengguna kedaluwarsa
Kredensial Anda sudah kedaluwarsa. Mengubah kata sandi Anda.
Kegagalan otorisasi
Microsoft Entra Koneksi gagal mengotorisasi pengguna untuk melakukan tindakan di ID Microsoft Entra.
Autentikasi dibatalkan
Tantangan MFA dibatalkan.
Koneksi ke MSOnline gagal
Autentikasi berhasil, tetapi Microsoft Azure AD PowerShell memiliki masalah autentikasi.
Peran Administrator Global Microsoft Entra diperlukan
Pengguna berhasil diautentikasi, tetapi pengguna tidak diberi peran Administrator Global. Anda dapat menetapkan peran Administrator Global kepada pengguna.
Privileged Identity Management diaktifkan
Autentikasi berhasil, tetapi Privileged Identity Management telah diaktifkan dan pengguna saat ini bukan Administrator Identitas Hibrid. Untuk informasi selengkapnya, lihat Privileged Identity Management.
Informasi perusahaan tidak tersedia
Autentikasi berhasil, tetapi informasi perusahaan tidak dapat diambil dari ID Microsoft Entra.
Informasi domain tidak tersedia
Autentikasi berhasil, tetapi informasi domain tidak dapat diambil dari ID Microsoft Entra.
Kegagalan autentikasi yang tidak ditentukan
Ditampilkan sebagai Kesalahan tak terduga dalam wizard penginstalan. Kesalahan ini mungkin terjadi jika Anda mencoba menggunakan akun Microsoft alih-alih akun sekolah atau organisasi.
Langkah-langkah pemecahan masalah untuk rilis sebelumnya
Dalam rilis yang dimulai dengan nomor build 1.1.105.0 (dirilis Februari 2016), asisten masuk dihentikan. Mengonfigurasi asisten masuk seharusnya tidak lagi diperlukan, tetapi informasi di bagian berikutnya disertakan untuk referensi.
Agar asisten masuk tunggal berfungsi, Microsoft Windows HTTP Services (WinHTTP) harus dikonfigurasi. Anda dapat mengonfigurasi WinHTTP dengan menggunakan netsh.
Asisten masuk tidak dikonfigurasi dengan benar
Kesalahan ini muncul ketika asisten masuk tidak dapat mencapai proksi atau proksi tidak mengizinkan permintaan.
Jika Anda melihat kesalahan ini, lihat konfigurasi proksi di netsh dan verifikasi bahwa itu benar.
Jika konfigurasi proksi terlihat benar, selesaikan langkah-langkah dalam Memverifikasi konektivitas proksi untuk melihat apakah masalah terjadi di luar wizard.
Langkah berikutnya
Pelajari selengkapnya tentang mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.