Memecahkan masalah autentikasi pass-through Microsoft Entra
Artikel ini membantu Anda menemukan informasi pemecahan masalah tentang masalah umum mengenai autentikasi pass-through Microsoft Entra.
Penting
Jika Anda menghadapi masalah masuk pengguna dengan Autentikasi Pass-through, jangan nonaktifkan fitur atau hapus instalan Agen Autentikasi Pass-through tanpa memiliki akun Administrator Identitas Hibrid khusus cloud untuk kembali aktif.
Masalah umum
Periksa status fitur dan Agen Autentikasi
Pastikan bahwa fitur Autentikasi Pass-through masih Diaktifkan pada penyewa Anda dan status Agen Autentikasi menunjukkan Aktif, dan bukan Tidak Aktif. Anda dapat mengecek status dengan membuka Microsoft Entra Connect bilahnya di pusat admin Microsoft Entra.
Pesan kesalahan masuk yang ditampilkan kepada pengguna
Jika pengguna tidak dapat masuk menggunakan Autentikasi Pass-through, mereka mungkin melihat salah satu kesalahan yang dihadapi pengguna berikut ini di layar masuk Microsoft Entra:
Kesalahan | Deskripsi | Resolusi |
---|---|---|
AADSTS80001 | Tidak bisa tersambung ke Active Directory | Pastikan bahwa server agen adalah anggota hutan AD yang sama dengan pengguna yang kata sandinya perlu divalidasi dan mereka dapat terhubung ke Active Directory. |
AADSTS80002 | Waktu habis terjadi saat menyambungkan ke Active Directory | Periksa untuk memastikan bahwa Active Directory tersedia dan menanggapi permintaan dari agen. |
AADSTS80004 | Nama pengguna yang diteruskan ke agen tidak valid | Pastikan pengguna mencoba masuk dengan nama pengguna yang tepat. |
AADSTS80005 | Validasi ditemui WebException yang tidak dapat diprediksi | Kesalahan sementara. Coba lagi permintaannya. Jika terus gagal, hubungi dukungan Microsoft. |
AADSTS80007 | Timbul masalah saat berkomunikasi dengan Active Directory | Periksa log agen untuk informasi lebih lanjut dan verifikasikan bahwa Active Directory beroperasi seperti yang diharapkan. |
Pengguna menerima kesalahan nama pengguna/kata sandi yang tidak valid
Ini dapat terjadi ketika UserPrincipalName (UPN) lokal pengguna berbeda dari UPN cloud pengguna.
Untuk mengonfirmasi bahwa ini adalah masalahnya, pertama-tama uji bahwa agen Autentikasi Pass-through bekerja dengan benar:
Membuat akun uji.
Impor modul PowerShell pada mesin agen:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
Jalankan perintah Invoke PowerShell:
Invoke-PassthroughAuthOnPremLogonTroubleshooter
Ketika Anda diminta untuk memasukkan kredensial, masukkan nama pengguna dan kata sandi yang sama yang digunakan untuk masuk ke (https://login.microsoftonline.com).
Jika Anda mendapatkan kesalahan nama pengguna/kata sandi yang sama, ini berarti bahwa agen Autentikasi Pass-through bekerja dengan benar dan masalahnya mungkin UPN lokal tidak dapat dirutekan. Untuk mempelajari lebih lanjut, lihat Mengonfigurasi ID Login Alternatif.
Penting
Jika server Microsoft Entra Connect tidak bergabung dengan domain, persyaratan yang disebutkan dalam Microsoft Entra Connect: Prasyarat, masalah nama pengguna/kata sandi yang tidak valid terjadi.
Alasan kegagalan masuk di pusat admin Microsoft Entra (memerlukan lisensi Premium)
Jika penyewa Anda memiliki lisensi Microsoft Entra ID P1 atau P2 yang terkait dengannya, Anda juga dapat melihat laporan aktivitas masuk di pusat admin Microsoft Entra.
Navigasi ke MICROSOFT Entra ID ->Rincian masuk di [Pusat admin Microsoft Entra](https://portal.azure.com/) dan klik aktivitas masuk pengguna tertentu. Cari bidang SIGN-IN ERROR CODE. Petakan nilai bidang tersebut ke penyebab kegagalan dan resolusi menggunakan tabel berikut:
Kode galat rincian masuk | Alasan kegagalan masuk | Resolusi |
---|---|---|
50144 | Kata sandi Active Directory Pengguna telah kedaluwarsa. | Atur ulang kata sandi pengguna di Active Directory lokal Anda. |
80001 | Tidak ada Agen Autentikasi yang tersedia. | Instal dan daftarkan Agen Autentikasi. |
80002 | Permintaan validasi kata sandi Agen Autentikasi kehabisan waktu. | Pastikan Active Directory Anda dapat dijangkau dari Agen Autentikasi. |
80003 | Respons tidak valid diterima oleh Agen Autentikasi. | Jika masalahnya dapat direproduksi secara konsisten di beberapa pengguna, periksa konfigurasi Active Directory Anda. |
80004 | User Principal Name (UPN) salah digunakan dalam permintaan masuk. | Minta pengguna untuk masuk dengan nama pengguna yang benar. |
80005 | Agen Autentikasi: Terjadi kesalahan. | Kesalahan sementara. Coba lagi nanti. |
80007 | Agen Autentikasi tidak bisa tersambung ke Active Directory. | Pastikan Active Directory Anda dapat dijangkau dari Agen Autentikasi. |
80010 | Agen Autentikasi tak bisa mendekripsi sandi. | Jika masalahnya dapat direproduksi secara konsisten, instal dan daftarkan Agen Autentikasi baru. Dan hapus instalan yang sekarang. |
80011 | Agen Autentikasi tak bisa mengambil kunci dekripsi. | Jika masalahnya dapat direproduksi secara konsisten, instal dan daftarkan Agen Autentikasi baru. Dan hapus instalan yang sekarang. |
80014 | Permintaan validasi direspons setelah waktu maksimum yang berlalu terlampaui. | Batas waktu Agen Autentikasi habis. Buka tiket dukungan dengan kode kesalahan, ID korelasi, dan cap waktu untuk mendapatkan detail lebih lanjut tentang kesalahan ini |
Penting
Agen Autentikasi Pass-through mengautentikasi pengguna Microsoft Entra dengan memvalidasi nama pengguna dan kata sandi mereka terhadap Direktori Aktif dengan memanggil API Win32 LogonUser. Akibatnya, jika Anda telah mengatur pengaturan "Masuk Ke" di Active Directory untuk membatasi akses log masuk stasiun kerja, Anda harus menambahkan server yang menghosting Agen Autentikasi Pass-through ke daftar server "Masuk Ke" juga. Gagal melakukan ini akan memblokir pengguna Anda untuk masuk ke ID Microsoft Entra.
Masalah instalasi Agen Autentikasi
Terjadi kesalahan tak terduga
Kumpulkan log agen dari server dan hubungi Dukungan Microsoft dengan masalah Anda.
Masalah pendaftaran Agen Autentikasi
Pendaftaran Agen Autentikasi gagal karena port yang diblokir
Pastikan bahwa server tempat Agen Autentikasi telah diinstal dapat berkomunikasi dengan URL dan port layanan kami yang tercantum di sini.
Pendaftaran Agen Autentikasi gagal karena kesalahan token atau otorisasi akun
Pastikan Anda menggunakan akun Administrator Identitas Hibrid khusus cloud untuk semua operasi penginstalan dan pendaftaran Microsoft Entra Connect atau Agen Autentikasi mandiri. Ada masalah yang diketahui dengan akun Administrator Identitas Hibrid berkemampuan MFA; nonaktifkan MFA untuk sementara (hanya untuk menyelesaikan operasi) sebagai solusinya.
Terjadi kesalahan tak terduga
Kumpulkan log agen dari server dan hubungi Dukungan Microsoft dengan masalah Anda.
Masalah penghapusan instalan Agen Autentikasi
Pesan peringatan saat menghapus instalan Microsoft Entra Connect
Jika Anda mengaktifkan Autentikasi Pass-through pada penyewa Anda dan mencoba menghapus instalan Microsoft Entra Connect, pesan peringatan berikut akan ditampilkan: "Pengguna tidak akan dapat masuk ke Microsoft Entra ID kecuali jika Anda memiliki agen Autentikasi Pass-through lainnya yang diinstal di server lainnya."
Pastikan bahwa penyiapan Anda sangat tersedia sebelum Anda menghapus instalan Microsoft Entra Connect untuk menghindari pembobolan masuk pengguna.
Masalah dengan mengaktifkan fitur
Gagal mengaktifkan fitur karena tidak ada Agen Autentikasi yang tersedia
Anda harus memiliki setidaknya satu Agen Autentikasi aktif untuk mengaktifkan Autentikasi Pass-through pada penyewa Anda. Anda dapat menginstal Agen Autentikasi dengan menginstal Microsoft Entra Connect atau Agen Autentikasi mandiri.
Mengaktifkan fitur gagal karena port yang diblokir
Pastikan bahwa server tempat Microsoft Entra Connect diinstal dapat berkomunikasi dengan URL layanan dan port kami yang tercantum di sini.
Gagal mengaktifkan fitur karena kesalahan token atau otorisasi akun
Pastikan Anda menggunakan akun Administrator Identitas Hibrid khusus cloud saat mengaktifkan fitur. Ada masalah yang diketahui dengan akun Administrator Identitas Hibrid berkemampuan autentikasi multifaktor (MFA); nonaktifkan MFA untuk sementara (hanya untuk menyelesaikan operasi) sebagai solusi.
Mengumpulkan log Agen Autentikasi Pass-through
Tergantung jenis masalah yang mungkin Anda miliki, Anda perlu mencari di tempat yang berbeda untuk log Agen Autentikasi Pass-through.
Log Microsoft Entra Connect
Untuk kesalahan yang terkait dengan penginstalan, periksa log Microsoft Entra Connect di %ProgramData%\AADConnect\trace-*.log
.
Log peristiwa Agen Autentikasi
Untuk kesalahan yang terkait dengan Agen Autentikasi, buka aplikasi Penampil Peristiwa di server dan periksa pada Aplikasi dan Layanan Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Untuk analitik terperinci, aktifkan log "Sesi" (klik kanan di dalam aplikasi Penampil Peristiwa untuk menemukan opsi ini). Jangan jalankan Agen Autentikasi dengan log ini diaktifkan selama operasi normal; gunakan hanya untuk pemecahan masalah. Isi log hanya terlihat setelah log dinonaktifkan lagi.
Log jejak terperinci
Untuk memecahkan masalah kegagalan masuk pengguna, cari log pelacakan di %ProgramData%\Microsoft\Microsoft Azure Active Directory Connect Authentication Agent\Trace\. Log ini mencakup penyebab mengapa login pengguna tertentu gagal menggunakan fitur Autentikasi Pass-through. Kesalahan ini juga dipetakan ke penyebab kegagalan masuk yang ditunjukkan dalam tabel penyebab kegagalan masuk sebelumnya. Berikut adalah contoh entri log:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Anda bisa mendapatkan detail deskriptif kesalahan ('1328' dalam contoh sebelumnya) dengan membuka prompt perintah dan menjalankan perintah berikut (Catatan: Ganti '1328' dengan nomor kesalahan aktual yang Anda lihat di log Anda):
Net helpmsg 1328
Log masuk Autentikasi Pass-through
Jika pengelogan audit diaktifkan, informasi tambahan dapat ditemukan di log keamanan server Autentikasi Pass-through Anda. Cara sederhana untuk mengkueri permintaan masuk adalah dengan memfilter log keamanan menggunakan kueri berikut:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Penghitung Pemantau Performa
Cara lain untuk memantau Agen Autentikasi adalah dengan melacak penghitung Pemantau Performa tertentu di setiap server tempat Agen Autentikasi diinstal. Gunakan penghitung Global berikut (Autentikasi #PTA, Autentikasi #PTA gagal dan Autentikasi #PTA berhasil) dan Penghitung kesalahan (Kesalahan autentikasi #PTA):
Penting
Autentikasi Pass-through menyediakan ketersediaan tinggi menggunakan beberapa Agen Autentikasi, dan tidak load balancing. Bergantung pada konfigurasi Anda, tidak semua Agen Autentikasi Anda menerima jumlah permintaan yang hampir sama. Ada kemungkinan bahwa Agen Autentikasi tertentu tidak menerima lalu lintas sama sekali.