Bagikan melalui


Memecahkan masalah autentikasi pass-through Microsoft Entra

Artikel ini membantu Anda menemukan informasi pemecahan masalah tentang masalah umum mengenai autentikasi pass-through Microsoft Entra.

Penting

Jika Anda menghadapi masalah masuk pengguna dengan Autentikasi Pass-through, jangan nonaktifkan fitur atau hapus instalan Agen Autentikasi Pass-through tanpa memiliki akun Administrator Identitas Hibrid khusus cloud untuk kembali aktif.

Masalah umum

Periksa status fitur dan Agen Autentikasi

Pastikan bahwa fitur Autentikasi Pass-through masih Diaktifkan pada penyewa Anda dan status Agen Autentikasi menunjukkan Aktif, dan bukan Tidak Aktif. Anda dapat mengecek status dengan membuka Microsoft Entra Connect bilahnya di pusat admin Microsoft Entra.

Screnshot menunjukkan pusat admin Microsoft Entra - bilah Microsoft Entra Connect.

Screenhot memperlihatkan pusat admin Microsoft Entra - Bilah Autentikasi Pass-through.

Pesan kesalahan masuk yang ditampilkan kepada pengguna

Jika pengguna tidak dapat masuk menggunakan Autentikasi Pass-through, mereka mungkin melihat salah satu kesalahan yang dihadapi pengguna berikut ini di layar masuk Microsoft Entra:

Kesalahan Deskripsi Resolusi
AADSTS80001 Tidak bisa tersambung ke Active Directory Pastikan bahwa server agen adalah anggota hutan AD yang sama dengan pengguna yang kata sandinya perlu divalidasi dan mereka dapat terhubung ke Active Directory.
AADSTS80002 Waktu habis terjadi saat menyambungkan ke Active Directory Periksa untuk memastikan bahwa Active Directory tersedia dan menanggapi permintaan dari agen.
AADSTS80004 Nama pengguna yang diteruskan ke agen tidak valid Pastikan pengguna mencoba masuk dengan nama pengguna yang tepat.
AADSTS80005 Validasi ditemui WebException yang tidak dapat diprediksi Kesalahan sementara. Coba lagi permintaannya. Jika terus gagal, hubungi dukungan Microsoft.
AADSTS80007 Timbul masalah saat berkomunikasi dengan Active Directory Periksa log agen untuk informasi lebih lanjut dan verifikasikan bahwa Active Directory beroperasi seperti yang diharapkan.

Pengguna menerima kesalahan nama pengguna/kata sandi yang tidak valid

Ini dapat terjadi ketika UserPrincipalName (UPN) lokal pengguna berbeda dari UPN cloud pengguna.

Untuk mengonfirmasi bahwa ini adalah masalahnya, pertama-tama uji bahwa agen Autentikasi Pass-through bekerja dengan benar:

  1. Membuat akun uji.

  2. Impor modul PowerShell pada mesin agen:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
    
  3. Jalankan perintah Invoke PowerShell:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter 
    
  4. Ketika Anda diminta untuk memasukkan kredensial, masukkan nama pengguna dan kata sandi yang sama yang digunakan untuk masuk ke (https://login.microsoftonline.com).

Jika Anda mendapatkan kesalahan nama pengguna/kata sandi yang sama, ini berarti bahwa agen Autentikasi Pass-through bekerja dengan benar dan masalahnya mungkin UPN lokal tidak dapat dirutekan. Untuk mempelajari lebih lanjut, lihat Mengonfigurasi ID Login Alternatif.

Penting

Jika server Microsoft Entra Connect tidak bergabung dengan domain, persyaratan yang disebutkan dalam Microsoft Entra Connect: Prasyarat, masalah nama pengguna/kata sandi yang tidak valid terjadi.

Alasan kegagalan masuk di pusat admin Microsoft Entra (memerlukan lisensi Premium)

Jika penyewa Anda memiliki lisensi Microsoft Entra ID P1 atau P2 yang terkait dengannya, Anda juga dapat melihat laporan aktivitas masuk di pusat admin Microsoft Entra.

Cuplikan layar memperlihatkan pusat admin Microsoft Entra - Laporan masuk,

Navigasi ke MICROSOFT Entra ID ->Rincian masuk di [Pusat admin Microsoft Entra](https://portal.azure.com/) dan klik aktivitas masuk pengguna tertentu. Cari bidang SIGN-IN ERROR CODE. Petakan nilai bidang tersebut ke penyebab kegagalan dan resolusi menggunakan tabel berikut:

Kode galat rincian masuk Alasan kegagalan masuk Resolusi
50144 Kata sandi Active Directory Pengguna telah kedaluwarsa. Atur ulang kata sandi pengguna di Active Directory lokal Anda.
80001 Tidak ada Agen Autentikasi yang tersedia. Instal dan daftarkan Agen Autentikasi.
80002 Permintaan validasi kata sandi Agen Autentikasi kehabisan waktu. Pastikan Active Directory Anda dapat dijangkau dari Agen Autentikasi.
80003 Respons tidak valid diterima oleh Agen Autentikasi. Jika masalahnya dapat direproduksi secara konsisten di beberapa pengguna, periksa konfigurasi Active Directory Anda.
80004 User Principal Name (UPN) salah digunakan dalam permintaan masuk. Minta pengguna untuk masuk dengan nama pengguna yang benar.
80005 Agen Autentikasi: Terjadi kesalahan. Kesalahan sementara. Coba lagi nanti.
80007 Agen Autentikasi tidak bisa tersambung ke Active Directory. Pastikan Active Directory Anda dapat dijangkau dari Agen Autentikasi.
80010 Agen Autentikasi tak bisa mendekripsi sandi. Jika masalahnya dapat direproduksi secara konsisten, instal dan daftarkan Agen Autentikasi baru. Dan hapus instalan yang sekarang.
80011 Agen Autentikasi tak bisa mengambil kunci dekripsi. Jika masalahnya dapat direproduksi secara konsisten, instal dan daftarkan Agen Autentikasi baru. Dan hapus instalan yang sekarang.
80014 Permintaan validasi direspons setelah waktu maksimum yang berlalu terlampaui. Batas waktu Agen Autentikasi habis. Buka tiket dukungan dengan kode kesalahan, ID korelasi, dan cap waktu untuk mendapatkan detail lebih lanjut tentang kesalahan ini

Penting

Agen Autentikasi Pass-through mengautentikasi pengguna Microsoft Entra dengan memvalidasi nama pengguna dan kata sandi mereka terhadap Direktori Aktif dengan memanggil API Win32 LogonUser. Akibatnya, jika Anda telah mengatur pengaturan "Masuk Ke" di Active Directory untuk membatasi akses log masuk stasiun kerja, Anda harus menambahkan server yang menghosting Agen Autentikasi Pass-through ke daftar server "Masuk Ke" juga. Gagal melakukan ini akan memblokir pengguna Anda untuk masuk ke ID Microsoft Entra.

Masalah instalasi Agen Autentikasi

Terjadi kesalahan tak terduga

Kumpulkan log agen dari server dan hubungi Dukungan Microsoft dengan masalah Anda.

Masalah pendaftaran Agen Autentikasi

Pendaftaran Agen Autentikasi gagal karena port yang diblokir

Pastikan bahwa server tempat Agen Autentikasi telah diinstal dapat berkomunikasi dengan URL dan port layanan kami yang tercantum di sini.

Pendaftaran Agen Autentikasi gagal karena kesalahan token atau otorisasi akun

Pastikan Anda menggunakan akun Administrator Identitas Hibrid khusus cloud untuk semua operasi penginstalan dan pendaftaran Microsoft Entra Connect atau Agen Autentikasi mandiri. Ada masalah yang diketahui dengan akun Administrator Identitas Hibrid berkemampuan MFA; nonaktifkan MFA untuk sementara (hanya untuk menyelesaikan operasi) sebagai solusinya.

Terjadi kesalahan tak terduga

Kumpulkan log agen dari server dan hubungi Dukungan Microsoft dengan masalah Anda.

Masalah penghapusan instalan Agen Autentikasi

Pesan peringatan saat menghapus instalan Microsoft Entra Connect

Jika Anda mengaktifkan Autentikasi Pass-through pada penyewa Anda dan mencoba menghapus instalan Microsoft Entra Connect, pesan peringatan berikut akan ditampilkan: "Pengguna tidak akan dapat masuk ke Microsoft Entra ID kecuali jika Anda memiliki agen Autentikasi Pass-through lainnya yang diinstal di server lainnya."

Pastikan bahwa penyiapan Anda sangat tersedia sebelum Anda menghapus instalan Microsoft Entra Connect untuk menghindari pembobolan masuk pengguna.

Masalah dengan mengaktifkan fitur

Gagal mengaktifkan fitur karena tidak ada Agen Autentikasi yang tersedia

Anda harus memiliki setidaknya satu Agen Autentikasi aktif untuk mengaktifkan Autentikasi Pass-through pada penyewa Anda. Anda dapat menginstal Agen Autentikasi dengan menginstal Microsoft Entra Connect atau Agen Autentikasi mandiri.

Mengaktifkan fitur gagal karena port yang diblokir

Pastikan bahwa server tempat Microsoft Entra Connect diinstal dapat berkomunikasi dengan URL layanan dan port kami yang tercantum di sini.

Gagal mengaktifkan fitur karena kesalahan token atau otorisasi akun

Pastikan Anda menggunakan akun Administrator Identitas Hibrid khusus cloud saat mengaktifkan fitur. Ada masalah yang diketahui dengan akun Administrator Identitas Hibrid berkemampuan autentikasi multifaktor (MFA); nonaktifkan MFA untuk sementara (hanya untuk menyelesaikan operasi) sebagai solusi.

Mengumpulkan log Agen Autentikasi Pass-through

Tergantung jenis masalah yang mungkin Anda miliki, Anda perlu mencari di tempat yang berbeda untuk log Agen Autentikasi Pass-through.

Log Microsoft Entra Connect

Untuk kesalahan yang terkait dengan penginstalan, periksa log Microsoft Entra Connect di %ProgramData%\AADConnect\trace-*.log.

Log peristiwa Agen Autentikasi

Untuk kesalahan yang terkait dengan Agen Autentikasi, buka aplikasi Penampil Peristiwa di server dan periksa pada Aplikasi dan Layanan Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.

Untuk analitik terperinci, aktifkan log "Sesi" (klik kanan di dalam aplikasi Penampil Peristiwa untuk menemukan opsi ini). Jangan jalankan Agen Autentikasi dengan log ini diaktifkan selama operasi normal; gunakan hanya untuk pemecahan masalah. Isi log hanya terlihat setelah log dinonaktifkan lagi.

Log jejak terperinci

Untuk memecahkan masalah kegagalan masuk pengguna, cari log pelacakan di %ProgramData%\Microsoft\Microsoft Azure Active Directory Connect Authentication Agent\Trace\. Log ini mencakup penyebab mengapa login pengguna tertentu gagal menggunakan fitur Autentikasi Pass-through. Kesalahan ini juga dipetakan ke penyebab kegagalan masuk yang ditunjukkan dalam tabel penyebab kegagalan masuk sebelumnya. Berikut adalah contoh entri log:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

Anda bisa mendapatkan detail deskriptif kesalahan ('1328' dalam contoh sebelumnya) dengan membuka prompt perintah dan menjalankan perintah berikut (Catatan: Ganti '1328' dengan nomor kesalahan aktual yang Anda lihat di log Anda):

Net helpmsg 1328

Autentikasi Pass-through

Log masuk Autentikasi Pass-through

Jika pengelogan audit diaktifkan, informasi tambahan dapat ditemukan di log keamanan server Autentikasi Pass-through Anda. Cara sederhana untuk mengkueri permintaan masuk adalah dengan memfilter log keamanan menggunakan kueri berikut:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Penghitung Pemantau Performa

Cara lain untuk memantau Agen Autentikasi adalah dengan melacak penghitung Pemantau Performa tertentu di setiap server tempat Agen Autentikasi diinstal. Gunakan penghitung Global berikut (Autentikasi #PTA, Autentikasi #PTA gagal dan Autentikasi #PTA berhasil) dan Penghitung kesalahan (Kesalahan autentikasi #PTA):

Penghitung Pemantau Performa Autentikasi Pass-through

Penting

Autentikasi Pass-through menyediakan ketersediaan tinggi menggunakan beberapa Agen Autentikasi, dan tidak load balancing. Bergantung pada konfigurasi Anda, tidak semua Agen Autentikasi Anda menerima jumlah permintaan yang hampir sama. Ada kemungkinan bahwa Agen Autentikasi tertentu tidak menerima lalu lintas sama sekali.