Risolvere i problemi di connettività di Microsoft Entra Connessione
Questo articolo illustra come funziona la connettività tra Microsoft Entra Connessione e Microsoft Entra ID e come risolvere i problemi di connettività. Questi problemi sono molto probabilmente visibili in un ambiente che usa un server proxy.
problemi di Connessione ivity nell'installazione guidata
Microsoft Entra Connessione usa Microsoft Authentication Library (MSAL) per l'autenticazione. L'installazione guidata e il motore di sincronizzazione richiedono che machine.config sia configurato correttamente perché queste due sono applicazioni .NET.
Nota
Azure AD Connessione v1.6.xx.x usa Active Directory Authentication Library (ADAL). ADAL è deprecato e il supporto terminerà a giugno 2022. È consigliabile eseguire l'aggiornamento alla versione più recente di Microsoft Entra Connessione v2.
In questo articolo viene illustrato come Fabrikam si connette a Microsoft Entra ID tramite il proxy. Il server proxy è denominato fabrikamproxy e usa la porta 8080.
Assicurarsi prima di tutto che machine.config sia configurato correttamente e che il servizio di sincronizzazione ID Microsoft Entra sia stato riavviato una volta dopo l'aggiornamento del file machine.config .
Nota
Alcuni blog non Microsoft indicano che è necessario apportare modifiche a miiserver.exe.config anziché al file machine.config . Tuttavia, il file miiserver.exe.config viene sovrascritto in ogni aggiornamento. Anche se il file funziona durante l'installazione iniziale, il sistema smette di funzionare durante il primo aggiornamento. Per questo motivo, è consigliabile aggiornare machine.config come descritto in questo articolo.
Per il server proxy devono essere aperti anche gli URL necessari. L'elenco ufficiale è documentato in URL e intervalli di indirizzi IP per Office 365 .
Di questi URL, gli URL elencati nella tabella seguente sono il minimo assoluto per potersi connettere all'ID Microsoft Entra. Questo elenco non include funzionalità facoltative, ad esempio il writeback delle password o Microsoft Entra Connessione Health. Le informazioni sono disponibili qui per facilitare la risoluzione dei problemi relativi alla configurazione iniziale.
| URL | Port | Descrizione |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Usato per scaricare elenchi di revoche di certificati (CRL). |
*.verisign.com |
HTTP/80 | Usate per scaricare gli elenchi di CRL. |
*.entrust.net |
HTTP/80 | Usato per scaricare elenchi CRL per l'autenticazione a più fattori (MFA). |
*.management.core.windows.net(Archiviazione di Azure)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Usato per i vari servizi di Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Usato per MFA. |
*.microsoftonline.com |
HTTPS/443 | Usato per configurare la directory e l'importazione/esportazione dei dati di Microsoft Entra. |
*.crl3.digicert.com |
HTTP/80 | Usato per verificare i certificati. |
*.crl4.digicert.com |
HTTP/80 | Usato per verificare i certificati. |
*.digicert.cn |
HTTP/80 | Usato per verificare i certificati. |
*.ocsp.digicert.com |
HTTP/80 | Usato per verificare i certificati. |
*.www.d-trust.net |
HTTP/80 | Usato per verificare i certificati. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Usato per verificare i certificati. |
*.crl.microsoft.com |
HTTP/80 | Usato per verificare i certificati. |
*.oneocsp.microsoft.com |
HTTP/80 | Usato per verificare i certificati. |
*.ocsp.msocsp.com |
HTTP/80 | Usato per verificare i certificati. |
Errori nella procedura guidata
L'installazione guidata usa due contesti di sicurezza diversi. Nella pagina Connessione all'ID Microsoft Entra viene usato l'utente che ha eseguito l'accesso. Nella pagina Configura viene modificato l'account che esegue il servizio per il motore di sincronizzazione. Se si verifica un problema, l'errore verrà probabilmente visualizzato nella pagina Connessione id di Microsoft Entra nella procedura guidata perché la configurazione del proxy è globale.
I problemi seguenti sono gli errori più comuni che possono verificarsi nell'installazione guidata.
L'installazione guidata non è stata configurata correttamente
Questo errore viene visualizzato quando la procedura guidata non riesce a raggiungere il proxy.
Se viene visualizzato questo errore, verificare che il file machine.config sia configurato correttamente. Se machine.config è corretto, completare i passaggi descritti in Verificare la connettività proxy per verificare se il problema è presente anche all'esterno della procedura guidata.
Viene usato un account Microsoft
Se si usa un account Microsoft anziché un account dell'istituto di istruzione o dell'organizzazione, viene visualizzato un errore generico:
Non è possibile raggiungere l'endpoint MFA
Questo errore viene visualizzato se l'endpoint https://secure.aadcdn.microsoftonline-p.com non può essere raggiunto e l'identità ibrida Amministrazione istrator è abilitata.
Se viene visualizzato questo errore, verificare che l'endpoint secure.aadcdn.microsoftonline-p.com sia stato aggiunto al proxy.
Non è possibile verificare la password
Se l'installazione guidata ha esito positivo durante la connessione all'ID Microsoft Entra ma non è possibile verificare la password stessa, viene visualizzato questo errore:
La password è una password temporanea che deve essere modificata? È effettivamente la password corretta? Provare ad accedere a in un computer diverso rispetto al https://login.microsoftonline.com server Microsoft Entra Connessione e verificare che l'account sia utilizzabile.
Verificare la connettività del proxy
Per verificare se il server microsoft Entra Connessione si connette al proxy e a Internet, usare alcuni cmdlet di PowerShell per verificare se il proxy consente richieste Web. In PowerShell eseguire Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. Tecnicamente, la prima chiamata è a https://login.microsoftonline.come questo URI funziona anche, ma l'altro URI è più rapido per rispondere.
PowerShell usa la configurazione in machine.config per contattare il proxy. Le impostazioni in winhttp/netsh non devono influire su questi cmdlet.
Se il proxy è configurato correttamente, viene visualizzato lo stato di esito positivo:
Se viene visualizzato il messaggio Non è possibile connettersi al server remoto, PowerShell sta tentando di effettuare una chiamata diretta senza usare il proxy o IL DNS non è configurato correttamente. Assicurarsi che il file machine.config sia configurato correttamente.
Se il proxy non è configurato correttamente, viene visualizzato un messaggio di errore 403 o 407:
La tabella seguente descrive gli errori proxy 403 e 407:
| Errore | Testo dell'errore | Comment |
|---|---|---|
| 403 | Non consentito | Il proxy non è stato aperto per l'URL richiesto. Rivedere la configurazione del proxy e assicurarsi che gli URL siano stati aperti. |
| 407 | Autenticazione proxy obbligatoria | Il server proxy ha richiesto l'accesso, che non è stato eseguito. Se il server proxy richiede l'autenticazione, assicurarsi di aver configurato questa impostazione in machine.config. Assicurarsi anche di usare account di dominio per l'utente che esegue la procedura guidata e per l'account del servizio. |
Impostazione del timeout di inattività del proxy
Quando Microsoft Entra Connessione invia una richiesta di esportazione a Microsoft Entra ID, Microsoft Entra ID può richiedere fino a 5 minuti per elaborare la richiesta prima di generare una risposta. La risposta è particolarmente probabile che venga ritardata se molti oggetti gruppo con appartenenze a gruppi di grandi dimensioni sono inclusi nella stessa richiesta di esportazione. Assicurarsi che il timeout di inattività del proxy sia configurato per essere maggiore di 5 minuti. In caso contrario, potrebbero verificarsi problemi di connettività intermittenti con Microsoft Entra ID nel server microsoft Entra Connessione.
Modello di comunicazione tra Microsoft Entra Connessione e Microsoft Entra ID
Se sono stati seguiti tutti i passaggi descritti in questo articolo e non è ancora possibile connettersi, a questo punto è possibile esaminare i log di rete. Questa sezione descrive un modello di connettività normale e riuscito.
Prima di tutto, ecco alcune preoccupazioni comuni sui dati nei log di rete che è possibile ignorare:
- Vengono effettuate chiamate a
https://dc.services.visualstudio.com. Non è necessario che questo URL venga aperto nel proxy affinché l'installazione abbia esito positivo e queste chiamate possono essere ignorate. - Si noterà che la risoluzione DNS elenca gli host effettivi come presenti nello spazio dei nomi
nsatc.netDNS e in altri spazi dei nomi che non sono inmicrosoftonline.com. Tuttavia, non sono presenti richieste di servizio Web sui nomi effettivi del server. Non è necessario aggiungere questi URL al proxy. - Gli endpoint
adminwebserviceeprovisioningapisono endpoint di individuazione e vengono usati per trovare l'endpoint effettivo da usare. Questi endpoint variano in base al paese.
Log del proxy di riferimento
Nell'esempio seguente viene riportato un dump da un log proxy effettivo e la pagina dell'installazione guidata da cui è stata acquisita (sono state rimosse voci duplicate nello stesso endpoint). Questa sezione può essere usata come riferimento per i log di rete e proxy in uso. Gli endpoint effettivi potrebbero essere diversi nell'ambiente, in particolare gli URL in corsivo.
Connessione a Microsoft Entra ID
| Time | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Configurare
| Time | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Sincronizzazione iniziale
| Time | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
Errori di autenticazione
Questa sezione illustra gli errori che potrebbero essere restituiti da ADAL e PowerShell. La spiegazione dell'errore dovrebbe essere utile per identificare i passaggi successivi.
Concessione non valida
È stato immesso un nome utente o una password non validi. Per altre informazioni, vedere La password non può essere verificata.
Tipo di utente sconosciuto
Impossibile trovare o risolvere la directory Microsoft Entra. Forse si è tentato di accedere con un nome utente in un dominio non verificato?
Individuazione dell'area di autenticazione utente non riuscita
Problemi di configurazione di rete o del proxy. Non è possibile raggiungere la rete. Vedere problemi di Connessione ivity nell'installazione guidata.
Password utente scaduta
Le credenziali sono scadute. Modificare la password.
Errore di autorizzazione
Microsoft Entra Connessione non è riuscito ad autorizzare l'utente a eseguire un'azione in Microsoft Entra ID.
Autenticazione annullata
La richiesta di autenticazione a più fattori è stata annullata.
Connessione a MSOnline non riuscito
L'autenticazione ha avuto esito positivo, ma Azure AD PowerShell ha un problema di autenticazione.
Ruolo di Microsoft Entra Global Amministrazione istrator necessario
L'utente è stato autenticato correttamente, ma all'utente non viene assegnato il ruolo Global Amministrazione istrator. È possibile assegnare il ruolo global Amministrazione istrator all'utente.
Privileged Identity Management abilitato
L'autenticazione è riuscita, ma Privileged Identity Management è stata abilitata e l'utente non è attualmente un'identità ibrida Amministrazione istrator. Per altre informazioni, vedere Privileged Identity Management.
Informazioni sulla società non disponibili
L'autenticazione è riuscita, ma non è stato possibile recuperare le informazioni aziendali dall'ID Microsoft Entra.
Informazioni sul dominio non disponibili
L'autenticazione ha avuto esito positivo, ma non è stato possibile recuperare informazioni sul dominio dall'ID Microsoft Entra.
Errore di autenticazione non specificato
Visualizzato come Errore imprevisto nell'installazione guidata. Questo errore può verificarsi se si tenta di usare un account Microsoft anziché un account dell'istituto di istruzione o dell'organizzazione.
Procedura di risoluzione dei problemi per le versioni precedenti
Nelle versioni a partire dal numero di build 1.1.105.0 (rilasciato a febbraio 2016), l'assistente per l'accesso è stato ritirato. La configurazione dell'assistente per l'accesso non deve più essere necessaria, ma le informazioni nelle sezioni successive sono incluse per riferimento.
Per il corretto funzionamento dell'assistente single sign-in, è necessario configurare Microsoft Windows HTTP Services (WinHTTP). È possibile configurare WinHTTP usando netsh.
L'assistente per l'accesso non è configurato correttamente
Questo errore viene visualizzato quando l'assistente di accesso non riesce a raggiungere il proxy o il proxy non consente la richiesta.
Se viene visualizzato questo errore, esaminare la configurazione del proxy in netsh e verificare che sia corretta.
Se la configurazione del proxy è corretta, completare i passaggi descritti in Verificare la connettività proxy per verificare se il problema si verifica all'esterno della procedura guidata.
Passaggi successivi
Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.