Risolvere i problemi di connettività con Microsoft Entra Connect
Questo articolo illustra il funzionamento della connettività tra Microsoft Entra Connect e Microsoft Entra ID e come risolverne i problemi. Questi problemi si verificano con maggiore probabilità in un ambiente che usa un server proxy.
Problemi di connettività nell'Installazione guidata
Microsoft Entra Connect usa la Microsoft Authentication Library (MSAL) per l'autenticazione. L'Installazione guidata e il motore di sincronizzazione richiedono machine.config per una corretta configurazione, in quanto si tratta di due applicazioni .NET.
Nota
Azure AD Connect v1.6.xx.x usa Active Directory Authentication Library (ADAL). ADAL è deprecato e il supporto terminerà a giugno 2022. È consigliabile un aggiornamento all'ultima versione di Microsoft Entra Connect v2.
Questo articolo illustra in che modo Fabrikam si connette a Microsoft Entra ID tramite il proxy. Il server proxy è denominato fabrikamproxy e usa la porta 8080.
Innanzitutto, assicurarsi che machine.config sia configurato correttamente e che il servizio di sincronizzazione Microsoft Entra ID sia stato riavviato una volta dopo l'aggiornamento del file machine.config.
Nota
Alcuni blog non Microsoft indicano che è necessario apportare modifiche a miiserver.exe.config anziché al file machine.config. Tuttavia, il file miiserver.exe.config viene sovrascritto in ogni aggiornamento. Anche se il file funziona durante l'installazione iniziale, il sistema smette di funzionare durante il primo aggiornamento. Per questo motivo, è consigliabile aggiornare machine.config come descritto in questo articolo.
Per il server proxy devono essere aperti anche gli URL necessari. L'elenco ufficiale è documentato in URL e intervalli di indirizzi IP per Office 365 .
Fra questi URL, gli URL elencati nella seguente tabella rappresentano le impostazioni minime assolutamente indispensabili per potersi connettere a Microsoft Entra ID. L'elenco non include le funzionalità facoltative, ad esempio il writeback delle password o Microsoft Entra Connect Health. Le informazioni sono fornite qui per facilitare la risoluzione dei problemi relativi alla configurazione iniziale.
| URL | Porta | Descrizione |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Usato per scaricare elenchi di revoche di certificati (CRL). |
*.verisign.com |
HTTP/80 | Usate per scaricare gli elenchi di CRL. |
*.entrust.net |
HTTP/80 | Usato per scaricare elenchi CRL per l'autenticazione a più fattori (MFA). |
*.management.core.windows.net(Archiviazione di Azure)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Usato per i vari servizi di Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Usato per MFA. |
*.microsoftonline.com |
HTTPS/443 | Usato per configurare la directory di Microsoft Entra e i dati di importazione/esportazione. |
*.crl3.digicert.com |
HTTP/80 | Usato per verificare i certificati. |
*.crl4.digicert.com |
HTTP/80 | Usato per verificare i certificati. |
*.digicert.cn |
HTTP/80 | Usato per verificare i certificati. |
*.ocsp.digicert.com |
HTTP/80 | Usato per verificare i certificati. |
*.www.d-trust.net |
HTTP/80 | Usato per verificare i certificati. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Usato per verificare i certificati. |
*.crl.microsoft.com |
HTTP/80 | Usato per verificare i certificati. |
*.oneocsp.microsoft.com |
HTTP/80 | Usato per verificare i certificati. |
*.ocsp.msocsp.com |
HTTP/80 | Usato per verificare i certificati. |
Errori nella procedura guidata
L'Installazione guidata usa due diversi contesti di sicurezza. Nella pagina Connessione a Microsoft Entra ID, usa l'utente che ha eseguito l'accesso. Nella pagina Configurazione, passa all'account che esegue il servizio per il motore di sincronizzazione. Se si verifica un problema, l'errore verrà probabilmente visualizzato nella pagina Connessione a Microsoft Entra ID nella procedura guidata perché la configurazione del proxy è globale.
I seguenti problemi sono gli errori più comuni che potrebbero apparire nell'Installazione guidata.
L'Installazione guidata non è stata configurata correttamente
Questo errore viene visualizzato quando la procedura guidata non riesce a raggiungere il proxy.
Se viene visualizzato questo errore, verificare che il file machine.config sia configurato correttamente. Se machine.config sembra corretto, completare i passaggi descritti in Verificare la connettività del proxy per verificare se il problema è presente anche all'esterno della procedura guidata.
Si usa un account Microsoft
Se si usa un account Microsoft anziché un account dell'istituto di istruzione o dell'organizzazione, viene visualizzato un errore generico:
L'endpoint MFA non è raggiungibile
Questo errore viene visualizzato se l'endpoint https://secure.aadcdn.microsoftonline-p.com non è raggiungibile e l'amministratore di identità ibrida ha abilitato l'autenticazione MFA.
Se viene visualizzato questo errore, verificare che l'endpoint secure.aadcdn.microsoftonline-p.com sia stato aggiunto al proxy.
La password non può essere verificata
Se l'Installazione guidata riesce a connettersi a Microsoft Entra ID, ma non è possibile verificare la password, viene visualizzato questo errore:
È una password temporanea che deve essere modificata? È effettivamente la password corretta? Provare ad accedere a https://login.microsoftonline.com da un computer diverso rispetto al server di Microsoft Entra Connect e verificare che l'account sia utilizzabile.
Verificare la connettività del proxy
Per verificare se il server Microsoft Entra Connect si connette al proxy e a Internet, usare alcuni cmdlet di PowerShell per verificare se il proxy consente richieste Web. In PowerShell, eseguire Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. Tecnicamente la prima chiamata viene effettuata a https://login.microsoftonline.com, e anche questo URI funziona, ma la risposta dell'altro URI è più veloce.
PowerShell usa la configurazione presente in machine.config per contattare il proxy. Le impostazioni in winhttp/netsh non dovrebbero influire su questi cmdlet.
Se il proxy è configurato correttamente, viene visualizzato lo stato di riuscita dell'operazione:
Se viene visualizzato il messaggio Impossibile effettuare la connessione al server remoto, PowerShell sta provando a effettuare una chiamata diretta senza usare il proxy oppure il DNS non è configurato correttamente. Verificare che il file machine.config sia configurato correttamente.
Se il proxy non è configurato correttamente, viene visualizzato un messaggio di errore 403 o 407:
La seguente tabella descrive gli errori proxy 403 e 407:
| Errore | Testo dell'errore | Commento |
|---|---|---|
| 403 | Non consentito | Il proxy non è stato aperto per l'URL richiesto. Rivedere la configurazione del proxy e assicurarsi che gli URL siano stati aperti. |
| 407 | Autenticazione proxy obbligatoria | Il server proxy ha richiesto l'accesso, che non è stato eseguito. Se il server proxy richiede l'autenticazione, assicurarsi di aver configurato questa impostazione in machine.config. Assicurarsi anche di usare account di dominio per l'utente che esegue la procedura guidata e per l'account del servizio. |
Impostazione del timeout di inattività del proxy
Quando Microsoft Entra Connect invia una richiesta di esportazione a Microsoft Entra ID, Microsoft Entra ID può impiegare fino a 5 minuti per elaborare la richiesta prima di generare una risposta. È particolarmente probabile che la risposta venga ritardata se molti oggetti di gruppo con appartenenze a gruppi di grandi dimensioni sono inclusi nella stessa richiesta di esportazione. Verificare che il timeout di inattività del proxy sia configurato per essere superiore ai 5 minuti. In caso contrario, potrebbero verificarsi problemi di connettività intermittenti con Microsoft Entra ID nel server di Microsoft Entra Connect.
Modello di comunicazione tra Microsoft Entra Connect e Microsoft Entra ID
Se sono stati eseguiti tutti i passaggi descritti in questo articolo e ancora non è possibile connettersi, a questo punto si possono esaminare i log di rete. Questa sezione descrive un normale modello di connettività riuscita.
Prima di tutto, ecco alcune preoccupazioni comuni sui dati nei log di rete che si possono ignorare:
- Vengono effettuate chiamate a
https://dc.services.visualstudio.com. Non è necessario che questo URL sia aperto nel proxy perché l'installazione riesca e le chiamate possono essere ignorate. - La risoluzione DNS elenca gli host effettivi presenti nello spazio dei nomi
nsatc.netDNS e in altri spazi dei nomi che non sono inmicrosoftonline.com. Tuttavia, non sono presenti richieste di servizio Web sui nomi del server effettivi. Non è necessario aggiungere questi URL al proxy. - Gli endpoint
adminwebserviceeprovisioningapisono endpoint di individuazione e servono per trovare l'endpoint effettivo da usare. Questi endpoint variano in base all'area.
Log del proxy di riferimento
L'esempio seguente è il dump del log di un proxy effettivo e la pagina dell'installazione guidata dalla quale è stato rilevato. Le voci duplicate per lo stesso endpoint sono state rimosse. Questa sezione può essere usata come riferimento per i log di rete e proxy in uso. Gli endpoint effettivi possono essere diversi nell'ambiente in uso, in particolare gli URL riportati in corsivo.
Stabilire la connessione a Microsoft Entra ID
| Tempo | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Configurare
| Tempo | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Sincronizzazione iniziale
| Tempo | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
Errori di autenticazione
Questa sezione illustra gli errori che potrebbero essere restituiti da ADAL e PowerShell. La spiegazione dell'errore può essere utile per identificare i passaggi successivi.
Concessione non valida
È stato immesso un nome utente o una password non validi. Per altre informazioni, vedere La password non può essere verificata.
Tipo utente sconosciuto
Impossibile trovare o risolvere la directory di Microsoft Entra. È stato effettuato un tentativo di accedere con un nome utente in un dominio non verificato?
Individuazione dell'area di autenticazione utente non riuscita
Problemi di configurazione di rete o del proxy. Non è possibile raggiungere la rete. Vedere Problemi di connettività nell'installazione guidata.
Password utente scaduta
Le credenziali sono scadute. Modificare la password.
Errore di autorizzazione
Microsoft Entra Connect non è riuscito a autorizzare l'utente a eseguire un'azione in Microsoft Entra ID.
Autenticazione annullata
La richiesta di autenticazione a più fattori è stata annullata.
Connessione a MS Online non riuscita
L'autenticazione ha avuto esito positivo, ma Azure AD PowerShell ha un problema di autenticazione.
Privileged Identity Management abilitata
L'autenticazione è riuscita, ma Privileged Identity Management è stata abilitata e l'utente attualmente non è un amministratore di identità ibrida. Per altre informazioni, vedere Privileged Identity Management.
Informazioni sulla società non disponibili
L'autenticazione è riuscita, ma non è stato possibile recuperare le informazioni sulla società da Microsoft Entra ID.
Informazioni sul dominio non disponibili
L'autenticazione ha avuto esito positivo, ma non è stato possibile recuperare le informazioni sul dominio da Microsoft Entra ID.
Errore di autenticazione non specificato
Visualizzata come un errore imprevisto nell'Installazione guidata. Questo errore può verificarsi se si tenta di usare un account Microsoft anziché un account dell'istituto di istruzione o dell'organizzazione.
Procedura di risoluzione dei problemi per le versioni precedenti
L'Assistente per l'accesso è stato ritirato a partire dalle versioni con numero di build 1.1.105.0, rilasciata nel mese di febbraio 2016. La configurazione dell'assistente per l'accesso non deve più essere necessaria, ma le informazioni nelle sezioni successive sono incluse per riferimento.
Per consentire il funzionamento dell'Assistente per l'accesso singolo, è necessario configurare i servizi Microsoft Windows HTTP. È possibile configurare WinHTTP usando netsh.
L'assistente per l'accesso non è stato configurato correttamente
Questo errore viene visualizzato quando l'assistente per l'accesso non riesce a raggiungere il proxy o il proxy non consente la richiesta.
Se viene visualizzato questo errore, esaminare la configurazione del proxy in netsh e verificare che sia corretta.
Se la configurazione del proxy sembra corretta, completare i passaggi descritti in Verificare la connettività del proxy per verificare se il problema si verifica all'esterno della procedura guidata.
Passaggi successivi
Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.