Problemen met passthrough-verificatie van Microsoft Entra oplossen

In dit artikel vindt u informatie over het oplossen van problemen met betrekking tot passthrough-verificatie van Microsoft Entra.

Belangrijk

Als u problemen ondervindt met het aanmelden van gebruikers met passthrough-verificatie, moet u niet de functie uitschakelen of passthrough-verificatie-agents verwijderen zonder een alleen-cloud account voor globale beheerders of een account voor hybride identiteitsbeheerders te hebben om op terug te vallen. Meer informatie over het toevoegen van een alleen-cloud account voor globale beheerders. Deze stap is essentieel en zorgt ervoor dat u niet buitengesloten wordt uit uw tenant.

Algemene problemen

Status van de functie en verificatie-agents controleren

Zorg ervoor dat de functie Passthrough-verificatie nog steeds is ingeschakeld voor uw tenant en dat de status van Verificatie-agents Actief is, niet Inactief. U kunt de status controleren door naar het deelvenster Microsoft Entra Connect te gaan in het Microsoft Entra-beheercentrum.

Screnshot shows Microsoft Entra admin center - Microsoft Entra Connect blade.

Screenhot shows Microsoft Entra admin center - Pass-through Authentication blade.

Gebruikersgerichte foutberichten over aanmelding

Als de gebruiker zich niet kan aanmelden met passthrough-verificatie, ziet deze mogelijk een van de volgende gebruikersfouten op het aanmeldingsscherm van Microsoft Entra:

Fout Beschrijving Oplossing
AADSTS80001 Kan geen verbinding maken met Active Directory Zorg ervoor dat agentservers lid zijn van hetzelfde AD-forest als de gebruikers van wie wachtwoorden moeten worden gevalideerd, en dat ze verbinding kunnen maken met Active Directory.
AADSTS80002 Er is een time-out opgetreden bij het verbinden met Active Directory Controleer of Active Directory beschikbaar is en reageert op aanvragen van de agents.
AADSTS80004 De gebruikersnaam die aan de agent is doorgegeven, is ongeldig Zorg ervoor dat de gebruiker zich aanmeldt met de juiste gebruikersnaam.
AADSTS80005 Bij de validatie is een onvoorspelbare WebException aangetroffen Een tijdelijke fout. Probeer de aanvraag opnieuw. Als het probleem zich blijft voordoen, neemt u contact op met Microsoft Ondersteuning.
AADSTS80007 Er is een fout opgetreden tijdens de communicatie met Active Directory Controleer de agentlogboeken voor meer informatie en controleer of Active Directory werkt zoals verwacht.

Gebruikers krijgen een ongeldige gebruikersnaam-/wachtwoordfout

Dit kan gebeuren wanneer de on-premises UserPrincipalName (UPN) van een gebruiker anders is dan de cloud-UPN van de gebruiker.

Als u wilt controleren of dit het probleem is, test u eerst of de passthrough-verificatie-agent correct werkt:

  1. Maak een testaccount.

  2. Importeer de PowerShell-module op de agentcomputer:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
    
  3. Voer de PowerShell-opdracht Aanroepen uit:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter 
    
  4. Wanneer u wordt gevraagd referenties in te voeren, voert u dezelfde gebruikersnaam en hetzelfde wachtwoord in die worden gebruikt om u aan te melden bij (https://login.microsoftonline.com).

Als u dezelfde gebruikersnaam-/wachtwoordfout krijgt, betekent dit dat de passthrough-verificatie-agent correct werkt en het probleem kan zijn dat de on-premises UPN niet routeerbaar is. Zie Alternatieve aanmeldings-id configureren voor meer informatie.

Belangrijk

Als de Microsoft Entra Verbinding maken-server geen lid is van een domein, treedt er een vereiste op die wordt vermeld in Microsoft Entra Verbinding maken: Vereisten, treedt het probleem met de ongeldige gebruikersnaam/het wachtwoord op.

Redenen voor mislukte aanmelding in het Microsoft Entra-beheercentrum (vereist Premium-licentie)

Als aan uw tenant een Microsoft Entra ID P1- of P2-licentie is gekoppeld, kunt u ook het aanmeldactiviteitenrapport bekijken in het Microsoft Entra-beheercentrum.

Screenshot shows Microsoft Entra admin center - Sign-ins report,

Navigeer naar Microsoft Entra ID -> Aanmeldingen in het [Microsoft Entra-beheercentrum](https://portal.azure.com/) en klik op de aanmeldingsactiviteit van een specifieke gebruiker. Zoek naar het veld SIGN-IN ERROR CODE. Wijs de waarde van dat veld toe aan een reden en oplossing van de fout met behulp van de volgende tabel:

Foutcode voor aanmelding Reden van mislukte aanmelding Oplossing
50144 Het Active Directory-wachtwoord van de gebruiker is verlopen. Stel het wachtwoord van de gebruiker in uw on-premises Active Directory opnieuw in.
80001 Er is geen verificatieagent beschikbaar. Een verificatieagent installeren en registreren.
80002 Er is een time-out opgetreden bij de wachtwoordvalidatie voor de verificatieagent. Controleer of uw Active Directory bereikbaar is via de verificatieagent.
80003 Ongeldig antwoord ontvangen door de verificatieagent. Als het probleem consistent kan worden geproduceerd voor meerdere gebruikers, controleert u uw Active Directory-configuratie.
80004 Onjuiste UPN (user principal name) gebruikt voor aanmeldingsaanvraag. Vraag de gebruiker zich aan te melden met de juiste gebruikersnaam.
80005 Verificatieagent: er is een fout opgetreden. Tijdelijke fout. Probeer het later opnieuw.
80007 Verificatieagent kan geen verbinding maken met Active Directory. Controleer of uw Active Directory bereikbaar is via de verificatieagent.
80010 Verificatieagent kan wachtwoord niet ontsleutelen. Als het probleem consistent reproduceerbaar is, installeert en registreert u een nieuwe verificatie-agent en verwijdert u de huidige.
80011 Verificatieagent kan ontsleutelingssleutel hier ophalen. Als het probleem consistent reproduceerbaar is, installeert en registreert u een nieuwe verificatie-agent en verwijdert u de huidige.
80014 Validatieaanvraag heeft gereageerd nadat de maximale verstreken tijd is overschreden. Time-out van verificatie-agent. Open een ondersteuningsticket met de foutcode, correlatie-id en tijdstempel voor meer informatie over deze fout

Belangrijk

Pass-through-verificatieagenten verifiëren Microsoft Entra-gebruikers door hun gebruikersnamen en wachtwoorden te valideren voor Active Directory door de Win32-aanmeldings-API aan te roepen. Als u in Active Directory de instelling 'Aanmelden bij' hebt ingesteld om de aanmeldingstoegang tot werkstations te beperken, moet u servers die passthrough-verificatie-agents hosten ook toevoegen aan de lijst met 'Aanmelden bij'-servers. Als u dit niet doet, kunnen uw gebruikers zich niet aanmelden bij Microsoft Entra-id.

Problemen met het installeren van de verificatieagent

Er is een onverwachte fout opgetreden

Verzamel agentlogboeken van de server en neem contact op met Microsoft Ondersteuning met uw probleem.

Problemen met verificatieagentregistratie

Registratie van de verificatieagent is mislukt vanwege geblokkeerde poorten

Zorg ervoor dat de server waarop de verificatieagent is geïnstalleerd, kan communiceren met onze service-URL's en poorten die hier worden vermeld.

Registratie van de verificatieagent is mislukt vanwege token- of accountautorisatiefouten

Zorg ervoor dat u een globaal Beheer istrator-account in de cloud of een Hybrid Identity Beheer istrator-account gebruikt voor alle installatie- en registratiebewerkingen van microsoft Entra Verbinding maken of zelfstandige verificatieagent. Er is een bekend probleem met globale beheerdersaccounts met MFA. Schakel MFA tijdelijk uit (alleen om de bewerkingen te voltooien) als tijdelijke oplossing.

Er is een onverwachte fout opgetreden

Verzamel agentlogboeken van de server en neem contact op met Microsoft Ondersteuning met uw probleem.

Problemen met het verwijderen van de verificatieagent

Waarschuwingsbericht bij het verwijderen van Microsoft Entra Verbinding maken

Als passthrough-verificatie is ingeschakeld op uw tenant en u Microsoft Entra Connect probeert te verwijderen, wordt het volgende waarschuwingsbericht weergegeven: Gebruikers kunnen zich niet aanmelden bij Microsoft Entra ID, tenzij er andere passthrough-verificatieagents op andere servers zijn geïnstalleerd.

Zorg ervoor dat uw installatie een hoge beschikbaarheid heeft voordat u Microsoft Entra Connect verwijdert om te voorkomen dat gebruikers zich niet kunnen aanmelden.

Problemen met het inschakelen van de functie

Het inschakelen van de functie is mislukt omdat er geen verificatieagents beschikbaar waren

U moet ten minste één actieve verificatieagent hebben om passthrough-verificatie in te schakelen voor uw tenant. U kunt een verificatieagent installeren door Microsoft Entra Verbinding maken of een zelfstandige verificatieagent te installeren.

Het inschakelen van de functie is mislukt vanwege geblokkeerde poorten

Zorg ervoor dat de server waarop Microsoft Entra Verbinding maken is geïnstalleerd, kan communiceren met onze service-URL's en poorten die hier worden vermeld.

Het inschakelen van de functie is mislukt vanwege token- of accountautorisatiefouten

Zorg ervoor dat u een alleen-cloud account voor globale beheerders gebruikt wanneer u de functie inschakelt. Er is een bekend probleem met globale beheerdersaccounts met meervoudige verificatie (MFA). Schakel MFA tijdelijk uit (alleen om de bewerking te voltooien) als tijdelijke oplossing.

Logboeken van de passthrough-verificatieagent verzamelen

Afhankelijk van het type probleem moet u op verschillende plaatsen zoeken naar logboeken van de passthrough-verificatieagent.

Microsoft Entra Verbinding maken-logboeken

Raadpleeg de Logboeken van Microsoft Entra Verbinding maken op %ProgramData%\AADConnect\trace-*.log

Gebeurtenislogboeken van verificatieagent

Voor fouten met betrekking tot de verificatieagent opent u de toepassing Logboeken op de server en controleert u Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.

Schakel voor gedetailleerde analyse het logboek 'Sessie' in (klik met de rechtermuisknop in de toepassing Logboeken voor deze optie). Voer de verificatieagent niet uit als dit logboek is ingeschakeld tijdens normale bewerkingen. Gebruik dit alleen voor het oplossen van problemen. De inhoud van het logboek is pas zichtbaar nadat het logboek weer is uitgeschakeld.

Gedetailleerde traceringslogboeken

Als u fouten met gebruikersaanmelding wilt oplossen, zoekt u traceringslogboeken in %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Deze logboeken bevatten redenen waarom het aanmelden van een specifieke gebruiker met de functie Passthrough-verificatie is mislukt. Deze fouten worden ook toegewezen aan de redenen voor aanmeldingsfouten die worden weergegeven in de voorgaande tabel met redenen voor aanmeldingsfouten. Hier volgt een voorbeeld van een logboekvermelding:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

U kunt beschrijvende details van de fout ('1328' in het voorgaande voorbeeld) ophalen door de opdrachtprompt te openen en de volgende opdracht uit te voeren (opmerking: vervang '1328' door het werkelijke foutnummer dat u in uw logboeken ziet):

Net helpmsg 1328

Pass-through Authentication

Aanmeldingslogboeken voor passthrough-verificatie

Als auditlogboekregistratie is ingeschakeld, vindt u aanvullende informatie in de beveiligingslogboeken van uw passthrough-verificatieserver. Een eenvoudige manier om aanmeldingsaanvragen op te vragen, is door beveiligingslogboeken te filteren met behulp van de volgende query:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Prestatiemeteritems

Een andere manier om verificatieagents te bewaken, is door specifieke prestatiemeteritems bij te houden op elke server waarop de verificatieagent is geïnstalleerd. Gebruik de volgende globale tellers (# PTA-verificaties, #PTA mislukte verificaties en #PTA geslaagde verificaties) en foutmeteritems (# PTA-verificatiefouten):

Pass-through Authentication Performance Monitor counters

Belangrijk

Passthrough-verificatie biedt hoge beschikbaarheid met behulp van meerdere verificatieagenten, en niet taakverdeling. Afhankelijk van uw configuratie ontvangen niet al uw verificatieagents ongeveer hetzelfde aantal aanvragen. Het is mogelijk dat een specifieke verificatieagent helemaal geen verkeer ontvangt.