Verbindingsproblemen met Microsoft Entra Connect oplossen
In dit artikel wordt uitgelegd hoe connectiviteit tussen Microsoft Entra Connect en Microsoft Entra ID werkt en hoe u verbindingsproblemen oplost. Deze problemen zijn waarschijnlijk zichtbaar in een omgeving die gebruikmaakt van een proxyserver.
Verbindingsproblemen in de installatiewizard
Microsoft Entra Connect maakt gebruik van de Microsoft Authentication Library (MSAL) voor verificatie. De installatiewizard en de synchronisatie-engine vereisen dat machine.config correct wordt geconfigureerd omdat deze twee .NET-toepassingen zijn.
Notitie
Azure AD Connect v1.6.xx.x maakt gebruik van de ADAL (Active Directory Authentication Library). De ADAL wordt afgeschaft en de ondersteuning eindigt in juni 2022. U wordt aangeraden een upgrade uit te voeren naar de nieuwste versie van Microsoft Entra Connect v2.
In dit artikel laten we zien hoe Fabrikam via de proxy verbinding maakt met Microsoft Entra-id. De proxyserver heeft een naam fabrikamproxy en gebruikt poort 8080.
Zorg er eerst voor dat machine.config correct is geconfigureerd en of de Microsoft Entra ID Sync-service eenmaal na de update van het bestand machine.config opnieuw is opgestart.
Notitie
Sommige niet-Microsoft-blogs geven aan dat u wijzigingen moet aanbrengen in miiserver.exe.config in plaats van het bestand machine.config . Het bestand miiserver.exe.config wordt echter overschreven bij elke upgrade. Zelfs als het bestand werkt tijdens de eerste installatie, werkt het systeem niet meer tijdens de eerste upgrade. Daarom raden we u aan machine.config bij te werken, zoals beschreven in dit artikel.
De proxyserver moet ook de vereiste URL's hebben geopend. De officiële lijst wordt beschreven in URL's en IP-adresbereiken van Office 365.
Van deze URL's zijn de URL's in de volgende tabel het absolute minimum om helemaal geen verbinding te kunnen maken met Microsoft Entra-id. Deze lijst bevat geen optionele functies, zoals wachtwoord terugschrijven of Microsoft Entra Connect Health. De informatie vindt u hier voor hulp bij het oplossen van problemen met de eerste configuratie.
| URL | Haven | Beschrijving |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Wordt gebruikt om CRL-lijsten (Certificate Revocation List) te downloaden. |
*.verisign.com |
HTTP/80 | Wordt gebruikt om CRL-lijsten te downloaden. |
*.entrust.net |
HTTP/80 | Wordt gebruikt voor het downloaden van CRL-lijsten voor meervoudige verificatie (MFA). |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Wordt gebruikt voor de verschillende Azure-services. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Wordt gebruikt voor MFA. |
*.microsoftonline.com |
HTTPS/443 | Wordt gebruikt om uw Microsoft Entra-directory te configureren en gegevens te importeren/exporteren. |
*.crl3.digicert.com |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
*.crl4.digicert.com |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
*.digicert.cn |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
*.ocsp.digicert.com |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
*.www.d-trust.net |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
*.crl.microsoft.com |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
*.oneocsp.microsoft.com |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
*.ocsp.msocsp.com |
HTTP/80 | Wordt gebruikt om certificaten te verifiëren. |
Fouten in de wizard
De installatiewizard maakt gebruik van twee verschillende beveiligingscontexten. Op de pagina Verbinding maken met Microsoft Entra-id wordt de gebruiker gebruikt die momenteel is aangemeld. Op de pagina Configureren verandert het in het account waarop de service voor de synchronisatie-engine wordt uitgevoerd. Als er een probleem optreedt, wordt de fout waarschijnlijk weergegeven op de pagina Verbinding maken met Microsoft Entra-id in de wizard, omdat de proxyconfiguratie globaal is.
De volgende problemen zijn de meest voorkomende fouten die kunnen optreden in de installatiewizard.
De installatiewizard is niet juist geconfigureerd
Deze fout wordt weergegeven wanneer de wizard zelf de proxy niet kan bereiken.
Als u deze fout ziet, controleert u of het bestand machine.config juist is geconfigureerd. Als machine.config er correct uitziet, voert u de stappen in Proxyconnectiviteit controleren uit om te zien of het probleem ook buiten de wizard aanwezig is.
Er wordt een Microsoft-account gebruikt
Als u een Microsoft-account gebruikt in plaats van een school- of organisatieaccount, ziet u een algemene fout:
Het MFA-eindpunt kan niet worden bereikt
Deze fout wordt weergegeven als het eindpunt https://secure.aadcdn.microsoftonline-p.com niet kan worden bereikt en uw hybride identiteitsbeheerder MFA heeft ingeschakeld.
Als u deze fout ziet, controleert u of het eindpunt secure.aadcdn.microsoftonline-p.com is toegevoegd aan de proxy.
Het wachtwoord kan niet worden geverifieerd
Als de installatiewizard verbinding kan maken met Microsoft Entra ID, maar het wachtwoord zelf niet kan worden geverifieerd, ziet u deze fout:
Is het wachtwoord een tijdelijk wachtwoord dat moet worden gewijzigd? Is het eigenlijk het juiste wachtwoord? Meld u aan https://login.microsoftonline.com op een andere computer dan de Microsoft Entra Connect-server en controleer of het account bruikbaar is.
Proxyconnectiviteit controleren
Als u wilt controleren of de Microsoft Entra Connect-server verbinding maakt met de proxy en internet, gebruikt u enkele PowerShell-cmdlets om te zien of de proxy webaanvragen toestaat. Voer in PowerShell de opdracht uit Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Technisch gezien is de eerste aanroep van https://login.microsoftonline.com, en deze URI werkt ook, maar de andere URI is sneller te reageren.)
PowerShell gebruikt de configuratie in machine.config om contact op te maken met de proxy. De instellingen in winhttp/netsh mogen niet van invloed zijn op deze cmdlets.
Als de proxy correct is geconfigureerd, wordt de status geslaagd weergegeven:
Als het bericht Kan geen verbinding maken met de externe server wordt weergegeven, probeert PowerShell direct aan te roepen zonder de proxy of DNS te gebruiken, niet juist geconfigureerd. Zorg ervoor dat het bestand machine.config correct is geconfigureerd.
Als de proxy niet juist is geconfigureerd, wordt er een 403- of 407-foutbericht weergegeven:
In de volgende tabel worden 403- en 407-proxyfouten beschreven:
| Fout | Fouttekst | Commentaar |
|---|---|---|
| 403 | Verboden | De proxy is niet geopend voor de aangevraagde URL. Ga opnieuw naar de proxyconfiguratie en zorg ervoor dat de URL's zijn geopend. |
| 407 | Proxyverificatie vereist | De proxyserver vereist een aanmelding en er is geen opgegeven. Als voor uw proxyserver verificatie is vereist, moet u ervoor zorgen dat u deze instelling hebt geconfigureerd in machine.config. Zorg er ook voor dat u domeinaccounts gebruikt voor de gebruiker die de wizard uitvoert en voor het serviceaccount. |
Time-outinstelling voor niet-actieve proxy
Wanneer Microsoft Entra Connect een exportaanvraag naar Microsoft Entra ID verzendt, kan het tot vijf minuten duren voordat de aanvraag wordt verwerkt voordat een antwoord wordt gegenereerd. Het antwoord is met name waarschijnlijk vertraagd als veel groepsobjecten met grote groepslidmaatschappen zijn opgenomen in dezelfde exportaanvraag. Zorg ervoor dat de time-out voor inactiviteit van de proxy is geconfigureerd voor meer dan 5 minuten. Anders hebt u mogelijk onregelmatige verbindingsproblemen met Microsoft Entra ID op de Microsoft Entra Connect-server.
Communicatiepatroon tussen Microsoft Entra Connect en Microsoft Entra ID
Als u alle stappen in dit artikel hebt gevolgd en u nog steeds geen verbinding kunt maken, kunt u op dit moment netwerklogboeken bekijken. In deze sectie wordt een normaal en geslaagd verbindingspatroon beschreven.
Maar eerst zijn er enkele veelvoorkomende problemen met gegevens in de netwerklogboeken die u kunt negeren:
- Er zijn oproepen naar
https://dc.services.visualstudio.com. Het is niet vereist dat deze URL in de proxy is geopend om de installatie te voltooien en deze aanroepen kunnen worden genegeerd. - U ziet dat de DNS-omzetting de werkelijke hosts vermeldt als in de DNS-naamruimte
nsatc.neten andere naamruimten die zich niet ondermicrosoftonline.combevinden. Er zijn echter geen webserviceaanvragen voor de werkelijke servernamen. U hoeft deze URL's niet toe te voegen aan de proxy. - De eindpunten en
provisioningapizijn detectie-eindpuntenadminwebserviceen ze worden gebruikt om het werkelijke eindpunt te vinden dat moet worden gebruikt. Deze eindpunten verschillen, afhankelijk van uw regio.
Referentieproxylogboeken
Het volgende voorbeeld is een dump uit een daadwerkelijk proxylogboek en de pagina van de installatiewizard van waaruit deze is genomen (dubbele vermeldingen naar hetzelfde eindpunt zijn verwijderd). Deze sectie kan worden gebruikt als referentie voor uw eigen proxy- en netwerklogboeken. De werkelijke eindpunten kunnen afwijken in uw omgeving (met name de URL's cursief).
Verbinding maken met Microsoft Entra-id
| Tijd | URL |
|---|---|
| 1/11/2016 8:31 | verbinding maken:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
Configureren
| Tijd | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
Initiële synchronisatie
| Tijd | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
Verificatiefouten
In deze sectie worden fouten beschreven die kunnen worden geretourneerd vanuit de ADAL en PowerShell. De uitleg van de fout helpt u bij het identificeren van de volgende stappen.
Ongeldige toekenning
U hebt een ongeldige gebruikersnaam of een ongeldig wachtwoord ingevoerd. Zie Het wachtwoord kan niet worden geverifieerd voor meer informatie.
Onbekend gebruikerstype
Uw Microsoft Entra-map kan niet worden gevonden of opgelost. Misschien hebt u geprobeerd u aan te melden met een gebruikersnaam in een niet-geverifieerd domein?
Detectie van gebruikersrealm is mislukt
Problemen met netwerk- of proxyconfiguratie. Het netwerk kan niet worden bereikt. Zie verbindingsproblemen in de installatiewizard.
Gebruikerswachtwoord is verlopen
Uw referenties zijn verlopen. Wijzig uw wachtwoord.
Autorisatiefout
Microsoft Entra Connect kan de gebruiker niet autoriseren om een actie uit te voeren in Microsoft Entra-id.
Verificatie is geannuleerd
De MFA-uitdaging is geannuleerd.
Verbinding maken met MSOnline is mislukt
Verificatie is geslaagd, maar Azure AD PowerShell heeft een verificatieprobleem.
Privileged Identity Management ingeschakeld
Verificatie is geslaagd, maar Privileged Identity Management is ingeschakeld en de gebruiker is momenteel geen hybride identiteitsbeheerder. Zie Privileged Identity Management voor meer informatie.
Bedrijfsgegevens zijn niet beschikbaar
Verificatie is geslaagd, maar bedrijfsgegevens kunnen niet worden opgehaald uit Microsoft Entra-id.
Domeingegevens zijn niet beschikbaar
Verificatie is geslaagd, maar domeingegevens kunnen niet worden opgehaald uit Microsoft Entra-id.
Niet-opgegeven verificatiefout
Weergegeven als onverwachte fout in de installatiewizard. Deze fout kan optreden als u een Microsoft-account probeert te gebruiken in plaats van een school- of organisatieaccount.
Stappen voor probleemoplossing voor eerdere releases
In releases vanaf buildnummer 1.1.105.0 (uitgebracht in februari 2016) is de aanmeldassistent buiten gebruik gesteld. Het configureren van de aanmeldassistent is niet meer vereist, maar de informatie in de volgende secties is ter referentie opgenomen.
Eenmalige aanmeldingsassistent werkt alleen als Microsoft Windows HTTP Services (WinHTTP) is geconfigureerd. U kunt WinHTTP configureren met behulp van netsh.
De aanmeldassistent is niet juist geconfigureerd
Deze fout wordt weergegeven wanneer de aanmeldassistent de proxy niet kan bereiken of de proxy de aanvraag niet toestaat.
Als u deze fout ziet, bekijkt u de proxyconfiguratie in netsh en controleert u of deze juist is.
Als de proxyconfiguratie er correct uitziet, voert u de stappen in Proxyconnectiviteit controleren uit om te zien of het probleem zich buiten de wizard voordoet.
Volgende stappen
Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra ID.