Foutberichten van de NPS-extensie voor Meervoudige Verificatie van Microsoft Entra oplossen
Als u fouten ondervindt met de NPS-extensie voor meervoudige verificatie van Microsoft Entra, gebruikt u dit artikel om sneller een oplossing te bereiken. NPS-extensielogboeken vindt u in Logboeken onder Toepassingen en Services-logboeken>Microsoft>AzureMfa>AuthN>AuthZ op de server waarop de NPS-extensie is geïnstalleerd.
Stappen voor probleemoplossing voor veelvoorkomende fouten
Foutcode | Stappen voor probleemoplossing |
---|---|
CONTACT_SUPPORT | Neem contact op met de ondersteuning en vermeld de lijst met stappen voor het verzamelen van logboeken. Geef zoveel mogelijk informatie op over wat er is gebeurd vóór de fout, inclusief tenant-id en UPN (User Principal Name). |
CLIENT_CERT_INSTALL_ERROR | Er is mogelijk een probleem met de manier waarop het clientcertificaat geïnstalleerd of aan uw tenant gekoppeld is. Volg de instructies in Problemen met de MFA NPS-extensie oplossen om problemen met clientcertificaten te onderzoeken |
ESTS_TOKEN_ERROR | Volg de instructies in Problemen met de MFA NPS-extensie oplossen om problemen met clientcertificaten en beveiligingstokens te onderzoeken |
HTTPS_COMMUNICATION_ERROR | De NPS-server kan geen antwoorden ontvangen van Meervoudige Verificatie van Microsoft Entra. Controleer of uw firewalls in twee richtingen zijn geopend voor verkeer van en naar https://adnotifications.windowsazure.com en dat TLS 1.2 is ingeschakeld (standaard). Als TLS 1.2 is uitgeschakeld, mislukt de gebruikersverificatie en wordt gebeurtenis-id 36871 met bron-SChannel ingevoerd in het systeemlogboek in Logboeken. Zie tls-registerinstellingen om te controleren of TLS 1.2 is ingeschakeld. |
HTTP_CONNECT_ERROR | Controleer of u op de server met de NPS-extensie https://adnotifications.windowsazure.com en https://login.microsoftonline.com/ kunt bereiken. Als deze websites niet worden geladen, moet u connectiviteitsproblemen op die server oplossen. |
NPS-extensie voor meervoudige verificatie van Microsoft Entra (AccessReject): NPS-extensie voor Meervoudige Verificatie van Microsoft Entra voert alleen secundaire verificatie uit voor Radius-aanvragen in accessAccept-status. Aanvraag ontvangen voor gebruikersnaam met antwoordstatus AccessReject, aanvraag negeren. |
Deze fout wil meestal zeggen dat AD een verificatiefout ondervindt of dat de NPS-server geen antwoorden van Microsoft Entra ID kan ontvangen. Controleer of uw firewalls bidirectioneel zijn geopend voor verkeer van en naar https://adnotifications.windowsazure.com en https://login.microsoftonline.com met de poorten 80 en 443. Het is ook belangrijk om te controleren of op het tabblad INBELLen van netwerktoegangsmachtigingen de instelling is ingesteld op 'Toegang beheren via NPS-netwerkbeleid'. Deze fout kan ook worden geactiveerd als de gebruiker geen licentie heeft toegewezen. |
NPS-extensie voor Meervoudige Verificatie van Microsoft Entra (AccessChallenge): NPS-extensie voor Meervoudige Verificatie van Microsoft Entra voert alleen secundaire verificatie uit voor Radius-aanvragen in accessAccept-status. Aanvraag ontvangen voor gebruikersnaam van gebruiker met antwoordstatus AccessChallenge, waarbij de aanvraag wordt genegeerd. |
Dit antwoord wordt gebruikt wanneer aanvullende informatie van de gebruiker is vereist om het verificatie- of autorisatieproces te voltooien. De NPS-server verzendt een uitdaging naar de gebruiker, waarbij verdere referenties of informatie worden aangevraagd. Dit wordt meestal voorafgegaan door een antwoord op Access-Accept of Access-Reject. |
REGISTRY_CONFIG_ERROR | Er ontbreekt een sleutel in het register voor de toepassing. Dit kan zijn omdat het PowerShell-script niet is uitgevoerd na de installatie. Het foutbericht moet de ontbrekende sleutel bevatten. Zorg dat de sleutel staat onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
REQUEST_FORMAT_ERROR Radius-aanvraag ontbreekt verplicht radius-userName\Identifier-kenmerk. Controleer of de NPS RADIUS-aanvragen ontvangt |
Deze fout duidt doorgaans op een installatieprobleem. De NPS-extensie moet worden geïnstalleerd op NPS-servers die RADIUS-aanvragen kunnen ontvangen. NPS-servers die zijn geïnstalleerd als afhankelijkheden voor services zoals RDG en RRAS ontvangen geen radius-aanvragen. De NPS-extensie werkt niet wanneer deze is geïnstalleerd via dergelijke installaties en fouten, omdat de details van de verificatieaanvraag niet kunnen worden gelezen. |
REQUEST_MISSING_CODE | Zorg ervoor dat het protocol voor wachtwoordversleuteling tussen de NPS- en NAS-servers de door u gebruikte secundaire verificatiemethode ondersteunt. PAP ondersteunt alle verificatiemethoden van Microsoft Entra-meervoudige verificatie in de cloud: telefoongesprek, sms-bericht in één richting, meldingen van mobiele apps en verificatiecode voor mobiele apps. CHAPV2 en EAP ondersteunen telefoonoproepen en meldingen in mobiele apps. |
USERNAME_CANONICALIZATION_ERROR | Controleer of de gebruiker aanwezig is in uw on-premises exemplaar van Active Directory en of de NPS-service toegang heeft tot de map. Als u forestvertrouwensrelaties gebruikt, neemt u contact op met de ondersteuning voor verdere hulp. |
Uitdaging aangevraagd in Verificatie-ext voor gebruiker | Organisaties die een ander RADIUS-protocol gebruiken dan PAP, zien dat gebruikers-VPN-autorisatie mislukt met deze gebeurtenissen die worden weergegeven in het gebeurtenislogboek AuthZOptCh van de NPS-extensieserver. U kunt de NPS-server configureren ter ondersteuning van PAP. Als PAP geen optie is, kunt u OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE instellen om terug te vallen op pushmeldingen goedkeuren/weigeren. Raadpleeg nummerkoppeling met behulp van nps-extensie voor meer hulp. |
Fouten bij alternatieve id voor aanmelding
Foutcode | Foutbericht | Stappen voor probleemoplossing |
---|---|---|
ALTERNATE_LOGIN_ID_ERROR | Fout: opzoeken van userObjectSid mislukt | Controleer of de gebruiker bestaat in uw on-premises exemplaar van Active Directory. Als u forestvertrouwensrelaties gebruikt, neemt u contact op met de ondersteuning voor verdere hulp. |
ALTERNATE_LOGIN_ID_ERROR | Fout: alternatieve LoginId-zoekopdracht mislukt | Controleer of LDAP_ALTERNATE_LOGINID_ATTRIBUTE is ingesteld op een geldig Active Directory-kenmerk. Als LDAP_FORCE_GLOBAL_CATALOG is ingesteld op Waar of LDAP_LOOKUP_FORESTS is geconfigureerd met een niet-lege waarde, controleert u of u een globale catalogus hebt geconfigureerd en of het kenmerk AlternateLoginId eraan is toegevoegd. Als LDAP_LOOKUP_FORESTS is geconfigureerd met een niet-lege waarde, controleert u of de waarde juist is. Als er meer dan één forestnaam is, moeten de namen worden gescheiden door puntkomma's, niet spaties. Als u het probleem niet kunt oplossen met deze stappen, neemt u contact op met de ondersteuning voor meer hulp. |
ALTERNATE_LOGIN_ID_ERROR | Fout: alternatieve LoginId-waarde is leeg | Controleer of het kenmerk AlternateLoginId is geconfigureerd voor de gebruiker. |
Fouten waarmee uw gebruikers te maken kunnen krijgen
Foutcode | Foutbericht | Stappen voor probleemoplossing |
---|---|---|
AccessDenied | De bellertenant heeft geen toegangsmachtigingen om verificatie voor de gebruiker uit te voeren | Controleer of het tenantdomein en het domein van de USER Principal Name (UPN) hetzelfde zijn. Zorg er bijvoorbeeld voor dat user@contoso.com zich probeert te verifiëren bij de Contoso-tenant. De UPN vertegenwoordigt een geldige gebruiker voor de tenant in Azure. |
AuthenticationMethodNotConfigured | De opgegeven verificatiemethode is niet geconfigureerd voor de gebruiker | Laat de gebruikers hun verificatiemethoden toevoegen of verifiëren volgens de instructies in Uw instellingen beheren voor verificatie in twee stappen. |
AuthenticationMethodNotSupported | De opgegeven verificatiemethode wordt niet ondersteund. | Verzamel al uw logboeken met deze fout en neem contact op met de ondersteuning. Wanneer u contact opneemt met ondersteuning, geeft u de gebruikersnaam en de secundaire verificatiemethode op die de fout heeft geactiveerd. |
BecAccessDenied | MSODS Bec-aanroep geretourneerde toegang geweigerd, waarschijnlijk is de gebruikersnaam niet gedefinieerd in de tenant | De gebruiker bevindt zich on-premises in Active Directory, maar wordt niet gesynchroniseerd met Microsoft Entra-id door AD Verbinding maken. Of de gebruiker ontbreekt voor de tenant. Voeg de gebruiker toe aan Microsoft Entra ID en laat ze hun verificatiemethoden toevoegen volgens de instructies in Uw instellingen beheren voor verificatie in twee stappen. |
InvalidFormat of StrongAuthenticationServiceInvalidParameter | Het telefoonnummer heeft een onherkenbare indeling | Laat de gebruiker zijn of haar telefoonnummers voor verificatie corrigeren. |
InvalidSession | De opgegeven sessie is ongeldig of mogelijk verlopen | De sessie heeft meer dan drie minuten in beslag genomen. Controleer of de gebruiker de verificatiecode invoert of reageert op de app-melding, binnen drie minuten na het initiëren van de verificatieaanvraag. Als dit het probleem niet oplost, controleert u of er geen netwerklatenties zijn tussen client, NAS Server, NPS Server en het Eindpunt voor meervoudige verificatie van Microsoft Entra. |
NoDefaultAuthenticationMethodIsConfigured | Er is geen standaard verificatiemethode geconfigureerd voor de gebruiker | Laat de gebruikers hun verificatiemethoden toevoegen of verifiëren volgens de instructies in Uw instellingen beheren voor verificatie in twee stappen. Controleer of de gebruiker een standaard verificatiemethode heeft gekozen en deze methode voor het account heeft geconfigureerd. |
OathCodePinIncorrect | Verkeerde code en pincode ingevoerd. | Deze fout wordt niet verwacht in de NPS-extensie. Als uw gebruiker dit ondervindt, neemt u contact op met de ondersteuning voor hulp bij het oplossen van problemen. |
ProofDataNotFound | Bewijsgegevens zijn niet geconfigureerd voor de opgegeven verificatiemethode. | Laat de gebruiker een andere verificatiemethode proberen of voeg een nieuwe verificatiemethode toe volgens de instructies in Uw instellingen beheren voor verificatie in twee stappen. Als de gebruiker deze fout blijft zien nadat u hebt bevestigd dat de verificatiemethode correct is ingesteld, neemt u contact op met de ondersteuning. |
SMSAuthFailedWrongCodePinEntered | Verkeerde code en pincode ingevoerd. (OneWaySMS) | Deze fout wordt niet verwacht in de NPS-extensie. Als uw gebruiker dit ondervindt, neemt u contact op met de ondersteuning voor hulp bij het oplossen van problemen. |
TenantIsBlocked | Tenant is geblokkeerd | Neem contact op met de ondersteuning met de tenant-id op de eigenschappenpagina van Microsoft Entra in het Microsoft Entra-beheercentrum. |
UserNotFound | De opgegeven gebruiker is niet gevonden | De tenant is niet meer zichtbaar als actief in Microsoft Entra ID. Controleer of uw abonnement actief is en of u de vereiste apps van de eerste partij hebt. Zorg er ook voor dat de tenant in het certificaatonderwerp naar verwachting staat vermeld en dat het certificaat nog steeds geldig is en is geregistreerd onder de service-principal. |
Berichten die uw gebruikers kunnen tegenkomen en die geen fouten zijn
Soms ontvangen uw gebruikers mogelijk berichten van meervoudige verificatie omdat hun verificatieaanvraag is mislukt. Dit zijn geen fouten in het product van de configuratie, maar zijn opzettelijke waarschuwingen waarin wordt uitgelegd waarom een verificatieaanvraag is geweigerd.
Foutcode | Foutmelding | Aanbevolen stappen |
---|---|---|
OathCodeIncorrect | Verkeerde code ingevoerd\OATH-code onjuist | De gebruiker heeft de verkeerde code ingevoerd. Laat ze het opnieuw proberen door een nieuwe code aan te vragen of zich opnieuw aan te melden. |
SMSAuthFailedMaxAllowedCodeRetryReached | Maximaal toegestaan aantal pogingen voor code bereikt | Voor de gebruiker is de verificatievraag te vaak mislukt. Afhankelijk van uw instellingen moeten deze mogelijk nu worden gedeblokkeerd door een beheerder. |
SMSAuthFailedWrongCodeEntered | Onjuiste code ingevoerd/sms-bericht OTP onjuist | De gebruiker heeft de verkeerde code ingevoerd. Laat ze het opnieuw proberen door een nieuwe code aan te vragen of zich opnieuw aan te melden. |
Verificatie beperkt | Te veel pogingen van de gebruiker in een korte periode. Aanvraagbeperking. | Microsoft kan herhaalde verificatiepogingen beperken die in een korte periode door dezelfde gebruiker worden uitgevoerd. Deze beperking is niet van toepassing op de Microsoft Authenticator- of verificatiecode. Als u deze limieten hebt bereikt, kunt u de Authenticator-app of de verificatiecode gebruiken of u binnen enkele minuten opnieuw proberen aan te melden. |
AuthenticationMethodLimitReached | Limiet voor verificatiemethode bereikt. Aanvraagbeperking. | Microsoft kan herhaalde verificatiepogingen beperken die door dezelfde gebruiker worden uitgevoerd met hetzelfde verificatiemethodetype in een korte periode, met name spraakoproep of sms. Deze beperking is niet van toepassing op de Microsoft Authenticator- of verificatiecode. Als u deze limieten hebt bereikt, kunt u de Authenticator-app of de verificatiecode gebruiken of u binnen enkele minuten opnieuw proberen aan te melden. |
Fouten waarvoor ondersteuning is vereist
Als u een van deze fouten tegenkomt, wordt u aangeraden contact op te leggen met ondersteuning voor diagnostische hulp. Er is geen standaardset stappen die deze fouten kunnen oplossen. Wanneer u contact opneemt met de ondersteuning, moet u zoveel mogelijk informatie opnemen over de stappen die hebben geleid tot een fout en uw tenantgegevens.
Foutcode | Foutmelding |
---|---|
InvalidParameter | Aanvraag mag niet null zijn |
InvalidParameter | ObjectId mag niet null of leeg zijn voor ReplicationScope:{0} |
InvalidParameter | De lengte van CompanyName {0}\ is langer dan de maximaal toegestane lengte {1} |
InvalidParameter | UserPrincipalName mag niet null of leeg zijn |
InvalidParameter | De opgegeven TenantId heeft geen juiste indeling |
InvalidParameter | SessionId mag niet null of leeg zijn |
InvalidParameter | Kan geen ProofData van aanvraag of Msods oplossen. De ProofData zijn onbekend |
InternalError | |
OathCodePinIncorrect | |
VersionNotSupported | |
MFAPinNotSetup |
Volgende stappen
Problemen met gebruikersaccounts oplossen
Als uw gebruikers problemen ondervinden met verificatie in twee stappen, kunt u hen helpen bij het zelf diagnosticeren van problemen.
Script voor statuscontrole
Het script voor multifactor authentication NPS Extension health check van Microsoft Entra voert verschillende basisstatuscontroles uit bij het oplossen van problemen met de NPS-extensie. Hier volgt een beknopt overzicht van elke beschikbare optie wanneer het script wordt uitgevoerd:
- Optie 1 : om de oorzaak van het probleem te isoleren: als het een NPS- of MFA-probleem is (MFA RegKeys exporteren, NPS opnieuw opstarten, testen, RegKeys importeren, NPS opnieuw starten)
- Optie 2 : als u een volledige set tests wilt controleren, kunnen niet alle gebruikers de MFA NPS-extensie gebruiken (Toegang testen tot Azure/HTML-rapport maken)
- Optie 3 : om een specifieke set tests te controleren wanneer een specifieke gebruiker de MFA NPS-extensie niet kan gebruiken (Test MFA voor specifieke UPN)
- Optie 4 : om logboeken te verzamelen om contact op te maken met Microsoft Ondersteuning (NPS opnieuw opstarten/Logboeken verzamelen)
Contact opnemen met Microsoft Ondersteuning
Als u extra hulp nodig hebt, neemt u contact op met een ondersteuningsmedewerker via MFA-ondersteuning. Wanneer u contact met ons opneemt, is het handig als u zoveel mogelijk informatie over uw probleem kunt opnemen. Informatie die u kunt opgeven, bevat de pagina waar u de fout hebt gezien, de specifieke foutcode, de specifieke sessie-id, de id van de gebruiker die de fout heeft gezien en logboeken voor foutopsporing.
Als u foutopsporingslogboeken voor ondersteuningsdiagnose wilt verzamelen, voert u het statuscontrolescript voor de NPS-extensie van Microsoft Entra uit op de NPS-server en kiest u optie 4 om de logboeken te verzamelen om deze aan Microsoft-ondersteuning te bieden.
Upload aan het einde het zip-uitvoerbestand dat is gegenereerd in de map C:\NPS en voeg het toe aan de ondersteuningsaanvraag.