Usuwanie komunikatów o błędach z rozszerzenia serwera NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft
Jeśli wystąpią błędy z rozszerzeniem NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft, skorzystaj z tego artykułu, aby szybciej rozwiązać problem. Dzienniki rozszerzeń serwera NPS znajdują się w Podgląd zdarzeń w obszarze Dzienniki aplikacji i usług Dzienniki>usługi Microsoft>AzureMfa>AuthN>AuthZ na serwerze, na którym zainstalowano rozszerzenie SERWERA NPS.
Kroki rozwiązywania problemów z typowymi błędami
| Kod błędu | Kroki rozwiązywania problemów |
|---|---|
| CONTACT_SUPPORT | Skontaktuj się z pomocą techniczną i podaj listę kroków zbierania dzienników. Podaj jak najwięcej informacji o tym, co się stało przed błędem, w tym identyfikator dzierżawy i główna nazwa użytkownika (UPN). |
| CLIENT_CERT_INSTALL_ERROR | Problem może dotyczyć sposobu zainstalowania certyfikatu klienta lub skojarzenia go z dzierżawą. Postępuj zgodnie z instrukcjami w temacie Rozwiązywanie problemów z rozszerzeniem serwera NPS usługi MFA, aby zbadać problemy z certyfikatem klienta. |
| ESTS_TOKEN_ERROR | Postępuj zgodnie z instrukcjami w artykule Rozwiązywanie problemów z rozszerzeniem serwera NPS uwierzytelniania wieloskładnikowego, aby zbadać problemy z certyfikatem klienta i tokenem zabezpieczającym. |
| HTTPS_COMMUNICATION_ERROR | Serwer NPS nie może odbierać odpowiedzi z uwierzytelniania wieloskładnikowego firmy Microsoft. Sprawdź, czy zapory są otwarte dwukierunkowo dla ruchu do i z https://adnotifications.windowsazure.com i czy protokół TLS 1.2 jest włączony (ustawienie domyślne). Jeśli protokół TLS 1.2 jest wyłączony, uwierzytelnianie użytkownika zakończy się niepowodzeniem, a identyfikator zdarzenia 36871 ze źródłem SChannel zostanie wprowadzony w dzienniku systemu Podgląd zdarzeń. Aby sprawdzić, czy protokół TLS 1.2 jest włączony, zobacz Ustawienia rejestru TLS. |
| HTTP_CONNECT_ERROR | Na serwerze z uruchomionym rozszerzeniem serwera NPS sprawdź, czy można uzyskać dostęp do witryn https://adnotifications.windowsazure.com i https://login.microsoftonline.com/. Jeśli te lokacje nie są ładowane, rozwiąż problemy z łącznością na tym serwerze. |
| Rozszerzenie serwera NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft (AccessReject): Rozszerzenie serwera NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft wykonuje tylko pomocnicze uwierzytelnianie dla żądań radius w stanie AccessAccept. Żądanie odebrane dla nazwy użytkownika o stanie odpowiedzi AccessReject, ignorując żądanie. |
Ten błąd zazwyczaj oznacza nieudane uwierzytelnianie w usłudze AD lub sytuację, w której serwer NPS nie może odbierać odpowiedzi z usługi Microsoft Entra ID. Sprawdź, czy zapory są otwarte dla ruchu w obu kierunkach — do i z witryn https://adnotifications.windowsazure.com oraz https://login.microsoftonline.com przy użyciu portów 80 i 443. Ważne jest również, aby sprawdzić, czy na karcie DIAL-IN w obszarze Uprawnienia dostępu do sieci ustawienie ma wartość "Kontrola dostępu za pośrednictwem zasad sieciowych nps". Ten błąd może również być wyzwalany, jeśli użytkownik nie ma przypisanej licencji. |
| Rozszerzenie SERWERA NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft (AccessChallenge): Rozszerzenie serwera NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft wykonuje tylko pomocnicze uwierzytelnianie dla żądań radius w stanie AccessAccept. Żądanie odebrane dla nazwy użytkownika z stanem odpowiedzi AccessChallenge, ignorując żądanie. |
Ta odpowiedź jest używana, gdy wymagane są dodatkowe informacje od użytkownika w celu ukończenia procesu uwierzytelniania lub autoryzacji. Serwer NPS wysyła wyzwanie do użytkownika, żądając dalszych poświadczeń lub informacji. Zwykle poprzedza odpowiedź Access-Accept lub Access-Reject. |
| REGISTRY_CONFIG_ERROR | W rejestrze aplikacji brakuje klucza, co może być spowodowane tym, że po zakończeniu instalacji nie został uruchomiony skrypt programu PowerShell. Komunikat o błędzie powinien zawierać brakujący klucz. Upewnij się, że masz klucz w obszarze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
| REQUEST_FORMAT_ERROR Żądanie usługi Radius nie ma obowiązkowego atrybutu userName\Identifier usługi Radius. Sprawdź, czy serwer NPS odbiera żądania usługi RADIUS |
Ten błąd zwykle oznacza problem z instalacją. Rozszerzenie serwera NPS musi być instalowane na serwerach NPS, które mogą odbierać żądania usługi RADIUS. Serwery NPS, które są instalowane jako zależności dla usług, takich jak RDG i RRAS, nie odbierają żądań usługi Radius. Rozszerzenie serwera NPS nie działa w przypadku instalacji takich instalacji i błędów, ponieważ nie może odczytać szczegółów z żądania uwierzytelniania. |
| REQUEST_MISSING_CODE | Upewnij się, że protokół szyfrowania haseł między serwerami NPS i NAS obsługuje używaną metodę uwierzytelniania pomocniczego. Protokół PAP obsługuje wszystkie metody uwierzytelniania wieloskładnikowego firmy Microsoft w chmurze: połączenie telefoniczne, jednokierunkowa wiadomość SMS, powiadomienie aplikacji mobilnej i kod weryfikacyjny aplikacji mobilnej. ChapV2 i EAP obsługują połączenie telefoniczne i powiadomienia aplikacji mobilnej. |
| USERNAME_CANONICALIZATION_ERROR | Sprawdź, czy użytkownik znajduje się w twoim wystąpieniu lokalna usługa Active Directory i czy usługa NPS ma uprawnienia dostępu do katalogu. Jeśli używasz relacji zaufania lasu, skontaktuj się z pomocą techniczną, aby uzyskać dalszą pomoc. |
| Żądanie żądania w ekst. uwierzytelniania dla użytkownika | Organizacje korzystające z protokołu RADIUS innego niż PAP widzą niepowodzenie autoryzacji sieci VPN użytkownika z powodu tych zdarzeń wyświetlanych w dzienniku zdarzeń AuthZOptCh serwera rozszerzenia NPS. Serwer NPS można skonfigurować tak, aby obsługiwał protokół PAP. Jeśli opcja PAP nie jest dostępna, możesz ustawić OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAŁSZ, aby powrócić do opcji Zatwierdź/Odmów powiadomienia wypychane. Aby uzyskać dalszą pomoc, zapoznaj się z tematem Dopasowywanie numerów przy użyciu rozszerzenia serwera NPS. |
Błędy alternatywnego identyfikatora logowania
| Kod błędu | Komunikat o błędzie | Kroki rozwiązywania problemów |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Błąd: wyszukiwanie userObjectSid nie powiodło się | Sprawdź, czy użytkownik istnieje w wystąpieniu lokalna usługa Active Directory. Jeśli używasz relacji zaufania lasu, skontaktuj się z pomocą techniczną, aby uzyskać dalszą pomoc. |
| ALTERNATE_LOGIN_ID_ERROR | Błąd: Wyszukiwanie alternatywnego identyfikatora logowania nie powiodło się | Sprawdź, czy LDAP_ALTERNATE_LOGINID_ATTRIBUTE jest ustawiony na prawidłowy atrybut usługi Active Directory. Jeśli LDAP_FORCE_GLOBAL_CATALOG jest ustawiona na true lub LDAP_LOOKUP_FORESTS jest skonfigurowana z niepustą wartością, sprawdź, czy skonfigurowano wykaz globalny i czy atrybut AlternateLoginId został dodany do niego. Jeśli LDAP_LOOKUP_FORESTS jest skonfigurowana z niepustą wartością, sprawdź, czy wartość jest poprawna. Jeśli istnieje więcej niż jedna nazwa lasu, nazwy muszą być oddzielone średnikami, a nie spacjami. Jeśli te kroki nie rozwiążą problemu, skontaktuj się z pomocą techniczną, aby uzyskać więcej pomocy. |
| ALTERNATE_LOGIN_ID_ERROR | Błąd: Wartość alternatywnego identyfikatora logowania jest pusta | Sprawdź, czy atrybut AlternateLoginId jest skonfigurowany dla użytkownika. |
Błędy, które użytkownicy mogą napotkać
| Kod błędu | Komunikat o błędzie | Kroki rozwiązywania problemów |
|---|---|---|
| Accessdenied | Dzierżawa wywołująca nie ma uprawnień dostępu do uwierzytelniania użytkownika | Sprawdź, czy domena dzierżawy i domena głównej nazwy użytkownika (UPN) są takie same. Na przykład upewnij się, że user@contoso.com próbujesz uwierzytelnić się w dzierżawie firmy Contoso. Nazwa UPN reprezentuje prawidłowego użytkownika dla dzierżawy na platformie Azure. |
| AuthenticationMethodNotConfigured | Określona metoda uwierzytelniania nie została skonfigurowana dla użytkownika | Użytkownik musi dodać lub zweryfikować swoje metody weryfikacji zgodnie z instrukcjami w temacie Zarządzanie ustawieniami weryfikacji dwuetapowej. |
| AuthenticationMethodNotSupported | Określona metoda uwierzytelniania nie jest obsługiwana. | Zbierz wszystkie dzienniki, które zawierają ten błąd, i skontaktuj się z pomocą techniczną. Po skontaktowaniu się z pomocą techniczną podaj nazwę użytkownika i pomocniczą metodę weryfikacji, która wyzwoliła błąd. |
| BecAccessDenied | Wywołanie MSODS Bec zwróciło odmowa dostępu, prawdopodobnie nazwa użytkownika nie jest zdefiniowana w dzierżawie | Użytkownik jest obecny w lokalnej usłudze Active Directory, ale nie jest synchronizowany z identyfikatorem Entra firmy Microsoft przez usługę AD Połączenie. Lub brakuje użytkownika w dzierżawie. Dodaj użytkownika do identyfikatora Entra firmy Microsoft i dodaj metody weryfikacji zgodnie z instrukcjami w temacie Zarządzanie ustawieniami weryfikacji dwuetapowej. |
| InvalidFormat lub StrongAuthenticationServiceInvalidParameter | Numer telefonu jest w nierozpoznawalnym formacie | Użytkownik musi poprawić swoje numery telefonów weryfikacyjnych. |
| InvalidSession | Określona sesja jest nieprawidłowa lub mogła wygasła | Ukończenie sesji zajęło ponad trzy minuty. Sprawdź, czy użytkownik wprowadza kod weryfikacyjny lub odpowiada na powiadomienie aplikacji w ciągu trzech minut od zainicjowania żądania uwierzytelniania. Jeśli to nie rozwiąże problemu, sprawdź, czy między klientem, serwerem NAS, serwerem NPS i punktem końcowym uwierzytelniania wieloskładnikowego firmy Microsoft nie ma żadnych opóźnień sieciowych. |
| NoDefaultAuthenticationMethodIsConfigured | Nie skonfigurowano domyślnej metody uwierzytelniania dla użytkownika | Użytkownik musi dodać lub zweryfikować swoje metody weryfikacji zgodnie z instrukcjami w temacie Zarządzanie ustawieniami weryfikacji dwuetapowej. Sprawdź, czy użytkownik wybrał domyślną metodę uwierzytelniania i skonfigurował tę metodę dla swojego konta. |
| OathCodePinIncorrect | Wprowadzony nieprawidłowy kod i numer PIN. | Ten błąd nie jest oczekiwany w rozszerzeniu serwera NPS. Jeśli użytkownik napotka ten problem, skontaktuj się z pomocą techniczną, aby uzyskać pomoc dotyczącą rozwiązywania problemów. |
| ProofDataNotFound | Dane sprawdzające nie zostały skonfigurowane dla określonej metody uwierzytelniania. | Użytkownik spróbuj użyć innej metody weryfikacji lub dodaj nową metodę weryfikacji zgodnie z instrukcjami w temacie Zarządzanie ustawieniami weryfikacji dwuetapowej. Jeśli użytkownik nadal widzi ten błąd po potwierdzeniu, że ich metoda weryfikacji jest poprawnie skonfigurowana, skontaktuj się z pomocą techniczną. |
| SMSAuthFailedWrongCodePinEntered | Wprowadzony nieprawidłowy kod i numer PIN. (OneWaySMS) | Ten błąd nie jest oczekiwany w rozszerzeniu serwera NPS. Jeśli użytkownik napotka ten problem, skontaktuj się z pomocą techniczną, aby uzyskać pomoc dotyczącą rozwiązywania problemów. |
| TenantIsBlocked | Dzierżawa jest zablokowana | Skontaktuj się z pomocą techniczną przy użyciu identyfikatora dzierżawy ze strony właściwości firmy Microsoft Entra w centrum administracyjnym firmy Microsoft. |
| UserNotFound | Nie można odnaleźć określonego użytkownika | Dzierżawa nie jest już widoczna jako aktywna w identyfikatorze Entra firmy Microsoft. Sprawdź, czy twoja subskrypcja jest aktywna i masz wymagane aplikacje pierwszej firmy. Upewnij się również, że dzierżawa podmiotu certyfikatu jest zgodnie z oczekiwaniami, a certyfikat jest nadal ważny i zarejestrowany w ramach jednostki usługi. |
Komunikaty, które użytkownicy mogą napotkać, że nie występują błędy
Czasami użytkownicy mogą otrzymywać komunikaty z uwierzytelniania wieloskładnikowego, ponieważ żądanie uwierzytelnienia nie powiodło się. Nie są to błędy w produkcie konfiguracji, ale są zamierzone ostrzeżenia wyjaśniające, dlaczego żądanie uwierzytelniania zostało odrzucone.
| Kod błędu | Komunikat o błędzie | Zalecane czynności |
|---|---|---|
| OathCodeIncorrect | Wprowadzony nieprawidłowy kod\Niepoprawny kod OATH | Użytkownik wprowadził nieprawidłowy kod. Poproś ich o ponowne wypróbowanie, żądając nowego kodu lub ponownie się zalogować. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Osiągnięto maksymalną dozwoloną liczbę ponownych prób kodu | Użytkownik zbyt wiele razy nie powiódł się w wyzwaniu weryfikacji. W zależności od ustawień może być konieczne odblokowanie ich przez administratora. |
| SMSAuthFailedWrongCodeEntered | Nieprawidłowy kod wprowadzony/nieprawidłowy komunikat tekstowy OTP | Użytkownik wprowadził nieprawidłowy kod. Poproś ich o ponowne wypróbowanie, żądając nowego kodu lub ponownie się zalogować. |
| AuthenticationThrottled | Zbyt wiele prób przez użytkownika w krótkim czasie. Ograniczenie przepustowości. | Firma Microsoft może ograniczyć powtarzające się próby uwierzytelniania wykonywane przez tego samego użytkownika w krótkim czasie. To ograniczenie nie dotyczy aplikacji Microsoft Authenticator ani kodu weryfikacyjnego. Jeśli te limity zostały osiągnięty, możesz użyć aplikacji Authenticator, kodu weryfikacyjnego lub spróbować zalogować się ponownie za kilka minut. |
| AuthenticationMethodLimitReached | Osiągnięto limit metody uwierzytelniania. Ograniczenie przepustowości. | Firma Microsoft może ograniczyć powtarzające się próby uwierzytelniania wykonywane przez tego samego użytkownika przy użyciu tego samego typu metody uwierzytelniania w krótkim czasie, w szczególności połączeń głosowych lub wiadomości SMS. To ograniczenie nie dotyczy aplikacji Microsoft Authenticator ani kodu weryfikacyjnego. Jeśli te limity zostały osiągnięty, możesz użyć aplikacji Authenticator, kodu weryfikacyjnego lub spróbować zalogować się ponownie za kilka minut. |
Błędy wymagające obsługi
Jeśli wystąpi jeden z tych błędów, zalecamy skontaktowanie się z pomocą techniczną w celu uzyskania pomocy diagnostycznej. Nie ma standardowego zestawu kroków, które mogą rozwiązać te błędy. Jeśli skontaktujesz się z pomocą techniczną, dołącz jak najwięcej informacji na temat kroków, które doprowadziły do błędu, oraz informacji o dzierżawie.
| Kod błędu | Komunikat o błędzie |
|---|---|
| Nieprawidłowy parametr | Żądanie nie może mieć wartości null |
| Nieprawidłowy parametr | Identyfikator ObjectId nie może być pusty ani mieć wartości null dla właściwości ReplicationScope:{0} |
| Nieprawidłowy parametr | Długość nazwy firmy {0}\ jest dłuższa niż maksymalna dozwolona długość {1} |
| Nieprawidłowy parametr | Nazwa UserPrincipalName nie może być równa null ani być pusta |
| Nieprawidłowy parametr | Podany identyfikator TenantId nie jest w poprawnym formacie |
| Nieprawidłowy parametr | Identyfikator sesji nie może być pusty ani mieć wartości null |
| Nieprawidłowy parametr | Nie można rozpoznać żadnych danych ProofData z żądania lub msods. Pole ProofData nie jest własnością |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Następne kroki
Rozwiązywanie problemów z kontami użytkowników
Jeśli użytkownicy mają problemy z weryfikacją dwuetapową, pomóż im samodzielnie diagnozować problemy.
Skrypt sprawdzania kondycji
Skrypt sprawdzania kondycji rozszerzenia NPS uwierzytelniania wieloskładnikowego firmy Microsoft wykonuje kilka podstawowych testów kondycji podczas rozwiązywania problemów z rozszerzeniem NPS. Poniżej przedstawiono krótkie podsumowanie każdej dostępnej opcji po uruchomieniu skryptu:
- Opcja 1 — aby wyizolować przyczynę problemu: jeśli jest to problem z serwerem NPS lub uwierzytelnianiem wieloskładnikowym (eksportowanie kluczy rejestru uwierzytelniania wieloskładnikowego, ponowne uruchamianie serwerów NPS, testowanie, importowanie kluczy rejestru, ponowne uruchamianie serwera NPS)
- Opcja 2 — aby sprawdzić pełny zestaw testów, gdy nie wszyscy użytkownicy mogą używać rozszerzenia serwera NPS usługi MFA (testowanie dostępu do platformy Azure/Tworzenie raportu HTML)
- Opcja 3 — aby sprawdzić określony zestaw testów, gdy określony użytkownik nie może użyć rozszerzenia serwera NPS usługi MFA (test MFA dla określonej nazwy UPN)
- Opcja 4 — zbieranie dzienników w celu skontaktowania się z pomocą techniczną firmy Microsoft (włączanie rejestrowania/ponownego uruchamiania serwera NPS/zbieranie dzienników)
Kontaktowanie się z pomocą techniczną firmy Microsoft
Jeśli potrzebujesz dodatkowej pomocy, skontaktuj się z specjalistą pomocy technicznej za pośrednictwem pomocy technicznej dotyczącej uwierzytelniania wieloskładnikowego. Jeśli skontaktujesz się z nami, warto dołączyć jak najwięcej informacji o problemie. Informacje, które można podać, obejmują stronę, na której został wyświetlony błąd, określony kod błędu, określony identyfikator sesji, identyfikator użytkownika, który widział błąd i dzienniki debugowania.
Aby zebrać dzienniki debugowania na potrzeby diagnostyki pomocy technicznej, uruchom skrypt sprawdzania kondycji rozszerzenia NPS uwierzytelniania wieloskładnikowego firmy Microsoft na serwerze NPS i wybierz opcję 4 , aby zebrać dzienniki w celu udostępnienia ich pomocy technicznej firmy Microsoft.
Na końcu przekaż plik wyjściowy zip wygenerowany w folderze C:\NPS i dołącz go do zgłoszenia do pomocy technicznej.