Resolver mensagens de erro da extensão NPS da autenticação multifator do Microsoft Entra
Se você encontrar erros com a extensão NPS para autenticação multifator do Microsoft Entra, use este artigo para chegar a uma resolução mais rapidamente. Os logs de extensão NPS são encontrados no Visualizador de Eventos, em Aplicativos e Logs de Serviços>Microsoft>AzureMfa>AuthN>AuthZ no servidor em que as Extensões NPS estão instaladas.
Etapas de solução de problemas para erros comuns
| Código do erro | Etapas para solucionar problemas |
|---|---|
| CONTACT_SUPPORT | Contate o suporte e mencione a lista de etapas para a coleta de logs. Forneça o máximo de informações possíveis sobre o que aconteceu antes do erro, incluindo a ID de locatário e o nome UPN. |
| CLIENT_CERT_INSTALL_ERROR | Pode haver um problema com a forma como o certificado do cliente foi instalado ou associado ao locatário. Siga as instruções em Solução de problemas da extensão NPS do MFA para investigar problemas de certificado do cliente. |
| ESTS_TOKEN_ERROR | Siga as instruções em Solução de problemas da extensão NPS do MFA para investigar problemas de certificado do cliente e do token de segurança. |
| HTTPS_COMMUNICATION_ERROR | O servidor NPS não consegue receber respostas da autenticação multifator do Microsoft Entra. Verifique se os firewalls estão abertos bidirecionalmente para o tráfego de/para https://adnotifications.windowsazure.com e se o TLS 1.2 está habilitado (padrão). Se o TLS 1.2 está desabilitado, a autenticação do usuário falha e a ID do evento 36871 com o SChannel de origem é inserida no log do sistema no Visualizador de Eventos. Para verificar se o TLS 1.2 está habilitado, confira as configurações de registro do TLS. |
| HTTP_CONNECT_ERROR | No servidor que executa a extensão do NPS, verifique se é possível acessar https://adnotifications.windowsazure.com e https://login.microsoftonline.com/. Se os sites não forem carregados, resolva os problemas de conectividade no servidor. |
| Extensão NPS para autenticação multifator do Microsoft Entra (AccessReject): A extensão NPS para autenticação multifator do Microsoft Entra só executa autenticação secundária para solicitações de Radius no estado AccessAccept. Solicitação recebida para o nome de usuário com o estado de resposta AccessReject, ignorando a solicitação. |
Esse erro geralmente reflete uma falha de autenticação no AD ou que o servidor NPS não consegue receber respostas do Microsoft Entra ID. Verifique se seus firewalls estão abertos bidirecionalmente para o tráfego de e para https://adnotifications.windowsazure.com e https://login.microsoftonline.com usando as portas 80 e 443. Também é importante verificar que, na guia DIAL-IN de permissões de acesso de rede, a configuração é definida como "controlar o acesso por meio do Azure Policy de rede do NPS". Esse erro também pode disparar caso o usuário não tenha uma licença atribuída. |
| Extensão NPS para autenticação multifator do Microsoft Entra (AccessChallenge): A extensão NPS para autenticação multifator do Microsoft Entra só executa autenticação secundária para solicitações de Radius no estado AccessAccept. Solicitação recebida para o nome de usuário com o estado de resposta AccessChallenge, ignorando a solicitação. |
Essa resposta é usada quando são necessárias informações adicionais do usuário para concluir o processo de autenticação ou autorização. O servidor NPS envia um desafio ao usuário, solicitando credenciais ou informações adicionais. Geralmente, antecede uma resposta Access-Accept ou Access-Reject. |
| REGISTRY_CONFIG_ERROR | Uma chave está ausente no registro do aplicativo, que pode ser devido à não execução do script do PowerShell após a instalação. A mensagem de erro deve incluir a chave ausente. Verifique se você tem a chave em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
| REQUEST_FORMAT_ERROR Solicitação Radius sem o atributo obrigatório Radius userName\Identifier. Verifique se o NPS está recebendo solicitações RADIUS |
Esse erro geralmente reflete um problema de instalação. A extensão NPS deve ser instalada em servidores NPS que podem receber solicitações RADIUS. Servidores NPS que são instalados como dependências para serviços como RDG e RRAS não recebem solicitações RADIUS. A Extensão NPS não funciona quando é instalada em instalações como essas e ocorre um erro, pois ela não pode ler os detalhes da solicitação de autenticação. |
| REQUEST_MISSING_CODE | Verifique se o protocolo de criptografia de senha entre os servidores NPS e NAS suportam o método de autenticação secundário que você está usando. O PAP dá suporte a todos os métodos de autenticação da autenticação multifator do Microsoft Entra na nuvem: chamada telefônica, mensagem de texto unidirecional, notificação de aplicativo móvel e código de verificação de aplicativo móvel. CHAPV2 e EAP dão suporte a chamada telefônica e notificação de aplicativo móvel. |
| USERNAME_CANONICALIZATION_ERROR | Verifique se o usuário está presente na instância do Active Directory local e se o Serviço NPS tem permissões para acessar o diretório. Se você usa fundos fiduciários florestais, entre em contato o suporte para receber mais ajuda. |
| Desafio solicitado na extensão de autenticação para o usuário | As organizações que usam um protocolo RADIUS diferente do PAP observam falhas na autorização da VPN do usuário, com esses eventos aparecendo no registro de eventos AuthZOptCh do servidor de extensão NPS. Você pode configurar o Servidor NPS para dar suporte ao PAP. Se o PAP não for uma opção, defina OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para fazer fallback para Aprovar/Negar notificações por push. Para obter mais ajuda, consulte Correspondência de números utilizando a extensão NPS. |
Erros de ID de logon alternativo
| Código do erro | Mensagem de erro | Etapas para solucionar problemas |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Erro: falha na pesquisa do userObjectSid | Verifique se o usuário existe na instância do Active Directory local. Se você usa fundos fiduciários florestais, entre em contato o suporte para receber mais ajuda. |
| ALTERNATE_LOGIN_ID_ERROR | Erro: falha de pesquisa de LoginId alternativo | Verifique se LDAP_ALTERNATE_LOGINID_ATTRIBUTE está definido como um atributo válido do Active Directory. Se LDAP_FORCE_GLOBAL_CATALOG for definido como True ou LDAP_LOOKUP_FORESTS for configurado com um valor não vazio, verifique se você configurou um Catálogo Global e que o atributo AlternateLoginId está adicionado a ele. Se LDAP_LOOKUP_FORESTS estiver configurado com um valor não vazio, verifique se o valor está correto. Se houver mais de um nome de floresta, os nomes deverão ser separados por pontos e vírgulas, não espaços. Se essas etapas não corrigirem o problema, entre em contato com o suporte para obter mais ajuda. |
| ALTERNATE_LOGIN_ID_ERROR | Erro: o valor de LoginId alternativo está vazio | Verifique se o atributo AlternateLoginId está configurado para o usuário. |
Erros que os usuários podem ver
| Código do erro | Mensagem de erro | Etapas para solucionar problemas |
|---|---|---|
| AccessDenied | O locatário chamador não tem permissões de acesso para fazer a autenticação do usuário | Verifique se o domínio do locatário e o domínio do nome UPN são os mesmos. Por exemplo, verifique se user@contoso.com está tentando se autenticar no locatário da Contoso. O UPN representa um usuário válido para o locatário no Azure. |
| AuthenticationMethodNotConfigured | O método de autenticação especificado não foi configurado para o usuário | Solicite ao usuário para adicionar ou verificar seus métodos de verificação de acordo com as instruções em Gerenciar as configurações da verificação em duas etapas. |
| AuthenticationMethodNotSupported | Não há suporte para o método de autenticação especificado. | Colete todos os logs que incluem esse erro e contate o suporte. Quando você contatar o suporte, forneça o nome de usuário e o método de verificação secundário que disparou o erro. |
| BecAccessDenied | Acesso negado de retorno de chamada a MSODS Bec. Provavelmente, o nome de usuário não está definido no locatário | O usuário está presente no Active Directory local, mas não está sincronizado com o Microsoft Entra ID pelo AD Connect. Ou o usuário está ausente no locatário. Adicione o usuário ao Microsoft Entra ID e faça com que ele adicione seus métodos de verificação de acordo com as instruções em Gerenciar suas configurações de verificação em duas etapas. |
| InvalidFormat ou StrongAuthenticationServiceInvalidParameter | O número de telefone está em um formato que não pode ser reconhecido | Solicite ao usuário para corrigir seus números de telefone de verificação. |
| InvalidSession | A sessão especificada é inválida ou pode ter expirado | A sessão levou mais de três minutos para ser concluída. Verifique se o usuário está inserindo o código de verificação ou respondendo à notificação do aplicativo em até três minutos após o início da solicitação de autenticação. Se isso não corrigir o problema, verifique se não há latências de rede entre o cliente, o servidor NAS, o servidor NPS e o ponto de extremidade de autenticação multifator do Microsoft Entra. |
| NoDefaultAuthenticationMethodIsConfigured | Nenhum método de autenticação padrão foi configurado para o usuário | Solicite ao usuário para adicionar ou verificar seus métodos de verificação de acordo com as instruções em Gerenciar as configurações da verificação em duas etapas. Verifique se o usuário escolheu um método de autenticação padrão e configurou desse método para sua conta. |
| OathCodePinIncorrect | Código e PIN incorretos inseridos. | Esse erro não é esperado na extensão do NPS. Se o usuário ver esse erro, contate o suporte para obter ajuda na solução de problemas. |
| ProofDataNotFound | Os dados de prova não foram configurados para o método de autenticação especificado. | Solicite ao usuário para tentar outro método de verificação ou adicionar um novo método de verificação de acordo com as instruções em Gerenciar as configurações da verificação em duas etapas. Se o usuário continuar vendo esse erro depois de confirmar que o método de verificação está configurado corretamente, contate o suporte. |
| SMSAuthFailedWrongCodePinEntered | Código e PIN incorretos inseridos. (OneWaySMS) | Esse erro não é esperado na extensão do NPS. Se o usuário ver esse erro, contate o suporte para obter ajuda na solução de problemas. |
| TenantIsBlocked | O locatário está bloqueado | Entre em contato com o suporte com a ID do locatário da página de propriedades do Microsoft Entra no centro de administração do Microsoft Entra. |
| UserNotFound | O usuário especificado não foi encontrado | O locatário não está mais visível como ativo no Microsoft Entra ID. Verifique se sua assinatura está ativa e se você tem os aplicativos de terceiros necessários. Também verifique se o locatário na entidade de certificado é conforme esperado e se o certificado ainda é válido e está registrado na entidade de serviço. |
Mensagens que os usuários podem ver que não são erros
Às vezes, os usuários podem receber mensagens da autenticação multifator porque a solicitação de autenticação falhou. Elas não são erros no produto de configuração, mas são avisos intencionais que explicam por que uma solicitação de autenticação foi negada.
| Código do erro | Mensagem de erro | Etapas recomendadas |
|---|---|---|
| OathCodeIncorrect | Código incorreto inserido\Código OATH incorreto | O usuário inseriu o código incorreto. Solicite a ele para que repita a solicitação de um novo código ou entre novamente. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Repetição de código máxima permitida atingida | O usuário não passou no desafio de verificação várias vezes. Dependendo das configurações, ele pode precisar ser desbloqueado por um administrador nesse momento. |
| SMSAuthFailedWrongCodeEntered | Código incorreto inserido/OTP da mensagem de texto incorreto | O usuário inseriu o código incorreto. Solicite a ele para que repita a solicitação de um novo código ou entre novamente. |
| AuthenticationThrottled | Muitas tentativas do usuário em um curto período de tempo. Limitação. | A Microsoft pode limitar as tentativas de autenticação que são executadas pelo mesmo usuário em um curto período de tempo. Essa limitação não se aplica ao Microsoft Authenticator ou ao código de verificação. Se atingir esses limites, use o aplicativo Microsoft Authenticator, o código de verificação ou tente entrar novamente em alguns minutos. |
| AuthenticationMethodLimitReached | Limite do método de autenticação atingido. Limitação. | A Microsoft pode limitar tentativas de autenticação repetidas executadas pelo mesmo usuário usando o mesmo tipo de método de autenticação em um curto período de tempo, especificamente por chamada de voz ou SMS. Essa limitação não se aplica ao Microsoft Authenticator ou ao código de verificação. Se atingir esses limites, use o aplicativo Microsoft Authenticator, o código de verificação ou tente entrar novamente em alguns minutos. |
Erros que exigem suporte
Se você encontrar um desses erros, recomendamos que contate o suporte para obter ajuda de diagnóstico. Não há nenhum conjunto padrão de etapas que pode corrigir esses erros. Ao contatar o suporte, lembre-se de incluir o máximo de informações possíveis sobre as etapas que levaram a um erro, bem como as informações de locatário.
| Código do erro | Mensagem de erro |
|---|---|
| InvalidParameter | A solicitação não pode ser nula |
| InvalidParameter | ObjectId não deve ser nulo nem vazio para ReplicationScope:{0} |
| InvalidParameter | O tamanho de CompanyName {0}\ é maior que o tamanho máximo permitido {1} |
| InvalidParameter | O UserPrincipalName não deve ser nulo nem vazio |
| InvalidParameter | A TenantId fornecida não está no formato correto |
| InvalidParameter | A SessionId não deve ser nula nem vazia |
| InvalidParameter | Não foi possível resolver nenhum ProofData da solicitação ou do Msods. O ProofData é desconhecido |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Próximas etapas
Solução de problemas de contas de usuário
Se os usuários estiverem tendo problemas com a verificação em duas etapas, ajude-os a diagnosticar os problemas por conta própria.
Script da verificação de integridade
O script de verificação de integridade da extensão NPS de autenticação multifator do Microsoft Entra executa várias verificações básicas de integridade ao solucionar problemas da extensão NPS. Aqui está um resumo rápido sobre cada opção disponível quando o script é executado:
- Opção 1 — para isolar a causa do problema: se for um problema de NPS ou MFA (Exportar RegKeys de MFA, Reiniciar o NPS, Testar, Importar RegKeys, Reiniciar o NPS)
- Opção 2 — verificar um conjunto completo de testes quando nem todos os usuários conseguirem usar a extensão NPS da MFA (Testes de Acesso ao Azure/Criar relatório HTML)
- Opção 3 — verificar um conjunto específico de testes quando um usuário específico não conseguir usar a Extensão NPS da MFA (Testar a MFA para um UPN específico)
- Opção 4 — coletar logs para entrar em contato com o suporte da Microsoft (Habilitar o Registro em Log/Reiniciar o NPS/Coletar Logs)
Entrar em contato com o suporte da Microsoft
Caso você precise de mais ajuda, contate um profissional de suporte por meio do suporte do MFA. Ao entrar em contato conosco, é útil incluir o máximo possível de informações sobre o problema. As informações que você pode fornecer incluem a página em que viu o erro, o código de erro específico, a ID da sessão específica, a ID do usuário que viu o erro e os logs de depuração.
Para coletar logs de depuração para diagnóstico de suporte, execute o script de verificação de integridade da extensão NPS de autenticação multifator do Microsoft Entra no servidor NPS e escolha a opção 4 para coletar os logs para fornecer suporte à Microsoft.
No final, carregue o arquivo de saída zipado gerado na pasta C:\NPS e anexe-o ao caso de suporte.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de