Устранение неполадок с подключением Microsoft Entra Подключение
В этой статье объясняется, как работает подключение между Microsoft Entra Подключение и идентификатором Microsoft Entra ID и как устранять проблемы с подключением. Эти проблемы, скорее всего, будут замечены в среде, которая использует прокси-сервер.
Подключение проблемы с Подключение в мастере установки
Microsoft Entra Подключение использует библиотеку проверки подлинности Майкрософт (MSAL) для проверки подлинности. Мастер установки и подсистема синхронизации требуют правильной настройки machine.config, так как это два приложения .NET.
Примечание.
Azure AD Подключение версии 1.6.xx.x использует библиотеку проверки подлинности Active Directory (ADAL). ADAL устарел, и поддержка завершится в июне 2022 года. Рекомендуется обновить до последней версии Microsoft Entra Подключение версии 2.
В этой статье показано, как Fabrikam подключается к идентификатору Microsoft Entra с помощью прокси-сервера. Прокси-сервер называется fabrikamproxy и использует порт 8080.
Сначала убедитесь, что конфигурация machine.config настроена правильно и что служба синхронизации идентификаторов Microsoft Entra ID была перезапущена после обновления файла machine.config .
Примечание.
Некоторые блоги, отличные от Майкрософт, указывают, что следует вносить изменения в miiserver.exe.config вместо файла machine.config . Однако файл miiserver.exe.config перезаписывается при каждом обновлении. Даже если файл работает во время начальной установки, система перестает работать во время первого обновления. По этой причине рекомендуется обновить machine.config , как описано в этой статье.
На прокси-сервере должен быть также открыт необходимый URL-адрес. Официальный список см. в статье URL-адреса и диапазоны IP-адресов Office 365.
Из этих URL-адресов URL-адреса, перечисленные в следующей таблице, являются абсолютным минимальным, чтобы иметь возможность подключаться к идентификатору Microsoft Entra ID вообще. Этот список не включает дополнительные функции, такие как обратная запись паролей или Microsoft Entra Подключение Работоспособности. Сведения приведены здесь, чтобы помочь в устранении неполадок для начальной конфигурации.
| URL | Порт | Description |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Используется для скачивания списков отзыва сертификатов (CRL). |
*.verisign.com |
HTTP/80 | Используется для загрузки списков CRL. |
*.entrust.net |
HTTP/80 | Используется для скачивания списков CRL для многофакторной проверки подлинности (MFA). |
*.management.core.windows.net(служба хранилища Azure) (Azure AD Graph)*.graph.windows.net |
HTTPS/443 | Используется для различных служб Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Используется для многофакторной проверки подлинности (MFA). |
*.microsoftonline.com |
HTTPS/443 | Используется для настройки каталога Microsoft Entra и импорта и экспорта данных. |
*.crl3.digicert.com |
HTTP/80 | Используется для проверки сертификатов. |
*.crl4.digicert.com |
HTTP/80 | Используется для проверки сертификатов. |
*.digicert.cn |
HTTP/80 | Используется для проверки сертификатов. |
*.ocsp.digicert.com |
HTTP/80 | Используется для проверки сертификатов. |
*.www.d-trust.net |
HTTP/80 | Используется для проверки сертификатов. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Используется для проверки сертификатов. |
*.crl.microsoft.com |
HTTP/80 | Используется для проверки сертификатов. |
*.oneocsp.microsoft.com |
HTTP/80 | Используется для проверки сертификатов. |
*.ocsp.msocsp.com |
HTTP/80 | Используется для проверки сертификатов. |
Ошибки в мастере
Мастер установки использует два разных контекста безопасности. На странице Подключение идентификатора Microsoft Entra используется пользователь, вошедший в систему. На странице "Настройка" она изменяет учетную запись, на котором запущена служба для подсистемы синхронизации. Если возникла проблема, скорее всего, ошибка появится на странице Подключение идентификатора Microsoft Entra ID в мастере, так как конфигурация прокси-сервера является глобальной.
Ниже приведены наиболее распространенные ошибки, которые могут возникнуть в мастере установки.
Мастер установки не настроен правильно
Эта ошибка возникает, когда сам мастер не может связаться с прокси-сервером.
Если вы видите эту ошибку, убедитесь, что файл machine.config настроен правильно. Если machine.config выглядит правильно, выполните действия, описанные в разделе "Проверка подключения прокси-сервера", чтобы узнать, присутствует ли проблема за пределами мастера.
Используется учетная запись Майкрософт
Если вы используете учетную запись Майкрософт вместо учебной или организационной учетной записи, вы увидите универсальную ошибку:
Не удается достичь конечной точки MFA
Эта ошибка возникает, если конечная точка https://secure.aadcdn.microsoftonline-p.com не может быть достигнута, и в Администратор istrator гибридного удостоверения включена MFA.
Если вы видите эту ошибку, убедитесь, что конечная точка secure.aadcdn.microsoftonline-p.com добавлена в прокси-сервер.
Невозможно проверить пароль
Если мастер установки успешно подключен к идентификатору Microsoft Entra ID, но сам пароль не может быть проверен, вы увидите следующую ошибку:
Является ли пароль временным паролем, который необходимо изменить? Проверьте, правильно ли указан пароль. Попробуйте войти https://login.microsoftonline.com на другой компьютер, отличный от сервера Microsoft Entra Подключение, и убедитесь, что учетная запись подходит для использования.
Проверка подключения прокси-сервера
Чтобы проверка, подключается ли сервер Microsoft Entra Подключение к прокси-серверу и Интернету, используйте некоторые командлеты PowerShell, чтобы узнать, разрешает ли прокси-сервер веб-запросы. В PowerShell выполните командлет Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Технически первый вызов — это https://login.microsoftonline.comи этот URI также работает, но другой универсальный код ресурса (URI) быстрее отвечает.)
PowerShell использует конфигурацию в machine.config для связи с прокси-сервером. Параметры в winhttp/netsh не должны влиять на эти командлеты.
Если прокси-сервер настроен правильно, появится состояние успешного выполнения:
Если сообщение не удается подключиться к удаленному серверу, PowerShell пытается выполнить прямой вызов без использования прокси-сервера или DNS неправильно настроен. Убедитесь, что файл machine.config настроен правильно.
Если прокси-сервер настроен неправильно, появится сообщение об ошибке 403 или 407:
В следующей таблице описаны ошибки прокси-сервера 403 и 407:
| Ошибка | Текст сообщения об ошибке | Комментарий |
|---|---|---|
| 403 | Запрещено | Прокси-сервер не был открыт для запрошенного URL-адреса. Вернитесь к конфигурации прокси-сервера и убедитесь, что URL-адреса были открыты. |
| 407 | Требуется проверка подлинности прокси-сервера | Для прокси-сервера требуется имя входа, которое не было указано. Если прокси-сервер требует проверки подлинности, убедитесь, что этот параметр настроен в machine.config. Кроме того, убедитесь, что вы используете учетные записи домена для пользователя, выполняющего мастер, и для учетной записи службы. |
Параметр времени ожидания прокси-сервера в режиме простоя
Когда Microsoft Entra Подключение отправляет запрос на экспорт в идентификатор Microsoft Entra, идентификатор Microsoft Entra может занять до 5 минут для обработки запроса перед созданием ответа. Ответ, особенно вероятно, будет отложен, если многие объекты группы, имеющие членство в больших группах, включены в один и тот же запрос на экспорт. Убедитесь, что время ожидания простоя прокси-сервера настроено на более чем 5 минут. В противном случае у вас могут возникнуть периодические проблемы с подключением к идентификатору Microsoft Entra на сервере Microsoft Entra Подключение.
Шаблон взаимодействия между Microsoft Entra Подключение и идентификатором Microsoft Entra
Если вы выполнили все действия, описанные в этой статье, и вы по-прежнему не можете подключиться, на этом этапе вы можете просмотреть журналы сети. В этом разделе описывается обычный и успешный шаблон подключения.
Но сначала ниже приведены некоторые распространенные проблемы с данными в сетевых журналах, которые можно игнорировать:
- Есть вызовы по адресу
https://dc.services.visualstudio.com. Этот URL-адрес не должен быть открыт в прокси-сервере для успешной установки, и эти вызовы можно игнорировать. - Вы видите, что разрешение DNS перечисляет фактические узлы как в пространстве
nsatc.netимен DNS и других пространствах имен, которые не указаныmicrosoftonline.com. Однако на фактических именах серверов нет запросов веб-службы. Вам не нужно добавлять эти URL-адреса в прокси-сервер. - Конечные
adminwebserviceточки иprovisioningapiконечные точки обнаружения используются для поиска фактической конечной точки. Выбор этих конечных точек зависит от вашего региона.
Справочные журналы прокси-сервера
Ниже приведен пример дампа из фактического журнала прокси-сервера и страницы мастера установки, из которой она была взята (повторяющиеся записи в ту же конечную точку были удалены). Этот раздел можно использовать как образец для собственных журналов прокси-сервера и сети. Фактические конечные точки могут отличаться в вашей среде (в частности, URL-адреса в курсиве).
Подключение идентификатор Microsoft Entra
| Время | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Настройка
| Время | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Начальная синхронизация
| Время | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
Ошибки проверки подлинности
В этом разделе рассматриваются ошибки, которые могут быть возвращены из ADAL и PowerShell. Объяснение ошибки должно помочь вам определить следующие шаги.
Недопустимое предоставление
Вы ввели недопустимое имя пользователя или пароль. Дополнительные сведения см. в разделе "Невозможно проверить пароль".
Неизвестный тип пользователя
Каталог Microsoft Entra не найден или разрешен. Может быть, вы попытались войти с помощью имени пользователя в непроверенном домене?
Сбой обнаружения области пользователей
Проблемы конфигурации сети или прокси-сервера. Не удается достичь сети. См. Подключение проблемы с доступностью в мастере установки.
Срок действия пароля пользователя истек
Срок действия ваших учетных данных истек. Измените пароль.
Сбой авторизации
Microsoft Entra Подключение не удалось авторизовать пользователя для выполнения действия в идентификаторе Microsoft Entra.
Проверка подлинности отменена
Вызов MFA был отменен.
сбой Подключение в MSOnline
Проверка подлинности прошла успешно, но есть проблема с проверкой подлинности в Azure AD PowerShell.
Необходимая роль Microsoft Entra Global Администратор istrator
Пользователь прошел проверку подлинности успешно, но пользователь не назначает роль глобального Администратор istrator. Роль глобального Администратор istrator можно назначить пользователю.
включена управление привилегированными пользователями
Проверка подлинности прошла успешно, но управление привилегированными пользователями включена, и пользователь в настоящее время не является гибридным удостоверением Администратор istrator. Дополнительные сведения см. в статье Приступая к работе с управлением привилегированными пользователями Azure AD.
Сведения о компании недоступны
Проверка подлинности прошла успешно, но сведения о компании не удалось получить из идентификатора Microsoft Entra.
Сведения о домене недоступны
Проверка подлинности прошла успешно, но сведения о домене не удалось получить из идентификатора Microsoft Entra.
Неуказанный сбой проверки подлинности
Отображается как непредвиденная ошибка в мастере установки. Эта ошибка может возникнуть, если вы пытаетесь использовать учетную запись Майкрософт вместо учебной или корпоративной учетной записи.
Устранение неполадок для предыдущих выпусков
В выпусках, начиная с номера сборки 1.1.105.0 (выпущено за февраль 2016 г.), помощник вход был прекращен. Настройка помощник входа больше не должна быть обязательной, но сведения в следующих разделах включены для справки.
Чтобы единый вход помощник работал, необходимо настроить службы HTTP Microsoft Windows (WinHTTP). Вы можете настроить WinHTTP с помощью netsh.
Помощник входа настроен неправильно
Эта ошибка возникает, когда помощник входа не удается связаться с прокси-сервером или прокси-сервер не разрешает запрос.
Если вы видите эту ошибку, просмотрите конфигурацию прокси-сервера в netsh и убедитесь, что это правильно.
Если конфигурация прокси-сервера выглядит правильно, выполните действия, описанные в разделе "Проверка подключения к прокси-серверу", чтобы узнать, возникает ли проблема за пределами мастера.
Следующие шаги
Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.