Устранение сообщений об ошибках из расширения NPS для многофакторной проверки подлинности Microsoft Entra
При возникновении ошибок с расширением NPS для многофакторной проверки подлинности Microsoft Entra используйте эту статью, чтобы быстрее достичь разрешения. Журналы расширения NPS можно найти в компоненте "Просмотр событий", выбрав элементы Журналы приложений и служб>Microsoft>AzureMfa>AuthN>AuthZ, на сервере, где установлено расширение NPS.
Действия по устранению распространенных ошибок
| Код ошибки | Действия по устранению неполадок |
|---|---|
| CONTACT_SUPPORT | Обратитесь в службу поддержки и укажите, как вы собирали журналы. Предоставьте как можно больше сведений о том, что происходило до ошибки, включая идентификатор клиента и имя участника-пользователя (UPN). |
| CLIENT_CERT_INSTALL_ERROR | Возможно, проблема заключается в способе установки клиентского сертификата или его связи с клиентом. Следуйте инструкциям, описанным в разделе по устранению неполадок, чтобы определить проблемы с сертификатом клиента. |
| ESTS_TOKEN_ERROR | Следуйте инструкциям, описанным в разделе по устранению неполадок, чтобы определить проблемы с сертификатом клиента и маркером безопасности. |
| HTTPS_COMMUNICATION_ERROR | Сервер NPS не может получать ответы от многофакторной проверки подлинности Microsoft Entra. Убедитесь, что используемые брандмауэры открыты для входящего и исходящего трафика для https://adnotifications.windowsazure.com и что по умолчанию включен протокол TLS 1.2. Если протокол TLS 1.2 отключен, проверка подлинности пользователя завершается ошибкой и идентификатор события 36871 с исходным SChannel вводится в системный журнал в Просмотр событий. Чтобы проверить включение TLS 1.2, см. раздел Параметры реестра TLS. |
| HTTP_CONNECT_ERROR | Убедитесь, что у сервера, на котором запущено расширение NPS, есть доступ к https://adnotifications.windowsazure.com и https://login.microsoftonline.com/. Если эти сайты не загружаются, необходимо устранить неполадки подключения на сервере. |
| Расширение NPS для многофакторной проверки подлинности Microsoft Entra (AccessReject): Расширение NPS для многофакторной проверки подлинности Microsoft Entra выполняет только дополнительную проверку подлинности для запросов radius в состоянии AccessAccept. Запрос, полученный для имени пользователя с состоянием ответа AccessReject, игнорируется. |
Эта ошибка обычно означает сбой аутентификации в AD или то, что серверу NPS не удается получить ответы от Microsoft Entra ID. Убедитесь, что используемые брандмауэры открыты в обоих направлениях для входящего и исходящего трафика с адресов https://adnotifications.windowsazure.com и https://login.microsoftonline.com на портах 80 и 443. Кроме того, важно проверка, что на вкладке "Разрешения доступа к сети", для параметра задано значение "Управление доступом через политику сети NPS". Эта ошибка также может активироваться, если пользователю не назначена лицензия. |
| Расширение NPS для многофакторной проверки подлинности Microsoft Entra (AccessChallenge): Расширение NPS для многофакторной проверки подлинности Microsoft Entra выполняет только дополнительную проверку подлинности для запросов radius в состоянии AccessAccept. Запрос, полученный для имени пользователя пользователя с состоянием ответа AccessChallenge, игнорируя запрос. |
Этот ответ используется, если для завершения проверки подлинности или авторизации требуется дополнительная информация от пользователя. Сервер NPS отправляет пользователю запрос, запрашивая дополнительные учетные данные или сведения. Обычно он предшествует ответу Access-Accept или Access-Reject. |
| REGISTRY_CONFIG_ERROR | В реестре для приложения отсутствует раздел. Такое может случиться, если после установки не был запущен сценарий PowerShell. В сообщении об ошибке должен быть указан отсутствующий раздел. Убедитесь, что этот раздел находится в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
| REQUEST_FORMAT_ERROR Запрос radius отсутствует обязательный атрибут Radius userName\Identifier. Убедитесь, что NPS получает запросы RADIUS. |
В этом случае проблема связана с установкой. Расширение NPS должно быть установлено на серверах NPS, которые получают запросы RADIUS. NPS-серверы, установленные как зависимости для таких служб, как RDG и RRAS, запросы RADIUS не получают. Расширение NPS не работает при установке таких установок и ошибок, так как оно не может считывать сведения из запроса проверки подлинности. |
| REQUEST_MISSING_CODE | Убедитесь, что протокол шифрования паролей между серверами NAS и NPS поддерживает дополнительный метод аутентификации, который вы используете. PAP поддерживает все методы проверки подлинности Microsoft Entra multifactor authentication в облаке: телефонный звонок, односторонняя текстовая связь, уведомление мобильного приложения и код проверки мобильного приложения. CHAPV2 и EAP поддерживают телефонный звонок или уведомление мобильного приложения. |
| USERNAME_CANONICALIZATION_ERROR | В локальном экземпляре Active Directory должен присутствовать пользователь, а у службы NPS должны быть разрешения на доступ к каталогу. Если вы используете отношения доверия леса, обратитесь в службу поддержки для получения дополнительной помощи. |
| Запрос, запрошенный в ext проверки подлинности для пользователя | Организации, использующие протокол RADIUS, отличный от ПАП, видят сбой авторизации VPN пользователей с этими событиями в журнале событий AuthZOptCh сервера расширений NPS. Сервер NPS можно настроить для поддержки ПАП. Если параметр PAP не является параметром, можно задать OVERRIDE_NUМБER_MATCHING_WITH_OTP = FALSE, чтобы вернуться к утверждению или запрету push-уведомлений. Для получения дополнительной справки проверка сопоставление номеров с помощью расширения NPS. |
Ошибки с альтернативным именем пользователя
| Код ошибки | Сообщение об ошибке | Действия по устранению неполадок |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Ошибка. Сбой поиска userObjectSid. | Убедитесь, что такой пользователь существует в экземпляре локальной службы Active Directory. Если вы используете отношения доверия леса, обратитесь в службу поддержки для получения дополнительной помощи. |
| ALTERNATE_LOGIN_ID_ERROR | Ошибка. Сбой поиска альтернативного имени пользователя. | Убедитесь, что для значения реестра LDAP_ALTERNATE_LOGINID_ATTRIBUTE указан допустимый атрибут Active Directory. Если для LDAP_FORCE_GLOBAL_CATALOG задано значение True, а LDAP_LOOKUP_FORESTS имеет непустое значение, проверьте, настроен ли глобальный каталог и добавлен ли к нему атрибут AlternateLoginId. Если LDAP_LOOKUP_FORESTS имеет непустое значение, убедитесь, что это значение правильно. Если указано несколько имен леса, такие имена должны быть разделены точками с запятой без пробелов. Если с помощью этих шагов не удалось устранить проблему, обратитесь в службу поддержки для получения дополнительных сведений. |
| ALTERNATE_LOGIN_ID_ERROR | Ошибка. Пустое значение альтернативного имени пользователя. | Убедитесь, что атрибут AlternateLoginId настроен для пользователя. |
Ошибки, с которыми могут столкнуться пользователи
| Код ошибки | Сообщение об ошибке | Действия по устранению неполадок |
|---|---|---|
| AccessDenied | У клиента вызывающего абонента нет разрешений на доступ для проверки подлинности пользователя | Домен клиента и домен имени участника-пользователя (UPN) должны совпадать. Например, user@contoso.com должен проходить проверку подлинности для клиента Contoso. Имя участника-пользователя представляет допустимое имя пользователя для клиента в Azure. |
| AuthenticationMethodNotConfigured | Указанный метод проверки подлинности не настроен для пользователя. | Пользователь должен добавить метод или узнать, были ли настроены методы проверки согласно инструкциям, описанным в статье Управление параметрами двухфакторной проверки подлинности. |
| AuthenticationMethodNotSupported | Указанный метод проверки подлинности не поддерживается. | Соберите все журналы, которые содержат эту ошибку, и обратитесь в службу поддержки. Укажите имя пользователя и дополнительный метод проверки подлинности, который вызвал ошибку. |
| BecAccessDenied | Вызов MSODS Bec вернул доступ запрещен, вероятно, имя пользователя не определено в клиенте. | Пользователь присутствует в локальной среде Active Directory, но не синхронизируется с идентификатором Microsoft Entra по AD Подключение. Или же для клиента пользователь отсутствует. Добавьте пользователя в идентификатор Microsoft Entra и добавьте их методы проверки в соответствии с инструкциями по управлению параметрами для двухфакторной проверки подлинности. |
| InvalidFormat или StrongAuthenticationServiceInvalidParameter | Номер телефона указан в неизвестном формате. | Пользователь должен исправить номер телефона, используемый для проверки. |
| InvalidSession | Указанный сеанс является недопустимым, или же истек срок его действия. | Для завершения сеанса потребовалось более 3 минут. В течение 3 минут после инициирования запроса проверки подлинности пользователь должен ввести код проверки или же ответить на уведомление от приложения. Если проблема не устранена, проверка, что между клиентом, NAS Server, NPS-сервером и конечной точкой многофакторной проверки подлинности Microsoft Entra нет. |
| NoDefaultAuthenticationMethodIsConfigured | Для пользователя не настроен метод проверки подлинности по умолчанию. | Пользователь должен добавить метод или узнать, были ли настроены методы проверки согласно инструкциям, описанным в статье Управление параметрами двухфакторной проверки подлинности. Пользователь должен выбрать метод проверки подлинности по умолчанию и настроить его для своей учетной записи. |
| OathCodePinIncorrect | Введен неправильный пароль и ПИН-код. | Эта ошибка не ожидается в расширении NPS. В случае возникновения этой ошибки обратитесь в службу поддержки для получения сведений по устранению проблемы. |
| ProofDataNotFound | Для указанного метода проверки подлинности не настроены данные подтверждения. | Попробуйте другой метод проверки или добавьте новый метод проверки в соответствии с инструкциями в разделе "Управление параметрами для двухфакторной проверки". Если после подтверждения правильной настройки метода проверки ошибка не устранена, обратитесь в службу поддержки. |
| SMSAuthFailedWrongCodePinEntered | Введен неправильный пароль и ПИН-код. (OneWaySMS) | Эта ошибка не ожидается в расширении NPS. В случае возникновения этой ошибки обратитесь в службу поддержки для получения сведений по устранению проблемы. |
| TenantIsBlocked | Клиент заблокирован. | Обратитесь в службу поддержки с идентификатором клиента на странице свойств Microsoft Entra в Центре администрирования Microsoft Entra. |
| UserNotFound | Указанный пользователь не найден. | Клиент больше не отображается как активный в идентификаторе Microsoft Entra. Убедитесь, что подписка активна и у пользователя есть собственные необходимые приложения. Кроме этого, клиент в субъекте сертификата должен работать правильно, а сертификат должен быть допустимым и зарегистрированным в субъекте-службе. |
Другие сообщения, с которыми могут столкнуться пользователи
Иногда пользователи могут получать сообщения из многофакторной проверки подлинности из-за сбоя запроса проверки подлинности. Эти не ошибки конфигурации продукта, а предупреждения, которые объясняют причину сбоя запроса проверки подлинности.
| Код ошибки | Сообщение об ошибке | Рекомендуемые действия |
|---|---|---|
| OathCodeIncorrect | Введен неправильный код. Неправильный OATH-код. | Пользователь ввел неправильный код. Пользователь должен повторить попытку ввода. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Достигнуто максимальное число попыток ввода кода. | Слишком много неудачных попыток ввода кода. В зависимости от параметров может потребоваться помощь администратора. |
| SMSAuthFailedWrongCodeEntered | Введен неправильный код. SMS: неверный OTP. | Пользователь ввел неправильный код. Пользователь должен повторить попытку ввода. |
| AuthenticationThrottled | Слишком много попыток пользователем в короткий период времени. Регулирование. | Корпорация Майкрософт может ограничивать количество повторных попыток проверки подлинности, выполняемых одним и тем же пользователем в течение короткого промежутка времени. Это ограничение не применяется к коду Microsoft Authenticator или коду проверки. При достижении лимита можно воспользоваться приложением Authenticator или кодом проверки либо повторить попытку входа через несколько минут. |
| AuthenticationMethodLimitReached | Достигнуто ограничение метода проверки подлинности. Регулирование. | Корпорация Майкрософт может ограничить повторные попытки проверки подлинности, выполняемые одним и тем же пользователем, используя один и тот же тип метода проверки подлинности в течение короткого периода времени, в частности голосовой вызов или SMS. Это ограничение не применяется к коду Microsoft Authenticator или коду проверки. При достижении лимита можно воспользоваться приложением Authenticator или кодом проверки либо повторить попытку входа через несколько минут. |
Ошибки, при возникновении которых стоит обратиться в службу поддержки
Если вы столкнулись с ошибками, приведенными ниже, мы советуем обратиться в службу поддержки для помощи в диагностике. Это нестандартные ошибки, поэтому они требуют отдельного анализа. При обращении в службу поддержки не забудьте предоставить как можно больше сведений о действиях, которые привели к возникновению ошибки, а также сведений о клиенте.
| Код ошибки | Сообщение об ошибке |
|---|---|
| InvalidParameter | Запрос не может иметь значение null. |
| InvalidParameter | Параметр ObjectId не может иметь значение null или быть пустым для ReplicationScope:{0} |
| InvalidParameter | Длина CompanyName {0}\ не должна превышать максимально допустимое значение {1}. |
| InvalidParameter | Параметр UserPrincipalName не может иметь значение null или быть пустым. |
| InvalidParameter | Указанный идентификатор TenantId не указан в правильном формате |
| InvalidParameter | Параметр SessionId не может иметь значение null или быть пустым. |
| InvalidParameter | Не удалось распознать данные для подтверждения из запроса или MSODS. Данные для подтверждения не распознаны. |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Следующие шаги
Устранение неполадок, связанных с учетными данными пользователей
Если пользователи столкнулись с проблемами двухфакторной проверки подлинности, они могут выполнить самостоятельную диагностику.
Скрипт проверки работоспособности
Скрипт проверка расширения NPS для многофакторной проверки подлинности Microsoft Entra выполняет несколько основных проверка работоспособности при устранении неполадок расширения NPS. Ниже приведены краткие сведения о каждом доступном параметре при запуске скрипта:
- Вариант 1 . Чтобы изолировать причину проблемы: если это проблема с NPS или MFA (экспорт MFA RegKeys, перезапуск NPS, тестирование, импорт regKeys, перезапуск NPS, перезапуск NPS)
- Вариант 2. Чтобы проверка полный набор тестов, если не все пользователи могут использовать расширение NPS MFA (тестирование доступа к отчету Azure/Create HTML)
- Вариант 3— проверка определенный набор тестов, если конкретный пользователь не может использовать расширение NPS MFA (проверка MFA для определенного имени участника-пользователя)
- Вариант 4 . Сбор журналов для обращения в службу поддержки Майкрософт (включение ведения журнала, перезапуск NPS/Сбор журналов)
Обращение в службу поддержки Майкрософт
Если вам нужна дополнительная помощь, обратитесь к специалисту по поддержке MFA. Вы можете облегчить нам задачу, если при обращении предоставите максимально полные сведения о проблеме. Вы можете сообщить нам, на какой странице возникла ошибка, а также точный код ошибки, идентификатор сеанса и идентификатор пользователя, получившего эту ошибку, и журналы отладки.
Чтобы собрать журналы отладки для поддержки диагностика, запустите скрипт работоспособности расширения NPS многофакторной проверки подлинности Microsoft Entra проверка на сервере NPS и выберите вариант 4, чтобы собрать журналы, чтобы предоставить им поддержку Майкрософт.
В конце отправьте zip-выходной файл, созданный в папке C:\NPS, и вложите его в регистр поддержки.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по