Microsoft Entra Bağlan bağlantı sorunlarını giderme

Bu makalede, Microsoft Entra Bağlan ile Microsoft Entra ID arasındaki bağlantının nasıl çalıştığı ve bağlantı sorunlarının nasıl giderilir açıklanmaktadır. Bu sorunlar büyük olasılıkla ara sunucu kullanan bir ortamda görülür.

Yükleme sihirbazında Bağlan üretkenlik sorunları

Microsoft Entra Bağlan kimlik doğrulaması için Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanır. Bu ikisi .NET uygulamaları olduğundan yükleme sihirbazı ve eşitleme altyapısı machine.config dosyasının düzgün yapılandırılmasını gerektirir.

Dekont

Azure AD Bağlan v1.6.xx.x, Active Directory Kimlik Doğrulama Kitaplığı'nı (ADAL) kullanır. ADAL kullanımdan kaldırılıyor ve destek Haziran 2022'de sona erecek. Microsoft Entra Bağlan v2'nin en son sürümüne yükseltmenizi öneririz.

Bu makalede Fabrikam'ın ara sunucusu aracılığıyla Microsoft Entra Id'ye nasıl bağlanıyor göstereceğiz. Proxy sunucusu adlandırılır fabrikamproxy ve 8080 numaralı bağlantı noktasını kullanır.

İlk olarak machine.config dosyasının doğru yapılandırıldığından ve machine.config dosya güncelleştirmesinin ardından Microsoft Entra ID Eşitleme hizmetinin bir kez yeniden başlatıldığından emin olun.

Screenshot that shows part of the machine dot config file.

Dekont

Bazı Microsoft dışı bloglar machine.config dosyası yerine miiserver.exe.config dosyasında değişiklik yapmanız gerektiğini belirtir. Ancak, her yükseltmede miiserver.exe.config dosyasının üzerine yazılır. İlk yükleme sırasında dosya çalışsa bile, sistem ilk yükseltme sırasında çalışmayı durdurur. Bu nedenle, bu makalede açıklandığı gibi machine.config dosyasını güncelleştirmenizi öneririz.

Proxy sunucusunda gerekli URL'lerin de açık olması gerekir. Resmi liste Office 365 URL'leri ve IP adresi aralıklarında belgelenmiştir.

Bu URL'lerden, aşağıdaki tabloda listelenen URL'ler, Microsoft Entra Id'ye bağlanabilmek için mutlak minimum değerdir. Bu listede parola geri yazma veya Microsoft Entra Bağlan Health gibi isteğe bağlı özellikler yoktur. İlk yapılandırma sorunlarını gidermeye yardımcı olmak için burada bilgiler sağlanır.

URL Bağlantı noktası Açıklama
mscrl.microsoft.com HTTP/80 Sertifika iptal listesi (CRL) listelerini indirmek için kullanılır.
*.verisign.com HTTP/80 CRL listelerini indirmek için kullanılır.
*.entrust.net HTTP/80 Çok faktörlü kimlik doğrulaması (MFA) için CRL listelerini indirmek için kullanılır.
*.management.core.windows.net(Azure Depolama)
*.graph.windows.net (Azure AD Graph)
HTTPS/443 Çeşitli Azure hizmetleri için kullanılır.
secure.aadcdn.microsoftonline-p.com HTTPS/443 MFA için kullanılır.
*.microsoftonline.com HTTPS/443 Microsoft Entra dizininizi yapılandırmak ve verileri içeri/dışarı aktarmak için kullanılır.
*.crl3.digicert.com HTTP/80 Sertifikaları doğrulamak için kullanılır.
*.crl4.digicert.com HTTP/80 Sertifikaları doğrulamak için kullanılır.
*.digicert.cn HTTP/80 Sertifikaları doğrulamak için kullanılır.
*.ocsp.digicert.com HTTP/80 Sertifikaları doğrulamak için kullanılır.
*.www.d-trust.net HTTP/80 Sertifikaları doğrulamak için kullanılır.
*.root-c3-ca2-2009.ocsp.d-trust.net HTTP/80 Sertifikaları doğrulamak için kullanılır.
*.crl.microsoft.com HTTP/80 Sertifikaları doğrulamak için kullanılır.
*.oneocsp.microsoft.com HTTP/80 Sertifikaları doğrulamak için kullanılır.
*.ocsp.msocsp.com HTTP/80 Sertifikaları doğrulamak için kullanılır.

Sihirbazdaki hatalar

Yükleme sihirbazı iki farklı güvenlik bağlamı kullanır. Microsoft Entra Id'ye Bağlan sayfasında, şu anda oturum açmış olan kullanıcıyı kullanır. Yapılandır sayfasında, eşitleme altyapısı için hizmeti çalıştıran hesaba dönüşür. Bir sorun oluşursa, ara sunucu yapılandırması genel olduğundan hata büyük olasılıkla sihirbazdaki Microsoft Entra Id Bağlan sayfasında görünür.

Aşağıdaki sorunlar, yükleme sihirbazında karşılaşabileceğiniz en yaygın hatalardır.

Yükleme sihirbazı doğru yapılandırılmamış

Sihirbazın kendisi ara sunucuya ulaşamayınca bu hata görüntülenir.

Screenshot shows an error Unable to validate credentials.

Bu hatayı görürseniz machine.config dosyasının doğru yapılandırıldığını doğrulayın. machine.config doğru görünüyorsa, sorunun sihirbazın dışında da mevcut olup olmadığını görmek için Ara sunucu bağlantısını doğrulama bölümünde verilen adımları tamamlayın.

Bir Microsoft hesabı kullanılır

Okul veya kuruluş hesabı yerine Microsoft hesabı kullanıyorsanız genel bir hata görürsünüz:

Screenshot that shows a generic credentials validation error.

MFA uç noktasına ulaşılamıyor

Uç noktaya https://secure.aadcdn.microsoftonline-p.com ulaşılamıyorsa ve Karma Kimlik Yönetici istrator'ınız MFA etkinleştirilmişse bu hata görüntülenir.

Screenshot that shows an example of a script error when the MFA endpoint can't be reached.

Bu hatayı görürseniz uç noktanın ara sunucuya secure.aadcdn.microsoftonline-p.com eklendiğini doğrulayın.

Parola doğrulanamaz

Yükleme sihirbazı Microsoft Entra Id'ye bağlanmada başarılı olursa ancak parolanın kendisi doğrulanamıyorsa şu hatayı görürsünüz:

Screenshot that shows an error that occurs when the password can't be verified.

Parola değiştirilmesi gereken geçici bir parola mı? Gerçekten doğru parola mı? Microsoft Entra Bağlan sunucusundan farklı bir bilgisayarda oturum açmayı https://login.microsoftonline.com deneyin ve hesabın kullanılabilir olduğunu doğrulayın.

Ara sunucu bağlantısını doğrulama

Microsoft Entra Bağlan sunucusunun ara sunucuya ve İnternet'e bağlanıp bağlanmadığını denetlemek için, ara sunucunun web isteklerine izin verip vermediğini görmek için bazı PowerShell cmdlet'lerini kullanın. PowerShell’de Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc komutunu çalıştırın. (Teknik olarak, ilk çağrı öğesine https://login.microsoftonline.comyapılır ve bu URI de çalışır, ancak diğer URI'nin yanıt vermesi daha hızlıdır.)

PowerShell, ara sunucuya başvurmak için machine.config dosyasındaki yapılandırmayı kullanır. Winhttp/netsh içindeki ayarlar bu cmdlet'leri etkilememelidir.

Ara sunucu doğru yapılandırıldıysa, bir başarı durumu görüntülenir:

Screenshot that shows the success status when the proxy is configured correctly.

Uzak sunucuya bağlanılamıyor iletisini görürseniz, PowerShell ara sunucuyu kullanmadan doğrudan çağrı yapmaya çalışıyor veya DNS doğru yapılandırılmamış. machine.config dosyasının doğru yapılandırıldığından emin olun.

Screenshot of an error message when PowerShell can't connect to the remote server.

Ara sunucu doğru yapılandırılmamışsa bir 403 veya 407 hata iletisi görüntülenir:

Screenshot of a 403 proxy error in PowerShell.

Screenshot of a 407 proxy error in PowerShell.

Aşağıdaki tabloda 403 ve 407 proxy hataları açıklanmaktadır:

Hata Hata Metni Açıklama
403 Yasak İstenen URL için ara sunucu açılmadı. Ara sunucu yapılandırmasını yeniden ziyaret edin ve URL'lerin açıldığından emin olun.
407 Ara Sunucu Kimlik Doğrulaması Gerekli Proxy sunucusu bir oturum açma gerektiriyordu ve hiçbiri sağlanmadı. Proxy sunucunuz kimlik doğrulaması gerektiriyorsa bu ayarı machine.config dosyasında yapılandırdığınızdan emin olun. Ayrıca, sihirbazı çalıştıran kullanıcı ve hizmet hesabı için etki alanı hesaplarını kullandığınızdan emin olun.

Proxy boşta kalma zaman aşımı ayarı

Microsoft Entra Bağlan Microsoft Entra Id'ye bir dışarı aktarma isteği gönderdiğinde, Microsoft Entra Id'nin yanıt oluşturmadan önce isteği işlemesi 5 dakika kadar sürebilir. Büyük grup üyelikleri olan birçok grup nesnesi aynı dışarı aktarma isteğine dahil edilirse yanıt özellikle gecikebilir. Proxy boşta kalma zaman aşımının 5 dakikadan uzun olacak şekilde yapılandırıldığından emin olun. Aksi takdirde, Microsoft Entra Bağlan sunucusunda Microsoft Entra Kimliği ile ilgili aralıklı bağlantı sorunlarınız olabilir.

Microsoft Entra Bağlan ile Microsoft Entra Id arasındaki iletişim düzeni

Bu makalede açıklanan tüm adımları izlediyseniz ve hala bağlanamıyorsanız, bu noktada ağ günlüklerine bakabilirsiniz. Bu bölümde normal ve başarılı bir bağlantı düzeni açıklanmaktadır.

Ancak ilk olarak, ağ günlüklerindeki verileri yoksayabileceğiniz bazı yaygın endişeler şunlardır:

  • için https://dc.services.visualstudio.comçağrılar vardır. Yüklemenin başarılı olması için bu URL'nin proxy'de açık olması gerekmez ve bu çağrılar yoksayılabilir.
  • DNS çözümlemesinin gerçek konakları DNS ad alanında nsatc.net ve altında microsoftonline.comolmayan diğer ad alanında olarak listelediğini görürsünüz. Ancak, gerçek sunucu adlarında herhangi bir web hizmeti isteği yoktur. Bu URL'leri ara sunucuya eklemeniz gerekmez.
  • Uç noktalar adminwebservice ve provisioningapi bulma uç noktalarıdır ve kullanılacak gerçek uç noktayı bulmak için kullanılır. Bu uç noktalar bölgenize bağlı olarak farklıdır.

Başvuru ara sunucusu günlükleri

Aşağıdaki örnek, gerçek bir proxy günlüğünden bir döküm ve alındığı yükleme sihirbazı sayfasıdır (aynı uç noktaya yinelenen girişler kaldırılmıştır). Bu bölüm, kendi proxy'niz ve ağ günlükleriniz için başvuru olarak kullanılabilir. Gerçek uç noktalar ortamınızda farklı olabilir (özellikle italik URL'ler).

Microsoft Entra Id'ye Bağlan

Zaman URL
1/11/2016 8:31 connect:/login.microsoftonline.com:443
1/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:32 connect:// bba800-anchor.microsoftonline.com:443
1/11/2016 8:32 connect://login.microsoftonline.com:443
1/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:33 connect:// bwsc02-relay.microsoftonline.com:443

Yapılandır

Zaman URL
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:43 connect:// bba800-anchor.microsoftonline.com:443
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect:// bba900-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect:// bba800-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:46 connect:// bwsc02-relay.microsoftonline.com:443

İlk eşitleme

Zaman URL
1/11/2016 8:48 connect://login.windows.net:443
1/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:49 connect:// bba900-anchor.microsoftonline.com:443
1/11/2016 8:49 connect:// bba800-anchor.microsoftonline.com:443

Kimlik Doğrulama hataları

Bu bölüm, ADAL ve PowerShell'den döndürülebilecek hataları kapsar. Hata açıklaması, sonraki adımlarınızı belirlemenize yardımcı olmalıdır.

Geçersiz izin

Geçersiz bir kullanıcı adı veya parola girdiniz. Daha fazla bilgi için bkz . Parola doğrulanamaz.

Bilinmeyen kullanıcı türü

Microsoft Entra dizininiz bulunamıyor veya çözümlenemiyor. Doğrulanmamış bir etki alanında kullanıcı adıyla oturum açmaya çalışmış olabilirsiniz.

Kullanıcı bölgesi bulma başarısız oldu

Ağ veya ara sunucu yapılandırma sorunları. Ağa ulaşılamıyor. Yükleme sihirbazında Bağlan üretkenlik sorunları konusuna bakın.

Kullanıcı parolasının süresi doldu

Kimlik bilgilerinizin süresi doldu. Parolanızı değiştirin.

Yetkilendirme hatası

Microsoft Entra Bağlan, kullanıcıya Microsoft Entra Kimliği'nde eylem gerçekleştirme yetkisi veremedi.

Kimlik doğrulaması iptal edildi

MFA sınaması iptal edildi.

MSOnline'a Bağlan başarısız oldu

Kimlik doğrulaması başarılı oldu, ancak Azure AD PowerShell'de kimlik doğrulaması sorunu var.

Microsoft Entra Global Yönetici istrator rolü gerekiyor

Kullanıcının kimliği başarıyla doğrulandı, ancak kullanıcıya Genel Yönetici istrator rolü atanmadı. Genel Yönetici istrator rolünü kullanıcıya atayabilirsiniz.

Privileged Identity Management etkin

Kimlik doğrulaması başarılı oldu, ancak Privileged Identity Management etkinleştirildi ve kullanıcı şu anda Karma Kimlik Yönetici istrator değil. Daha fazla bilgi için bkz . Privileged Identity Management.

Şirket bilgileri kullanılamıyor

Kimlik doğrulaması başarılı oldu, ancak şirket bilgileri Microsoft Entra Id'den alınamadı.

Etki alanı bilgileri kullanılamıyor

Kimlik doğrulaması başarılı oldu, ancak etki alanı bilgileri Microsoft Entra Id'den alınamadı.

Belirtilmeyen kimlik doğrulaması hatası

Yükleme sihirbazında Beklenmeyen hata olarak gösterilir. Bu hata, okul veya kuruluş hesabı yerine Bir Microsoft hesabı kullanmaya çalışırsanız oluşabilir.

Önceki sürümler için sorun giderme adımları

1.1.105.0 (Şubat 2016'da yayımlandı) derlemesiyle başlayan sürümlerde oturum açma yardımcısı kullanımdan kaldırıldı. Oturum açma yardımcısını yapılandırma artık gerekli olmamalıdır, ancak sonraki bölümlerdeki bilgiler başvuru için eklenmiştir.

Çoklu oturum açma yardımcısının çalışması için Microsoft Windows HTTP Hizmetleri 'nin (WinHTTP) yapılandırılması gerekir. WinHTTP'yi netsh kullanarak yapılandırabilirsiniz.

Screenshot that shows a command prompt window running the netsh tool to set a proxy.

Oturum açma yardımcısı doğru yapılandırılmamış

Oturum açma yardımcısı ara sunucuya erişemiyorsa veya ara sunucu isteğe izin vermiyorsa bu hata görüntülenir.

Screenshot of the error Unable to validate credentials, Verify network connectivity and firewall or proxy settings.

Bu hatayı görürseniz, netsh'deki ara sunucu yapılandırmasına bakın ve doğru olduğunu doğrulayın.

Screenshot that shows a command prompt window running the netsh tool to show the proxy configuration.

Ara sunucu yapılandırması doğru görünüyorsa, sorunun sihirbazın dışında oluşup oluşmadığını görmek için Ara sunucu bağlantısını doğrulama bölümünde verilen adımları tamamlayın.

Sonraki adımlar

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.