Microsoft Entra geçişi kimlik doğrulaması sorunlarını giderme
Bu makale, Microsoft Entra doğrudan kimlik doğrulamasıyla ilgili yaygın sorunlar hakkında sorun giderme bilgilerini bulmanıza yardımcı olur.
Önemli
Doğrudan Kimlik Doğrulaması ile kullanıcı oturum açma sorunlarıyla karşılaşıyorsanız, yalnızca bulut genel Yönetici istrator hesabına veya Karma Kimlik Yönetici istrator hesabına sahip olmadan özelliği devre dışı bırakmayın veya Doğrudan Kimlik Doğrulama Aracılarını kaldırmayın. Yalnızca bulutta genel Yönetici istrator hesabı ekleme hakkında bilgi edinin. Bu adımı gerçekleştirmek kritik önem taşır ve kiracınızın kilitlenmemesini sağlar.
Genel sorunlar
Özelliğin ve Kimlik Doğrulama Aracılarının durumunu denetleme
Doğrudan Kimlik Doğrulaması özelliğinin kiracınızda hala Etkin olduğundan ve Kimlik Doğrulama Aracılarının durumunun Etkin değil Etkin olduğundan emin olun. Durumu denetlemek için Microsoft Entra yönetim merkezinde bulunan Microsoft Entra Connect dikey penceresine gidebilirsiniz.
Kullanıcıya yönelik oturum açma hata iletileri
Kullanıcı Doğrudan Kimlik Doğrulaması kullanarak oturum açamıyorsa Microsoft Entra oturum açma ekranında aşağıdaki kullanıcıya yönelik hatalardan birini görebilir:
| Hata | Açıklama | Çözüm |
|---|---|---|
| AADSTS80001 | Active Directory'ye bağlanılamıyor | Aracı sunucularının, parolalarının doğrulanması gereken ve Active Directory'ye bağlanabilen kullanıcılarla aynı AD ormanının üyeleri olduğundan emin olun. |
| AADSTS80002 | Active Directory'ye bağlanırken zaman aşımı oluştu | Active Directory'nin kullanılabilir olduğundan ve aracılardan gelen isteklere yanıt verdiğinden emin olun. |
| AADSTS80004 | Aracıya geçirilen kullanıcı adı geçerli değil | Kullanıcının doğru kullanıcı adıyla oturum açmaya çalıştığından emin olun. |
| AADSTS80005 | Doğrulama öngörülemeyen WebException ile karşılaşıldı | Geçici bir hata. İsteği yeniden deneyin. Başarısızlığa devam ederse Microsoft desteğine başvurun. |
| AADSTS80007 | Active Directory ile iletişim kurulurken hata oluştu | Daha fazla bilgi için aracı günlüklerini denetleyin ve Active Directory'nin beklendiği gibi çalıştığını doğrulayın. |
Kullanıcılar geçersiz kullanıcı adı/parola hatası alır
Kullanıcının şirket içi UserPrincipalName (UPN) değeri kullanıcının bulut UPN'sinden farklı olduğunda bu durum oluşabilir.
Sorunun bu olduğunu onaylamak için, önce Doğrudan Kimlik Doğrulama aracısının düzgün çalışıp çalışmadığını test edin:
Bir test hesabı oluşturun.
Aracı makinede PowerShell modülünü içeri aktarın:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"PowerShell'i Çağır komutunu çalıştırın:
Invoke-PassthroughAuthOnPremLogonTroubleshooterKimlik bilgilerini girmeniz istendiğinde, (https://login.microsoftonline.com) oturumu açmak için kullanılan kullanıcı adı ve parolayı girin.
Aynı kullanıcı adı/parola hatasıyla karşılaşırsanız bu, Doğrudan Kimlik Doğrulama aracısının düzgün çalıştığı anlamına gelir ve sorun şirket içi UPN'nin yönlendirilemez olması olabilir. Daha fazla bilgi edinmek için bkz . Alternatif Oturum Açma Kimliğini Yapılandırma.
Önemli
Microsoft Entra Bağlan sunucusu etki alanına katılmamışsa, Microsoft Entra Bağlan: Önkoşullar bölümünde belirtilen bir gereksinim, geçersiz kullanıcı adı/parola sorunu oluşur.
Microsoft Entra yönetim merkezinde oturum açma hatası nedenleri (Premium lisansı gerekir)
Kiracınızın kendisiyle ilişkilendirilmiş bir Microsoft Entra Id P1 veya P2 lisansı varsa, Microsoft Entra yönetim merkezindeki oturum açma etkinliği raporuna da bakabilirsiniz.
[Microsoft Entra yönetim merkezi]()https://portal.azure.com/ üzerinde Microsoft Entra Id ->Sign-ins konumuna gidin ve belirli bir kullanıcının oturum açma etkinliğine tıklayın. OTURUM AÇMA HATA KODU alanını arayın. Aşağıdaki tabloyu kullanarak bu alanın değerini bir hata nedeni ve çözümüyle eşleyin:
| Oturum açma hata kodu | Oturum açma hatasının nedeni | Çözüm |
|---|---|---|
| 50144 | Kullanıcının Active Directory parolasının süresi doldu. | şirket içi Active Directory kullanıcı parolasını sıfırlayın. |
| 80001 | Kullanılabilir Kimlik Doğrulama Aracısı yok. | Kimlik Doğrulama Aracısı'nı yükleyin ve kaydedin. |
| 80002 | Kimlik Doğrulama Aracısı'nın parola doğrulama isteği zaman aşımına uğradı. | Kimlik Doğrulama Aracısı'dan Active Directory'nize erişilip erişilemediğini denetleyin. |
| 80003 | Kimlik Doğrulama Aracısı tarafından geçersiz yanıt alındı. | Sorun sürekli olarak birden çok kullanıcı arasında yeniden üretiliyorsa Active Directory yapılandırmanızı denetleyin. |
| 80004 | Oturum açma isteğinde yanlış Kullanıcı Asıl Adı (UPN) kullanıldı. | Kullanıcıdan doğru kullanıcı adıyla oturum açmasını isteyin. |
| 80005 | Kimlik Doğrulama Aracısı: Hata oluştu. | Geçici hata. Daha sonra tekrar deneyin. |
| 80007 | Kimlik Doğrulama Aracısı Active Directory'ye bağlanamadı. | Kimlik Doğrulama Aracısı'dan Active Directory'nize erişilip erişilemediğini denetleyin. |
| 80010 | Kimlik Doğrulama Aracısı parolanın şifresini çözemedi. | Sorun tutarlı bir şekilde yeniden üretilebilirse yeni bir Kimlik Doğrulama Aracısı yükleyin ve kaydedin. Ve geçerli olanı kaldırın. |
| 80011 | Kimlik Doğrulama Aracısı şifre çözme anahtarını alamıyor. | Sorun tutarlı bir şekilde yeniden üretilebilirse yeni bir Kimlik Doğrulama Aracısı yükleyin ve kaydedin. Ve geçerli olanı kaldırın. |
| 80014 | Doğrulama isteğine geçen süre üst sınırı aşıldıktan sonra yanıt verildi. | Kimlik doğrulama aracısı zaman aşımına uğradı. Bu hatayla ilgili daha fazla bilgi edinmek için hata kodu, bağıntı kimliği ve zaman damgası içeren bir destek bileti açın |
Önemli
Doğrudan Kimlik Doğrulama Aracıları, Win32 LogonUser API'sini çağırarak Kullanıcı adlarını ve parolalarını Active Directory'de doğrulayarak Microsoft Entra kullanıcılarının kimliğini doğrular. Sonuç olarak, iş istasyonu oturum açma erişimini sınırlamak için Active Directory'de "Oturum Açma" ayarını ayarladıysanız, Doğrudan Kimlik Doğrulama Aracılarını barındıran sunucuları da "Oturum Açma" sunucuları listesine eklemeniz gerekir. Bunun başarısız olması, kullanıcılarınızın Microsoft Entra Id'de oturum açmasını engeller.
Kimlik Doğrulama Aracısı ile ilgili yükleme sorunları
Beklenmeyen bir hata oluştu
Sunucudan aracı günlüklerini toplayın ve sorununuzu Microsoft Desteği başvurun.
Kimlik Doğrulama Aracısı ile ilgili kayıt sorunları
Engellenen bağlantı noktaları nedeniyle Kimlik Doğrulama Aracısı kaydı başarısız oldu
Kimlik Doğrulama Aracısı'nın yüklendiği sunucunun burada listelenen hizmet URL'lerimiz ve bağlantı noktalarımızla iletişim kuraadığından emin olun.
Belirteç veya hesap yetkilendirme hataları nedeniyle Kimlik Doğrulama Aracısı'nın kaydı başarısız oldu
Tüm Microsoft Entra Bağlan veya tek başına Kimlik Doğrulama Aracısı yükleme ve kayıt işlemleri için yalnızca bulut genel Yönetici istrator hesabı veya Karma Kimlik Yönetici istrator hesabı kullandığınızdan emin olun. MFA etkinleştirilmiş Genel Yönetici hesaplarında bilinen bir sorun vardır; geçici çözüm olarak MFA'yı geçici olarak (yalnızca işlemleri tamamlamak için) kapatın.
Beklenmeyen bir hata oluştu
Sunucudan aracı günlüklerini toplayın ve sorununuzu Microsoft Desteği başvurun.
Kimlik Doğrulama Aracısı ile ilgili kaldırma sorunları
Microsoft Entra Bağlan kaldırılırken uyarı iletisi
Kiracınızda Geçiş Kimlik Doğrulaması etkinleştirildiyse ve Microsoft Entra Connect'i kaldırmaya çalışıyorsanız size aşağıdaki uyarı iletisini gösterir: "Diğer sunucularda başka Geçiş Kimlik Doğrulaması aracılarınız olmadığı sürece kullanıcılar Microsoft Entra ID'de oturum açamaz."
Kullanıcı oturum açma işlemlerini kesintiye uğratmamak için Microsoft Entra Connect'i kaldırmadan önce kurulumunuzun yüksek oranda kullanılabilir olduğundan emin olun.
Özelliği etkinleştirme sorunları
Kullanılabilir Kimlik Doğrulama Aracıları olmadığından özelliği etkinleştirme başarısız oldu
Kiracınızda Doğrudan Kimlik Doğrulaması'nı etkinleştirmek için en az bir etkin Kimlik Doğrulama Aracınız olması gerekir. Microsoft Entra Bağlan veya tek başına Bir Kimlik Doğrulama Aracısı yükleyerek Kimlik Doğrulama Aracısı yükleyebilirsiniz.
Engellenen bağlantı noktaları nedeniyle özelliği etkinleştirme başarısız oldu
Microsoft Entra Bağlan'nin yüklü olduğu sunucunun burada listelenen hizmet URL'lerimiz ve bağlantı noktalarımızla iletişim kuraadığından emin olun.
Belirteç veya hesap yetkilendirme hataları nedeniyle özelliği etkinleştirme başarısız oldu
Özelliği etkinleştirirken yalnızca bulut genel Yönetici istrator hesabı kullandığınızdan emin olun. Çok faktörlü kimlik doğrulaması (MFA) özellikli Genel Yönetici strator hesaplarında bilinen bir sorun vardır; geçici bir çözüm olarak MFA'yı geçici olarak kapatın (yalnızca işlemi tamamlamak için).
Doğrudan Kimlik Doğrulama Aracısı günlüklerini toplama
Karşılaşabileceğiniz sorunun türüne bağlı olarak, Doğrudan Kimlik Doğrulama Aracısı günlükleri için farklı yerlere bakmanız gerekir.
Microsoft Entra Bağlan günlükleri
Yüklemeyle ilgili hatalar için konumundaki Microsoft Entra Bağlan günlüklerini %ProgramData%\AADConnect\trace-*.logdenetleyin.
Kimlik Doğrulama Aracısı olay günlükleri
Kimlik Doğrulama Aracısı ile ilgili hatalar için sunucuda Olay Görüntüleyicisi uygulamasını açın ve Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin konumuna bakın.
Ayrıntılı analiz için "Oturum" günlüğünü etkinleştirin (bu seçeneği bulmak için Olay Görüntüleyicisi uygulamasının içine sağ tıklayın). Normal işlemler sırasında Kimlik Doğrulama Aracısı'nı bu günlük etkinleştirilmiş olarak çalıştırmayın; yalnızca sorun giderme için kullanın. Günlük içeriği yalnızca günlük yeniden devre dışı bırakıldıktan sonra görünür.
Ayrıntılı izleme günlükleri
Kullanıcı oturum açma hatalarını gidermek için %ProgramData%\Microsoft\Azure AD Bağlan Authentication Agent\Trace\ konumunda izleme günlüklerini arayın. Bu günlükler, belirli bir kullanıcı oturum açma işleminin Doğrudan Kimlik Doğrulaması özelliği kullanılarak başarısız olmasının nedenlerini içerir. Bu hatalar, önceki oturum açma hatası nedenleri tablosunda gösterilen oturum açma hatası nedenleriyle de eşlenir. Aşağıda örnek bir günlük girdisi verilmiştir:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Komut istemini açıp şu komutu çalıştırarak (Not: '1328'i günlüklerinizde gördüğünüz gerçek hata numarasıyla değiştirin) hatanın açıklayıcı ayrıntılarını alabilirsiniz (önceki örnekte '1328'):
Net helpmsg 1328
Doğrudan Kimlik Doğrulaması oturum açma günlükleri
Denetim günlüğü etkinleştirildiyse, Geçiş Kimlik Doğrulaması sunucunuzun güvenlik günlüklerinde ek bilgiler bulunabilir. Oturum açma isteklerini sorgulamanın basit bir yolu, aşağıdaki sorguyu kullanarak güvenlik günlüklerini filtrelemektir:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Performans İzleyicisi sayaçları
Kimlik Doğrulama Aracılarını izlemenin bir diğer yolu da, Kimlik Doğrulama Aracısı'nın yüklü olduğu her sunucuda belirli Performans İzleyicisi sayaçlarını izlemektir. Aşağıdaki Genel sayaçları (# PTA kimlik doğrulamaları, #PTA başarısız kimlik doğrulamaları ve #PTA başarılı kimlik doğrulamaları) ve Hata sayaçlarını (# PTA kimlik doğrulaması hataları) kullanın:
Önemli
Doğrudan Kimlik Doğrulaması, yük dengelemeyi değil, birden çok Kimlik Doğrulama Aracısını kullanarak yüksek kullanılabilirlik sağlar. Yapılandırmanıza bağlı olarak, tüm Kimlik Doğrulama Aracılarınız kabaca eşit sayıda istek almaz. Belirli bir Kimlik Doğrulama Aracısı'nın hiç trafik almamış olması mümkündür.