Microsoft Entra Connect bağlantı sorunlarını giderme
Bu makalede, Microsoft Entra Connect ile Microsoft Entra ID arasındaki bağlantının nasıl çalıştığı ve bağlantı sorunlarının nasıl giderilir açıklanmaktadır. Bu sorunlar büyük olasılıkla ara sunucu kullanan bir ortamda görülür.
Yükleme sihirbazındaki bağlantı sorunları
Microsoft Entra Connect, kimlik doğrulaması için Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanır. Bu ikisi .NET uygulamaları olduğundan yükleme sihirbazı ve eşitleme altyapısı machine.config dosyasının düzgün yapılandırılmasını gerektirir.
Not
Azure AD Connect v1.6.xx.x, Active Directory Kimlik Doğrulama Kitaplığı'nı (ADAL) kullanır. ADAL kullanımdan kaldırılıyor ve destek Haziran 2022'de sona erecek. Microsoft Entra Connect v2'nin en son sürümüne yükseltmenizi öneririz.
Bu makalede Fabrikam'ın ara sunucusu aracılığıyla Microsoft Entra Id'ye nasıl bağlanıyor göstereceğiz. Proxy sunucusu adlandırılır fabrikamproxy ve 8080 numaralı bağlantı noktasını kullanır.
İlk olarak machine.config dosyasının doğru yapılandırıldığından ve machine.config dosya güncelleştirmesinin ardından Microsoft Entra ID Eşitleme hizmetinin bir kez yeniden başlatıldığından emin olun.
Not
Bazı Microsoft dışı bloglar machine.config dosyası yerine miiserver.exe.config dosyasında değişiklik yapmanız gerektiğini belirtir. Ancak, her yükseltmede miiserver.exe.config dosyasının üzerine yazılır. İlk yükleme sırasında dosya çalışsa bile, sistem ilk yükseltme sırasında çalışmayı durdurur. Bu nedenle, bu makalede açıklandığı gibi machine.config dosyasını güncelleştirmenizi öneririz.
Proxy sunucusunda gerekli URL'lerin de açık olması gerekir. Resmi liste Office 365 URL'leri ve IP adresi aralıklarında belgelenmiştir.
Bu URL'lerden, aşağıdaki tabloda listelenen URL'ler, Microsoft Entra Id'ye bağlanabilmek için mutlak minimum değerdir. Bu listede parola geri yazma veya Microsoft Entra Connect Health gibi isteğe bağlı özellikler yoktur. İlk yapılandırma sorunlarını gidermeye yardımcı olmak için burada bilgiler sağlanır.
| URL | Liman | Açıklama |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Sertifika iptal listesi (CRL) listelerini indirmek için kullanılır. |
*.verisign.com |
HTTP/80 | CRL listelerini indirmek için kullanılır. |
*.entrust.net |
HTTP/80 | Çok faktörlü kimlik doğrulaması (MFA) için CRL listelerini indirmek için kullanılır. |
*.management.core.windows.net (Azure Depolama)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Çeşitli Azure hizmetleri için kullanılır. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | MFA için kullanılır. |
*.microsoftonline.com |
HTTPS/443 | Microsoft Entra dizininizi yapılandırmak ve verileri içeri/dışarı aktarmak için kullanılır. |
*.crl3.digicert.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.crl4.digicert.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.digicert.cn |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.ocsp.digicert.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.www.d-trust.net |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.crl.microsoft.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.oneocsp.microsoft.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.ocsp.msocsp.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
Sihirbazdaki hatalar
Yükleme sihirbazı iki farklı güvenlik bağlamı kullanır. Microsoft Entra Id'ye Bağlan sayfasında, şu anda oturum açmış olan kullanıcıyı kullanır. Yapılandır sayfasında, eşitleme altyapısı için hizmeti çalıştıran hesaba dönüşür. Bir sorun oluşursa, ara sunucu yapılandırması genel olduğundan hata büyük olasılıkla sihirbazdaki Microsoft Entra Id'ye Bağlan sayfasında görünür.
Aşağıdaki sorunlar, yükleme sihirbazında karşılaşabileceğiniz en yaygın hatalardır.
Yükleme sihirbazı doğru yapılandırılmamış
Sihirbazın kendisi ara sunucuya ulaşamayınca bu hata görüntülenir.
Bu hatayı görürseniz machine.config dosyasının doğru yapılandırıldığını doğrulayın. machine.config doğru görünüyorsa, sorunun sihirbazın dışında da mevcut olup olmadığını görmek için Ara sunucu bağlantısını doğrulama bölümünde verilen adımları tamamlayın.
Bir Microsoft hesabı kullanılır
Okul veya kuruluş hesabı yerine Microsoft hesabı kullanıyorsanız genel bir hata görürsünüz:
MFA uç noktasına ulaşılamıyor
Uç noktaya https://secure.aadcdn.microsoftonline-p.com ulaşılamıyorsa ve Karma Kimlik Yöneticinizde MFA etkinleştirildiyse bu hata görüntülenir.
Bu hatayı görürseniz uç noktanın ara sunucuya secure.aadcdn.microsoftonline-p.com eklendiğini doğrulayın.
Parola doğrulanamaz
Yükleme sihirbazı Microsoft Entra Id'ye bağlanmada başarılı olursa ancak parolanın kendisi doğrulanamıyorsa şu hatayı görürsünüz:
Parola değiştirilmesi gereken geçici bir parola mı? Gerçekten doğru parola mı? Microsoft Entra Connect sunucusundan farklı bir bilgisayarda oturum açmayı https://login.microsoftonline.com deneyin ve hesabın kullanılabilir olduğunu doğrulayın.
Ara sunucu bağlantısını doğrulama
Microsoft Entra Connect sunucusunun ara sunucuya ve İnternet'e bağlanıp bağlanmadığını denetlemek için, ara sunucunun web isteklerine izin verip vermediğini görmek için bazı PowerShell cmdlet'lerini kullanın. PowerShell'de komutunu çalıştırın Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Teknik olarak, ilk çağrı öğesine https://login.microsoftonline.comyapılır ve bu URI de çalışır, ancak diğer URI'nin yanıt vermesi daha hızlıdır.)
PowerShell, ara sunucuya başvurmak için machine.config dosyasındaki yapılandırmayı kullanır. Winhttp/netsh içindeki ayarlar bu cmdlet'leri etkilememelidir.
Ara sunucu doğru yapılandırıldıysa, bir başarı durumu görüntülenir:
Uzak sunucuya bağlanılamıyor iletisini görürseniz, PowerShell ara sunucuyu kullanmadan doğrudan çağrı yapmaya çalışıyor veya DNS doğru yapılandırılmamış. machine.config dosyasının doğru yapılandırıldığından emin olun.
Ara sunucu doğru yapılandırılmamışsa bir 403 veya 407 hata iletisi görüntülenir:
Aşağıdaki tabloda 403 ve 407 proxy hataları açıklanmaktadır:
| Hata | Hata Metni | Yorum |
|---|---|---|
| 403 | Yasak | İstenen URL için ara sunucu açılmadı. Ara sunucu yapılandırmasını yeniden ziyaret edin ve URL'lerin açıldığından emin olun. |
| 407 | Proxy Kimlik Doğrulaması Gerekli | Proxy sunucusu bir oturum açma gerektiriyordu ve hiçbiri sağlanmadı. Proxy sunucunuz kimlik doğrulaması gerektiriyorsa bu ayarı machine.config dosyasında yapılandırdığınızdan emin olun. Ayrıca, sihirbazı çalıştıran kullanıcı ve hizmet hesabı için etki alanı hesaplarını kullandığınızdan emin olun. |
Proxy boşta kalma zaman aşımı ayarı
Microsoft Entra Connect, Microsoft Entra Id'ye bir dışarı aktarma isteği gönderdiğinde, Microsoft Entra Id'nin yanıt oluşturmadan önce isteği işlemesi 5 dakika kadar sürebilir. Büyük grup üyelikleri olan birçok grup nesnesi aynı dışarı aktarma isteğine dahil edilirse yanıt özellikle gecikebilir. Proxy boşta kalma zaman aşımının 5 dakikadan uzun olacak şekilde yapılandırıldığından emin olun. Aksi takdirde, Microsoft Entra Connect sunucusunda Microsoft Entra Id ile ilgili aralıklı bağlantı sorunlarınız olabilir.
Microsoft Entra Connect ile Microsoft Entra Id arasındaki iletişim düzeni
Bu makalede açıklanan tüm adımları izlediyseniz ve hala bağlanamıyorsanız, bu noktada ağ günlüklerine bakabilirsiniz. Bu bölümde normal ve başarılı bir bağlantı düzeni açıklanmaktadır.
Ancak ilk olarak, ağ günlüklerindeki verileri yoksayabileceğiniz bazı yaygın endişeler şunlardır:
- için
https://dc.services.visualstudio.comçağrılar vardır. Yüklemenin başarılı olması için bu URL'nin proxy'de açık olması gerekmez ve bu çağrılar yoksayılabilir. - DNS çözümlemesinin gerçek konakları DNS ad alanında
nsatc.netve altındamicrosoftonline.comolmayan diğer ad alanında olarak listelediğini görürsünüz. Ancak, gerçek sunucu adlarında herhangi bir web hizmeti isteği yoktur. Bu URL'leri ara sunucuya eklemeniz gerekmez. - Uç noktalar
adminwebserviceveprovisioningapibulma uç noktalarıdır ve kullanılacak gerçek uç noktayı bulmak için kullanılır. Bu uç noktalar bölgenize bağlı olarak farklıdır.
Başvuru ara sunucusu günlükleri
Aşağıdaki örnek, gerçek bir proxy günlüğünden bir döküm ve alındığı yükleme sihirbazı sayfasıdır (aynı uç noktaya yinelenen girişler kaldırılmıştır). Bu bölüm, kendi proxy'niz ve ağ günlükleriniz için başvuru olarak kullanılabilir. Gerçek uç noktalar ortamınızda farklı olabilir (özellikle italik URL'ler).
Microsoft Entra Id'ye bağlanma
| Saat | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
Yapılandırmak
| Saat | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
İlk eşitleme
| Saat | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
Kimlik doğrulama hataları
Bu bölüm, ADAL ve PowerShell'den döndürülebilecek hataları kapsar. Hata açıklaması, sonraki adımlarınızı belirlemenize yardımcı olmalıdır.
Geçersiz izin
Geçersiz bir kullanıcı adı veya parola girdiniz. Daha fazla bilgi için bkz . Parola doğrulanamaz.
Bilinmeyen kullanıcı türü
Microsoft Entra dizininiz bulunamıyor veya çözümlenemiyor. Doğrulanmamış bir etki alanında kullanıcı adıyla oturum açmaya çalışmış olabilirsiniz.
Kullanıcı bölgesi bulma başarısız oldu
Ağ veya ara sunucu yapılandırma sorunları. Ağa ulaşılamıyor. Bkz. Yükleme sihirbazındaki bağlantı sorunları.
Kullanıcı parolasının süresi doldu
Kimlik bilgilerinizin süresi doldu. Parolanızı değiştirin.
Yetkilendirme hatası
Microsoft Entra Connect, kullanıcıya Microsoft Entra Id'de eylem gerçekleştirme yetkisi veremedi.
Kimlik doğrulaması iptal edildi
MFA sınaması iptal edildi.
MSOnline'a bağlanılamadı
Kimlik doğrulaması başarılı oldu, ancak Azure AD PowerShell'de kimlik doğrulaması sorunu var.
Privileged Identity Management etkin
Kimlik doğrulaması başarılı oldu, ancak Privileged Identity Management etkinleştirildi ve kullanıcı şu anda Karma Kimlik Yöneticisi değil. Daha fazla bilgi için bkz . Privileged Identity Management.
Şirket bilgileri kullanılamıyor
Kimlik doğrulaması başarılı oldu, ancak şirket bilgileri Microsoft Entra Id'den alınamadı.
Etki alanı bilgileri kullanılamıyor
Kimlik doğrulaması başarılı oldu, ancak etki alanı bilgileri Microsoft Entra Id'den alınamadı.
Belirtilmeyen kimlik doğrulaması hatası
Yükleme sihirbazında Beklenmeyen hata olarak gösterilir. Bu hata, okul veya kuruluş hesabı yerine Bir Microsoft hesabı kullanmaya çalışırsanız oluşabilir.
Önceki sürümler için sorun giderme adımları
1.1.105.0 (Şubat 2016'da yayımlandı) derlemesiyle başlayan sürümlerde oturum açma yardımcısı kullanımdan kaldırıldı. Oturum açma yardımcısını yapılandırma artık gerekli olmamalıdır, ancak sonraki bölümlerdeki bilgiler başvuru için eklenmiştir.
Çoklu oturum açma yardımcısının çalışması için Microsoft Windows HTTP Hizmetleri 'nin (WinHTTP) yapılandırılması gerekir. WinHTTP'yi netsh kullanarak yapılandırabilirsiniz.
Oturum açma yardımcısı doğru yapılandırılmamış
Oturum açma yardımcısı ara sunucuya erişemiyorsa veya ara sunucu isteğe izin vermiyorsa bu hata görüntülenir.
Bu hatayı görürseniz, netsh'deki ara sunucu yapılandırmasına bakın ve doğru olduğunu doğrulayın.
Ara sunucu yapılandırması doğru görünüyorsa, sorunun sihirbazın dışında oluşup oluşmadığını görmek için Ara sunucu bağlantısını doğrulama bölümünde verilen adımları tamamlayın.
Sonraki adımlar
Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.