Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, Microsoft Entra doğrudan kimlik doğrulamasıyla ilgili yaygın sorunlar hakkında sorun giderme bilgilerini bulmanıza yardımcı olur.
Önemli
Doğrudan Kimlik Doğrulaması ile kullanıcı oturum açma sorunlarıyla karşılaşıyorsanız, özelliği devre dışı bırakmayın veya yalnızca bulutta bir Karma Kimlik Yöneticisi hesabına sahip olmadan Doğrudan Kimlik Doğrulama Aracılarını kaldırmayın.
Genel sorunlar
Özelliğin ve Kimlik Doğrulama Aracılarının durumunu denetleme
Doğrudan Kimlik Doğrulaması özelliğinin kiracınızda hala Etkin olduğundan ve Kimlik Doğrulama Aracılarının durumunun Pasif değil, Etkin olduğundan emin olun. Microsoft Entra Yönetim Merkezi'ninMicrosoft Entra Connect dikey penceresine giderek durum denetimi yapabilirsiniz.
Kullanıcıya yönelik oturum açma hata iletileri
Kullanıcı Doğrudan Kimlik Doğrulaması kullanarak oturum açamıyorsa Microsoft Entra oturum açma ekranında aşağıdaki kullanıcıya yönelik hatalardan birini görebilir:
| Hata | Açıklama | Çözüm |
|---|---|---|
| AADSTS80001 | Active Directory'ye bağlanılamıyor | Aracı sunucularının, parolalarının doğrulanması gereken ve Active Directory'ye bağlanabilen kullanıcılarla aynı AD ormanının üyeleri olduğundan emin olun. |
| AADSTS80002 | Active Directory'ye bağlanırken zaman aşımı oluştu | Active Directory'nin kullanılabilir olduğundan ve aracılardan gelen isteklere yanıt verdiğinden emin olun. |
| AADSTS80004 | Aracıya gönderilen kullanıcı adı geçerli değil | Kullanıcının doğru kullanıcı adıyla oturum açmaya çalıştığından emin olun. |
| AADSTS80005 | Doğrulama öngörülemeyen WebException ile karşılaşıldı | Geçici bir hata. İsteği yeniden deneyin. Başarısızlığa devam ederse Microsoft desteğine başvurun. |
| AADSTS80007 | Active Directory ile iletişim kurulurken hata oluştu | Daha fazla bilgi için aracı günlüklerini denetleyin ve Active Directory'nin beklendiği gibi çalıştığını doğrulayın. |
Kullanıcılar geçersiz kullanıcı adı/parola hatası alır
Kullanıcının şirket içi UserPrincipalName (UPN) değeri kullanıcının bulut UPN'sinden farklı olduğunda bu durum oluşabilir.
Sorunun bu olduğunu onaylamak için öncelikle Geçiş Kimlik Doğrulaması aracısının düzgün çalışıp çalışmadığını test edin:
Bir test hesabı oluşturun.
Aracı makinede PowerShell modülünü yükleyin.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"PowerShell'i Çağır komutunu çalıştırın:
Invoke-PassthroughAuthOnPremLogonTroubleshooterKimlik bilgilerini girmeniz istendiğinde, (
https://login.microsoftonline.com) oturumunu açmak için kullanılan kullanıcı adı ve şifreyi girin.
Aynı kullanıcı adı/parola hatasıyla karşılaşırsanız bu, Geçiş Kimlik Doğrulaması aracısının düzgün çalıştığı anlamına gelir ve sorun şirket içi UPN'nin yönlendirilemez olması olabilir. Daha fazla bilgi edinmek için bkz. Alternatif Oturum Açma Kimliğini Yapılandırma.
Önemli
Eğer Microsoft Entra Connect sunucusu etki alanına katılmamışsa, ki bu Microsoft Entra Connect: Önkoşullar'da belirtilen bir gereksinimdir, geçersiz kullanıcı adı/parola sorunu oluşur.
Microsoft Entra yönetim merkezinde oturum açma hatası nedenleri (Premium lisansı gerekir)
Kiracınızın kendisiyle ilişkilendirilmiş bir Microsoft Entra Id P1 veya P2 lisansı varsa, Microsoft Entra yönetim merkezindekioturum açma etkinliği raporuna da bakabilirsiniz.
[Microsoft Entra yönetim merkezi]()> üzerindeki Microsoft Entra Idhttps://portal.azure.com/ gidin ve belirli bir kullanıcının oturum açma etkinliğine tıklayın. SIGN-IN HATA KODU alanını arayın. Aşağıdaki tabloyu kullanarak bu alanın değerini bir hata nedeni ve çözümüyle eşleyin:
| Oturum açma hata kodu | Oturum açma hatasının nedeni | Çözüm |
|---|---|---|
| 50144 | Kullanıcının Active Directory parolasının süresi doldu. | şirket içi Active Directory kullanıcı parolasını sıfırlayın. |
| 80001 | Kullanılabilir Kimlik Doğrulama Aracısı yok. | Kimlik Doğrulama Aracısı'nı yükleyin ve kaydedin. |
| 80002 | Kimlik Doğrulama Aracısı'nın parola doğrulama isteği zaman aşımına uğradı. | Kimlik Doğrulama Aracısı'dan Active Directory'nize erişilip erişilemediğini denetleyin. |
| 80003 | Kimlik Doğrulama Aracısı tarafından geçersiz yanıt alındı. | Sorun sürekli olarak birden çok kullanıcı arasında yeniden üretiliyorsa Active Directory yapılandırmanızı denetleyin. |
| 80004 | Oturum açma isteğinde yanlış Kullanıcı Asıl Adı (UPN) kullanıldı. | Kullanıcıdan doğru kullanıcı adıyla oturum açmasını isteyin. |
| 80005 | Kimlik Doğrulama Aracısı: Hata oluştu. | Geçici hata. Daha sonra tekrar deneyin. |
| 80007 | Kimlik Doğrulama Aracısı Active Directory'ye bağlanamadı. | Kimlik Doğrulama Aracısı'dan Active Directory'nize erişilip erişilemediğini denetleyin. |
| 80010 | Kimlik Doğrulama Aracısı parolanın şifresini çözemedi. | Sorun tutarlı bir şekilde yeniden üretilebilirse yeni bir Kimlik Doğrulama Aracısı yükleyin ve kaydedin. Şu anki yazılımı kaldırın. |
| 80011 | Kimlik Doğrulama Aracısı şifre çözme anahtarını alamıyor. | Sorun tutarlı bir şekilde yeniden üretilebilirse yeni bir Kimlik Doğrulama Aracısı yükleyin ve kaydedin. Şu anki yazılımı kaldırın. |
| 80014 | Doğrulama isteğine geçen süre üst sınırı aşıldıktan sonra yanıt verildi. | Kimlik doğrulama aracısı zaman aşımına uğradı. Bu hatayla ilgili daha fazla bilgi edinmek için hata kodu, bağıntı kimliği ve zaman damgası içeren bir destek bileti açın |
Önemli
Doğrudan Kimlik Doğrulama Aracıları , Win32 LogonUser API'sini çağırarak Kullanıcı adlarını ve parolalarını Active Directory'de doğrulayarak Microsoft Entra kullanıcılarının kimliğini doğrular. Sonuç olarak, iş istasyonu oturum açma erişimini sınırlamak için Active Directory'de "Oturum Açma" ayarını ayarladıysanız, Doğrudan Kimlik Doğrulama Aracılarını barındıran sunucuları da "Oturum Açma" sunucuları listesine eklemeniz gerekir. Bunun başarısız olması, kullanıcılarınızın Microsoft Entra Id'de oturum açmasını engeller.
Kimlik Doğrulama Aracısı ile ilgili yükleme sorunları
Beklenmeyen bir hata oluştu
Sunucudan aracı günlüklerini toplayın ve sorununuz için Microsoft Desteği'ne başvurun.
Kimlik Doğrulama Aracısı ile ilgili kayıt sorunları
Engellenen bağlantı noktaları nedeniyle Kimlik Doğrulama Aracısı kaydı başarısız oldu
Kimlik Doğrulama Aracısı'nın yüklendiği sunucunun burada listelenen hizmet URL'lerimiz ve bağlantı noktalarımızla iletişim kuraadığından emin olun.
Belirteç veya hesap yetkilendirme hataları nedeniyle Kimlik Doğrulama Aracısı'nın kaydı başarısız oldu
Tüm Microsoft Entra Connect veya tek başına Kimlik Doğrulama Aracısı yükleme ve kayıt işlemleri için yalnızca bulutta karma kimlik yöneticisi hesabı kullandığınızdan emin olun. MFA özellikli Karma Kimlik Yöneticisi hesaplarında bilinen bir sorun vardır; geçici bir çözüm olarak MFA'yı geçici olarak kapatın (yalnızca işlemleri tamamlamak için).
Beklenmeyen bir hata oluştu
Sunucudan aracı günlüklerini toplayın ve sorununuz için Microsoft Desteği'ne başvurun.
Kimlik Doğrulama Aracısının kaldırılmasıyla ilgili sorunlar
Microsoft Entra Connect'i kaldırırken uyarı iletisi
Kiracınızda Geçiş Kimlik Doğrulaması etkinleştirildiyse ve Microsoft Entra Connect'i kaldırmaya çalışıyorsanız size aşağıdaki uyarı iletisini gösterir: "Diğer sunucularda başka Geçiş Kimlik Doğrulaması aracılarınız olmadığı sürece kullanıcılar Microsoft Entra ID'de oturum açamaz."
Kullanıcı oturum açma işleminin bozulmasını önlemek için Microsoft Entra Connect'i kaldırmadan önce kurulumunuzun yüksek oranda kullanılabilir olduğundan emin olun.
Özelliği etkinleştirme sorunları
Kullanılabilir Kimlik Doğrulama Aracıları olmadığından özelliği etkinleştirme başarısız oldu
Kiracınızda Doğrudan Kimlik Doğrulaması'nı etkinleştirmek için en az bir etkin Kimlik Doğrulama Aracınız olması gerekir. Ya Microsoft Entra Connect'i yükleyerek ya da tek başına bir Kimlik Doğrulama Aracısı yükleyerek Kimlik Doğrulama Aracısı yükleyebilirsiniz.
Engellenen bağlantı noktaları nedeniyle özelliği etkinleştirme başarısız oldu
Microsoft Entra Connect'in yüklü olduğu sunucunun burada listelenen hizmet URL'lerimiz ve bağlantı noktalarımızla iletişim kuraadığından emin olun.
Belirteç veya hesap yetkilendirme hataları nedeniyle özelliği etkinleştirme başarısız oldu
Özelliği etkinleştirirken yalnızca bulutta karma kimlik yöneticisi hesabı kullandığınızdan emin olun. Çok faktörlü kimlik doğrulaması (MFA) özellikli Karma Kimlik Yöneticisi hesaplarında bilinen bir sorun vardır; geçici bir çözüm olarak MFA'yı geçici olarak kapatın (yalnızca işlemi tamamlamak için).
Ara Geçişli Kimlik Doğrulama Aracısı günlüklerini toplama
Karşılaşabileceğiniz sorunun türüne bağlı olarak, Geçiş Kimlik Doğrulama Aracısı günlüklerini bulmak için farklı yerlere bakmanız gerekebilir.
Microsoft Entra Connect günlükleri
Yüklemeyle ilgili hatalar için konumundaki %ProgramData%\AADConnect\trace-*.logMicrosoft Entra Connect günlüklerine bakın.
Kimlik Doğrulama Aracısı olay günlükleri
Kimlik Doğrulama Aracısı ile ilgili hatalar için sunucuda Olay Görüntüleyicisi uygulamasını açın ve Uygulama ve Hizmet Günlükleri\Microsoft\AzureAdConnect\AuthenticationAgent\Admin altında denetleyin.
Ayrıntılı analiz için "Oturum" günlüğünü etkinleştirin (bu seçeneği bulmak için Olay Görüntüleyicisi uygulamasının içine sağ tıklayın). Normal operasyonlar sırasında Kimlik Doğrulama Aracısı'nı bu günlük açıkken çalıştırmayın; yalnızca sorun giderme amacıyla kullanın. Günlük içeriği, ancak günlük tekrar devre dışı bırakıldığında görünür.
Ayrıntılı izleme günlükleri
Kullanıcı oturum açma hatalarını gidermek için \Microsoft\Azure AD Connect Authentication Agent\Trace\%ProgramData% izleme günlüklerini arayın. Bu günlükler, belirli bir kullanıcı oturum açma işleminin Doğrudan Kimlik Doğrulaması özelliği kullanılarak başarısız olmasının nedenlerini içerir. Bu hatalar, önceki oturum açma hatası nedenleri tablosunda gösterilen oturum açma hatası nedenleriyle de eşlenir. Aşağıda örnek bir günlük girdisi verilmiştir:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Komut istemini açıp şu komutu çalıştırarak (Not: '1328'i günlüklerinizde gördüğünüz gerçek hata numarasıyla değiştirin) hatanın açıklayıcı ayrıntılarını alabilirsiniz (önceki örnekte '1328'):
Net helpmsg 1328
Geçiş Kimlik Doğrulaması oturum açma günlükleri
Denetim günlüğü etkinleştirildiyse, Geçiş Kimlik Doğrulaması sunucunuzun güvenlik günlüklerinde ek bilgiler bulunabilir. Oturum açma isteklerini sorgulamanın basit bir yolu, aşağıdaki sorguyu kullanarak güvenlik günlüklerini filtrelemektir:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Performans Monitörü sayaçları
Kimlik Doğrulama Aracılarını izlemenin bir diğer yolu da, Kimlik Doğrulama Aracısı'nın yüklü olduğu her sunucuda belirli Performans İzleyicisi sayaçlarını izlemektir. Aşağıdaki Genel sayaçları (# PTA kimlik doğrulamaları, #PTA başarısız kimlik doğrulamaları ve #PTA başarılı kimlik doğrulamaları) ve Hata sayaçlarını (# PTA kimlik doğrulaması hataları) kullanın:
Önemli
Doğrudan Kimlik Doğrulama, birden çok Kimlik Doğrulama Aracısını kullanarak yük dengelemesi olmadan yüksek kullanılabilirlik sağlar. Yapılandırmanıza bağlı olarak, tüm Kimlik Doğrulama Aracılarınız kabaca eşit sayıda istek almaz. Belirli bir Kimlik Doğrulama Aracısı'nın hiç trafik almamış olması mümkündür.