針對 Microsoft Entra Connect 的連線問題進行疑難排解
這篇文章說明 Microsoft Entra Connect 與 Microsoft Entra ID 之間連線的運作方式,以及如何疑難排解連線問題。 這些問題最有可能出現在使用 Proxy 伺服器的環境中。
安裝精靈中的連線問題
Microsoft Entra Connect 會使用 Microsoft 驗證程式庫 (MSAL) 進行驗證。 安裝精靈和同步處理引擎會要求必須正確設定 machine.config,因為這兩個是 .NET 應用程式。
注意
Azure AD Connect v1.6.xx.x 會使用 Active Directory 驗證程式庫 (ADAL)。 ADAL 即將受到取代,並將於 2022 年 6 月結束支援。 我們建議您升級至最新版本的 Microsoft Entra Connect v2。
在本文中,我們將說明 Fabrikam 如何透過其 Proxy 連接至 Microsoft Entra ID。 Proxy 伺服器的名稱為 fabrikamproxy,且使用 8080 連接埠。
首先,請確定已正確設定 machine.config (英文),並且在 machine.config 檔案更新之後,將 Microsoft Entra ID 同步服務重新啟動一次。
注意
某些非 Microsoft 部落格指出應該改為變更 miiserver.exe.config,而非 machine.config 檔案。 不過,每次升級時都會覆寫 miiserver.exe.config 檔案。 即使檔案在初始安裝期間能運作,在第一次升級時系統也會停止運作。 基於這個理由,我們建議您更新 machine.config,如本文所述。
Proxy 伺服器也必須開啟必要的 URL。 如需官方清單,請參閱 Office 365 URL 與 IP 位址範圍。
在這些 URL 當中,下表列出的 URL 是能夠連接到 Microsoft Entra ID 的最基本項目。 這份清單並未包含任何選用的功能,例如密碼回寫或 Microsoft Entra Connect Health。 此處提供相關資訊,以便協助疑難排解初始設定。
| URL | 連接埠 | 描述 |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | 用以下載憑證撤銷清單 (CRL) 清單。 |
*.verisign.com |
HTTP/80 | 用來下載 CRL 清單。 |
*.entrust.net |
HTTP/80 | 用以下載多重要素驗證 (MFA) 的 CRL 清單。 |
*.management.core.windows.net (Azure 儲存體)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | 用於各種 Azure 服務。 |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | 用於 MFA。 |
*.microsoftonline.com |
HTTPS/443 | 用來設定您的 Microsoft Entra 目錄及匯入/匯出資料。 |
*.crl3.digicert.com |
HTTP/80 | 用來驗證憑證。 |
*.crl4.digicert.com |
HTTP/80 | 用來驗證憑證。 |
*.digicert.cn |
HTTP/80 | 用來驗證憑證。 |
*.ocsp.digicert.com |
HTTP/80 | 用來驗證憑證。 |
*.www.d-trust.net |
HTTP/80 | 用來驗證憑證。 |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | 用來驗證憑證。 |
*.crl.microsoft.com |
HTTP/80 | 用來驗證憑證。 |
*.oneocsp.microsoft.com |
HTTP/80 | 用來驗證憑證。 |
*.ocsp.msocsp.com |
HTTP/80 | 用來驗證憑證。 |
精靈中的錯誤
安裝精靈會使用兩種不同的安全性內容。 在 [連線至 Microsoft Entra ID] 頁面上,系統會使用目前已登入的使用者。 在 [設定] 頁面上,其會變更為執行同步處理引擎服務的帳戶 (英文)。 如果發生問題,錯誤最有可能已經出現在精靈中的 [連線到 Microsoft Entra ID] 頁面,因為 Proxy 設定是全域設定。
下列問題是您會在安裝精靈中遇到的最常見錯誤。
安裝精靈未正確設定
當精靈本身無法連線到 Proxy 時,就會出現此錯誤。
如果您看到此錯誤,請驗證是否已經正確設定 machine.config 檔案。 如果 machine.config 看起來正確,請完成確認 Proxy 連線中的步驟,查看問題是否也出現在精靈以外的地方。
使用了 Microsoft 帳戶
如果您使用 Microsoft 帳戶而不是學校或組織帳戶,則會看到一個一般錯誤:
無法連線 MFA 端點
如果無法連線到 https://secure.aadcdn.microsoftonline-p.com 端點,而您的混合式身分識別管理員已啟用 MFA,就會出現此錯誤。
如果您看到此錯誤,請確認是否已將 secure.aadcdn.microsoftonline-p.com 端點新增到 Proxy。
無法驗證密碼
如果安裝精靈成功連線到 Microsoft Entra ID,但密碼本身無法獲得驗證,您就會看到此錯誤:
密碼是臨時密碼,而且必須變更嗎? 實際上是正確的密碼嗎? 嘗試在 Microsoft Entra Connect 伺服器以外的另一部電腦上登入 https://login.microsoftonline.com,並確認該帳戶可供使用。
確認 Proxy 連線
若要檢查 Microsoft Entra Connect 伺服器是否確實能夠與 Proxy 和網際網路連線,請使用一些 PowerShell Cmdlet 來查看 Proxy 是否允許 Web 要求。 在 PowerShell 中,執行 Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc。 (就技術而言,第一個呼叫是對 https://login.microsoftonline.com 發出,而這個 URI 同樣能夠運作,但另一個 URI 的回應速度較快。)
PowerShell 會使用 machine.config 中的設定來連絡 Proxy。 winhttp/netsh 中的設定應該不會影響這些 Cmdlet。
如果 Proxy 設定正確,則會顯示成功狀態:
如果您看到 [無法連接至遠端伺服器] 訊息,表示 PowerShell 正嘗試進行直接呼叫而未使用 Proxy,或是 DNS 設定不正確。 請確定 machine.config 檔案設定正確。
如果 Proxy 未正確設定,則會出現 403 或 407 錯誤訊息:
下表描述 403 和 407 Proxy 錯誤:
| 錯誤 | 錯誤文字 | 註解 |
|---|---|---|
| 403 | 禁止 | Proxy 尚未對要求的 URL 開放。 重新瀏覽 Proxy 設定,並確定 URL 已經開啟。 |
| 407 | 需要 Proxy 驗證 | Proxy 伺服器要求提供登入資訊,但並未提供任何登入資訊。 如果您的 Proxy 伺服器需要驗證,請務必在 machine.config 中進行這項設定。此外,也請確定您將網域帳戶用於執行精靈的使用者,以及用於服務帳戶。 |
Proxy 閒置逾時設定
當 Microsoft Entra Connect 將匯出要求傳送至 Microsoft Entra ID 時,Microsoft Entra ID 在產生回應之前,可能需要 5 分鐘的時間來處理要求。 如果許多具有大型群組成員資格的群組物件包含在相同的匯出要求中,則回應特別容易發生延遲。 請確認 Proxy 閒置逾時設定為 5 分鐘以上。 否則,Microsoft Entra Connect 伺服器上的 Microsoft Entra ID 可能發生間歇連線問題。
Microsoft Entra Connect 與 Microsoft Entra ID 之間的通訊模式
如果您已遵循本文描述的所有步驟,但仍無法連線,可以在此時查看網路記錄。 本節說明正常和成功的連線模式。
但首先,您可以略過以下有關網路記錄中資料的一些常見問題:
- 會有一些對
https://dc.services.visualstudio.com的呼叫。 並不需要在 Proxy 中開啟此 URL,安裝即可成功,因此可以忽略這些呼叫。 - 您會看到 DNS 解析列出要在 DNS 命名空間
nsatc.net中的實際主機,以及其他不在microsoftonline.com底下的命名空間。 不過,實際伺服器名稱上沒有任何 Web 服務要求, 您不需要將這些 URL 新增到 Proxy。 - 端點
adminwebservice和provisioningapi是探索端點,可用來尋找要使用的實際端點。 這些端點會依據您的區域而有所不同。
參考 Proxy 記錄
以下範例是實際 Proxy 記錄的傾印及取得的安裝精靈頁面 (已移除至相同端點的重複項目)。 本節可以作為您自己 Proxy 和網路記錄的參考。 您環境中實際的端點可能會有所不同 (特別是以「斜體字」表示的 URL)。
連線至 Microsoft Entra ID
| Time | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
設定
| Time | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
初始同步
| Time | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
驗證錯誤
本節涵蓋可能從 ADAL 和 PowerShell 傳回的錯誤。 其中所說明的錯誤應可幫助您了解後續步驟。
無效的授與
您輸入的使用者名稱或密碼無效。 如需詳細資訊,請參閱無法驗證密碼。
不明的使用者類型
Microsoft Entra 目錄找不到或無法解析。 可能是您嘗試以未驗證網域中的使用者名稱登入?
使用者領域探索失敗
網路或 Proxy 組態問題。 無法連線到網路。 請參閱安裝精靈中的連線問題。
使用者密碼過期
您的認證已過期。 請變更密碼。
授權失敗
Microsoft Entra Connect 無法授權使用者在 Microsoft Entra ID 中執行動作。
驗證已取消
MFA 挑戰已取消。
連線到 MSOnline 失敗
驗證成功,但 Azure AD PowerShell 發生驗證問題。
需要 Microsoft Entra 全域系統管理員角色
使用者已成功驗證,但使用者未獲指派全域管理員角色。 您可將全域管理員角色指派 (英文) 給使用者。
已啟用 Privileged Identity Management
驗證成功,但已啟用 Privileged Identity Management,而且使用者目前不是混合式身分識別管理員。 如需詳細資訊,請參閱 Privileged Identity Management。
無法取得公司資訊
驗證成功,但無法從 Microsoft Entra ID 擷取公司資訊。
無法取得網域資訊
驗證成功,但無法從 Microsoft Entra ID 擷取網域資訊。
未指定的驗證失敗
在安裝精靈中顯示為未預期的錯誤。 如果您嘗試使用 Microsoft 帳戶而不是學校或組織帳戶,則可能發生此錯誤。
舊版的疑難排解步驟
從組建編號 1.1.105.0 (於 2016 年 2 月發行) 版本開始,即已淘汰登入小幫手。 雖然應該不再需要設定登入小幫手,但仍保留下一節的資訊以供參考。
若要讓單一登入小幫手能夠運作,必須設定 Microsoft Windows HTTP 服務 (WinHTTP)。 您可以使用 netsh 來設定 WinHTTP。
登入小幫手未正確設定
登入小幫手無法連線到 Proxy 或 Proxy 不允許該要求時,就會出現此錯誤。
如果您看到此錯誤,請查看 netsh 中的 Proxy 設定,並確認是否正確。
如果 Proxy 設定看起來正確,請完成確認 Proxy 連線中的步驟,查看問題是否出現在精靈以外的地方。
下一步
深入了解如何將內部部署身分識別與 Microsoft Entra ID 整合 (英文)。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: