解決 Microsoft Entra 多重要素驗證 NPS 擴充功能的錯誤訊息
如果您遇到 Microsoft Entra 多重要素驗證的 NPS 擴充功能錯誤,請使用本文更快達成解決方案。 NPS 擴充功能記錄位於安裝 NPS 擴充功能之伺服器上的 [應用程式與服務記錄>][Microsoft>AzureMfa>AuthN>AuthZ] 底下 事件檢視器。
常見錯誤的疑難解答步驟
錯誤碼 | 疑難排解步驟 |
---|---|
CONTACT_SUPPORT | 請連絡支持人員,並提及收集記錄的步驟清單。 盡可能提供錯誤發生前所發生情況的資訊,包括租使用者標識碼和用戶主體名稱(UPN)。 |
CLIENT_CERT_INSTALL_ERROR | 可能是用戶端憑證的安裝方式或與您租用戶建立關聯的方式出了問題。 請遵循針對 MFA NPS 擴充功能進行疑難解答中的指示,調查客戶端憑證問題。 |
ESTS_TOKEN_ERROR | 請遵循針對 MFA NPS 擴充功能進行疑難解答中的指示,調查客戶端憑證和安全性令牌問題。 |
HTTPS_COMMUNICATION_ERROR | NPS 伺服器無法接收來自 Microsoft Entra 多重要素驗證的回應。 請確認您的防火牆是雙向開啟的流量, https://adnotifications.windowsazure.com 且已啟用 TLS 1.2(預設值)。 如果停用 TLS 1.2,使用者驗證會失敗,且來源 SChannel 的事件識別碼 36871 會在系統記錄檔中輸入 事件檢視器。 若要確認 TLS 1.2 已啟用,請參閱 TLS 登錄設定。 |
HTTP_CONNECT_ERROR | 在執行 NPS擴充功能的伺服器上,確認您可以連線到 https://adnotifications.windowsazure.com 和 https://login.microsoftonline.com/ 。 如果這些月臺未載入,請針對該伺服器上的連線進行疑難解答。 |
Microsoft Entra 多重要素驗證的 NPS 擴充功能 (AccessReject): Microsoft Entra 多重要素驗證的 NPS 擴充功能只會針對 AccessAccept 狀態中的 Radius 要求執行次要驗證。 針對回應狀態為 AccessReject 的用戶使用者名稱收到的要求,忽略要求。 |
此錯誤通常會反應 AD 中的驗證失敗,或 NPS 伺服器無法收到 Microsoft Entra ID 的回應。 請確定您的防火牆已開放讓 https://adnotifications.windowsazure.com 和 https://login.microsoftonline.com 使用連接埠 80 和 443 雙向傳輸流量。 此外,請務必檢查 [網络訪問許可權] 的 [DIAL-IN] 索引標籤上,此設定會設定為 [透過 NPS 網络原則控制存取]。 如果使用者未獲指派授權,也可能觸發此錯誤。 |
Microsoft Entra 多重要素驗證的 NPS 擴充功能 (AccessChallenge): Microsoft Entra 多重要素驗證的 NPS 擴充功能只會針對 AccessAccept 狀態中的 Radius 要求執行次要驗證。 針對回應狀態為 AccessChallenge 的用戶使用者名稱收到的要求,忽略要求。 |
當使用者需要其他資訊才能完成驗證或授權程式時,就會使用此回應。 NPS 伺服器會將挑戰傳送給使用者,要求進一步認證或資訊。 它通常會在 Access-Accept 或 Access-Reject 回應之前。 |
REGISTRY_CONFIG_ERROR | 應用程式登錄中遺失機碼,可能是因為 PowerShell 指令碼並未在安裝後執行。 錯誤訊息應包含遺失的機碼。 請確定您在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa 底下有密鑰。 |
REQUEST_FORMAT_ERROR Radius 要求遺漏必要的 Radius userName\Identifier 屬性。 確認 NPS 正在接收 RADIUS 要求 |
此錯誤通常反映的是安裝問題。 NPS 擴充功能必須安裝在可接收 RADIUS 要求的 NPS 伺服器。 NPS 伺服器若是作為 RDG 和 RRAS 等服務的相依項目安裝,則不會收到 RADIUS 要求。 NPS 擴充功能無法透過這類安裝和錯誤安裝時運作,因為它無法從驗證要求讀取詳細數據。 |
REQUEST_MISSING_CODE | 請確定 NPS 和 NAS 伺服器之間的密碼加密協定支援您使用的次要驗證方法。 PAP 支援雲端中 Microsoft Entra 多重要素驗證的所有驗證方法:通話、單向簡訊、行動應用程式通知和行動應用程式驗證碼。 CHAPV2 和 EAP 支援通話和行動應用程式通知。 |
USERNAME_CANONICALIZATION_ERROR | 確認使用者存在於您的 內部部署的 Active Directory 實例中,且 NPS 服務具有存取目錄的許可權。 如果您使用樹系信任, 請連絡支持人員 以取得進一步的說明。 |
驗證 Ext for User 中要求的挑戰 | 使用 PAP 以外的 RADIUS 通訊協議的組織會在 NPS 擴充功能的 AuthZOptCh 事件記錄檔中出現這些事件時,看到使用者 VPN 授權失敗。 您可以設定 NPS 伺服器以支援 PAP。 如果 PAP 不是選項,您可以將 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 設定回核准/拒絕推播通知。 如需進一步的說明,請參閱使用 NPS 擴充功能進行號碼比對。 |
替代登入標識碼錯誤
錯誤碼 | 錯誤訊息 | 疑難排解步驟 |
---|---|---|
ALTERNATE_LOGIN_ID_ERROR | 錯誤:userObjectSid 查閱失敗 | 確認使用者存在於您的 內部部署的 Active Directory 實例中。 如果您使用樹系信任, 請連絡支持人員 以取得進一步的說明。 |
ALTERNATE_LOGIN_ID_ERROR | 錯誤:替代 LoginId 查閱失敗 | 確認LDAP_ALTERNATE_LOGINID_ATTRIBUTE已設定為 有效的 Active Directory 屬性。 如果LDAP_FORCE_GLOBAL_CATALOG設定為 True,或LDAP_LOOKUP_FORESTS設定為非空白值,請確認您已設定全域編錄,且 AlternateLoginId 屬性已加入其中。 如果LDAP_LOOKUP_FORESTS已設定非空白值,請確認值正確無誤。 如果有一個以上的樹系名稱,名稱必須以分號分隔,而不是空格。 如果這些步驟無法修正問題, 請連絡支持人員 以取得更多協助。 |
ALTERNATE_LOGIN_ID_ERROR | 錯誤:替代 LoginId 值是空的 | 確認已為用戶設定 AlternateLoginId 屬性。 |
使用者可能會遇到的錯誤
錯誤碼 | 錯誤訊息 | 疑難排解步驟 |
---|---|---|
AccessDenied | 呼叫端租用戶沒有存取權可對用戶進行驗證 | 檢查租使用者網域和用戶主體名稱 (UPN) 的網域是否相同。 例如,請確定 user@contoso.com 嘗試向 Contoso 租用戶進行驗證。 UPN 代表 Azure 中租使用者的有效使用者。 |
AuthenticationMethodNotConfigured | 未為用戶設定指定的驗證方法 | 讓使用者根據管理雙步驟驗證設定中的 指示,新增或驗證其驗證方法。 |
AuthenticationMethodNotSupported | 不支援指定的驗證方法。 | 收集包含此錯誤的所有記錄,並 連絡支持人員。 當您連絡支持人員時,請提供觸發錯誤的使用者名稱和次要驗證方法。 |
BecAccessDenied | MSODS Bec 呼叫傳回拒絕存取權,可能是租使用者中未定義用戶名稱 | 使用者存在於 Active Directory 內部部署中,但不會由 AD 連線 同步處理至 Microsoft Entra ID。 或者,租使用者缺少使用者。 將使用者新增至 Microsoft Entra ID,並讓他們根據管理雙步驟驗證設定中的 指示,新增其驗證方法。 |
InvalidFormat 或 StrongAuthenticationServiceInvalidParameter | 電話號碼的格式無法辨識 | 讓使用者更正其驗證電話號碼。 |
InvalidSession | 指定的工作階段無效或可能已過期 | 會話需要三分鐘以上的時間才能完成。 在起始驗證要求三分鐘內,確認使用者正在輸入驗證碼或回應應用程式通知。 如果無法修正問題,請檢查用戶端、NAS 伺服器、NPS 伺服器與 Microsoft Entra 多重要素驗證端點之間沒有網路等待時間。 |
NoDefaultAuthenticationMethodIsConfigured | 未為使用者設定預設驗證方法 | 讓使用者根據管理雙步驟驗證設定中的 指示,新增或驗證其驗證方法。 確認使用者已選擇預設驗證方法,併為其帳戶設定該方法。 |
OathCodePinIncorrect | 輸入錯誤的程式代碼並釘選。 | NPS 擴充功能中不預期會發生此錯誤。 如果您的使用者遇到此問題, 請連絡支持人員 以取得疑難解答說明。 |
ProofDataNotFound | 未針對指定的驗證方法設定證明數據。 | 讓用戶嘗試不同的驗證方法,或根據管理雙步驟驗證設定中的 指示新增驗證方法。 如果您在確認其驗證方法已正確設定之後,繼續看到此錯誤, 請連絡支持人員。 |
SMSAuthFailedWrongCodePinEntered | 輸入錯誤的程式代碼並釘選。 (OneWaySMS) | NPS 擴充功能中不預期會發生此錯誤。 如果您的使用者遇到此問題, 請連絡支持人員 以取得疑難解答說明。 |
TenantIsBlocked | 租使用者遭到封鎖 | 請連絡 Microsoft Entra 系統管理中心中 Microsoft Entra 屬性頁面的租使用者標識碼支持人員。 |
UserNotFound | 找不到指定的使用者 | 租使用者不再顯示在 Microsoft Entra ID 中。 檢查您的訂用帳戶是否為作用中,而且您有必要的第一方應用程式。 此外,請確定憑證主體中的租使用者如預期般運作,且憑證仍然有效,並在服務主體下註冊。 |
您的使用者可能會遇到未發生錯誤的訊息
有時候,您的使用者可能會因為驗證要求失敗而從多重要素驗證取得訊息。 這些不是組態產品中的錯誤,而是刻意警告,說明為何拒絕驗證要求。
錯誤碼 | 錯誤訊息 | 建議的步驟 |
---|---|---|
OathCodeIncorrect | 輸入錯誤的程式代碼\OATH 碼不正確 | 使用者輸入錯誤碼。 請要求新的程式碼或再次登入,讓他們再試一次。 |
SMSAuthFailedMaxAllowedCodeRetryReached | 已達到允許的程式代碼重試上限 | 使用者驗證挑戰失敗太多次。 視您的設定而定,系統管理員現在可能需要解除封鎖。 |
SMSAuthFailedWrongCodeEntered | 輸入錯誤的程式代碼/簡訊 OTP 不正確 | 使用者輸入錯誤碼。 請要求新的程式碼或再次登入,讓他們再試一次。 |
AuthenticationThrottled | 用戶在短時間內嘗試太多次。 節流。 | Microsoft 可能會限制在短時間內由相同使用者執行的重複驗證嘗試。 這項限制不適用於 Microsoft Authenticator 或驗證碼。 如果您已達到這些限制,您可以使用 Authenticator 應用程式、驗證碼,或在幾分鐘內嘗試再次登入。 |
AuthenticationMethodLimitReached | 已達到驗證方法限制。 節流。 | Microsoft 可能會限制在短時間內使用相同驗證方法類型,特別是語音通話或簡訊,由相同使用者執行的重複驗證嘗試。 這項限制不適用於 Microsoft Authenticator 或驗證碼。 如果您已達到這些限制,您可以使用 Authenticator 應用程式、驗證碼,或在幾分鐘內嘗試再次登入。 |
需要支持的錯誤
如果您遇到其中一個錯誤,建議您 連絡支持人員 以取得診斷協助。 沒有一組標準步驟可以解決這些錯誤。 當您連絡支持人員時,請務必盡可能包含導致錯誤的步驟,以及租使用者信息的相關信息。
錯誤碼 | 錯誤訊息 |
---|---|
InvalidParameter | 要求不得為 Null |
InvalidParameter | ReplicationScope 的 ObjectId 不得為 Null 或空白:{0} |
InvalidParameter | CompanyName {0}\ 的長度超過允許的最大長度 {1} |
InvalidParameter | UserPrincipalName 不得為 Null 或空白 |
InvalidParameter | 提供的 TenantId 格式不正確 |
InvalidParameter | SessionId 不得為 Null 或空白 |
InvalidParameter | 無法從要求或 Msods 解析任何 ProofData。 ProofData 為 UnKnown |
InternalError | |
OathCodePinIncorrect | |
VersionNotSupported | |
MFAPinNotSetup |
下一步
針對用戶帳戶進行疑難解答
如果您的使用者 遇到雙步驟驗證的問題,請協助他們自行診斷問題。
健康情況檢查腳本
Microsoft Entra 多重要素驗證 NPS 延伸模組健康情況檢查腳本會在針對 NPS 擴充功能進行疑難解答時,執行數個基本健康情況檢查。 以下是文稿執行時每個可用選項的快速摘要:
- 選項 1 - 找出問題的原因:如果是 NPS 或 MFA 問題(匯出 MFA RegKeys、重新啟動 NPS、測試、匯入 RegKeys、重新啟動 NPS)
- 選項 2 - 檢查一組完整的測試,但並非所有使用者都可以使用 MFA NPS 延伸模組 (測試 Azure/建立 HTML 報告的存取權)
- 選項 3 - 檢查特定測試集,當特定使用者無法使用 MFA NPS 擴充功能時(針對特定 UPN 測試 MFA)
- 選項 4 - 收集記錄以連絡 Microsoft 支援服務 (啟用記錄/重新啟動 NPS/收集記錄)
連絡 Microsoft 支援服務
如果您需要其他協助,請透過 MFA 支援連絡支持人員。 與我們連絡時,如果能盡可能包含您問題的相關信息,這會很有説明。 您可以提供的資訊包括您看到錯誤的頁面、特定錯誤碼、特定會話標識碼、看到錯誤的使用者識別碼,以及偵錯記錄檔。
若要收集支持診斷的偵錯記錄,請在 NPS 伺服器上執行 Microsoft Entra 多重要素驗證 NPS 延伸模組健康情況檢查腳本 ,然後選擇選項 4 來收集記錄,以提供給 Microsoft 支援。
最後,上傳 C:\NPS 資料夾中產生的 zip 輸出檔案,並將其附加至支援案例。