Sdílet prostřednictvím

Řešení potíží s předávacím ověřováním Microsoft Entra

  • Článek

Tento článek vám pomůže najít informace o řešení běžných problémů souvisejících s předávacím ověřováním Microsoft Entra.

Důležité

Pokud máte problémy s přihlašováním uživatelů s předávacím ověřováním, nezakažte funkci ani neodinstalujte agenty předávacího ověřování, aniž byste měli účet správce hybridní identity jenom v cloudu.

Obecné problémy

Kontrola stavu funkce a agentů ověřování

Ujistěte se, že je ve vašem tenantovi stále povolená funkce Předávací ověřování a že stav agentů ověřování je aktivní a ne neaktivní. Stav můžete zkontrolovat v okně Microsoft Entra Connect v Centru pro správu Microsoft Entra.

Screnshot ukazuje Centrum pro správu Microsoft Entra – okno Microsoft Entra Connect.

Screenhot zobrazuje Centrum pro správu Microsoft Entra – okno Předávací ověřování.

Chybové zprávy s uživatelským přihlášením

Pokud se uživatel nemůže přihlásit pomocí předávacího ověřování, může se na přihlašovací obrazovce Microsoft Entra zobrazit jedna z následujících chyb:

Chyba Popis Rozlišení
AADSTS80001 Nejde se připojit ke službě Active Directory Ujistěte se, že jsou servery agentů členy stejné doménové struktury AD jako uživatelé, jejichž hesla je potřeba ověřit, a že se můžou připojit ke službě Active Directory.
AADSTS80002 Došlo k vypršení časového limitu připojení ke službě Active Directory. Zkontrolujte, jestli je služba Active Directory dostupná a reaguje na požadavky z agentů.
AADSTS80004 Uživatelské jméno předané agentu nebylo platné. Ujistěte se, že se uživatel snaží přihlásit pomocí správného uživatelského jména.
AADSTS80005 Při ověřování došlo k nepředvídatelné chybě WebException Přechodná chyba. Zkuste požadavek zopakovat. Pokud i nadále selže, obraťte se na podporu Microsoftu.
AADSTS80007 Při komunikaci se službou Active Directory došlo k chybě. V protokolech agenta vyhledejte další informace a ověřte, že služba Active Directory funguje podle očekávání.

Uživatelům se zobrazuje chyba s neplatným uživatelským jménem nebo heslem

K tomu může dojít, když se místní hlavní název uživatele (UPN) uživatele liší od hlavního názvu uživatele (UPN) v cloudu.

Pokud chcete ověřit, že se jedná o tento problém, nejprve otestujte, jestli agent předávacího ověřování funguje správně:

  1. Vytvořte testovací účet.

  2. Naimportujte modul PowerShellu na počítač agenta:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"

  3. Spusťte příkaz pro vyvolání PowerShellu:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter

  4. Po zobrazení výzvy k zadání přihlašovacích údajů zadejte stejné uživatelské jméno a heslo, ke kterému se přihlašujete (https://login.microsoftonline.com).

Pokud se zobrazí stejná chyba uživatelského jména nebo hesla, znamená to, že agent předávacího ověřování funguje správně a problém může být v tom, že místní hlavní název uživatele (UPN) není směrovatelný. Další informace najdete v tématu Konfigurace alternativního přihlašovacího ID.

Důležité

Pokud server Microsoft Entra Connect není připojený k doméně, objeví se požadavek uvedený v nástroji Microsoft Entra Connect: Požadavky, dojde k problému s neplatným uživatelským jménem nebo heslem.

Důvody selhání přihlášení v Centru pro správu Microsoft Entra (vyžaduje licenci Premium)

Pokud má váš tenant přidruženou licenci Microsoft Entra ID P1 nebo P2, můžete se také podívat na sestavu aktivit přihlašování v Centru pro správu Microsoft Entra.

Snímek obrazovky s Centrem pro správu Microsoft Entra – sestava přihlášení

Přejděte na Microsoft Entra ID ->Sign-ins v [Centru pro správu Microsoft Entra](https://portal.azure.com/) a klikněte na přihlašovací aktivitu konkrétního uživatele. Vyhledejte pole SIGN-IN ERROR CODE (KÓD CHYBY PŘIHLÁŠENÍ). Na základě hodnoty tohoto pole vyhledejte příčinu selhání a příslušné řešení v následující tabulce:

Kód chyby přihlášení Příčina selhání přihlášení Rozlišení
50144 Vypršela platnost hesla uživatele pro Active Directory. Resetujte heslo uživatele v místní Active Directory.
80001 Není k dispozici žádný ověřovací agent. Nainstalujte a zaregistrujte ověřovacího agenta.
80002 Vypršel časový limit žádosti o ověření hesla ověřovacího agenta. Ověřte, zda je služba Active Directory dosažitelná z ověřovacího agenta.
80003 Ověřovací agent přijal neplatnou odpověď. Pokud je problém konzistentně reprodukovatelný u více uživatelů, zkontrolujte konfiguraci služby Active Directory.
80004 V žádosti o přihlášení byl použit nesprávný hlavní název uživatele (UPN). Požádejte uživatele, aby se přihlásil pomocí správného uživatelského jména.
80005 Ověřovací agent: Došlo k chybě. Přechodná chyba. Zkuste to později.
80007 Ověřovací agent se nemohl připojit k Active Directory. Ověřte, zda je služba Active Directory dosažitelná z ověřovacího agenta.
80010 Ověřovací agent nebyl schopen dešifrovat heslo. Pokud je problém konzistentně reprodukovatelný, nainstalujte a zaregistrujte nového ověřovacího agenta. A odinstalujte aktuální.
80011 Ověřovací agent nebyl schopen získat dešifrovací klíč. Pokud je problém konzistentně reprodukovatelný, nainstalujte a zaregistrujte nového ověřovacího agenta. A odinstalujte aktuální.
80014 Požadavek na ověření odpověděl po překročení maximálního uplynulého času. Vypršel časový limit agenta ověřování. Otevřete lístek podpory s kódem chyby, ID korelace a časovým razítkem a získejte další podrobnosti o této chybě.

Důležité

Předávací ověřovací agenti ověřují uživatele Microsoft Entra ověřením jejich uživatelských jmen a hesel ve službě Active Directory voláním rozhraní API přihlášení Win32. Pokud jste v Active Directory nastavili nastavení "Přihlásit se" tak, aby omezovaly přístup pro přihlášení pracovní stanice, budete muset přidat servery, které hostují předávací ověřovací agenty, do seznamu serverů přihlášení. Pokud to neuděláte, uživatelé se nebudou přihlašovat k MICROSOFT Entra ID.

Problémy s instalací ověřovacího agenta

Došlo k neočekávané chybě.

Shromážděte protokoly agenta ze serveru a spojte se s vaším problémem podpora Microsoftu.

Problémy s registrací ověřovacího agenta

Registrace agenta ověřování selhala kvůli zablokovaným portům

Ujistěte se, že server, na kterém je nainstalovaný ověřovací agent, může komunikovat s našimi adresami URL služeb a porty uvedenými tady.

Registrace agenta ověřování selhala kvůli chybám autorizace tokenu nebo účtu

Ujistěte se, že používáte účet správce hybridní identity pouze v cloudu pro všechny operace instalace a registrace agenta Microsoft Entra Connect nebo samostatného ověřovacího agenta. Došlo ke známému problému s účty správce hybridních identit s podporou vícefaktorového ověřování; Vypněte vícefaktorové ověřování dočasně (pouze k dokončení operací) jako alternativní řešení.

Došlo k neočekávané chybě.

Shromážděte protokoly agenta ze serveru a spojte se s vaším problémem podpora Microsoftu.

Problémy s odinstalací ověřovacího agenta

Zpráva upozornění při odinstalaci nástroje Microsoft Entra Connect

Pokud máte ve vašem tenantovi povolené předávací ověřování a pokusíte se odinstalovat Microsoft Entra Connect, zobrazí se vám následující upozornění: „Uživatelé se nebudou moct přihlásit k Microsoft Entra ID, pokud nemáte na jiných serverech nainstalované jiné agenty předávacího ověřování.“

Před odinstalací služby Microsoft Entra Connect se ujistěte, že vaše instalace je vysoce dostupná, abyste se vyhnuli přerušení přihlašování uživatelů.

Problémy s povolením funkce

Povolení funkce se nezdařilo, protože nejsou k dispozici žádní agenti ověřování.

Abyste mohli povolit předávací ověřování ve vašem tenantovi, musíte mít aspoň jednoho aktivního ověřovacího agenta. Ověřovacího agenta můžete nainstalovat buď instalací microsoft Entra Connect, nebo samostatného ověřovacího agenta.

Povolení funkce selhalo kvůli blokovaným portům

Ujistěte se, že server, na kterém je nainstalovaný Microsoft Entra Connect, může komunikovat s našimi adresami URL služeb a porty uvedenými tady.

Povolení funkce selhalo kvůli chybám autorizace tokenu nebo účtu

Při povolování této funkce se ujistěte, že používáte účet správce hybridní identity pouze v cloudu. Došlo ke známému problému s účty správce hybridní identity s podporou vícefaktorového ověřování (MFA). Vypněte vícefaktorové ověřování dočasně (pouze k dokončení operace) jako alternativní řešení.

Shromažďování protokolů předávacího ověřovacího agenta

V závislosti na typu problému, který můžete mít, budete muset hledat na různých místech protokoly předávacího ověřovacího agenta.

Protokoly Microsoft Entra Connect

V případě chyb souvisejících s instalací zkontrolujte protokoly Microsoft Entra Connect na adrese %ProgramData%\AADConnect\trace-*.log.

Protokoly událostí agenta ověřování

V případě chyb souvisejících s agentem ověřování otevřete aplikaci Prohlížeč událostí na serveru a podívejte se do Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.

Pokud chcete získat podrobnou analýzu, povolte protokol Relace (kliknutím pravým tlačítkem myši do aplikace Prohlížeč událostí tuto možnost vyhledejte). Nespouštějte agenta ověřování s tímto povoleným protokolem během normálního provozu. Tuto možnost použijte pouze pro řešení potíží. Obsah protokolu se zobrazí až po opětovném zakázání protokolu.

Podrobné protokoly trasování

Pokud chcete řešit potíže se selháním přihlašování uživatelů, vyhledejte protokoly trasování na adrese %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Mezi tyto protokoly patří důvody, proč se přihlášení konkrétního uživatele nezdařilo pomocí funkce předávacího ověřování. Tyto chyby se také mapují na důvody selhání přihlášení zobrazené v tabulce s předchozími důvody selhání přihlášení. Následuje příklad položky protokolu:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

Popisné podrobnosti o chybě (1328 v předchozím příkladu) můžete získat tak, že otevřete příkazový řádek a spustíte následující příkaz (Poznámka: Nahraďte 1328 skutečným číslem chyby, které vidíte v protokolech):

Net helpmsg 1328

Předávací ověřování

Protokoly předávacího ověřování

Pokud je protokolování auditu povolené, najdete další informace v protokolech zabezpečení vašeho předávacího ověřovacího serveru. Jednoduchým způsobem, jak dotazovat žádosti o přihlášení, je filtrovat protokoly zabezpečení pomocí následujícího dotazu:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Čítače Sledování výkonu

Dalším způsobem monitorování agentů ověřování je sledování konkrétních čítačů Sledování výkonu na každém serveru, na kterém je nainstalovaný ověřovací agent. Použijte následující globální čítače (# ověřování PTA, #PTA neúspěšná ověřování a #PTA úspěšné ověřování) a čítače chyb (chyby ověřování #PTA):

Předávací ověřovací Sledování výkonu čítače

Důležité

Předávací ověřování poskytuje vysokou dostupnost pomocí více agentů ověřování a ne vyrovnávání zatížení. V závislosti na konfiguraci ne všichni agenti ověřování obdrží zhruba stejný počet požadavků. Je možné, že konkrétní ověřovací agent nepřijímá vůbec žádný provoz.