Résoudre les problèmes de connectivité Microsoft Entra Connect
Cet article explique le fonctionnement de la connectivité entre Microsoft Entra Connect et Microsoft Entra ID et comment résoudre les problèmes de connectivité. Ces problèmes sont susceptibles de se produire dans un environnement doté d’un serveur proxy.
Problèmes de connectivité dans l’Assistant Installation
Microsoft Entra Connect utilise la bibliothèque d'authentification Microsoft (MSAL) pour l'authentification. L’Assistant Installation et le moteur de synchronisation approprié requièrent que machine.config soit correctement configuré dans la mesure où ces deux éléments sont des applications .NET.
Notes
Azure AD Connect v1.6.xx.x utilise la Bibliothèque d’authentification Active Directory (ADAL). La Bibliothèque ADAL est déconseillée et sa prise en charge prendra fin en juin 2022. Nous vous recommandons de mettre à niveau vers la dernière version de Microsoft Entra Connect v2.
Dans cet article, nous montrons comment Fabrikam se connecte à Microsoft Entra ID via son proxy. Le serveur proxy est nommé fabrikamproxy
et utilise un port 8080.
Tout d'abord, assurez-vous que machine.config est correctement configuré et que le service Microsoft Entra ID Sync a été redémarré une fois après la mise à jour du fichier machine.config.
Notes
Certains blogs autres que Microsoft indiquent que vous devez apporter des modifications à miiserver.exe.config plutôt qu’au fichier machine.config. Toutefois, le fichier miiserver.exe.config est remplacé à chaque mise à niveau. Même si le fichier fonctionne pendant l’installation initiale, le système cesse de fonctionner pendant la première mise à niveau. Pour cette raison, nous vous recommandons de mettre à jour machine.config comme décrit dans cet article.
Les URL requises doivent également être ouvertes dans le serveur proxy. La liste officielle est documentée dans URL et plages d’adresses IP Office 365 .
Parmi ces URL, celles répertoriées dans le tableau suivant constituent le strict minimum pour pouvoir se connecter à Microsoft Entra ID. Cette liste n'inclut aucune fonctionnalité facultative, telle que la réécriture du mot de passe ou Microsoft Entra Connect Health. Les informations sont fournies ici pour vous aider à résoudre les problèmes de la configuration initiale.
URL | Port | Description |
---|---|---|
mscrl.microsoft.com |
HTTP/80 | Utilisé pour télécharger des listes de révocation de certificats (CRL). |
*.verisign.com |
HTTP/80 | Permet de télécharger des listes de révocation de certificats. |
*.entrust.net |
HTTP/80 | Utilisé pour télécharger les listes de révocation de certificats pour l’authentification multifacteur (MFA). |
*.management.core.windows.net (Stockage Azure)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Utilisé pour les différents services Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Utilisé pour MFA. |
*.microsoftonline.com |
HTTPS/443 | Utilisé pour configurer votre répertoire Microsoft Entra et importer/exporter des données. |
*.crl3.digicert.com |
HTTP/80 | Utilisé pour vérifier les certificats. |
*.crl4.digicert.com |
HTTP/80 | Utilisé pour vérifier les certificats. |
*.digicert.cn |
HTTP/80 | Utilisé pour vérifier les certificats. |
*.ocsp.digicert.com |
HTTP/80 | Utilisé pour vérifier les certificats. |
*.www.d-trust.net |
HTTP/80 | Utilisé pour vérifier les certificats. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Utilisé pour vérifier les certificats. |
*.crl.microsoft.com |
HTTP/80 | Utilisé pour vérifier les certificats. |
*.oneocsp.microsoft.com |
HTTP/80 | Utilisé pour vérifier les certificats. |
*.ocsp.msocsp.com |
HTTP/80 | Utilisé pour vérifier les certificats. |
Erreurs dans l’Assistant
L’Assistant Installation utilise deux contextes de sécurité différents. Sur la page Se connecter à Microsoft Entra ID, il utilise l'utilisateur actuellement connecté. Sur la page Configurer, il passe au compte exécutant le service pour le moteur de synchronisation. Si un problème survient, l'erreur apparaîtra très probablement sur la page Se connecter à Microsoft Entra ID dans l'assistant car la configuration du proxy est globale.
Voici les erreurs les plus courantes de l’Assistant Installation.
L’Assistant Installation n’a pas été configuré correctement
Cette erreur apparaît quand l’Assistant ne peut pas accéder au proxy.
Si vous voyez cette erreur, vérifiez que le fichier machine.config a été configuré correctement. Si le fichier machine.config semble correct, suivez les étapes de la section Vérifier la connectivité du proxy pour voir si le problème existe également en dehors de l’Assistant.
Un compte Microsoft est utilisé
Si vous utilisez un compte Microsoft au lieu d’un compte scolaire ou d’organisation, l’erreur générique suivante apparaît :
Impossible d’atteindre le point de terminaison de l’authentification MFA
Cette erreur s’affiche si le point de terminaison https://secure.aadcdn.microsoftonline-p.com
n’est pas accessible et que votre administrateur d’identité hybride a l’authentification multifacteur activée.
Si vous voyez cette erreur, vérifiez que le point de terminaison secure.aadcdn.microsoftonline-p.com
a été ajouté au proxy.
Le mot de passe ne peut pas être vérifié
Si l'assistant d'installation parvient à se connecter à Microsoft Entra ID mais que le mot de passe lui-même ne peut pas être vérifié, cette erreur s'affiche :
Le mot de passe est-il temporaire et doit-il être modifié ? Le mot de passe est-il correct ? Essayez de vous connecter à https://login.microsoftonline.com
sur un autre ordinateur que le serveur Microsoft Entra Connect et vérifiez que le compte est utilisable.
Vérifier la connectivité du proxy
Pour vérifier si le serveur Microsoft Entra Connect se connecte au proxy et à Internet, utilisez certaines applets de commande PowerShell pour voir si le proxy autorise les requêtes Web. Dans PowerShell, exécutez Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc
. (Techniquement, le premier appel se fait vers https://login.microsoftonline.com
et cet URI fonctionne également, mais l’autre URI répond plus rapidement.)
PowerShell utilise la configuration machine.config pour contacter le proxy. Les paramètres de winhttp/netsh ne doivent pas affecter ces cmdlets.
Si le proxy est configuré correctement, vous obtenez un état de réussite :
Si vous recevez l’erreur Impossible de se connecter au serveur distant, cela signifie que PowerShell tente d’effectuer un appel direct sans utiliser le proxy ou que le DNS n’est pas configuré correctement. Vérifiez que le fichier machine.config est configuré correctement.
Si le proxy n’est pas correctement configuré, un message d’erreur 403 ou 407 s’affiche :
Le tableau suivant décrit les erreurs de proxy 403 et 407 :
Error | Texte d’erreur | Commentaire |
---|---|---|
403 | Interdit | Le proxy n’a pas été ouvert pour l’URL demandée. Revisitez la configuration du proxy et vérifiez que les URL ont été ouvertes. |
407 | Authentification proxy requise | Le serveur proxy nécessitait une connexion et aucune n’a été fournie. Si votre serveur proxy nécessite une authentification, vérifiez que ce paramètre a été configuré dans le fichier machine.config. Vérifiez également que vous utilisez des comptes de domaine pour l’utilisateur qui exécute l’Assistant et pour le compte de service. |
Définition du délai d'inactivité du proxy
Lorsque Microsoft Entra Connect envoie une demande d'exportation à Microsoft Entra ID, Microsoft Entra ID peut prendre jusqu'à 5 minutes pour traiter la demande avant de générer une réponse. La réponse est particulièrement susceptible d’être retardée si de nombreux objets de groupe qui ont des appartenances de groupe volumineuses sont inclus dans la même demande d’exportation. Assurez-vous que le délai d'inactivité du proxy est configuré pour être supérieur à 5 minutes. Sinon, vous pourriez rencontrer des problèmes de connectivité intermittents avec Microsoft Entra ID sur le serveur Microsoft Entra Connect.
Modèle de communication entre Microsoft Entra Connect et Microsoft Entra ID
Si vous avez suivi toutes les étapes décrites dans cet article et que vous ne pouvez toujours pas vous connecter, vous pouvez désormais examiner les journaux réseau. Cette section décrit un modèle de connectivité réussi et normal.
Mais tout d’abord, voici quelques préoccupations courantes concernant les données dans les journaux réseau que vous pouvez ignorer :
- Il s’agit d’appels vers
https://dc.services.visualstudio.com
. Il n’est pas impératif que cette URL soit ouverte dans le proxy pour que l’installation réussisse, et vous pouvez ignorer ces appels. - Vous constatez que la résolution DNS répertorie les hôtes réels comme étant dans l’espace de noms DNS
nsatc.net
et d’autres espaces de noms qui ne se trouvent pas sousmicrosoftonline.com
. Toutefois, il n’existe aucune demande de service web sur les noms de serveurs réels. Vous n’avez pas besoin d’ajouter ces URL au proxy. - Les points de terminaison
adminwebservice
etprovisioningapi
sont des points de terminaison de découverte, et ils sont utilisés pour rechercher le point de terminaison réel à utiliser. Ces points de terminaison diffèrent selon votre région.
Journaux d’activité de proxy de référence
Voici une image mémoire d’un journal de proxy réel et la page de l’Assistant Installation d’où elle a été prise (les entrées en double pour un même point de terminaison ont été supprimées). Cette section peut être utilisée comme référence pour vos propres journaux d’activité de proxy et de réseau. Les points de terminaison réels peuvent être différents dans votre environnement (en particulier les URL en italique).
Connectez-vous à Microsoft Entra ID
Time | URL |
---|---|
11/01/2016 8:31 | connect:/login.microsoftonline.com:443 |
11/01/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
11/01/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
11/01/2016 8:32 | connect://login.microsoftonline.com:443 |
11/01/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
11/01/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Configurer
Temps | URL |
---|---|
11/01/2016 8:43 | connect://login.microsoftonline.com:443 |
11/01/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
11/01/2016 8:43 | connect://login.microsoftonline.com:443 |
11/01/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
11/01/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
11/01/2016 8:44 | connect://login.microsoftonline.com:443 |
11/01/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
11/01/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
11/01/2016 8:44 | connect://login.microsoftonline.com:443 |
11/01/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
11/01/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Synchronisation initiale
Temps | URL |
---|---|
11/01/2016 8:48 | connect://login.windows.net:443 |
11/01/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
11/01/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
11/01/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
Erreurs d’authentification
Cette section aborde les erreurs pouvant être retournées par ADAL et par PowerShell. L’erreur expliquée doit vous aider à comprendre les étapes suivantes.
Licence non valide
Vous avez entré un nom d’utilisateur ou un mot de passe non valide. Pour plus d’informations, consultez Impossible de vérifier le mot de passe.
Type d’utilisateur inconnu
Votre répertoire Microsoft Entra est introuvable ou résolu. Vous avez peut-être essayé de vous connecter avec un nom d’utilisateur d’un domaine non vérifié ?
Échec de la découverte de domaine d’utilisateur
Problèmes de configuration du réseau ou du proxy. Impossible d’accéder au réseau. Consultez Problèmes de connectivité dans l’Assistant Installation.
Mot de passe utilisateur expiré
Vos informations d’identification ont expiré. Modifiez votre mot de passe.
Échec de l’autorisation
Microsoft Entra Connect n'a pas réussi à autoriser l'utilisateur à effectuer une action dans Microsoft Entra ID.
Authentification annulée
Le défi MFA a été annulé.
La connexion à MS Online a échoué
L’authentification a réussi, mais Azure AD PowerShell a un problème d’authentification.
Privileged Identity Management activé
L’authentification a réussi, mais Privileged Identity Management a été activée et l’utilisateur n’est actuellement pas administrateur d’identité hybride. Pour plus d’informations, consultez Privileged Identity Management.
Company Information Unavailable (Informations sur la société non disponibles)
L'authentification a réussi, mais les informations sur l'entreprise n'ont pas pu être récupérées à partir de Microsoft Entra ID.
Domain Information Unavailable (Informations de domaine non disponibles)
L'authentification a réussi, mais les informations de domaine n'ont pas pu être récupérées à partir de Microsoft Entra ID.
Unspecified Authentication Failure (Échec d’authentification non spécifié)
Apparaît comme une erreur inattendue dans l’Assistant Installation. Cette erreur peut se produire si vous essayez d’utiliser un compte Microsoft au lieu d’un compte scolaire ou d’organisation.
Étapes de résolution des problèmes pour les versions précédentes
Dans les versions commençant par le numéro de build 1.1.105.0 (publiées en février 2016), l’Assistant de connexion a été mis hors service. La configuration de l’Assistant de connexion ne doit plus être requise, mais les informations des sections suivantes sont incluses pour référence.
Pour que l’Assistant d’authentification unique fonctionne, Microsoft Windows HTTP Services (WinHTTP) doit être configuré. Vous pouvez configurer WinHTTP avec netsh.
L’Assistant de connexion n’est pas configuré correctement
Cette erreur apparaît lorsque l’Assistant de connexion ne peut pas accéder au proxy ou quand le proxy n’autorise pas la demande.
Si cette erreur apparaît, examinez la configuration du proxy dans netsh et vérifiez si elle est correcte.
Si la configuration du proxy semble correcte, effectuez les étapes décrites dans Vérifier la connectivité du proxy pour voir si le problème se produit en dehors de l’Assistant.
Étapes suivantes
En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.