Delen via


Verbindingsproblemen met Microsoft Entra Connect oplossen

In dit artikel wordt uitgelegd hoe connectiviteit tussen Microsoft Entra Connect en Microsoft Entra ID werkt en hoe u verbindingsproblemen oplost. Deze problemen zijn waarschijnlijk zichtbaar in een omgeving die gebruikmaakt van een proxyserver.

Verbindingsproblemen in de installatiewizard

Microsoft Entra Connect maakt gebruik van de Microsoft Authentication Library (MSAL) voor verificatie. De installatiewizard en de synchronisatie-engine vereisen dat machine.config correct wordt geconfigureerd omdat deze twee .NET-toepassingen zijn.

Notitie

Azure AD Connect v1.6.xx.x maakt gebruik van de ADAL (Active Directory Authentication Library). De ADAL wordt afgeschaft en de ondersteuning eindigt in juni 2022. U wordt aangeraden een upgrade uit te voeren naar de nieuwste versie van Microsoft Entra Connect v2.

In dit artikel laten we zien hoe Fabrikam via de proxy verbinding maakt met Microsoft Entra-id. De proxyserver heeft een naam fabrikamproxy en gebruikt poort 8080.

Zorg er eerst voor dat machine.config correct is geconfigureerd en of de Microsoft Entra ID Sync-service eenmaal na de update van het bestand machine.config opnieuw is opgestart.

Schermopname van een deel van het dot-configuratiebestand van de machine.

Notitie

Sommige niet-Microsoft-blogs geven aan dat u wijzigingen moet aanbrengen in miiserver.exe.config in plaats van het bestand machine.config . Het bestand miiserver.exe.config wordt echter overschreven bij elke upgrade. Zelfs als het bestand werkt tijdens de eerste installatie, werkt het systeem niet meer tijdens de eerste upgrade. Daarom raden we u aan machine.config bij te werken, zoals beschreven in dit artikel.

Op de proxyserver moeten ook de vereiste URL's zijn geopend. De officiële lijst wordt beschreven in Office 365 URL's en IP-adresbereiken.

Van deze URL's zijn de URL's in de volgende tabel het absolute minimum om helemaal geen verbinding te kunnen maken met Microsoft Entra-id. Deze lijst bevat geen optionele functies, zoals wachtwoord terugschrijven of Microsoft Entra Connect Health. De informatie vindt u hier voor hulp bij het oplossen van problemen met de eerste configuratie.

URL Poort Omschrijving
mscrl.microsoft.com HTTP/80 Wordt gebruikt om CRL-lijsten (Certificate Revocation List) te downloaden.
*.verisign.com HTTP/80 Wordt gebruikt om CRL-lijsten te downloaden.
*.entrust.net HTTP/80 Wordt gebruikt voor het downloaden van CRL-lijsten voor meervoudige verificatie (MFA).
*.management.core.windows.net (Azure Storage)
*.graph.windows.net (Azure AD Graph)
HTTPS/443 Wordt gebruikt voor de verschillende Azure-services.
secure.aadcdn.microsoftonline-p.com HTTPS/443 Wordt gebruikt voor MFA.
*.microsoftonline.com HTTPS/443 Wordt gebruikt om uw Microsoft Entra-directory te configureren en gegevens te importeren/exporteren.
*.crl3.digicert.com HTTP/80 Wordt gebruikt om certificaten te verifiëren.
*.crl4.digicert.com HTTP/80 Wordt gebruikt om certificaten te verifiëren.
*.digicert.cn HTTP/80 Wordt gebruikt om certificaten te verifiëren.
*.ocsp.digicert.com HTTP/80 Wordt gebruikt om certificaten te verifiëren.
*.www.d-trust.net HTTP/80 Wordt gebruikt om certificaten te verifiëren.
*.root-c3-ca2-2009.ocsp.d-trust.net HTTP/80 Wordt gebruikt om certificaten te verifiëren.
*.crl.microsoft.com HTTP/80 Wordt gebruikt om certificaten te verifiëren.
*.oneocsp.microsoft.com HTTP/80 Wordt gebruikt om certificaten te verifiëren.
*.ocsp.msocsp.com HTTP/80 Wordt gebruikt om certificaten te verifiëren.

Fouten in de wizard

De installatiewizard maakt gebruik van twee verschillende beveiligingscontexten. Op de pagina Verbinding maken met Microsoft Entra-id wordt de gebruiker gebruikt die momenteel is aangemeld. Op de pagina Configureren verandert het in het account waarop de service voor de synchronisatie-engine wordt uitgevoerd. Als er een probleem optreedt, wordt de fout waarschijnlijk weergegeven op de pagina Verbinding maken met Microsoft Entra-id in de wizard, omdat de proxyconfiguratie globaal is.

De volgende problemen zijn de meest voorkomende fouten die kunnen optreden in de installatiewizard.

De installatiewizard is niet juist geconfigureerd

Deze fout wordt weergegeven wanneer de wizard zelf de proxy niet kan bereiken.

Schermopname van de fout Kan referenties niet valideren.

Als u deze fout ziet, controleert u of het bestand machine.config juist is geconfigureerd. Als machine.config er correct uitziet, voert u de stappen in Proxyconnectiviteit controleren uit om te zien of het probleem ook buiten de wizard aanwezig is.

Er wordt een Microsoft-account gebruikt

Als u een Microsoft-account gebruikt in plaats van een school- of organisatieaccount, ziet u een algemene fout:

Schermopname van een algemene validatiefout voor referenties.

Het MFA-eindpunt kan niet worden bereikt

Deze fout wordt weergegeven als het eindpunt https://secure.aadcdn.microsoftonline-p.com niet kan worden bereikt en uw hybride identiteitsbeheerder MFA heeft ingeschakeld.

Schermopname van een voorbeeld van een scriptfout wanneer het MFA-eindpunt niet kan worden bereikt.

Als u deze fout ziet, controleert u of het eindpunt secure.aadcdn.microsoftonline-p.com is toegevoegd aan de proxy.

Het wachtwoord kan niet worden geverifieerd

Als de installatiewizard verbinding kan maken met Microsoft Entra ID, maar het wachtwoord zelf niet kan worden geverifieerd, ziet u deze fout:

Schermopname van een fout die optreedt wanneer het wachtwoord niet kan worden geverifieerd.

Is het wachtwoord een tijdelijk wachtwoord dat moet worden gewijzigd? Is het wel het juiste wachtwoord? Meld u aan https://login.microsoftonline.com op een andere computer dan de Microsoft Entra Connect-server en controleer of het account bruikbaar is.

Proxyconnectiviteit controleren

Als u wilt controleren of de Microsoft Entra Connect-server verbinding maakt met de proxy en internet, gebruikt u enkele PowerShell-cmdlets om te zien of de proxy webaanvragen toestaat. Voer in PowerShell Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc uit. (Technisch gezien is de eerste aanroep van https://login.microsoftonline.com, en deze URI werkt ook, maar de andere URI is sneller te reageren.)

PowerShell gebruikt de configuratie in machine.config om contact op te maken met de proxy. De instellingen in winhttp/netsh mogen niet van invloed zijn op deze cmdlets.

Als de proxy correct is geconfigureerd, wordt de status geslaagd weergegeven:

Schermopname van de geslaagde status wanneer de proxy correct is geconfigureerd.

Als het bericht Kan geen verbinding maken met de externe server wordt weergegeven, probeert PowerShell direct aan te roepen zonder de proxy of DNS te gebruiken, niet juist geconfigureerd. Zorg ervoor dat het bestand machine.config correct is geconfigureerd.

Schermopname van een foutbericht wanneer PowerShell geen verbinding kan maken met de externe server.

Als de proxy niet juist is geconfigureerd, wordt er een 403- of 407-foutbericht weergegeven:

Schermopname van een 403-proxyfout in PowerShell.

Schermopname van een 407-proxyfout in PowerShell.

In de volgende tabel worden 403- en 407-proxyfouten beschreven:

Error Fouttekst Opmerking
403 Verboden De proxy is niet geopend voor de aangevraagde URL. Ga opnieuw naar de proxyconfiguratie en zorg ervoor dat de URL's zijn geopend.
407 Verificatie op de proxy is vereist Voor de proxyserver is een aanmelding vereist, maar er is geen opgegeven. Als voor uw proxyserver verificatie is vereist, moet u ervoor zorgen dat u deze instelling hebt geconfigureerd in machine.config. Zorg er ook voor dat u domeinaccounts gebruikt voor de gebruiker die de wizard uitvoert en voor het serviceaccount.

Time-outinstelling voor niet-actieve proxy

Wanneer Microsoft Entra Connect een exportaanvraag naar Microsoft Entra ID verzendt, kan het tot vijf minuten duren voordat de aanvraag wordt verwerkt voordat een antwoord wordt gegenereerd. Het antwoord is met name waarschijnlijk vertraagd als veel groepsobjecten met grote groepslidmaatschappen zijn opgenomen in dezelfde exportaanvraag. Zorg ervoor dat de time-out voor inactiviteit van de proxy is geconfigureerd voor meer dan 5 minuten. Anders hebt u mogelijk onregelmatige verbindingsproblemen met Microsoft Entra ID op de Microsoft Entra Connect-server.

Communicatiepatroon tussen Microsoft Entra Connect en Microsoft Entra ID

Als u alle stappen in dit artikel hebt gevolgd en u nog steeds geen verbinding kunt maken, kunt u op dit moment netwerklogboeken bekijken. In deze sectie wordt een normaal en geslaagd verbindingspatroon beschreven.

Maar eerst zijn er enkele veelvoorkomende problemen met gegevens in de netwerklogboeken die u kunt negeren:

  • Er zijn oproepen naar https://dc.services.visualstudio.com. Het is niet vereist dat deze URL in de proxy is geopend om de installatie te voltooien en deze aanroepen kunnen worden genegeerd.
  • U ziet dat de DNS-omzetting de werkelijke hosts vermeldt als in de DNS-naamruimte nsatc.net en andere naamruimten die zich niet onder microsoftonline.combevinden. Er zijn echter geen webserviceaanvragen voor de werkelijke servernamen. U hoeft deze URL's niet toe te voegen aan de proxy.
  • De eindpunten en provisioningapi zijn detectie-eindpunten adminwebservice en ze worden gebruikt om het werkelijke eindpunt te vinden dat moet worden gebruikt. Deze eindpunten verschillen, afhankelijk van uw regio.

Referentieproxylogboeken

Het volgende voorbeeld is een dump uit een daadwerkelijk proxylogboek en de pagina van de installatiewizard van waaruit deze is genomen (dubbele vermeldingen naar hetzelfde eindpunt zijn verwijderd). Deze sectie kan worden gebruikt als referentie voor uw eigen proxy- en netwerklogboeken. De werkelijke eindpunten kunnen afwijken in uw omgeving (met name de URL's cursief).

Verbinding maken met Microsoft Entra-id

Tijd URL
1/11/2016 8:31 verbinding maken:/login.microsoftonline.com:443
1/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:32 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:32 connect://login.microsoftonline.com:443
1/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443

Configureerer

Tijd URL
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:43 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect://bba800-anchor.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443

Initiële synchronisatie

Tijd URL
1/11/2016 8:48 connect://login.windows.net:443
1/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:49 connect://bba900-anchor.microsoftonline.com:443
1/11/2016 8:49 connect://bba800-anchor.microsoftonline.com:443

Verificatiefouten

In deze sectie worden fouten beschreven die kunnen worden geretourneerd vanuit de ADAL en PowerShell. De uitleg van de fout helpt u bij het identificeren van de volgende stappen.

Ongeldige toekenning

U hebt een ongeldige gebruikersnaam of een ongeldig wachtwoord ingevoerd. Zie Het wachtwoord kan niet worden geverifieerd voor meer informatie.

Onbekend gebruikerstype

Uw Microsoft Entra-map kan niet worden gevonden of opgelost. Misschien hebt u geprobeerd u aan te melden met een gebruikersnaam in een niet-geverifieerd domein?

Detectie van gebruikersrealm is mislukt

Problemen met netwerk- of proxyconfiguratie. Het netwerk kan niet worden bereikt. Zie verbindingsproblemen in de installatiewizard.

Gebruikerswachtwoord is verlopen

Uw referenties zijn verlopen. Wijzig uw wachtwoord.

Autorisatiefout

Microsoft Entra Connect kan de gebruiker niet autoriseren om een actie uit te voeren in Microsoft Entra-id.

Verificatie is geannuleerd

De MFA-uitdaging is geannuleerd.

Verbinding maken met MSOnline is mislukt

Verificatie is geslaagd, maar Azure AD PowerShell heeft een verificatieprobleem.

Privileged Identity Management ingeschakeld

Verificatie is geslaagd, maar Privileged Identity Management is ingeschakeld en de gebruiker is momenteel geen hybride identiteitsbeheerder. Zie Azure AD Privileged Identity Management voor meer informatie.

Bedrijfsgegevens zijn niet beschikbaar

Verificatie is geslaagd, maar bedrijfsgegevens kunnen niet worden opgehaald uit Microsoft Entra-id.

Domeingegevens zijn niet beschikbaar

Verificatie is geslaagd, maar domeingegevens kunnen niet worden opgehaald uit Microsoft Entra-id.

Niet-opgegeven verificatiefout

Weergegeven als onverwachte fout in de installatiewizard. Deze fout kan optreden als u een Microsoft-account probeert te gebruiken in plaats van een school- of organisatieaccount.

Stappen voor probleemoplossing voor eerdere releases

In releases vanaf buildnummer 1.1.105.0 (uitgebracht in februari 2016) is de aanmeldassistent buiten gebruik gesteld. Het configureren van de aanmeldassistent is niet meer vereist, maar de informatie in de volgende secties is ter referentie opgenomen.

Eenmalige aanmeldingsassistent werkt alleen als Microsoft Windows HTTP Services (WinHTTP) is geconfigureerd. U kunt WinHTTP configureren met behulp van netsh.

Schermopname van een opdrachtpromptvenster met het netsh-hulpprogramma om een proxy in te stellen.

De aanmeldassistent is niet juist geconfigureerd

Deze fout wordt weergegeven wanneer de aanmeldassistent de proxy niet kan bereiken of de proxy de aanvraag niet toestaat.

Schermopname van de fout Kan referenties niet valideren, netwerkconnectiviteit en firewall- of proxyinstellingen verifiëren.

Als u deze fout ziet, bekijkt u de proxyconfiguratie in netsh en controleert u of deze juist is.

Schermopname van een opdrachtpromptvenster met het netsh-hulpprogramma om de proxyconfiguratie weer te geven.

Als de proxyconfiguratie er correct uitziet, voert u de stappen in Proxyconnectiviteit controleren uit om te zien of het probleem zich buiten de wizard voordoet.

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra ID.