Rozwiązywanie problemów z łącznością za pomocą programu Microsoft Entra Connect
W tym artykule wyjaśniono, jak działa łączność między programem Microsoft Entra Connect i identyfikatorem entra firmy Microsoft oraz jak rozwiązywać problemy z łącznością. Te problemy najprawdopodobniej będą widoczne w środowisku korzystającym z serwera proxy.
Problemy z łącznością w kreatorze instalacji
Program Microsoft Entra Connect używa biblioteki Microsoft Authentication Library (MSAL) do uwierzytelniania. Kreator instalacji i aparat synchronizacji wymagają prawidłowego skonfigurowania pliku machine.config, ponieważ są to aplikacje platformy .NET.
Uwaga
Program Azure AD Connect w wersji 1.6.xx.x używa biblioteki uwierzytelniania usługi Active Directory (ADAL). Biblioteka ADAL jest przestarzała i wsparcie zakończy się w czerwcu 2022 roku. Zalecamy uaktualnienie do najnowszej wersji programu Microsoft Entra Connect w wersji 2.
W tym artykule pokazano, jak firma Fabrikam łączy się z identyfikatorem Entra firmy Microsoft za pośrednictwem serwera proxy. Serwer proxy ma nazwę fabrikamproxy i używa portu 8080.
Najpierw upewnij się, że konfiguracja machine.config jest poprawnie skonfigurowana i że usługa Microsoft Entra ID Sync została ponownie uruchomiona raz po aktualizacji pliku machine.config .
Uwaga
Niektóre blogi inne niż Microsoft wskazują, że należy wprowadzić zmiany w pliku miiserver.exe.config zamiast pliku machine.config . Jednak plik miiserver.exe.config jest zastępowany przy każdym uaktualnieniu. Nawet jeśli plik działa podczas początkowej instalacji, system przestaje działać podczas pierwszego uaktualnienia. Z tego powodu zalecamy zaktualizowanie pliku machine.config zgodnie z opisem w tym artykule.
Serwer proxy musi również mieć otwarte wymagane adresy URL. Oficjalna lista jest udokumentowana w zakresach adresów URL i adresów IP usługi Office 365.
Z tych adresów URL adresy URL wymienione w poniższej tabeli są bezwzględnym minimum, aby móc w ogóle nawiązać połączenie z identyfikatorem Entra firmy Microsoft. Ta lista nie zawiera żadnych opcjonalnych funkcji, takich jak zapisywanie zwrotne haseł lub program Microsoft Entra Connect Health. Informacje te są dostępne tutaj, aby ułatwić rozwiązywanie problemów z początkową konfiguracją.
| URL | Port | opis |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Służy do pobierania list odwołania certyfikatów (CRL). |
*.verisign.com |
HTTP/80 | Służy do pobierania list CRL. |
*.entrust.net |
HTTP/80 | Służy do pobierania list listy CRL na potrzeby uwierzytelniania wieloskładnikowego (MFA). |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Używane dla różnych usług platformy Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Używany do uwierzytelniania wieloskładnikowego. |
*.microsoftonline.com |
HTTPS/443 | Służy do konfigurowania katalogu Microsoft Entra i importowania/eksportowania danych. |
*.crl3.digicert.com |
HTTP/80 | Służy do weryfikowania certyfikatów. |
*.crl4.digicert.com |
HTTP/80 | Służy do weryfikowania certyfikatów. |
*.digicert.cn |
HTTP/80 | Służy do weryfikowania certyfikatów. |
*.ocsp.digicert.com |
HTTP/80 | Służy do weryfikowania certyfikatów. |
*.www.d-trust.net |
HTTP/80 | Służy do weryfikowania certyfikatów. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Służy do weryfikowania certyfikatów. |
*.crl.microsoft.com |
HTTP/80 | Służy do weryfikowania certyfikatów. |
*.oneocsp.microsoft.com |
HTTP/80 | Służy do weryfikowania certyfikatów. |
*.ocsp.msocsp.com |
HTTP/80 | Służy do weryfikowania certyfikatów. |
Błędy w kreatorze
Kreator instalacji używa dwóch różnych kontekstów zabezpieczeń. Na stronie Connect to Microsoft Entra ID (Łączenie z identyfikatorem entra firmy Microsoft) jest używany użytkownik, który jest obecnie zalogowany. Na stronie Konfigurowanie zmienia się ono na konto z uruchomioną usługą dla aparatu synchronizacji. Jeśli wystąpi problem, najprawdopodobniej na stronie Łączenie z identyfikatorem entra firmy Microsoft w kreatorze zostanie wyświetlony błąd, ponieważ konfiguracja serwera proxy jest globalna.
Poniższe problemy to najczęstsze błędy, które mogą wystąpić w kreatorze instalacji.
Kreator instalacji nie został poprawnie skonfigurowany
Ten błąd pojawia się, gdy sam kreator nie może nawiązać połączenia z serwerem proxy.
Jeśli zostanie wyświetlony ten błąd, sprawdź, czy plik machine.config jest poprawnie skonfigurowany. Jeśli plik machine.config wygląda poprawnie, wykonaj kroki opisane w artykule Weryfikowanie łączności serwera proxy, aby sprawdzić, czy problem występuje również poza kreatorem.
Używane jest konto Microsoft
Jeśli używasz konta Microsoft zamiast konta szkolnego lub organizacyjnego, zostanie wyświetlony ogólny błąd:
Nie można uzyskać dostępu do punktu końcowego uwierzytelniania wieloskładnikowego
Ten błąd pojawia się, jeśli nie można uzyskać dostępu do punktu końcowego https://secure.aadcdn.microsoftonline-p.com , a administrator tożsamości hybrydowej ma włączoną uwierzytelnianie wieloskładnikowe.
Jeśli zostanie wyświetlony ten błąd, sprawdź, czy punkt końcowy secure.aadcdn.microsoftonline-p.com został dodany do serwera proxy.
Nie można zweryfikować hasła
Jeśli kreator instalacji zakończy się pomyślnie podczas nawiązywania połączenia z identyfikatorem Entra firmy Microsoft, ale nie można zweryfikować samego hasła, zostanie wyświetlony następujący błąd:
Czy hasło jest tymczasowym hasłem, które należy zmienić? Czy jest to poprawne hasło? Spróbuj zalogować się na https://login.microsoftonline.com innym komputerze niż serwer Microsoft Entra Connect i sprawdź, czy konto jest możliwe do użycia.
Weryfikowanie łączności serwera proxy
Aby sprawdzić, czy serwer Microsoft Entra Connect łączy się z serwerem proxy i Internetem, użyj niektórych poleceń cmdlet programu PowerShell, aby sprawdzić, czy serwer proxy zezwala na żądania internetowe. W programie PowerShell uruchom polecenie Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Technicznie pierwsze wywołanie to https://login.microsoftonline.com, a ten identyfikator URI działa również, ale drugi identyfikator URI jest szybszy do reagowania).
Program PowerShell używa konfiguracji w pliku machine.config , aby skontaktować się z serwerem proxy. Ustawienia w środowisku winhttp/netsh nie powinny mieć wpływu na te polecenia cmdlet.
Jeśli serwer proxy jest poprawnie skonfigurowany, zostanie wyświetlony stan powodzenia:
Jeśli zostanie wyświetlony komunikat Nie można nawiązać połączenia z serwerem zdalnym, program PowerShell próbuje wykonać bezpośrednie wywołanie bez używania serwera proxy lub systemu DNS nie jest poprawnie skonfigurowany. Upewnij się, że plik machine.config jest poprawnie skonfigurowany.
Jeśli serwer proxy nie jest poprawnie skonfigurowany, zostanie wyświetlony komunikat o błędzie 403 lub 407:
W poniższej tabeli opisano błędy serwera proxy 403 i 407:
| Błąd | Tekst błędu | Komentarz |
|---|---|---|
| 403 | Dostęp zabroniony | Serwer proxy nie został otwarty dla żądanego adresu URL. Ponownie zapoznaj się z konfiguracją serwera proxy i upewnij się, że adresy URL zostały otwarte. |
| 407 | Wymagane jest uwierzytelnianie serwera proxy | Serwer proxy wymagał logowania i nie podano żadnego. Jeśli serwer proxy wymaga uwierzytelniania, upewnij się, że to ustawienie zostało skonfigurowane w pliku machine.config. Upewnij się również, że używasz kont domeny dla użytkownika uruchamiającego kreatora i dla konta usługi. |
Ustawienie limitu czasu bezczynności serwera proxy
Gdy program Microsoft Entra Connect wysyła żądanie eksportu do identyfikatora Entra firmy Microsoft, przetwarzanie żądania przed wygenerowaniem odpowiedzi może potrwać do 5 minut. Odpowiedź jest szczególnie prawdopodobna, jeśli wiele obiektów grupy, które mają członkostwo w dużych grupach, jest uwzględnionych w tym samym żądaniu eksportu. Upewnij się, że limit czasu bezczynności serwera proxy jest skonfigurowany do przekroczenia 5 minut. W przeciwnym razie mogą wystąpić sporadyczne problemy z łącznością z identyfikatorem Entra firmy Microsoft na serwerze Microsoft Entra Connect.
Wzorzec komunikacji między programem Microsoft Entra Connect i identyfikatorem entra firmy Microsoft
Jeśli wykonano wszystkie kroki opisane w tym artykule i nadal nie możesz nawiązać połączenia, w tym momencie możesz przejrzeć dzienniki sieciowe. W tej sekcji opisano normalny i pomyślny wzorzec łączności.
Najpierw jednak poniżej przedstawiono niektóre typowe obawy dotyczące danych w dziennikach sieciowych, które można zignorować:
- Istnieją wywołania do .
https://dc.services.visualstudio.comNie trzeba otwierać tego adresu URL na serwerze proxy, aby instalacja zakończyła się pomyślnie, a te wywołania można zignorować. - Zobaczysz, że rozpoznawanie nazw DNS wyświetla rzeczywiste hosty jako w przestrzeni nazw
nsatc.netDNS i innych przestrzeniach nazw, które nie znajdują się w obszarzemicrosoftonline.com. Nie ma jednak żadnych żądań usług internetowych na rzeczywistych nazwach serwerów. Nie musisz dodawać tych adresów URL do serwera proxy. - Punkty końcowe i
provisioningapisą punktami końcowymiadminwebserviceodnajdywania i służą do znajdowania rzeczywistego punktu końcowego do użycia. Te punkty końcowe różnią się w zależności od regionu.
Odwołania do dzienników serwera proxy
Poniższy przykład to zrzut z rzeczywistego dziennika serwera proxy i strona kreatora instalacji, z której została podjęta (usunięto zduplikowane wpisy do tego samego punktu końcowego). Ta sekcja może służyć jako odwołanie do własnych dzienników serwera proxy i sieci. Rzeczywiste punkty końcowe mogą się różnić w danym środowisku (w szczególności adresy URL w kursywie).
Nawiązywanie połączenia z identyfikatorem entra firmy Microsoft
| Czas | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
Ustaw opcję
| Czas | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
Synchronizacja początkowa
| Czas | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
Błędy uwierzytelniania
W tej sekcji opisano błędy, które mogą być zwracane z bibliotekI ADAL i programu PowerShell. Wyjaśnienie błędu powinno pomóc w zidentyfikowaniu następnych kroków.
Nieprawidłowe przyznanie
Wprowadzono nieprawidłową nazwę użytkownika lub hasło. Aby uzyskać więcej informacji, zobacz Nie można zweryfikować hasła.
Nieznany typ użytkownika
Nie można odnaleźć ani rozwiązać katalogu Entra firmy Microsoft. Być może próbowano zalogować się przy użyciu nazwy użytkownika w niezweryfikowanej domenie?
Odnajdywanie obszaru użytkownika nie powiodło się
Problemy z konfiguracją sieci lub serwera proxy. Nie można uzyskać dostępu do sieci. Zobacz Problemy z łącznością w kreatorze instalacji.
Hasło użytkownika wygasło
Poświadczenia wygasły. Zmień hasło.
Błąd autoryzacji
Program Microsoft Entra Connect nie może autoryzować użytkownika do wykonania akcji w identyfikatorze Entra firmy Microsoft.
Anulowano uwierzytelnianie
Wyzwanie uwierzytelniania wieloskładnikowego zostało anulowane.
Nawiązywanie połączenia z usługą MSOnline nie powiodło się
Uwierzytelnianie zakończyło się pomyślnie, ale program Azure AD PowerShell ma problem z uwierzytelnianiem.
Włączono usługę Privileged Identity Management
Uwierzytelnianie zakończyło się pomyślnie, ale usługa Privileged Identity Management została włączona, a użytkownik nie jest obecnie administratorem tożsamości hybrydowej. Aby uzyskać więcej informacji, zobacz Privileged Identity Management.
Informacje o firmie są niedostępne
Uwierzytelnianie zakończyło się pomyślnie, ale nie można pobrać informacji firmowych z identyfikatora Entra firmy Microsoft.
Informacje o domenie są niedostępne
Uwierzytelnianie zakończyło się pomyślnie, ale nie można pobrać informacji o domenie z identyfikatora Entra firmy Microsoft.
Nieokreślony błąd uwierzytelniania
Wyświetlany jako nieoczekiwany błąd w kreatorze instalacji. Ten błąd może wystąpić, jeśli spróbujesz użyć konta Microsoft zamiast konta szkolnego lub organizacyjnego.
Kroki rozwiązywania problemów z wcześniejszymi wersjami
W wersjach, począwszy od numeru kompilacji 1.1.105.0 (wydanej w lutym 2016 r.), asystent logowania został wycofany. Konfigurowanie asystenta logowania nie powinno być już wymagane, ale informacje zawarte w następnych sekcjach są dostępne do celów referencyjnych.
Aby asystent logowania jednokrotnego działał, należy skonfigurować usługi HTTP systemu Microsoft Windows (WinHTTP). Aplikację WinHTTP można skonfigurować przy użyciu narzędzia netsh.
Asystent logowania nie jest poprawnie skonfigurowany
Ten błąd pojawia się, gdy asystent logowania nie może nawiązać połączenia z serwerem proxy lub serwer proxy nie zezwala na żądanie.
Jeśli widzisz ten błąd, sprawdź konfigurację serwera proxy w narzędziu netsh i sprawdź, czy jest ona poprawna.
Jeśli konfiguracja serwera proxy wygląda poprawnie, wykonaj kroki opisane w artykule Weryfikowanie łączności serwera proxy, aby sprawdzić, czy problem występuje poza kreatorem.
Następne kroki
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.