Partilhar via


Resolver problemas de conetividade do Microsoft Entra Connect

Este artigo explica como funciona a conectividade entre o Microsoft Entra Connect e o Microsoft Entra ID e como solucionar problemas de conectividade. Esses problemas são mais prováveis de serem vistos em um ambiente que usa um servidor proxy.

Problemas de conectividade no assistente de instalação

O Microsoft Entra Connect usa a Biblioteca de Autenticação da Microsoft (MSAL) para autenticação. O assistente de instalação e o mecanismo de sincronização exigem que machine.config seja configurado corretamente porque esses dois são aplicativos .NET.

Nota

O Azure AD Connect v1.6.xx.x usa a Biblioteca de Autenticação do Ative Directory (ADAL). A ADAL está a ser preterida e o apoio terminará em junho de 2022. Recomendamos que você atualize para a versão mais recente do Microsoft Entra Connect v2.

Neste artigo, mostramos como a Fabrikam se conecta ao Microsoft Entra ID por meio de seu proxy. O servidor proxy é nomeado fabrikamproxy e usa a porta 8080.

Primeiro, verifique se machine.config está configurado corretamente e se o serviço Microsoft Entra ID Sync foi reiniciado uma vez após a atualização do arquivo machine.config .

Captura de tela que mostra parte do arquivo de configuração de pontos da máquina.

Nota

Alguns blogs que não são da Microsoft indicam que você deve fazer alterações no miiserver.exe.config em vez do arquivo machine.config . No entanto, o arquivo miiserver.exe.config é substituído em cada atualização. Mesmo que o arquivo funcione durante a instalação inicial, o sistema para de funcionar durante a primeira atualização. Por esse motivo, recomendamos que você atualize machine.config conforme descrito neste artigo.

O servidor proxy também deve ter as URLs necessárias abertas. A lista oficial está documentada em URLs e intervalos de endereços IP do Office 365.

Dessas URLs, as URLs listadas na tabela a seguir são o mínimo absoluto para poder se conectar ao Microsoft Entra ID. Esta lista não inclui recursos opcionais, como write-back de senha ou Microsoft Entra Connect Health. As informações são fornecidas aqui para ajudar na solução de problemas da configuração inicial.

URL Porta Description
mscrl.microsoft.com HTTP/80 Usado para baixar listas de lista de revogação de certificados (CRL).
*.verisign.com HTTP/80 Utilizado para transferir listas de CRL.
*.entrust.net HTTP/80 Usado para baixar listas de CRL para autenticação multifator (MFA).
*.management.core.windows.net (Armazenamento do Azure)
*.graph.windows.net (Azure AD Graph)
HTTPS/443 Usado para os vários serviços do Azure.
secure.aadcdn.microsoftonline-p.com HTTPS/443 Usado para MFA.
*.microsoftonline.com HTTPS/443 Usado para configurar o diretório do Microsoft Entra e importar/exportar dados.
*.crl3.digicert.com HTTP/80 Usado para verificar certificados.
*.crl4.digicert.com HTTP/80 Usado para verificar certificados.
*.digicert.cn HTTP/80 Usado para verificar certificados.
*.ocsp.digicert.com HTTP/80 Usado para verificar certificados.
*.www.d-trust.net HTTP/80 Usado para verificar certificados.
*.root-c3-ca2-2009.ocsp.d-trust.net HTTP/80 Usado para verificar certificados.
*.crl.microsoft.com HTTP/80 Usado para verificar certificados.
*.oneocsp.microsoft.com HTTP/80 Usado para verificar certificados.
*.ocsp.msocsp.com HTTP/80 Usado para verificar certificados.

Erros no assistente

O assistente de instalação usa dois contextos de segurança diferentes. Na página Conectar à ID do Microsoft Entra, ele usa o usuário que está conectado no momento. Na página Configurar, ele muda para a conta que executa o serviço para o mecanismo de sincronização. Se ocorrer um problema, o erro provavelmente aparecerá na página Conectar à ID do Microsoft Entra no assistente porque a configuração de proxy é global.

Os problemas a seguir são os erros mais comuns que você pode encontrar no assistente de instalação.

O assistente de instalação não foi configurado corretamente

Este erro aparece quando o próprio assistente não consegue acessar o proxy.

A captura de tela mostra um erro Não é possível validar credenciais.

Se você vir esse erro, verifique se o arquivo machine.config está configurado corretamente. Se machine.config estiver correto, conclua as etapas em Verificar conectividade de proxy para ver se o problema também está presente fora do assistente.

É utilizada uma conta Microsoft

Se utilizar uma conta Microsoft em vez de uma conta de escola ou organização, verá um erro genérico:

Captura de tela que mostra um erro de validação de credenciais genéricas.

O ponto de extremidade MFA não pode ser alcançado

Este erro aparece se o ponto de extremidade https://secure.aadcdn.microsoftonline-p.com não puder ser alcançado e o seu Administrador de Identidade Híbrida tiver a MFA ativada.

Captura de tela que mostra um exemplo de um erro de script quando o ponto de extremidade MFA não pode ser alcançado.

Se você vir esse erro, verifique se o ponto de extremidade secure.aadcdn.microsoftonline-p.com foi adicionado ao proxy.

A palavra-passe não pode ser verificada

Se o assistente de instalação for bem-sucedido na conexão com o Microsoft Entra ID, mas a senha em si não puder ser verificada, você verá este erro:

Captura de ecrã que mostra um erro que ocorre quando a palavra-passe não pode ser verificada.

A palavra-passe é uma palavra-passe temporária que tem de ser alterada? É realmente a senha correta? Tente entrar https://login.microsoftonline.com em um computador diferente do servidor Microsoft Entra Connect e verifique se a conta é utilizável.

Verificar a conectividade de proxy

Para verificar se o servidor Microsoft Entra Connect está se conectando ao proxy e à Internet, use alguns cmdlets do PowerShell para ver se o proxy está permitindo solicitações da Web. No PowerShell, execute Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Tecnicamente, a primeira chamada é para https://login.microsoftonline.com, e esse URI também funciona, mas o outro URI é mais rápido para responder.)

O PowerShell usa a configuração em machine.config para entrar em contato com o proxy. As configurações no winhttp/netsh não devem afetar esses cmdlets.

Se o proxy estiver configurado corretamente, um status de êxito será exibido:

Captura de tela que mostra o status de êxito quando o proxy está configurado corretamente.

Se você vir a mensagem Não é possível se conectar ao servidor remoto, o PowerShell está tentando fazer uma chamada direta sem usar o proxy ou o DNS não está configurado corretamente. Verifique se o arquivo machine.config está configurado corretamente.

Captura de tela de uma mensagem de erro quando o PowerShell não consegue se conectar ao servidor remoto.

Se o proxy não estiver configurado corretamente, uma mensagem de erro 403 ou 407 será exibida:

Captura de tela de um erro de proxy 403 no PowerShell.

Captura de tela de um erro de proxy 407 no PowerShell.

A tabela a seguir descreve erros de proxy 403 e 407:

Erro Texto de erro Comentário
403 Proibido O proxy não foi aberto para o URL solicitado. Revisite a configuração do proxy e certifique-se de que os URLs foram abertos.
407 Autenticação de Proxy Necessária O servidor proxy exigiu um login e nenhum foi fornecido. Se o servidor proxy exigir autenticação, certifique-se de que definiu esta definição em machine.config. Certifique-se também de que está a utilizar contas de domínio para o utilizador que executa o assistente e para a conta de serviço.

Configuração de tempo limite de ociosidade do proxy

Quando o Microsoft Entra Connect envia uma solicitação de exportação para o Microsoft Entra ID, o Microsoft Entra ID pode levar até 5 minutos para processar a solicitação antes de gerar uma resposta. É especialmente provável que a resposta seja atrasada se muitos objetos de grupo que têm associações de grupo grandes forem incluídos na mesma solicitação de exportação. Verifique se o tempo limite de inatividade do proxy está configurado para ser maior que 5 minutos. Caso contrário, poderá ter problemas de conectividade intermitentes com o Microsoft Entra ID no servidor Microsoft Entra Connect.

Padrão de comunicação entre o Microsoft Entra Connect e o Microsoft Entra ID

Se você seguiu todas as etapas descritas neste artigo e ainda não consegue se conectar, neste momento você pode olhar para os logs de rede. Esta seção descreve um padrão de conectividade normal e bem-sucedido.

Mas primeiro, aqui estão algumas preocupações comuns sobre dados nos logs de rede que você pode ignorar:

  • Há chamadas para https://dc.services.visualstudio.com. Não é necessário ter essa URL aberta no proxy para que a instalação seja bem-sucedida, e essas chamadas podem ser ignoradas.
  • Você vê que a resolução DNS lista os hosts reais como estando no namespace nsatc.net DNS e outros namespaces que não estão em microsoftonline.com. No entanto, não há solicitações de serviço Web nos nomes reais do servidor. Não é necessário adicionar esses URLs ao proxy.
  • Os pontos adminwebservice de extremidade e provisioningapi são pontos de extremidade de descoberta, e eles são usados para encontrar o ponto de extremidade real a ser usado. Esses pontos de extremidade são diferentes dependendo da sua região.

Logs de proxy de referência

O exemplo a seguir é um despejo de um log de proxy real e da página do assistente de instalação de onde foi tirado (entradas duplicadas para o mesmo ponto de extremidade foram removidas). Esta seção pode ser usada como referência para seus próprios logs de proxy e rede. Os pontos de extremidade reais podem ser diferentes em seu ambiente (em particular, as URLs em itálico).

Conectar-se ao Microsoft Entra ID

Hora URL
1/11/2016 8:31 conecte:/login.microsoftonline.com:443
1/11/2016 8:31 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:32 connect:// bba800-âncora.microsoftonline.com:443
1/11/2016 8:32 connect://login.microsoftonline.com:443
1/11/2016 8:33 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:33 connect:// bwsc02-relé.microsoftonline.com:443

Configurar

Hora URL
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:43 connect:// bba800-âncora.microsoftonline.com:443
1/11/2016 8:43 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect:// bba900-âncora.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:44 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:44 connect:// bba800-âncora.microsoftonline.com:443
1/11/2016 8:44 connect://login.microsoftonline.com:443
1/11/2016 8:46 connect://provisioningapi.microsoftonline.com:443
1/11/2016 8:46 connect:// bwsc02-relé.microsoftonline.com:443

Sincronização inicial

Hora URL
1/11/2016 8:48 connect://login.windows.net:443
1/11/2016 8:49 connect://adminwebservice.microsoftonline.com:443
1/11/2016 8:49 connect:// bba900-âncora.microsoftonline.com:443
1/11/2016 8:49 connect:// bba800-âncora.microsoftonline.com:443

Erros de autenticação

Esta seção aborda os erros que podem ser retornados da ADAL e do PowerShell. A explicação do erro deve ajudá-lo a identificar os próximos passos.

Subvenção inválida

Introduziu um nome de utilizador ou palavra-passe inválidos. Para obter mais informações, consulte A senha não pode ser verificada.

Tipo de utilizador desconhecido

O diretório do Microsoft Entra não pode ser encontrado ou resolvido. Talvez tenha tentado iniciar sessão com um nome de utilizador num domínio não verificado?

Falha na descoberta do território do usuário

Problemas de configuração de rede ou proxy. Não é possível aceder à rede. Consulte Problemas de conectividade no assistente de instalação.

A palavra-passe do utilizador expirou

As suas credenciais expiraram. Altere a sua palavra-passe.

Falha na autorização

O Microsoft Entra Connect não conseguiu autorizar o usuário a executar uma ação no Microsoft Entra ID.

Autenticação cancelada

O desafio do MFA foi cancelado.

Falha ao conectar ao MSOnline

A autenticação foi bem-sucedida, mas o Azure AD PowerShell tem um problema de autenticação.

Gerenciamento privilegiado de identidades habilitado

A autenticação foi bem-sucedida, mas o Privileged Identity Management foi habilitado e o usuário atualmente não é um Administrador de Identidade Híbrida. Para obter mais informações, consulte Gerenciamento privilegiado de identidades.

Informações da empresa indisponíveis

A autenticação foi bem-sucedida, mas as informações da empresa não puderam ser recuperadas do Microsoft Entra ID.

Informações de domínio indisponíveis

A autenticação foi bem-sucedida, mas as informações do domínio não puderam ser recuperadas do ID do Microsoft Entra.

Falha de autenticação não especificada

Mostrado como erro inesperado no assistente de instalação. Este erro pode ocorrer se tentar utilizar uma conta Microsoft em vez de uma conta de escola ou organização.

Etapas de solução de problemas para versões anteriores

Em versões que começaram com o número de compilação 1.1.105.0 (lançado em fevereiro de 2016), o assistente de entrada foi desativado. A configuração do assistente de entrada não deve mais ser necessária, mas as informações nas próximas seções são incluídas para referência.

Para que o assistente de logon único funcione, o Microsoft Windows HTTP Services (WinHTTP) deve ser configurado. Você pode configurar o WinHTTP usando netsh.

Captura de tela que mostra uma janela de prompt de comando executando a ferramenta netsh para definir um proxy.

O assistente de início de sessão não está configurado corretamente

Este erro aparece quando o assistente de início de sessão não consegue aceder ao proxy ou o proxy não está a permitir o pedido.

Captura de ecrã do erro Não é possível validar credenciais, Verificar conectividade de rede e configurações de firewall ou proxy.

Se você vir esse erro, observe a configuração de proxy no netsh e verifique se ela está correta.

Captura de tela que mostra uma janela de prompt de comando executando a ferramenta netsh para mostrar a configuração do proxy.

Se a configuração de proxy parecer correta, conclua as etapas em Verificar conectividade de proxy para ver se o problema ocorre fora do assistente.

Próximos passos

Saiba mais sobre como integrar suas identidades locais com o Microsoft Entra ID.