Resolver problemas de conetividade do Microsoft Entra Connect
Este artigo explica como funciona a conectividade entre o Microsoft Entra Connect e o Microsoft Entra ID e como solucionar problemas de conectividade. Esses problemas são mais prováveis de serem vistos em um ambiente que usa um servidor proxy.
Problemas de conectividade no assistente de instalação
O Microsoft Entra Connect usa a Biblioteca de Autenticação da Microsoft (MSAL) para autenticação. O assistente de instalação e o mecanismo de sincronização exigem que machine.config seja configurado corretamente porque esses dois são aplicativos .NET.
Nota
O Azure AD Connect v1.6.xx.x usa a Biblioteca de Autenticação do Ative Directory (ADAL). A ADAL está a ser preterida e o apoio terminará em junho de 2022. Recomendamos que você atualize para a versão mais recente do Microsoft Entra Connect v2.
Neste artigo, mostramos como a Fabrikam se conecta ao Microsoft Entra ID por meio de seu proxy. O servidor proxy é nomeado fabrikamproxy
e usa a porta 8080.
Primeiro, verifique se machine.config está configurado corretamente e se o serviço Microsoft Entra ID Sync foi reiniciado uma vez após a atualização do arquivo machine.config .
Nota
Alguns blogs que não são da Microsoft indicam que você deve fazer alterações no miiserver.exe.config em vez do arquivo machine.config . No entanto, o arquivo miiserver.exe.config é substituído em cada atualização. Mesmo que o arquivo funcione durante a instalação inicial, o sistema para de funcionar durante a primeira atualização. Por esse motivo, recomendamos que você atualize machine.config conforme descrito neste artigo.
O servidor proxy também deve ter as URLs necessárias abertas. A lista oficial está documentada em URLs e intervalos de endereços IP do Office 365.
Dessas URLs, as URLs listadas na tabela a seguir são o mínimo absoluto para poder se conectar ao Microsoft Entra ID. Esta lista não inclui recursos opcionais, como write-back de senha ou Microsoft Entra Connect Health. As informações são fornecidas aqui para ajudar na solução de problemas da configuração inicial.
URL | Porta | Description |
---|---|---|
mscrl.microsoft.com |
HTTP/80 | Usado para baixar listas de lista de revogação de certificados (CRL). |
*.verisign.com |
HTTP/80 | Utilizado para transferir listas de CRL. |
*.entrust.net |
HTTP/80 | Usado para baixar listas de CRL para autenticação multifator (MFA). |
*.management.core.windows.net (Armazenamento do Azure)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Usado para os vários serviços do Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Usado para MFA. |
*.microsoftonline.com |
HTTPS/443 | Usado para configurar o diretório do Microsoft Entra e importar/exportar dados. |
*.crl3.digicert.com |
HTTP/80 | Usado para verificar certificados. |
*.crl4.digicert.com |
HTTP/80 | Usado para verificar certificados. |
*.digicert.cn |
HTTP/80 | Usado para verificar certificados. |
*.ocsp.digicert.com |
HTTP/80 | Usado para verificar certificados. |
*.www.d-trust.net |
HTTP/80 | Usado para verificar certificados. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Usado para verificar certificados. |
*.crl.microsoft.com |
HTTP/80 | Usado para verificar certificados. |
*.oneocsp.microsoft.com |
HTTP/80 | Usado para verificar certificados. |
*.ocsp.msocsp.com |
HTTP/80 | Usado para verificar certificados. |
Erros no assistente
O assistente de instalação usa dois contextos de segurança diferentes. Na página Conectar à ID do Microsoft Entra, ele usa o usuário que está conectado no momento. Na página Configurar, ele muda para a conta que executa o serviço para o mecanismo de sincronização. Se ocorrer um problema, o erro provavelmente aparecerá na página Conectar à ID do Microsoft Entra no assistente porque a configuração de proxy é global.
Os problemas a seguir são os erros mais comuns que você pode encontrar no assistente de instalação.
O assistente de instalação não foi configurado corretamente
Este erro aparece quando o próprio assistente não consegue acessar o proxy.
Se você vir esse erro, verifique se o arquivo machine.config está configurado corretamente. Se machine.config estiver correto, conclua as etapas em Verificar conectividade de proxy para ver se o problema também está presente fora do assistente.
É utilizada uma conta Microsoft
Se utilizar uma conta Microsoft em vez de uma conta de escola ou organização, verá um erro genérico:
O ponto de extremidade MFA não pode ser alcançado
Este erro aparece se o ponto de extremidade https://secure.aadcdn.microsoftonline-p.com
não puder ser alcançado e o seu Administrador de Identidade Híbrida tiver a MFA ativada.
Se você vir esse erro, verifique se o ponto de extremidade secure.aadcdn.microsoftonline-p.com
foi adicionado ao proxy.
A palavra-passe não pode ser verificada
Se o assistente de instalação for bem-sucedido na conexão com o Microsoft Entra ID, mas a senha em si não puder ser verificada, você verá este erro:
A palavra-passe é uma palavra-passe temporária que tem de ser alterada? É realmente a senha correta? Tente entrar https://login.microsoftonline.com
em um computador diferente do servidor Microsoft Entra Connect e verifique se a conta é utilizável.
Verificar a conectividade de proxy
Para verificar se o servidor Microsoft Entra Connect está se conectando ao proxy e à Internet, use alguns cmdlets do PowerShell para ver se o proxy está permitindo solicitações da Web. No PowerShell, execute Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc
. (Tecnicamente, a primeira chamada é para https://login.microsoftonline.com
, e esse URI também funciona, mas o outro URI é mais rápido para responder.)
O PowerShell usa a configuração em machine.config para entrar em contato com o proxy. As configurações no winhttp/netsh não devem afetar esses cmdlets.
Se o proxy estiver configurado corretamente, um status de êxito será exibido:
Se você vir a mensagem Não é possível se conectar ao servidor remoto, o PowerShell está tentando fazer uma chamada direta sem usar o proxy ou o DNS não está configurado corretamente. Verifique se o arquivo machine.config está configurado corretamente.
Se o proxy não estiver configurado corretamente, uma mensagem de erro 403 ou 407 será exibida:
A tabela a seguir descreve erros de proxy 403 e 407:
Erro | Texto de erro | Comentário |
---|---|---|
403 | Proibido | O proxy não foi aberto para o URL solicitado. Revisite a configuração do proxy e certifique-se de que os URLs foram abertos. |
407 | Autenticação de Proxy Necessária | O servidor proxy exigiu um login e nenhum foi fornecido. Se o servidor proxy exigir autenticação, certifique-se de que definiu esta definição em machine.config. Certifique-se também de que está a utilizar contas de domínio para o utilizador que executa o assistente e para a conta de serviço. |
Configuração de tempo limite de ociosidade do proxy
Quando o Microsoft Entra Connect envia uma solicitação de exportação para o Microsoft Entra ID, o Microsoft Entra ID pode levar até 5 minutos para processar a solicitação antes de gerar uma resposta. É especialmente provável que a resposta seja atrasada se muitos objetos de grupo que têm associações de grupo grandes forem incluídos na mesma solicitação de exportação. Verifique se o tempo limite de inatividade do proxy está configurado para ser maior que 5 minutos. Caso contrário, poderá ter problemas de conectividade intermitentes com o Microsoft Entra ID no servidor Microsoft Entra Connect.
Padrão de comunicação entre o Microsoft Entra Connect e o Microsoft Entra ID
Se você seguiu todas as etapas descritas neste artigo e ainda não consegue se conectar, neste momento você pode olhar para os logs de rede. Esta seção descreve um padrão de conectividade normal e bem-sucedido.
Mas primeiro, aqui estão algumas preocupações comuns sobre dados nos logs de rede que você pode ignorar:
- Há chamadas para
https://dc.services.visualstudio.com
. Não é necessário ter essa URL aberta no proxy para que a instalação seja bem-sucedida, e essas chamadas podem ser ignoradas. - Você vê que a resolução DNS lista os hosts reais como estando no namespace
nsatc.net
DNS e outros namespaces que não estão emmicrosoftonline.com
. No entanto, não há solicitações de serviço Web nos nomes reais do servidor. Não é necessário adicionar esses URLs ao proxy. - Os pontos
adminwebservice
de extremidade eprovisioningapi
são pontos de extremidade de descoberta, e eles são usados para encontrar o ponto de extremidade real a ser usado. Esses pontos de extremidade são diferentes dependendo da sua região.
Logs de proxy de referência
O exemplo a seguir é um despejo de um log de proxy real e da página do assistente de instalação de onde foi tirado (entradas duplicadas para o mesmo ponto de extremidade foram removidas). Esta seção pode ser usada como referência para seus próprios logs de proxy e rede. Os pontos de extremidade reais podem ser diferentes em seu ambiente (em particular, as URLs em itálico).
Conectar-se ao Microsoft Entra ID
Hora | URL |
---|---|
1/11/2016 8:31 | conecte:/login.microsoftonline.com:443 |
1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:32 | connect:// bba800-âncora.microsoftonline.com:443 |
1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
1/11/2016 8:33 | connect:// bwsc02-relé.microsoftonline.com:443 |
Configurar
Hora | URL |
---|---|
1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
1/11/2016 8:43 | connect:// bba800-âncora.microsoftonline.com:443 |
1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:44 | connect:// bba900-âncora.microsoftonline.com:443 |
1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:44 | connect:// bba800-âncora.microsoftonline.com:443 |
1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
1/11/2016 8:46 | connect:// bwsc02-relé.microsoftonline.com:443 |
Sincronização inicial
Hora | URL |
---|---|
1/11/2016 8:48 | connect://login.windows.net:443 |
1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:49 | connect:// bba900-âncora.microsoftonline.com:443 |
1/11/2016 8:49 | connect:// bba800-âncora.microsoftonline.com:443 |
Erros de autenticação
Esta seção aborda os erros que podem ser retornados da ADAL e do PowerShell. A explicação do erro deve ajudá-lo a identificar os próximos passos.
Subvenção inválida
Introduziu um nome de utilizador ou palavra-passe inválidos. Para obter mais informações, consulte A senha não pode ser verificada.
Tipo de utilizador desconhecido
O diretório do Microsoft Entra não pode ser encontrado ou resolvido. Talvez tenha tentado iniciar sessão com um nome de utilizador num domínio não verificado?
Falha na descoberta do território do usuário
Problemas de configuração de rede ou proxy. Não é possível aceder à rede. Consulte Problemas de conectividade no assistente de instalação.
A palavra-passe do utilizador expirou
As suas credenciais expiraram. Altere a sua palavra-passe.
Falha na autorização
O Microsoft Entra Connect não conseguiu autorizar o usuário a executar uma ação no Microsoft Entra ID.
Autenticação cancelada
O desafio do MFA foi cancelado.
Falha ao conectar ao MSOnline
A autenticação foi bem-sucedida, mas o Azure AD PowerShell tem um problema de autenticação.
Gerenciamento privilegiado de identidades habilitado
A autenticação foi bem-sucedida, mas o Privileged Identity Management foi habilitado e o usuário atualmente não é um Administrador de Identidade Híbrida. Para obter mais informações, consulte Gerenciamento privilegiado de identidades.
Informações da empresa indisponíveis
A autenticação foi bem-sucedida, mas as informações da empresa não puderam ser recuperadas do Microsoft Entra ID.
Informações de domínio indisponíveis
A autenticação foi bem-sucedida, mas as informações do domínio não puderam ser recuperadas do ID do Microsoft Entra.
Falha de autenticação não especificada
Mostrado como erro inesperado no assistente de instalação. Este erro pode ocorrer se tentar utilizar uma conta Microsoft em vez de uma conta de escola ou organização.
Etapas de solução de problemas para versões anteriores
Em versões que começaram com o número de compilação 1.1.105.0 (lançado em fevereiro de 2016), o assistente de entrada foi desativado. A configuração do assistente de entrada não deve mais ser necessária, mas as informações nas próximas seções são incluídas para referência.
Para que o assistente de logon único funcione, o Microsoft Windows HTTP Services (WinHTTP) deve ser configurado. Você pode configurar o WinHTTP usando netsh.
O assistente de início de sessão não está configurado corretamente
Este erro aparece quando o assistente de início de sessão não consegue aceder ao proxy ou o proxy não está a permitir o pedido.
Se você vir esse erro, observe a configuração de proxy no netsh e verifique se ela está correta.
Se a configuração de proxy parecer correta, conclua as etapas em Verificar conectividade de proxy para ver se o problema ocorre fora do assistente.
Próximos passos
Saiba mais sobre como integrar suas identidades locais com o Microsoft Entra ID.