Устранение неполадок подключения в Microsoft Entra Connect
В этой статье объясняется, как работает подключение между Microsoft Entra Connect и идентификатором Microsoft Entra ID и как устранять проблемы с подключением. Эти проблемы, скорее всего, будут замечены в среде, которая использует прокси-сервер.
Проблемы с подключением в мастере установки
Microsoft Entra Connect использует библиотеку проверки подлинности Майкрософт (MSAL) для проверки подлинности. Мастер установки и подсистема синхронизации требуют правильной настройки machine.config, так как это два приложения .NET.
Примечание.
Azure AD Connect версии 1.6.xx.x использует библиотеку проверки подлинности Active Directory (ADAL). ADAL устарел, и поддержка завершится в июне 2022 года. Рекомендуется обновить до последней версии Microsoft Entra Connect версии 2.
В этой статье показано, как Fabrikam подключается к идентификатору Microsoft Entra с помощью прокси-сервера. Прокси-сервер называется fabrikamproxy и использует порт 8080.
Сначала убедитесь, что конфигурация machine.config настроена правильно и что служба синхронизации идентификаторов Microsoft Entra ID была перезапущена после обновления файла machine.config .
Примечание.
Некоторые блоги, отличные от Майкрософт, указывают, что следует вносить изменения в файл miiserver.exe.config вместо файла machine.config. Однако файл конфигурации miiserver.exe.config перезаписывается при каждом обновлении. Даже если файл работает во время начальной установки, система перестает работать во время первого обновления. По этой причине рекомендуется обновить machine.config , как описано в этой статье.
На прокси-сервере должен быть также открыт необходимый URL-адрес. Официальный список см. в статье URL-адреса и диапазоны IP-адресов Office 365.
Из этих URL-адресов URL-адреса, перечисленные в следующей таблице, являются абсолютным минимальным, чтобы иметь возможность подключаться к идентификатору Microsoft Entra ID вообще. Этот список не включает дополнительные функции, такие как обратная запись паролей или Microsoft Entra Connect Health. Сведения приведены здесь, чтобы помочь в устранении неполадок для начальной конфигурации.
| URL | Порт | Description |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Используется для скачивания списков отзыва сертификатов (CRL). |
*.verisign.com |
HTTP/80 | Используется для загрузки списков CRL. |
*.entrust.net |
HTTP/80 | Используется для скачивания списков CRL для многофакторной проверки подлинности (MFA). |
*.management.core.windows.net(служба хранилища Azure) (Azure AD Graph)*.graph.windows.net |
HTTPS/443 | Используется для различных служб Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Используется для многофакторной проверки подлинности (MFA). |
*.microsoftonline.com |
HTTPS/443 | Используется для настройки каталога Microsoft Entra и импорта и экспорта данных. |
*.crl3.digicert.com |
HTTP/80 | Используется для проверки сертификатов. |
*.crl4.digicert.com |
HTTP/80 | Используется для проверки сертификатов. |
*.digicert.cn |
HTTP/80 | Используется для проверки сертификатов. |
*.ocsp.digicert.com |
HTTP/80 | Используется для проверки сертификатов. |
*.www.d-trust.net |
HTTP/80 | Используется для проверки сертификатов. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Используется для проверки сертификатов. |
*.crl.microsoft.com |
HTTP/80 | Используется для проверки сертификатов. |
*.oneocsp.microsoft.com |
HTTP/80 | Используется для проверки сертификатов. |
*.ocsp.msocsp.com |
HTTP/80 | Используется для проверки сертификатов. |
Ошибки в мастере
Мастер установки использует два разных контекста безопасности. На странице "Подключение к идентификатору Microsoft Entra" используется пользователь, вошедший в систему. На странице "Настройка" она изменяет учетную запись, на котором запущена служба для подсистемы синхронизации. Если возникла проблема, скорее всего, на странице "Подключение к идентификатору Microsoft Entra ID" в мастере появится ошибка, так как конфигурация прокси-сервера является глобальной.
Ниже приведены наиболее распространенные ошибки, которые могут возникнуть в мастере установки.
Мастер установки не настроен правильно
Эта ошибка возникает, когда сам мастер не может связаться с прокси-сервером.
Если вы видите эту ошибку, убедитесь, что файл machine.config настроен правильно. Если machine.config выглядит правильно, выполните действия, описанные в разделе "Проверка подключения прокси-сервера", чтобы узнать, присутствует ли проблема за пределами мастера.
Используется учетная запись Майкрософт
Если вы используете учетную запись Майкрософт вместо учебной или организационной учетной записи, вы увидите универсальную ошибку:
Не удается достичь конечной точки MFA
Эта ошибка возникает, если конечная точка https://secure.aadcdn.microsoftonline-p.com не может быть достигнута, а администратор гибридного удостоверения включил MFA.
Если вы видите эту ошибку, убедитесь, что конечная точка secure.aadcdn.microsoftonline-p.com добавлена в прокси-сервер.
Невозможно проверить пароль
Если мастер установки успешно подключен к идентификатору Microsoft Entra ID, но сам пароль не может быть проверен, вы увидите следующую ошибку:
Является ли пароль временным паролем, который необходимо изменить? Проверьте, правильно ли указан пароль. Попробуйте войти https://login.microsoftonline.com на другой компьютер, отличный от сервера Microsoft Entra Connect, и убедитесь, что учетная запись подходит для использования.
Проверка подключения прокси-сервера
Чтобы проверить, подключается ли сервер Microsoft Entra Connect к прокси-серверу и Интернету, используйте некоторые командлеты PowerShell, чтобы узнать, разрешает ли прокси-сервер веб-запросы. В PowerShell выполните командлет Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Технически первый вызов — это https://login.microsoftonline.comи этот URI также работает, но другой универсальный код ресурса (URI) быстрее отвечает.)
PowerShell использует конфигурацию в machine.config для связи с прокси-сервером. Параметры в winhttp/netsh не должны влиять на эти командлеты.
Если прокси-сервер настроен правильно, появится состояние успешного выполнения:
Если сообщение не удается подключиться к удаленному серверу, PowerShell пытается выполнить прямой вызов без использования прокси-сервера или DNS неправильно настроен. Убедитесь, что файл machine.config настроен правильно.
Если прокси-сервер настроен неправильно, появится сообщение об ошибке 403 или 407:
В следующей таблице описаны ошибки прокси-сервера 403 и 407:
| Ошибка | Текст сообщения об ошибке | Комментарий |
|---|---|---|
| 403 | Запрещено | Прокси-сервер не был открыт для запрошенного URL-адреса. Вернитесь к конфигурации прокси-сервера и убедитесь, что URL-адреса были открыты. |
| 407 | Требуется проверка подлинности прокси-сервера | Для прокси-сервера требуется имя входа, которое не было указано. Если прокси-сервер требует проверки подлинности, убедитесь, что этот параметр настроен в machine.config. Кроме того, убедитесь, что вы используете учетные записи домена для пользователя, выполняющего мастер, и для учетной записи службы. |
Параметр времени ожидания прокси-сервера в режиме простоя
Когда Microsoft Entra Connect отправляет запрос на экспорт в идентификатор Microsoft Entra, идентификатор Microsoft Entra может занять до 5 минут для обработки запроса перед созданием ответа. Ответ, особенно вероятно, будет отложен, если многие объекты группы, имеющие членство в больших группах, включены в один и тот же запрос на экспорт. Убедитесь, что время ожидания простоя прокси-сервера настроено на более чем 5 минут. В противном случае на сервере Microsoft Entra Connect могут возникнуть периодические проблемы с подключением к идентификатору Microsoft Entra Connect.
Шаблон взаимодействия между Microsoft Entra Connect и идентификатором Microsoft Entra
Если вы выполнили все действия, описанные в этой статье, и вы по-прежнему не можете подключиться, на этом этапе вы можете просмотреть журналы сети. В этом разделе описывается обычный и успешный шаблон подключения.
Но сначала ниже приведены некоторые распространенные проблемы с данными в сетевых журналах, которые можно игнорировать:
- Есть вызовы по адресу
https://dc.services.visualstudio.com. Этот URL-адрес не должен быть открыт в прокси-сервере для успешной установки, и эти вызовы можно игнорировать. - Вы видите, что разрешение DNS перечисляет фактические узлы как в пространстве
nsatc.netимен DNS и других пространствах имен, которые не указаныmicrosoftonline.com. Однако на фактических именах серверов нет запросов веб-службы. Вам не нужно добавлять эти URL-адреса в прокси-сервер. - Конечные
adminwebserviceточки иprovisioningapiконечные точки обнаружения используются для поиска фактической конечной точки. Выбор этих конечных точек зависит от вашего региона.
Справочные журналы прокси-сервера
Ниже приведен пример дампа из фактического журнала прокси-сервера и страницы мастера установки, из которой она была взята (повторяющиеся записи в ту же конечную точку были удалены). Этот раздел можно использовать как образец для собственных журналов прокси-сервера и сети. Фактические конечные точки могут отличаться в вашей среде (в частности, URL-адреса в курсиве).
Подключение к идентификатору Microsoft Entra
| Время | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Настройка
| Время | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Начальная синхронизация
| Время | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
Ошибки проверки подлинности
В этом разделе рассматриваются ошибки, которые могут быть возвращены из ADAL и PowerShell. Объяснение ошибки должно помочь вам определить следующие шаги.
Недопустимое предоставление
Вы ввели недопустимое имя пользователя или пароль. Дополнительные сведения см. в разделе "Невозможно проверить пароль".
Неизвестный тип пользователя
Каталог Microsoft Entra не найден или разрешен. Может быть, вы попытались войти с помощью имени пользователя в непроверенном домене?
Сбой обнаружения области пользователей
Проблемы конфигурации сети или прокси-сервера. Не удается достичь сети. См . сведения о проблемах с подключением в мастере установки.
Срок действия пароля пользователя истек
Срок действия ваших учетных данных истек. Измените пароль.
Сбой авторизации
Microsoft Entra Connect не удалось авторизовать пользователя для выполнения действия в идентификаторе Microsoft Entra.
Проверка подлинности отменена
Вызов MFA был отменен.
Сбой подключения к MSOnline
Проверка подлинности прошла успешно, но есть проблема с проверкой подлинности в Azure AD PowerShell.
включена управление привилегированными пользователями
Проверка подлинности прошла успешно, но управление привилегированными пользователями включена, и пользователь в настоящее время не является администратором гибридных удостоверений. Дополнительные сведения см. в статье Приступая к работе с управлением привилегированными пользователями Azure AD.
Сведения о компании недоступны
Проверка подлинности прошла успешно, но сведения о компании не удалось получить из идентификатора Microsoft Entra.
Сведения о домене недоступны
Проверка подлинности прошла успешно, но сведения о домене не удалось получить из идентификатора Microsoft Entra.
Неуказанный сбой проверки подлинности
Отображается как непредвиденная ошибка в мастере установки. Эта ошибка может возникнуть, если вы пытаетесь использовать учетную запись Майкрософт вместо учебной или корпоративной учетной записи.
Устранение неполадок для предыдущих выпусков
В выпусках, начиная с номера сборки 1.1.105.0 (выпущенного в феврале 2016 г.), помощник по входу был прекращен. Настройка помощника по входу больше не должна быть обязательной, но сведения в следующих разделах включены для справки.
Чтобы помощник по единому входу работал, необходимо настроить службы Microsoft Windows HTTP (WinHTTP). Вы можете настроить WinHTTP с помощью netsh.
Помощник по входу не настроен правильно
Эта ошибка возникает, когда помощник по входу не может связаться с прокси-сервером или прокси-сервер не разрешает запрос.
Если вы видите эту ошибку, просмотрите конфигурацию прокси-сервера в netsh и убедитесь, что это правильно.
Если конфигурация прокси-сервера выглядит правильно, выполните действия, описанные в разделе "Проверка подключения к прокси-серверу", чтобы узнать, возникает ли проблема за пределами мастера.
Следующие шаги
Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.