排查 Microsoft Entra Connect 连接性问题
本文说明 Microsoft Entra Connect 和 Microsoft Entra ID 之间的连接的工作方式,以及如何排查连接问题。 这些问题很有可能出现在使用代理服务器的环境中。
安装向导中的连接问题
Microsoft Entra Connect 使用 Microsoft 身份验证库 (MSAL) 进行身份验证。 安装向导和同步引擎要求正确配置 machine.config,因为这二者都是 .NET 应用程序。
注意
Azure AD Connect v1.6.xx.x 使用 Active Directory 身份验证库 (ADAL)。 ADAL 将被弃用,支持于 2022 年 6 月结束。 我们建议升级到最新版本的 Microsoft Entra Connect v2。
本文说明 Fabrikam 如何通过其代理连接到 Microsoft Entra ID。 代理服务器名为 fabrikamproxy
并使用端口 8080。
首先,请确保正确配置 machine.config 且在 machine.config 文件更新后已重启 Microsoft Entra AD Sync 服务。
注意
一些非 Microsoft 博客指出应更改 miiserver.exe.config 而不是 machine.config 文件。 但是,每次升级时都会覆盖 miiserver.exe.config 文件。 即使文件在初始安装期间正常工作,系统也会在第一次升级期间停止工作。 因此,建议按本文所述更新 machine.config。
还必须在代理服务器上打开所需的 URL。 Office 365 URL 和 IP 地址范围中提供了正式列表。
在这些 URL 中,至少下表列出的 URL 必须能够连接到 Microsoft Entra ID。 此列表未包含任何可选功能,例如密码写回或 Microsoft Entra Connect Health。 此处提供的信息有助于对初始配置进行故障排除。
URL | 端口 | 说明 |
---|---|---|
mscrl.microsoft.com |
HTTP/80 | 用于下载证书吊销列表 (CRL) 列表。 |
*.verisign.com |
HTTP/80 | 用于下载 CRL 列表。 |
*.entrust.net |
HTTP/80 | 用于下载用于多重身份验证 (MFA) 的 CRL 列表。 |
*.management.core.windows.net (Azure 存储)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | 用于各种 Azure 服务。 |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | 用于 MFA。 |
*.microsoftonline.com |
HTTPS/443 | 用于配置 Microsoft Entra 目录并导入/导出数据。 |
*.crl3.digicert.com |
HTTP/80 | 用于验证证书。 |
*.crl4.digicert.com |
HTTP/80 | 用于验证证书。 |
*.digicert.cn |
HTTP/80 | 用于验证证书。 |
*.ocsp.digicert.com |
HTTP/80 | 用于验证证书。 |
*.www.d-trust.net |
HTTP/80 | 用于验证证书。 |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | 用于验证证书。 |
*.crl.microsoft.com |
HTTP/80 | 用于验证证书。 |
*.oneocsp.microsoft.com |
HTTP/80 | 用于验证证书。 |
*.ocsp.msocsp.com |
HTTP/80 | 用于验证证书。 |
向导中的错误
安装向导使用两种不同的安全上下文。 在“连接到 Microsoft Entra ID”页上,它使用当前已登录的用户。 在“配置”页上,它则改为使用运行同步引擎服务的帐户。 如果出现问题,错误很可能显示在向导的“连接到 Microsoft Entra ID”页上,因为代理配置是全局性的。
以下问题是在安装向导中可能遇到的最常见错误。
未正确配置安装向导
当向导本身无法访问代理时,将出现此错误。
如果看到此错误,请验证是否已正确配置 machine.config 文件。 如果 machine.config 看起来正确,请完成验证代理连接中的步骤,以了解问题是否也出现在向导外部。
已使用 Microsoft 帐户
如果使用的是 Microsoft 帐户而不是学校或组织帐户,则会看到一个常规错误:
无法访问 MFA 终结点
如果无法访问终结点 https://secure.aadcdn.microsoftonline-p.com
并且混合标识管理员已启用 MFA,则会出现此错误。
如果看到此错误,请验证是否已将终结点 secure.aadcdn.microsoftonline-p.com
添加到代理。
无法验证密码
如果安装向导已成功连接到 Microsoft Entra ID,但无法验证密码本身,将出现以下错误:
密码是否为必须更改的临时密码? 它是否确实为正确的密码? 请在 Microsoft Entra Connect 服务器以外的另一台计算机上尝试登录到 https://login.microsoftonline.com
,并验证该帐户是否可用。
验证代理连接
若要检查 Microsoft Entra Connect 服务器是否正在连接到代理和 Internet,请使用一些 PowerShell cmdlet 查看代理是否允许 Web 请求。 在 PowerShell 中运行 Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc
。 (从技术上讲,第一个调用是对 https://login.microsoftonline.com
发出的,并且此 URI 也能正常工作,但另一个 URI 的响应速度更快。)
PowerShell 使用 machine.config 中的配置来联系代理。 winhttp/netsh 中的设置应该不会影响这些 cmdlet。
如果代理配置正确,则会显示成功状态:
如果看到“无法连接到远程服务器”消息,则表示 PowerShell 正在尝试进行直接调用而未使用代理,或者 DNS 配置不正确。 请确保正确配置了 machine.config 文件。
如果未正确配置代理,则会出现 403 或 407 错误消息:
下表介绍了 403 和 407 代理错误:
错误 | 错误文本 | 评论 |
---|---|---|
403 | 已禁止 | 代理尚未对请求的 URL 打开。 请重新访问代理配置,并确保已打开这些 URL。 |
407 | 需要代理身份验证 | 代理服务器要求登录,但未提供任何登录信息。 如果代理服务器需要身份验证,请确保已在 machine.config 中配置了此设置。另外,请确保对运行向导的用户和服务帐户使用域帐户。 |
代理空闲超时设置
当 Microsoft Entra Connect 向 Microsoft Entra ID 发送导出请求时,Microsoft Entra ID 最多可能需要 5 分钟来处理请求,然后才能生成响应。 如果同一导出请求中包含许多具有大量组成员身份的组对象,则响应特别有可能延迟。 确保代理空闲超时配置为大于 5 分钟。 否则,Microsoft Entra Connect 服务器上的 Microsoft Entra ID 可能会出现间歇性连接问题。
Microsoft Entra Connect 与 Microsoft Entra ID 之间的通信模式
如果已按照本文中所述的所有步骤操作,但仍无法连接,此时可能需要查看网络日志。 本部分说明正常且成功的连接模式。
但首先,下面是一些可以忽略的有关网络日志中数据的常见问题:
- 有向
https://dc.services.visualstudio.com
发出的调用。 无需在代理中打开此 URL 即可成功安装,并且这些调用可被忽略。 - 可以看到,DNS 解析将实际主机列为存在于 DNS 命名空间
nsatc.net
和其他不在microsoftonline.com
下的命名空间中。 但是,实际服务器名称上没有任何 Web 服务请求。 无需将这些 URL 添加到代理。 - 终结点
adminwebservice
和provisioningapi
是发现终结点,它们用于找出要使用的实际终结点。 这些终结点根据区域而有所不同。
引用代理日志
以下示例是实际代理日志中的转储以及从中获取此信息的安装向导页(已删除同一终结点的重复条目)。 本部分可用作自己的代理和网络日志的参考。 你的环境中的实际终结点可能有所不同(尤其是以斜体显示的 URL)。
连接到 Microsoft Entra ID
时间 | URL |
---|---|
1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
配置
时间 | URL |
---|---|
1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
初始同步
时间 | URL |
---|---|
1/11/2016 8:48 | connect://login.windows.net:443 |
1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
身份验证错误
本部分说明可能从 ADAL 和 PowerShell 返回的错误。 有关错误的说明可帮助你确定后续步骤。
无效授权
输入的用户名或密码无效。 有关详细信息,请参阅无法验证密码。
未知用户类型
找不到或无法解析 Microsoft Entra 目录。 也许你尝试了使用未经验证的域中的用户名登录?
用户领域发现失败
网络或代理配置问题。 无法访问网络。 请参阅安装向导中的连接问题。
用户密码已过期
凭据已过期。 请更改密码。
授权失败
Microsoft Entra Connect 未能授权用户在 Microsoft Entra ID 中执行操作。
身份验证已取消
MFA 质询已取消。
连接到 MSOnline 失败
身份验证成功,但 Azure AD PowerShell 出现身份验证问题。
Privileged Identity Management 已启用
身份验证已成功,但 Privileged Identity Management 已启用,并且用户当前不是混合标识管理员。 有关详细信息,请参阅 Privileged Identity Management。
公司信息不可用
身份验证已成功,但无法从 Microsoft Entra ID 检索公司信息。
域信息不可用
身份验证已成功,但无法从 Microsoft Entra ID 检索域信息。
不明的身份验证故障
在安装向导中显示为“意外错误”。 如果尝试使用 Microsoft 帐户而不是学校或组织帐户,则可能会发生此错误。
针对早期版本的故障排除步骤
在从内部版本号 1.1.105.0(2016 年 2 月发布)开始的版本中,登录助手已停用。 应不再需要配置登录助手,但后续部分中包含了相应信息以供参考。
要使单点登录助手正常工作,必须配置 Microsoft Windows HTTP Services (WinHTTP)。 可以使用 netsh 配置 WinHTTP。
登录助手未正确配置
当登录助手无法访问代理或代理不允许该请求时,将出现此错误。
如果看到此错误,请在 netsh 中查看代理配置并验证该配置是否正确。
如果 machine.config 看起来正确,请完成验证代理连接中的步骤,以了解问题是否出现在向导外部。
后续步骤
详细了解如何将本地标识与 Microsoft Entra ID 集成。