解決 Microsoft Entra 多重要素驗證的 NPS 延伸模組錯誤訊息
如果您在使用 AMicrosoft Entra 多重要素驗證的 NPS 延伸模組時發生錯誤,請使用本文以快速掌握解決方案。 在安裝 NPS 延伸模組的伺服器中,您可以前往 [應用程式及服務記錄檔]>[Microsoft]>[AzureMfa]>[AuthN]>[AuthZ] 下方的事件檢視器,以尋找 NPS 延伸模組記錄。
為常見錯誤而設的疑難排解步驟
錯誤碼 | 疑難排解步驟 |
---|---|
CONTACT_SUPPORT | 請連絡支援人員,並提供步驟清單以利收集記錄。 請盡量多提供錯誤發生前的相關資訊,包括租用戶識別碼和使用者主體名稱 (UPN) 等。 |
CLIENT_CERT_INSTALL_ERROR | 可能是用戶端憑證的安裝方式或與您租用戶建立關聯的方式出了問題。 請遵循針對 Azure MFA NPS 擴充功能進行移難排解中的指示來調查用戶端憑證問題。 |
ESTS_TOKEN_ERROR | 請遵循針對 MFA NPS 延伸模組進行移難排解中的指示,來調查用戶端憑證和安全性權杖問題。 |
HTTPS_COMMUNICATION_ERROR | NPS 伺服器無法接收來自 Microsoft Entra 多重要素驗證的回應。 確認您的防火牆雙向開放,可讓流量進出 https://adnotifications.windowsazure.com ,以及確認 TLS 1.2 已啟用 (預設值)。 如果 TLS 1.2 已停用,使用者驗證會失敗,而且具有來源 SChannel 的事件識別碼 36871 會在事件檢視器的系統記錄檔中輸入。 若要驗證 TLS 1.2 是否已啟用,請參閱 TLS 登錄設定。 |
HTTP_CONNECT_ERROR | 在執行 NPS擴充功能的伺服器上,確認您可以連線到 https://adnotifications.windowsazure.com 和 https://login.microsoftonline.com/ 。 如果無法載入這些站台,請針對該伺服器上的連線進行移難排解。 |
Microsoft Entra 多重要素驗證的 NPS 延伸模組 (AccessReject): Microsoft Entra 多重要素驗證的 NPS 延伸模組只會針對狀態為 AccessAccept 的 Radius 要求執行次要驗證。 收到要求使用者名稱且回應狀態為 AccessReject 的要求時,忽略要求。 |
此錯誤通常會反應 AD 中的驗證失敗,或 NPS 伺服器無法收到 Microsoft Entra ID 的回應。 請確定您的防火牆已開放讓 https://adnotifications.windowsazure.com 和 https://login.microsoftonline.com 使用連接埠 80 和 443 雙向傳輸流量。 另請您務必要檢查 [網路存取權限] 的 [撥入] 索引標籤中,設定是否設為 [透過 NPS 網路原則控制存取]。 如果未指派授權給使用者,也可能觸發此錯誤。 |
Microsoft Entra 多重要素驗證的 NPS 延伸模組 (AccessChallenge): Microsoft Entra 多重要素驗證的 NPS 延伸模組只會針對狀態為 AccessAccept 的 Radius 要求執行次要驗證。 收到要求使用者名稱且回應狀態為 AccessChallenge 的要求時,忽略要求。 |
當使用者需要其他資訊才能完成驗證或授權程序時,便會使用此回應。 NPS 伺服器會將查問傳送給使用者,要求進一步的認證或資訊。 通常會在 Access-Accept 或 Access-Reject 回應之前。 |
REGISTRY_CONFIG_ERROR | 應用程式登錄中遺失機碼,可能是因為 PowerShell 指令碼並未在安裝後執行。 錯誤訊息應包含遺失的機碼。 請確定您在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa 下有該機碼。 |
REQUEST_FORMAT_ERROR Radius 要求遺漏必要的 Radius userName\Identifier 屬性。 確認 NPS 正在接收 RADIUS 要求 |
此錯誤通常反映的是安裝問題。 NPS 擴充功能必須安裝在可接收 RADIUS 要求的 NPS 伺服器。 NPS 伺服器若是作為 RDG 和 RRAS 等服務的相依項目安裝,則不會收到 RADIUS 要求。 NPS 擴充功能若透過這類安裝方式進行安裝就會無法運作,並會因為無法讀取來自驗證要求的詳細資料而發生錯誤。 |
REQUEST_MISSING_CODE | 請確定 NPS 和 NAS 伺服器之間的密碼加密協定支援您使用的次要驗證方法。 PAP 可支援雲端中 Microsoft Entra 多重要素驗證的所有驗證方法:撥打電話、單向文字簡訊、行動裝置應用程式通知,以及行動裝置應用程式驗證碼。 CHAPV2 和 EAP 支援通話和行動裝置應用程式通知。 |
USERNAME_CANONICALIZATION_ERROR | 請確定使用者已存在於內部部署的 Active Directory 執行個體中,而且 NPS 服務有權存取目錄。 如果您使用樹系信任,請連絡支援人員以取得進一步協助。 |
Authentication Ext for User 中要求的查問 | 使用 PAP 以外 RADIUS 通訊協議的組織會看到使用者 VPN 授權失敗,且這些事件會顯示在 NPS 延伸模組伺服器的 AuthZOptCh 事件記錄中。 您可以設定 NPS 伺服器支援 PAP。 如果無法選擇 PAP,您可以設定 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 回復為核准/拒絕推播通知。 如需進一步協助,請參閱使用 NPS 延伸模組進行數字比對。 |
替代登入識別碼錯誤
錯誤碼 | 錯誤訊息 | 疑難排解步驟 |
---|---|---|
ALTERNATE_LOGIN_ID_ERROR | 錯誤:userObjectSid 查閱失敗 | 請確認使用者存在於內部部署 Active Directory 執行個體中。 如果您使用樹系信任,請連絡支援人員以取得進一步協助。 |
ALTERNATE_LOGIN_ID_ERROR | 錯誤:替代 LoginId 查閱失敗 | 請確認 LDAP_ALTERNATE_LOGINID_ATTRIBUTE 設定為有效的 Active Directory 屬性。 如果 LDAP_FORCE_GLOBAL_CATALOG 設定為 True,或 LDAP_LOOKUP_FORESTS 設定具有非空白值,請確認您已設定通用類別目錄,且 AlternateLoginId 屬性已新增到其中。 如果 LDAP_LOOKUP_FORESTS 設定具有非空白值,請確認值是否正確。 如果有多個樹系名稱,名稱必須以分號分隔,而非空格。 如果上述步驟未能解決問題,請連絡支援人員以取得更多協助。 |
ALTERNATE_LOGIN_ID_ERROR | 錯誤:替代 LoginId 值是空的 | 請確認已為使用者設定 AlternateLoginId 屬性。 |
您的使用者可能會遇到下列錯誤
錯誤碼 | 錯誤訊息 | 疑難排解步驟 |
---|---|---|
AccessDenied | 呼叫者租用戶並沒有執行使用者驗證的存取權限 | 請檢查租用戶網域和使用者主要名稱 (UPN) 的網域是否相同。 例如,請確定 user@contoso.com 正在嘗試驗證的是 Contoso 租用戶。 UPN 代表 Azure 中有效的租用戶使用者。 |
AuthenticationMethodNotConfigured | 使用者未設定指定的驗證方法 | 請讓使用者根據管理您的雙步驟驗證設定中的指示,來新增或驗證他們的驗證方法。 |
AuthenticationMethodNotSupported | 不支援指定的驗證方法。 | 請收集所有包含此錯誤的記錄,並連絡支援人員。 當您連絡支援人員時,請提供使用者名稱和觸發錯誤的次要驗證方法。 |
BecAccessDenied | MSODS Bec 呼叫傳回拒絕存取,可能是因為使用者名稱未在租用戶中定義 | 使用者存在於 Active Directory 內部部署中,但未透過 AD Connect 同步至 Microsoft Entra ID。 或者,租用戶遺失使用者。 請將使用者新增至 Microsoft Entra ID,並讓使用者根據管理您的雙步驟驗證設定中的指示,來新增驗證方法。 |
InvalidFormat 或 StrongAuthenticationServiceInvalidParameter | 無法辨識電話號碼格式 | 請使用者修正他們的驗證電話號碼。 |
InvalidSession | 指定的工作階段無效或已過期 | 工作階段費時三分鐘以上才完成。 請確定使用者在驗證要求啟動後的三分鐘內輸入驗證碼或回應應用程式通知。 如果這麼做沒有修正問題,請確認用戶端、NAS 伺服器、NPS 伺服器與 Microsoft Entra 多重要素驗證端點之間沒有任何網路延遲的情形。 |
NoDefaultAuthenticationMethodIsConfigured | 使用者未設定預設的驗證方法 | 請讓使用者根據管理您的雙步驟驗證設定中的指示,來新增或驗證他們的驗證方法。 請確定使用者已選擇預設驗證方法,且已為他們的帳戶設定該方法。 |
OathCodePinIncorrect | 輸入的代碼和 Pin 碼錯誤。 | 此錯誤不應出現在 NPS 延伸模組中。 如果您的使用者遇到此錯誤,請連絡支援人員以取得疑難排解說明。 |
ProofDataNotFound | 指定的驗證方法未設定證明資料。 | 請讓使用者根據管理您的雙步驟驗證設定中的指示,嘗試不同驗證方法或新增驗證法。 如果您確認使用者已正確設定他們的驗證方法,但使用者仍持續看見此錯誤,請連絡支援人員。 |
SMSAuthFailedWrongCodePinEntered | 輸入的代碼和 Pin 碼錯誤。 (OneWaySMS) | 此錯誤不應出現在 NPS 延伸模組中。 如果您的使用者遇到此錯誤,請連絡支援人員以取得疑難排解說明。 |
TenantIsBlocked | 租用戶已遭封鎖 | 從 Microsoft Entra 系統管理中心的 Microsoft Entra 頁面,使用租用戶識別碼連絡支援人員。 |
UserNotFound | 找不到指定的使用者 | 此租用戶在 Microsoft Entra ID 中已不是顯示為作用中的租用戶。 請檢查您的訂用帳戶是否在作用中,以及您是否有必要的第一方應用程式。 也請確定憑證主體中的租用戶正確,且憑證仍然有效,並已註冊於服務主體下。 |
使用者收到的訊息可能不是錯誤訊息
有時候,由於您使用者的驗證要求失敗,這些使用者可能會收到來自多重要素驗證的訊息。 這不是產品組態中發生錯誤,而是說明為何驗證要求遭拒的內部警告。
錯誤碼 | 錯誤訊息 | 建議的步驟 |
---|---|---|
OathCodeIncorrect | 輸入的代碼錯誤\OATH 代碼錯誤 | 使用者輸入了錯誤的代碼。 請要求新代碼並讓他們再試一次,或請他們重新登入。 |
SMSAuthFailedMaxAllowedCodeRetryReached | 已達重試代碼次數的上限 | 使用者的驗證嘗試失敗太多次。 視您的設定而定,使用者現在可能需要透過系統管理員來解除封鎖。 |
SMSAuthFailedWrongCodeEntered | 輸入的代碼錯誤/文字訊息 OTP 不正確 | 使用者輸入了錯誤的代碼。 請要求新代碼並讓他們再試一次,或請他們重新登入。 |
AuthenticationThrottled | 使用者在短時間內嘗試太多次。 節流。 | Microsoft 會限制同一使用者在短時間內執行的重複驗證嘗試次數。 此限制不適用於 Microsoft Authenticator 或驗證碼。 如已達到這些限制,您可以使用 Authenticator 應用程式、驗證碼登入,或過幾分鐘再嘗試登入。 |
AuthenticationMethodLimitReached | 已達驗證方法限制。 節流。 | Microsoft 可能會限制相同使用者在短時間內使用相同驗證方法類型執行的重複驗證嘗試,特別是語音通話或簡訊。 此限制不適用於 Microsoft Authenticator 或驗證碼。 如已達到這些限制,您可以使用 Authenticator 應用程式、驗證碼登入,或過幾分鐘再嘗試登入。 |
需要支援的錯誤
如果您遇到以下其中一種錯誤,我們建議您連絡支援人員以取得診斷協助。 這些錯誤並沒有標準的解決步驟。 當您連絡支援人員時,請務必多提供導致此錯誤的步驟資訊,以及您的租用戶資訊。
錯誤碼 | 錯誤訊息 |
---|---|
InvalidParameter | 要求不能是 Null |
InvalidParameter | 對 ReplicationScope:{0} 而言,ObjectId 不能是 Null 或空白 |
InvalidParameter | CompanyName {0}\ 長度超過允許的長度上限 {1} |
InvalidParameter | UserPrincipalName 不能是 Null 或空白 |
InvalidParameter | 提供的 TenantId 格式不正確 |
InvalidParameter | SessionId 不能是 Null 或空白 |
InvalidParameter | 無法解析任何來自要求或 Msods 的 ProofData。 ProofData 不明 |
InternalError | |
OathCodePinIncorrect | |
VersionNotSupported | |
MFAPinNotSetup |
下一步
針對使用者帳戶進行移難排解
如果您的使用者進行雙步驟驗證時發生問題,請協助助他們自行診斷問題。
健康情況檢查指令碼
Microsoft Entra 多重要素驗證 NPS 延伸模組健康情況檢查指令碼會在針對 NPS 延伸模組進行疑難排解時執行數個基本健康情況檢查。 以下是執行指令碼時每個可用選項的快速摘要:
- 選項 1 - 找出問題的原因:如果是 NPS 或 MFA 問題 (匯出 MFA RegKeys、重新啟動 NPS、測試、匯入 RegKeys、重新啟動 NPS)
- 選項 2 - 當並非所有使用者可以使用 MFA NPS 延伸模組時,檢查一組完整的測試 (測試 Azure 的存取/建立 HTML 報告)
- 選項 3 - 當特定使用者無法使用 MFA NPS 延伸模組時,檢查一組特定的測試 (測試特定 UPN 的 MFA)
- 選項 4 - 收集記錄以連絡 Microsoft 支援服務 (啟用記錄/重新啟動 NPS/收集記錄)
連絡 Microsoft 支援服務
如需其他協助,請透過 MFA 支援連絡支援專業人員。 連絡我們時,請盡量包含有關問題的最多資訊,這樣會十分有幫助。 您可以提供的資訊包含您看到錯誤的頁面、特定錯誤碼、特定工作階段 ID、使用者 (看到錯誤者) 識別碼,以及偵錯記錄。
若要收集支援診斷的偵錯記錄,請在 NPS 伺服器上執行 Microsoft Entra 多重要素驗證 NPS 延伸模組健康情況檢查指令碼,並選擇選項 4 以收集記錄並將這些記錄提供給 Microsoft 支援服務。
最後上傳 C:\NPS 資料夾上產生的 zip 輸出檔案,並將其附加至支援案例。