Řešení potíží s připojením k Microsoft Entra Connect
Tento článek vysvětluje, jak funguje připojení mezi Microsoft Entra Connect a ID Microsoft Entra a jak řešit problémy s připojením. Tyto problémy se s největší pravděpodobností projeví v prostředí, které používá proxy server.
Problémy s připojením v průvodci instalací
Microsoft Entra Connect používá k ověřování knihovnu MSAL (Microsoft Authentication Library). Průvodce instalací a synchronizační modul vyžadují správnou konfiguraci machine.config, protože se jedná o aplikace .NET.
Poznámka
Azure AD Connect v1.6.xx.x používá knihovnu ADAL (Active Directory Authentication Library). Knihovna ADAL je zastaralá a podpora skončí v červnu 2022. Doporučujeme upgradovat na nejnovější verzi microsoft Entra Connect v2.
V tomto článku si ukážeme, jak se Fabrikam připojuje k Microsoft Entra ID prostřednictvím svého proxy serveru. Proxy server má název fabrikamproxy a používá port 8080.
Nejprve se ujistěte, že je machine.config správně nakonfigurovaný a že se služba Synchronizace ID Microsoftu po aktualizaci souboru machine.config jednou restartovala.
Poznámka
Některé blogy jiné společnosti než Microsoft ukazují, že byste měli místo souboru machine.config provádět změny miiserver.exe.config. Při každém upgradu se však přepíše soubor miiserver.exe.config. I když soubor funguje během počáteční instalace, systém během prvního upgradu přestane fungovat. Z tohoto důvodu doporučujeme aktualizovat machine.config , jak je popsáno v tomto článku.
Proxy server musí mít také otevřené požadované adresy URL. Oficiální seznam je zdokumentovaný v adresách URL a rozsahech IP adres Office 365.
Z těchto adres URL jsou adresy URL uvedené v následující tabulce absolutní minimum, aby se vůbec mohly připojit k Microsoft Entra ID. Tento seznam neobsahuje žádné volitelné funkce, jako je zpětný zápis hesla nebo Microsoft Entra Connect Health. Tady najdete informace, které vám pomůžou s řešením potíží s počáteční konfigurací.
| Adresa URL | Přístav | Popis |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Slouží ke stažení seznamů odvolaných certifikátů (CRL). |
*.verisign.com |
HTTP/80 | Používá se ke stažení seznamů seznamu CRL. |
*.entrust.net |
HTTP/80 | Používá se ke stažení seznamů CRL pro vícefaktorové ověřování (MFA). |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Používá se pro různé služby Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Používá se pro vícefaktorové ověřování. |
*.microsoftonline.com |
HTTPS/443 | Slouží ke konfiguraci adresáře Microsoft Entra a importu a exportu dat. |
*.crl3.digicert.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.crl4.digicert.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.digicert.cn |
HTTP/80 | Slouží k ověření certifikátů. |
*.ocsp.digicert.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.www.d-trust.net |
HTTP/80 | Slouží k ověření certifikátů. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Slouží k ověření certifikátů. |
*.crl.microsoft.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.oneocsp.microsoft.com |
HTTP/80 | Slouží k ověření certifikátů. |
*.ocsp.msocsp.com |
HTTP/80 | Slouží k ověření certifikátů. |
Chyby v průvodci
Průvodce instalací používá dva různé kontexty zabezpečení. Na stránce Connect to Microsoft Entra ID používá uživatele, který je aktuálně přihlášený. Na stránce Konfigurovat se změní účet, na kterém běží služba synchronizačního modulu. Pokud dojde k problému, chyba se pravděpodobně zobrazí na stránce Připojení k Microsoft Entra ID v průvodci, protože konfigurace proxy serveru je globální.
Následující problémy jsou nejběžnější chyby, se kterými se můžete setkat v průvodci instalací.
Průvodce instalací nebyl správně nakonfigurován.
Tato chyba se zobrazí, když se samotný průvodce nemůže spojit s proxy serverem.
Pokud se zobrazí tato chyba, ověřte, že je soubor machine.config správně nakonfigurovaný. Pokud machine.config vypadá správně, proveďte kroky v části Ověření připojení proxy serveru a zjistěte, jestli se problém vyskytuje i mimo průvodce.
Používá se účet Microsoft.
Pokud místo školního nebo organizačního účtu používáte účet Microsoft, zobrazí se obecná chyba:
Koncový bod vícefaktorového ověřování není dostupný.
Tato chyba se zobrazí, pokud koncový bod https://secure.aadcdn.microsoftonline-p.com není dostupný a váš správce hybridní identity má povolené vícefaktorové ověřování.
Pokud se zobrazí tato chyba, ověřte, že se koncový bod secure.aadcdn.microsoftonline-p.com přidal do proxy serveru.
Heslo nejde ověřit.
Pokud je průvodce instalací úspěšný při připojování k ID Microsoft Entra, ale samotné heslo se nedá ověřit, zobrazí se tato chyba:
Jedná se o dočasné heslo, které se musí změnit? Je to ve skutečnosti správné heslo? Zkuste se přihlásit k https://login.microsoftonline.com jinému počítači, než je server Microsoft Entra Connect, a ověřte, že je účet použitelný.
Ověření připojení proxy serveru
Pokud chcete zkontrolovat, jestli se server Microsoft Entra Connect připojuje k proxy serveru a internetu, pomocí některých rutin PowerShellu zjistěte, jestli proxy server povoluje webové požadavky. V PowerShellu spusťte Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svcpříkaz . (Technicky vzato je prvním voláním https://login.microsoftonline.coma tento identifikátor URI funguje také, ale druhý identifikátor URI je rychlejší reagovat.)
PowerShell používá konfiguraci v machine.config ke kontaktování proxy serveru. Nastavení v winhttp/netsh by neměla mít vliv na tyto rutiny.
Pokud je proxy server správně nakonfigurovaný, zobrazí se stav úspěchu:
Pokud se zobrazí zpráva Nejde se připojit ke vzdálenému serveru, PowerShell se pokouší provést přímé volání bez použití proxy serveru nebo DNS není správně nakonfigurované. Ujistěte se, že je soubor machine.config správně nakonfigurovaný.
Pokud proxy server není správně nakonfigurovaný, zobrazí se chybová zpráva 403 nebo 407:
Následující tabulka popisuje chyby proxy serveru 403 a 407:
| Chyba | Text chyby | Komentář |
|---|---|---|
| 403 | Zakázaný | Proxy server nebyl otevřen pro požadovanou adresu URL. Zkontrolujte konfiguraci proxy serveru a ujistěte se, že jsou otevřené adresy URL . |
| 407 | Vyžadováno ověřování proxy serverem | Proxy server vyžadoval přihlášení a nebyl poskytnut žádný. Pokud proxy server vyžaduje ověření, ujistěte se, že jste toto nastavení nakonfigurovali v souboru machine.config. Ujistěte se také, že používáte účty domény pro uživatele, který spouští průvodce a účet služby. |
Nastavení časového limitu nečinnosti proxy serveru
Když Microsoft Entra Connect odešle žádost o export do ID Microsoft Entra, může zpracování požadavku trvat až 5 minut, než vygenerujete odpověď. Odpověď je zvlášť pravděpodobně zpožděná, pokud je do stejného požadavku na export zahrnuto mnoho objektů skupiny s velkým členstvím ve skupinách. Ujistěte se, že je časový limit nečinnosti proxy serveru nakonfigurovaný na více než 5 minut. V opačném případě může na serveru Microsoft Entra Connect dojít k občasným problémům s připojením s ID Microsoft Entra Connect.
Komunikační model mezi Microsoft Entra Connect a ID Microsoft Entra
Pokud jste postupovali podle všech kroků popsaných v tomto článku a stále se nemůžete připojit, můžete se v tomto okamžiku podívat na síťové protokoly. Tato část popisuje normální a úspěšný vzor připojení.
Nejprve je ale tady několik běžných obav o data v síťových protokolech, které můžete ignorovat:
- Existují volání
https://dc.services.visualstudio.comna . Aby byla instalace úspěšná, nemusí být tato adresa URL otevřená v proxy serveru a tato volání se dají ignorovat. - Uvidíte, že překlad DNS uvádí skutečné hostitele jako hostitele v oboru názvů
nsatc.netDNS a dalších oborech názvů, které nejsou podmicrosoftonline.com. Na skutečných názvech serverů ale nejsou žádné požadavky webové služby. Tyto adresy URL nemusíte přidávat do proxy serveru. - Koncové body
adminwebserviceaprovisioningapikoncové body zjišťování a slouží k vyhledání skutečného koncového bodu, který se má použít. Tyto koncové body se liší v závislosti na vaší oblasti.
Referenční protokoly proxy serveru
Následující příklad je výpis ze skutečného protokolu proxy serveru a stránka průvodce instalací, ze které byla pořízena (byly odebrány duplicitní položky do stejného koncového bodu). Tuto část můžete použít jako referenci pro vlastní protokoly proxy serveru a sítě. Skutečné koncové body se můžou ve vašem prostředí lišit (zejména adresy URL v kurzívě).
Připojení k MICROSOFT Entra ID
| Čas | Adresa URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
Konfigurovat
| Čas | Adresa URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
Počáteční synchronizace
| Čas | Adresa URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
Chyby ověřování
Tato část popisuje chyby, které můžou být vráceny z knihovny ADAL a PowerShellu. Vysvětlení chyby by vám mělo pomoct identifikovat další kroky.
Neplatné udělení
Zadali jste neplatné uživatelské jméno nebo heslo. Další informace naleznete v tématu Heslo nelze ověřit.
Neznámý typ uživatele
Váš adresář Microsoft Entra nebyl nalezen ani vyřešen. Možná jste se pokusili přihlásit pomocí uživatelského jména v neověřené doméně?
Zjišťování sféry uživatele se nezdařilo.
Problémy s konfigurací sítě nebo proxy serveru Síť není dostupná. Podívejte se na problémy s připojením v průvodci instalací.
Platnost hesla uživatele vypršela.
Platnost vašich přihlašovacích údajů vypršela. Změňte heslo.
Selhání autorizace
Službě Microsoft Entra Connect se nepodařilo autorizovat uživatele k provedení akce v ID Microsoft Entra.
Ověřování bylo zrušeno.
Výzva vícefaktorového ověřování byla zrušena.
Připojení k MSOnline se nezdařilo.
Ověřování proběhlo úspěšně, ale Azure AD PowerShell má problém s ověřováním.
Privileged Identity Management povolená
Ověřování proběhlo úspěšně, ale privileged Identity Management je povolené a uživatel v současné době není správcem hybridní identity. Další informace najdete v tématu Privileged Identity Management.
Informace o společnosti nejsou k dispozici
Ověření proběhlo úspěšně, ale informace o společnosti se nepodařilo načíst z ID Microsoft Entra.
Informace o doméně nejsou k dispozici
Ověření proběhlo úspěšně, ale informace o doméně se nepodařilo načíst z ID Microsoft Entra.
Nespecifikované selhání ověřování
Zobrazuje se jako neočekávaná chyba v průvodci instalací. K této chybě může dojít, pokud se pokusíte použít účet Microsoft místo školního nebo organizačního účtu.
Postup řešení potíží s dřívějšími verzemi
Ve verzích, které začínají číslem buildu 1.1.105.0 (vydáno v únoru 2016), byl pomocník pro přihlášení vyřazený. Konfigurace pomocníka pro přihlášení už by se neměla vyžadovat, ale informace v dalších částech najdete pro referenci.
Aby pomocník s jednotným přihlašováním fungoval, musí být nakonfigurována služba Microsoft Windows HTTP Services (WinHTTP). WinHTTP můžete nakonfigurovat pomocí netsh.
Pomocník pro přihlášení není správně nakonfigurovaný.
Tato chyba se zobrazí, když se pomocník pro přihlášení nemůže spojit s proxy serverem nebo proxy server nepovoluje požadavek.
Pokud se zobrazí tato chyba, podívejte se na konfiguraci proxy serveru v netsh a ověřte, že je správná.
Pokud konfigurace proxy serveru vypadá správně, proveďte kroky v části Ověření připojení proxy a zjistěte, jestli k problému dochází mimo průvodce.
Další kroky
Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.