Beheben von Konnektivitätsproblemen mit Microsoft Entra Connect
In diesem Artikel wird erläutert, wie die Konnektivität zwischen Microsoft Entra Connect und Microsoft Entra ID funktioniert und wie Konnektivitätsprobleme behoben werden können. Diese Probleme können insbesondere in einer Umgebung mit einem Proxyserver auftreten.
Konnektivitätsprobleme beim Installations-Assistenten
Microsoft Entra Connect verwendet die Microsoft Authentication Library (MSAL) für die Authentifizierung. Für den Installations-Assistenten und das Synchronisierungsmodul ist eine ordnungsgemäße Konfiguration von „machine.config“ erforderlich, da es sich bei beiden um .NET-Anwendungen handelt.
Hinweis
Azure AD Connect v1.6.xx.x verwendet die Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL). Die ADAL ist veraltet, und der Support endete im Juni 2022. Es empfiehlt sich, ein Upgrade auf die aktuelle Version von Microsoft Entra Connect v2 durchzuführen.
In diesem Artikel zeigen wir Ihnen, wie Fabrikam durch seinen Proxy mit Microsoft Entra ID verbunden wird. Der Proxyserver heißt fabrikamproxy und verwendet Port 8080.
Stellen Sie zunächst sicher, dass machine.config ordnungsgemäß konfiguriert ist und der Microsoft Entra ID-Synchronisierungsdienst nach der Aktualisierung der Datei machine.config neu gestartet wurde.
Hinweis
Einige nicht von Microsoft geführte Blogs weisen darauf hin, dass Sie Änderungen nicht in der Datei machine.config, sondern in miiserver.exe.config vornehmen sollten. Die Datei miiserver.exe.config wird jedoch bei jedem Upgrade überschrieben. Selbst wenn die Datei während der Erstinstallation funktioniert, wird das System nach dem ersten Upgrade nicht mehr funktionieren. Aus diesem Grund wird empfohlen, wie in diesem Artikel beschrieben die Datei machine.config zu aktualisieren.
Der Proxyserver muss die erforderlichen URLs geöffnet haben. Die offizielle Liste ist unter URLs und IP-Adressbereiche von Office 365 zu finden.
Die in der folgenden Tabelle aufgeführten URLs sind die Grundvoraussetzung dafür, dass überhaupt eine Verbindung mit Microsoft Entra ID hergestellt werden kann. Diese Liste enthält keine optionalen Features wie etwa das Kennwortrückschreiben oder Microsoft Entra Connect Health. Die hier bereitgestellten Informationen sollen bei der Problembehandlung für die Erstkonfiguration helfen.
| URL | Port | Beschreibung |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Wird zum Herunterladen von Zertifikatssperrlisten (Certificate Revocation List, CRL) verwendet. |
*.verisign.com |
HTTP/80 | Wird verwendet um CRL-Listen (Zertifikatsperrlisten) herunterzuladen. |
*.entrust.net |
HTTP/80 | Wird zum Herunterladen von Zertifikatssperrlisten (CRL) für die Multi-Faktor-Authentifizierung (MFA) verwendet. |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Wird für die verschiedenen Azure-Dienste verwendet. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Wird für MFA verwendet. |
*.microsoftonline.com |
HTTPS/443 | Wird zum Konfigurieren Ihres Microsoft Entra-Verzeichnisses und zum Importieren/Exportieren von Daten verwendet. |
*.crl3.digicert.com |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
*.crl4.digicert.com |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
*.digicert.cn |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
*.ocsp.digicert.com |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
*.www.d-trust.net |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
*.crl.microsoft.com |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
*.oneocsp.microsoft.com |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
*.ocsp.msocsp.com |
HTTP/80 | Wird zum Überprüfen von Zertifikaten verwendet. |
Fehler im Assistenten
Der Installations-Assistent verwendet zwei unterschiedliche Sicherheitskontexte. Auf der Seite Mit Microsoft Entra ID verbinden wird der derzeit angemeldete Benutzer bzw. die derzeit angemeldete Benutzerin verwendet. Auf der Seite Konfigurieren findet ein Wechsel zu dem Konto, das den Dienst für das Synchronisierungsmodul ausführt statt. Falls ein Problem auftritt, wird der Fehler wahrscheinlich auf der Seite Mit Microsoft Entra ID verbinden im Assistenten angezeigt, da die Proxykonfiguration global gilt.
Im Folgenden finden Sie die häufigsten Fehler, die im Installations-Assistenten auftreten können.
Der Installations-Assistent wurde nicht richtig konfiguriert
Dieser Fehler tritt auf, wenn der Assistent den Proxy selbst nicht erreichen kann.
Falls dieser Fehler angezeigt wird, überprüfen Sie, ob die Datei machine.config richtig konfiguriert wurde. Falls die Datei machine.config in Ordnung ist, befolgen Sie die Schritte zum Überprüfen der Proxykonnektivität, um zu sehen, ob das Problem außerhalb des Assistenten ebenfalls auftritt.
Ein Microsoft-Konto wird verwendet
Bei Verwendung eines Microsoft-Kontos anstelle eines Geschäfts-, Schul- oder Unikontos wird ein generischer Fehler angezeigt:
Der MFA-Endpunkt ist nicht erreichbar
Dieser Fehler wird angezeigt, wenn der Endpunkt https://secure.aadcdn.microsoftonline-p.com nicht erreichbar ist und Ihr*e Hybrididentitätsadministrator*in MFA aktiviert hat.
Wenn dieser Fehler angezeigt wird, stellen Sie sicher, dass dem Proxy der Endpunkt secure.aadcdn.microsoftonline-p.com hinzugefügt wurde.
Das Kennwort kann nicht überprüft werden
Falls der Installations-Assistent erfolgreich eine Verbindung mit Microsoft Entra ID herstellt, aber das Kennwort selbst nicht überprüft werden kann, wird dieser Fehler angezeigt:
Handelt es sich um ein temporäres Kennwort, das geändert werden muss? Handelt es sich um das richtige Kennwort? Versuchen Sie, sich auf einem anderen Computer als dem Microsoft Entra Connect-Server bei https://login.microsoftonline.com anzumelden, und überprüfen Sie, ob das Konto verwendbar ist.
Überprüfung der Proxykonnektivität
Um zu überprüfen, ob der Microsoft Entra Connect-Server eine Verbindung mit dem Proxy und dem Internet herstellt, testen Sie mithilfe einiger PowerShell-Cmdlets, ob der Proxy Webanforderungen zulässt. Führen Sie in PowerShell Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc aus. (Streng genommen ist der erste Aufruf an https://login.microsoftonline.com gerichtet. Dieser URI würde auch funktionieren, aber der andere URI antwortet schneller.)
PowerShell verwendet die Konfiguration aus machine.config, um den Proxy zu kontaktieren. Die Einstellungen in winhttp/netsh sollten sich nicht auf diese Cmdlets auswirken.
Wenn der Proxy richtig konfiguriert ist, wird ein Erfolgsstatus angezeigt:
Falls Sie die Meldung Die Verbindung mit dem Remoteserver kann nicht hergestellt werden erhalten, versucht PowerShell entweder gerade einen direkten Aufruf durchzuführen, ohne den Proxy zu verwenden, oder das DNS ist nicht richtig konfiguriert. Stellen Sie sicher, dass die Datei machine.config richtig konfiguriert ist.
Wenn der Proxy nicht ordnungsgemäß konfiguriert ist, wird die Fehlermeldung 403 oder 407 angezeigt:
In der folgenden Tabelle werden die Proxyfehler 403 und 407 beschrieben:
| Error | Fehlertext | Kommentar |
|---|---|---|
| 403 | Verboten | Der Proxy wurde für die angeforderte URL nicht geöffnet. Überprüfen Sie die Proxykonfiguration, und stellen Sie sicher, dass die URLs geöffnet wurden. |
| 407 | Proxyauthentifizierung erforderlich | Der Proxyserver erfordert eine Anmeldung, die nicht erfolgt ist. Stellen Sie sicher, dass Sie in den Konfigurationen von machine.config eine entsprechende Einstellung vorgenommen haben, falls Ihr Proxyserver eine Authentifizierung erfordert. Stellen Sie außerdem sicher, dass Sie sowohl für den/die Benutzer*in, der/die den Assistenten ausführt, als auch für das Dienstkonto Domänenkonten verwenden. |
Einstellung für Proxy-Leerlauftimeout
Wenn Microsoft Entra Connect eine Exportanforderung an Microsoft Entra ID sendet, kann es bis zu fünf Minuten dauern, bis Microsoft Entra ID die Anforderung verarbeitet hat, bevor eine Antwort generiert wird. Die Antwort wird mit hoher Wahrscheinlichkeit verzögert, wenn viele Gruppenobjekte mit einer hohen Anzahl von Gruppenmitgliedschaften in derselben Exportanforderung enthalten sind. Stellen Sie sicher, dass das Leerlauftimeout des Proxys mit mehr als 5 Minuten konfiguriert ist. Andernfalls treten möglicherweise zeitweilige Konnektivitätsprobleme mit Microsoft Entra ID auf dem Microsoft Entra Connect-Server auf.
Kommunikationsmuster zwischen Microsoft Entra Connect und Microsoft Entra ID
Wenn Sie alle in diesem Artikel beschriebenen Schritte ausgeführt haben und immer noch keine Verbindung herstellen können, sollten Sie sich nun die Netzwerkprotokolle ansehen. In diesem Abschnitt wird ein normales und erfolgreiches Konnektivitätsmuster beschrieben.
Zunächst werden jedoch einige häufige Bedenken zu Daten in den Netzwerkprotokollen aufgeführt, die Sie ignorieren können:
- Es erfolgen Aufrufe an
https://dc.services.visualstudio.com. Für eine erfolgreiche Installation ist es nicht erforderlich, dass diese URL im Proxy geöffnet ist. Sie können diese Aufrufe daher ignorieren. - Sie können in der DNS-Auflösung sehen, dass die tatsächlichen Hosts im DNS-Namespace
nsatc.netenthalten sind und dass andere Namespaces sich nicht untermicrosoftonline.combefinden. Allerdings gibt es keine Webdienstanforderungen für die tatsächlichen Servernamen. Sie müssen diese URLs nicht auf dem Proxy hinzufügen. - Die Endpunkte
adminwebserviceundprovisioningapisind Ermittlungsendpunkte, die dazu dienen, die tatsächlich zu verwendenden Endpunkte zu finden. Diese Endpunkte unterscheiden sich abhängig von Ihrer Region.
Verweisproxyprotokolle
Das folgende Beispiel ein Auszug eines echten Proxyprotokolls und der Seite des Installations-Assistenten, von der er entnommen wurde (doppelte Einträge zum selben Endpunkt wurden entfernt). Sie können diesen Abschnitt als Referenz für Ihre eigenen Proxy- und Netzwerkprotokolle verwenden. Die tatsächlichen Endpunkte können in Ihrer Umgebung abweichen (insbesondere die kursiv formatierten URLs).
Herstellen einer Verbindung mit Microsoft Entra ID
| Zeit | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Konfigurieren
| Zeit | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Erste Synchronisierung
| Zeit | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
Authentifizierungsfehler
In diesem Abschnitt finden Sie Fehler, die von ADAL und PowerShell zurückgegeben werden können. Die Fehlererläuterungen sollen Sie beim Ermitteln der nächsten Schritte unterstützen.
Ungültige Zuweisung
Sie haben einen ungültigen Benutzernamen oder ein ungültiges Kennwort eingegeben. Weitere Informationen finden Sie unter Das Kennwort kann nicht überprüft werden.
Unbekannter Benutzertyp
Ihr Microsoft Entra-Verzeichnis wurde nicht gefunden oder kann nicht aufgelöst werden. Versuchen Sie möglicherweise, sich mit einem Benutzernamen in einer nicht überprüften Domäne anzumelden?
Fehler bei Benutzerbereichserkennung
Es liegen Probleme mit der Netzwerk- oder Proxykonfiguration vor. Das Netzwerk kann nicht erreicht werden. Weitere Informationen finden Sie unter Konnektivitätsprobleme beim Installations-Assistenten.
Benutzerkennwort abgelaufen
Ihre Anmeldeinformationen sind abgelaufen. Ändern Sie Ihr Kennwort.
Autorisierungsfehler
Microsoft Entra Connect konnte den Benutzer bzw. die Benutzerin nicht für die Ausführung einer Aktion in Microsoft Entra ID autorisieren.
Authentifizierung abgebrochen
Die MFA-Überprüfung wurde abgebrochen.
Fehler beim Herstellen der Verbindung mit MS Online
Die Authentifizierung war erfolgreich, aber es liegt ein Authentifizierung bei Azure AD PowerShell vor.
Privileged Identity Management aktiviert
Die Authentifizierung war erfolgreich, aber Privileged Identity Management ist aktiviert und der/die Benutzer*in ist derzeit kein*e Hybrididentitätsadministrator*in. Weitere Informationen finden Sie unter Privileged Identity Management.
Unternehmensinformationen nicht verfügbar
Die Authentifizierung war erfolgreich, aber aus Microsoft Entra ID konnten keine Firmeninformationen abgerufen werden.
Domäneninformationen nicht verfügbar
Die Authentifizierung war erfolgreich, aber aus Microsoft Entra ID konnten keine Domäneninformationen abgerufen werden.
Nicht spezifizierter Authentifizierungsfehler
Wird im Installations-Assistenten als Unerwarteter Fehler angezeigt. Dieser Fehler kann auftreten, wenn Sie versuchen, ein Microsoft-Konto anstelle eines Geschäfts-, Schul- oder Unikontos zu verwenden.
Schritte zur Problembehandlung für frühere Releases
Ab dem Release mit der Buildnummer 1.1.105.0 (veröffentlicht im Februar 2016) wurde der Anmelde-Assistent eingestellt. Das Konfigurieren des Anmelde-Assistenten sollte nicht mehr erforderlich sein. Die Informationen in den nächsten Abschnitten dienen daher lediglich als Referenz.
Damit der Assistent für einmaliges Anmelden funktioniert, müssen Microsoft Windows HTTP-Dienste (WinHTTP) konfiguriert werden. Sie können WinHTTP mithilfe von netsh konfigurieren.
Der Anmelde-Assistent wurde nicht richtig konfiguriert
Dieser Fehler tritt auf, wenn der Anmelde-Assistent den Proxy nicht erreichen kann oder der Proxy die Anforderung nicht zulässt.
Falls dieser Fehler angezeigt wird, überprüfen Sie die Proxykonfiguration in netsh.
Falls die Proxykonfiguration in Ordnung ist, befolgen Sie die Schritte zum Überprüfen der Proxykonnektivität, um zu sehen, ob das Problem außerhalb des Assistenten ebenfalls auftritt.
Nächste Schritte
Erfahren Sie mehr zum Integrieren lokaler Identitäten in Microsoft Entra ID.