Résoudre les problèmes de connectivité Microsoft Entra Connect

Cet article explique le fonctionnement de la connectivité entre Microsoft Entra Connect et Microsoft Entra ID et comment résoudre les problèmes de connectivité. Ces problèmes sont susceptibles de se produire dans un environnement doté d’un serveur proxy.

Problèmes de connectivité dans l’Assistant Installation

Microsoft Entra Connect utilise la bibliothèque d'authentification Microsoft (MSAL) pour l'authentification. L’Assistant Installation et le moteur de synchronisation approprié requièrent que machine.config soit correctement configuré dans la mesure où ces deux éléments sont des applications .NET.

Remarque

Azure AD Connect v1.6.xx.x utilise la Bibliothèque d’authentification Active Directory (ADAL). La Bibliothèque ADAL est déconseillée et sa prise en charge prendra fin en juin 2022. Nous vous recommandons de mettre à niveau vers la dernière version de Microsoft Entra Connect v2.

Dans cet article, nous montrons comment Fabrikam se connecte à Microsoft Entra ID via son proxy. Le serveur proxy est nommé fabrikamproxy et utilise un port 8080.

Tout d'abord, assurez-vous que machine.config est correctement configuré et que le service Microsoft Entra ID Sync a été redémarré une fois après la mise à jour du fichier machine.config.

Capture d’écran montrant une partie du fichier machine.config.

Remarque

Certains blogs autres que Microsoft indiquent que vous devez apporter des modifications à miiserver.exe.config plutôt qu’au fichier machine.config. Toutefois, le fichier miiserver.exe.config est remplacé à chaque mise à niveau. Même si le fichier fonctionne pendant l’installation initiale, le système cesse de fonctionner pendant la première mise à niveau. Pour cette raison, nous vous recommandons de mettre à jour machine.config comme décrit dans cet article.

Les URL requises doivent également être ouvertes dans le serveur proxy. La liste officielle est documentée dans URL et plages d’adresses IP Office 365.

Parmi ces URL, celles répertoriées dans le tableau suivant constituent le strict minimum pour pouvoir se connecter à Microsoft Entra ID. Cette liste n'inclut aucune fonctionnalité facultative, telle que la réécriture du mot de passe ou Microsoft Entra Connect Health. Les informations sont fournies ici pour vous aider à résoudre les problèmes de la configuration initiale.

URL Port Description
mscrl.microsoft.com HTTP/80 Utilisé pour télécharger des listes de révocation de certificats (CRL).
*.verisign.com HTTP/80 Utilisé pour télécharger des listes de révocation de certificats.
*.entrust.net HTTP/80 Utilisé pour télécharger des listes de révocation de certificats pour l’authentification multifacteur (MFA).
*.management.core.windows.net (Stockage Azure)
*.graph.windows.net (Azure AD Graph)
HTTPS/443 Utilisé pour les différents services Azure.
secure.aadcdn.microsoftonline-p.com HTTPS/443 Utilisé pour MFA.
*.microsoftonline.com HTTPS/443 Utilisé pour configurer votre annuaire Microsoft Entra et importer/exporter des données.
*.crl3.digicert.com HTTP/80 Utilisé pour vérifier les certificats.
*.crl4.digicert.com HTTP/80 Utilisé pour vérifier les certificats.
*.digicert.cn HTTP/80 Utilisé pour vérifier les certificats.
*.ocsp.digicert.com HTTP/80 Utilisé pour vérifier les certificats.
*.www.d-trust.net HTTP/80 Utilisé pour vérifier les certificats.
*.root-c3-ca2-2009.ocsp.d-trust.net HTTP/80 Utilisé pour vérifier les certificats.
*.crl.microsoft.com HTTP/80 Utilisé pour vérifier les certificats.
*.oneocsp.microsoft.com HTTP/80 Utilisé pour vérifier les certificats.
*.ocsp.msocsp.com HTTP/80 Utilisé pour vérifier les certificats.

Erreurs dans l’Assistant

L’Assistant Installation utilise deux contextes de sécurité différents. Sur la page Se connecter à Microsoft Entra ID, il utilise l'utilisateur actuellement connecté. Sur la page Configurer, il passe au compte exécutant le service pour le moteur de synchronisation. Si un problème survient, l'erreur apparaîtra très probablement sur la page Se connecter à Microsoft Entra ID dans l'assistant car la configuration du proxy est globale.

Voici les erreurs les plus courantes de l’Assistant Installation.

L’Assistant Installation n’a pas été configuré correctement

Cette erreur apparaît quand l’Assistant ne peut pas accéder au proxy.

Capture d’écran montrant une erreur : impossible de valider les identifiants.

Si vous voyez cette erreur, vérifiez que le fichier machine.config a été configuré correctement. Si le fichier machine.config semble correct, suivez les étapes de la section Vérifier la connectivité du proxy pour voir si le problème existe également en dehors de l’Assistant.

Un compte Microsoft est utilisé

Si vous utilisez un compte Microsoft au lieu d’un compte scolaire ou d’organisation, l’erreur générique suivante apparaît :

Capture d’écran montrant une erreur de validation des identifiants générique.

Impossible d’atteindre le point de terminaison de l’authentification MFA

Cette erreur s’affiche si le point de terminaison https://secure.aadcdn.microsoftonline-p.com n’est pas accessible et que votre administrateur d’identité hybride a l’authentification multifacteur activée.

Capture d’écran montrant un exemple d’erreur de script lorsque le point de terminaison MFA n’est pas accessible.

Si vous voyez cette erreur, vérifiez que le point de terminaison secure.aadcdn.microsoftonline-p.com a été ajouté au proxy.

Le mot de passe ne peut pas être vérifié

Si l'assistant d'installation parvient à se connecter à Microsoft Entra ID mais que le mot de passe lui-même ne peut pas être vérifié, cette erreur s'affiche :

Capture d’écran montrant une erreur qui se produit lorsque le mot de passe ne peut pas être vérifié.

Le mot de passe est-il temporaire et doit-il être modifié ? Le mot de passe est-il correct ? Essayez de vous connecter à https://login.microsoftonline.com sur un autre ordinateur que le serveur Microsoft Entra Connect et vérifiez que le compte est utilisable.

Vérifier la connectivité du proxy

Pour vérifier si le serveur Microsoft Entra Connect se connecte au proxy et à Internet, utilisez certaines cmdlets PowerShell pour voir si le proxy autorise les requêtes Web. Dans PowerShell, exécutez Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Techniquement, le premier appel se fait vers https://login.microsoftonline.com et cet URI fonctionne également, mais l’autre URI répond plus rapidement.)

PowerShell utilise la configuration machine.config pour contacter le proxy. Les paramètres de winhttp/netsh ne doivent pas affecter ces cmdlets.

Si le proxy est configuré correctement, vous obtenez un état de réussite :

Capture d’écran montrant l’état de réussite lorsque le proxy est configuré correctement.

Si vous recevez l’erreur Impossible de se connecter au serveur distant, cela signifie que PowerShell tente d’effectuer un appel direct sans utiliser le proxy ou que le DNS n’est pas configuré correctement. Vérifiez que le fichier machine.config est configuré correctement.

Capture d’écran d’un message d’erreur lorsque PowerShell ne peut pas se connecter au serveur distant.

Si le proxy n’est pas correctement configuré, un message d’erreur 403 ou 407 s’affiche :

Capture d’écran d’une erreur de proxy 403 dans PowerShell.

Capture d’écran d’une erreur de proxy 407 dans PowerShell.

Le tableau suivant décrit les erreurs de proxy 403 et 407 :

Erreur Texte d’erreur Commentaire
403 Interdit Le proxy n’a pas été ouvert pour l’URL demandée. Revisitez la configuration du proxy et vérifiez que les URL ont été ouvertes.
407 Authentification proxy requise Le serveur proxy nécessitait une connexion et aucune n’a été fournie. Si votre serveur proxy nécessite une authentification, vérifiez que ce paramètre a été configuré dans le fichier machine.config. Vérifiez également que vous utilisez des comptes de domaine pour l’utilisateur qui exécute l’Assistant et pour le compte de service.

Définition du délai d'inactivité du proxy

Lorsque Microsoft Entra Connect envoie une demande d'exportation à Microsoft Entra ID, Microsoft Entra ID peut prendre jusqu'à 5 minutes pour traiter la demande avant de générer une réponse. La réponse est particulièrement susceptible d’être retardée si de nombreux objets de groupe qui ont des appartenances aux groupes volumineuses sont inclus dans la même demande d’exportation. Assurez-vous que le délai d'inactivité du proxy est configuré pour être supérieur à 5 minutes. Sinon, vous pourriez rencontrer des problèmes de connectivité intermittents avec Microsoft Entra ID sur le serveur Microsoft Entra Connect.

Modèle de communication entre Microsoft Entra Connect et Microsoft Entra ID

Si vous avez suivi toutes les étapes décrites dans cet article et que vous ne pouvez toujours pas vous connecter, vous pouvez désormais examiner les journaux réseau. Cette section décrit un modèle de connectivité réussi et normal.

Mais tout d’abord, voici quelques préoccupations courantes concernant les données dans les journaux réseau que vous pouvez ignorer :

  • Il s’agit d’appels vers https://dc.services.visualstudio.com. Il n’est pas impératif que cette URL soit ouverte dans le proxy pour que l’installation réussisse, et vous pouvez ignorer ces appels.
  • Vous constatez que la résolution DNS répertorie les hôtes réels comme étant dans l’espace de noms DNS nsatc.net et d’autres espaces de noms qui ne se trouvent pas sous microsoftonline.com. Toutefois, il n’existe aucune demande de service web sur les noms de serveurs réels. Vous n’avez pas besoin d’ajouter ces URL au proxy.
  • Les points de terminaison adminwebservice et provisioningapi sont des points de terminaison de découverte, et ils sont utilisés pour rechercher le point de terminaison réel à utiliser. Ces points de terminaison diffèrent selon votre région.

Journaux d’activité de proxy de référence

Voici une image mémoire d’un journal de proxy réel et la page de l’Assistant Installation d’où elle a été prise (les entrées en double pour un même point de terminaison ont été supprimées). Cette section peut être utilisée comme référence pour vos propres journaux d’activité de proxy et de réseau. Les points de terminaison réels peuvent être différents dans votre environnement (en particulier les URL en italique).

Connectez-vous à Microsoft Entra ID

Temps URL
11/01/2016 8:31 connect:/login.microsoftonline.com:443
11/01/2016 8:31 connect://adminwebservice.microsoftonline.com:443
11/01/2016 8:32 connect://bba800-anchor.microsoftonline.com:443
11/01/2016 8:32 connect://login.microsoftonline.com:443
11/01/2016 8:33 connect://provisioningapi.microsoftonline.com:443
11/01/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443

Configurer

Temps URL
11/01/2016 8:43 connect://login.microsoftonline.com:443
11/01/2016 8:43 connect://bba800-anchor.microsoftonline.com:443
11/01/2016 8:43 connect://login.microsoftonline.com:443
11/01/2016 8:44 connect://adminwebservice.microsoftonline.com:443
11/01/2016 8:44 connect://bba900-anchor.microsoftonline.com:443
11/01/2016 8:44 connect://login.microsoftonline.com:443
11/01/2016 8:44 connect://adminwebservice.microsoftonline.com:443
11/01/2016 8:44 connect://bba800-anchor.microsoftonline.com:443
11/01/2016 8:44 connect://login.microsoftonline.com:443
11/01/2016 8:46 connect://provisioningapi.microsoftonline.com:443
11/01/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443

Synchronisation initiale

Temps URL
11/01/2016 8:48 connect://login.windows.net:443
11/01/2016 8:49 connect://adminwebservice.microsoftonline.com:443
11/01/2016 8:49 connect://bba900-anchor.microsoftonline.com:443
11/01/2016 8:49 connect://bba800-anchor.microsoftonline.com:443

Erreurs d’authentification

Cette section aborde les erreurs pouvant être retournées par ADAL et par PowerShell. L’erreur expliquée doit vous aider à comprendre les étapes suivantes.

Licence non valide

Vous avez entré un nom d’utilisateur ou un mot de passe non valide. Pour plus d’informations, consultez Impossible de vérifier le mot de passe.

Type d’utilisateur inconnu

Votre annuaire Microsoft Entra est introuvable ou résolu. Vous avez peut-être essayé de vous connecter avec un nom d’utilisateur d’un domaine non vérifié ?

Échec de la découverte de domaine d’utilisateur

Problèmes de configuration du réseau ou du proxy. Impossible d’accéder au réseau. Consultez Problèmes de connectivité dans l’Assistant Installation.

Mot de passe utilisateur expiré

Vos identifiants ont expiré. Modifiez votre mot de passe.

Échec de l’autorisation

Microsoft Entra Connect n'a pas réussi à autoriser l'utilisateur à effectuer une action dans Microsoft Entra ID.

Authentification annulée

Le défi MFA a été annulé.

La connexion à MS Online a échoué

L’authentification a réussi, mais Azure AD PowerShell a un problème d’authentification.

Privileged Identity Management activé

L’authentification a réussi, mais Privileged Identity Management a été activée et l’utilisateur n’est actuellement pas administrateur d’identité hybride. Pour plus d’informations, consultez Privileged Identity Management.

Company Information Unavailable (Informations sur la société non disponibles)

L'authentification a réussi, mais les informations sur l'entreprise n'ont pas pu être récupérées à partir de Microsoft Entra ID.

Domain Information Unavailable (Informations de domaine non disponibles)

L'authentification a réussi, mais les informations de domaine n'ont pas pu être récupérées à partir de Microsoft Entra ID.

Unspecified Authentication Failure (Échec d’authentification non spécifié)

Apparaît comme une erreur inattendue dans l’Assistant Installation. Cette erreur peut se produire si vous essayez d’utiliser un compte Microsoft au lieu d’un compte scolaire ou d’organisation.

Étapes de résolution des problèmes pour les versions précédentes

Dans les versions commençant par le numéro de build 1.1.105.0 (publiées en février 2016), l’Assistant de connexion a été mis hors service. La configuration de l’Assistant de connexion ne doit plus être requise, mais les informations des sections suivantes sont incluses pour référence.

Pour que l’Assistant d’authentification unique fonctionne, Microsoft Windows HTTP Services (WinHTTP) doit être configuré. Vous pouvez configurer WinHTTP avec netsh.

Capture d’écran montrant une fenêtre d’invite de commandes exécutant l’outil netsh pour définir un proxy.

L’Assistant de connexion n’est pas configuré correctement

Cette erreur apparaît lorsque l’Assistant de connexion ne peut pas accéder au proxy ou quand le proxy n’autorise pas la demande.

Capture d’écran montrant une erreur : impossible de valider les identifiants. Vérifiez la connectivité au réseau et les paramètres du pare-feu ou du proxy.

Si cette erreur apparaît, examinez la configuration du proxy dans netsh et vérifiez si elle est correcte.

Capture d’écran montrant une fenêtre d’invite de commandes exécutant l’outil netsh pour afficher la configuration du proxy.

Si la configuration du proxy semble correcte, effectuez les étapes décrites dans Vérifier la connectivité du proxy pour voir si le problème se produit en dehors de l’Assistant.

Étapes suivantes

En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.