Risolvere i messaggi di errore dall'estensione NPS per l'autenticazione a più fattori Microsoft Entra
Se si verificano errori con l'estensione NPS per l'autenticazione a più fattori Microsoft Entra, usare questo articolo per raggiungere una risoluzione più rapida. I log dell'estensione NPS sono disponibili in Visualizzatore eventi in Registri applicazioni e servizi>di Microsoft>AzureMfa>AuthN AuthZ> nel server in cui è installata l'estensione NPS.
Procedura per la risoluzione di errori comuni
| Codice di errore | Passaggi per la risoluzione dei problemi |
|---|---|
| CONTACT_SUPPORT | Contattare il supporto tecnico e segnalare l'elenco dei passaggi per la raccolta dei log. Fornire tutte le informazioni che è possibile ottenere su ciò che è accaduto prima dell'errore, inclusi l'ID tenant e il nome dell'entità utente (UPN). |
| CLIENT_CERT_INSTALL_ERROR | Potrebbe esserci un problema con la modalità di installazione del certificato client o con la modalità di associazione al tenant. Per analizzare i problemi del certificato client seguire le istruzioni in Risoluzione dei problemi dell'estensione NPS MFA. |
| ESTS_TOKEN_ERROR | Seguire le istruzioni in Risoluzione dei problemi relativi all'estensione NPS MFA per analizzare i problemi del certificato client e del token di sicurezza. |
| HTTPS_COMMUNICATION_ERROR | Il server NPS non è in grado di ricevere risposte dall'autenticazione a più fattori Di Microsoft Entra. Verificare che i firewall siano aperti in modo bidirezionale per il traffico da e verso e da https://adnotifications.windowsazure.com e che TLS 1.2 sia abilitato (impostazione predefinita). Se TLS 1.2 è disabilitato, l'autenticazione dell'utente ha esito negativo e l'ID evento 36871 con origine SChannel viene immesso nel log di sistema Visualizzatore eventi. Per verificare che TLS 1.2 sia abilitato, vedere Impostazioni del Registro di sistema TLS. |
| HTTP_CONNECT_ERROR | Nel server che esegue l'estensione NPS, verificare di poter raggiungere https://adnotifications.windowsazure.com e https://login.microsoftonline.com/. Se tali siti non vengono caricati, risolvere i problemi di connettività sul server. |
| Estensione NPS per l'autenticazione a più fattori Microsoft Entra (AccessReject): L'estensione NPS per l'autenticazione a più fattori Microsoft Entra esegue solo l'autenticazione secondaria per le richieste Radius nello stato AccessAccept. La richiesta ricevuta per l'utente nomeutente con stato della risposta AccessReject, sta ignorando la richiesta. |
Questo errore indica in genere un problema di autenticazione in Active Directory o che NPS non è in grado di ricevere risposte da Microsoft Entra ID. Verificare che i firewall siano aperti in modalità bidirezionale per il traffico da e verso https://adnotifications.windowsazure.com e https://login.microsoftonline.com tramite le porte 80 e 443. È anche importante verificare che nella scheda ACCESSO ESTERNO delle autorizzazioni di accesso alla rete l'impostazione sia impostata su "controllare l'accesso tramite criteri di rete NPS". Questo errore può anche essere attivato se all'utente non è assegnata una licenza. |
| Estensione NPS per l'autenticazione a più fattori Microsoft Entra (AccessChallenge): L'estensione NPS per l'autenticazione a più fattori Microsoft Entra esegue solo l'autenticazione secondaria per le richieste Radius nello stato AccessAccept. Richiesta ricevuta per Nome utente con stato di risposta AccessChallenge, ignorando la richiesta. |
Questa risposta viene usata quando sono necessarie informazioni aggiuntive dall'utente per completare il processo di autenticazione o autorizzazione. Il server dei criteri di rete invia una richiesta di verifica all'utente, richiedendo ulteriori credenziali o informazioni. In genere precede una risposta Access-Accept o Access-Reject. |
| REGISTRY_CONFIG_ERROR | Manca una chiave nel registro per l'applicazione. Questa potrebbe essere la causa per cui lo script di PowerShell non viene eseguito dopo l'installazione. Il messaggio di errore deve includere la chiave mancante. Assicurarsi che la chiave si trovi in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
| REQUEST_FORMAT_ERROR Richiesta radius mancante attributo radius userName\Identifier obbligatorio. Verificare che NPS riceva le richieste RADIUS |
Questo errore indica in genere un problema di installazione. L'estensione NPS deve essere installata nei server NPS che possono ricevere le richieste RADIUS. I server NPS installati come dipendenze dei servizi come RDG e RRAS non ricevono le richieste RADIUS. L'estensione NPS non funziona quando è installata su tali installazioni ed errori perché non è in grado di leggere i dettagli dalla richiesta di autenticazione. |
| REQUEST_MISSING_CODE | Verificare che il protocollo di crittografia delle password tra i server dei criteri di rete e di accesso alla rete supporti il metodo di autenticazione secondario usato. PAP supporta tutti i metodi di autenticazione dell'autenticazione a più fattori Di Microsoft Entra nel cloud: telefonata, SMS unidirezionale, notifica dell'app per dispositivi mobili e codice di verifica dell'app per dispositivi mobili. CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili. |
| USERNAME_CANONICALIZATION_ERROR | Verificare che l'utente sia presente nell'istanza di Active Directory locale e che il servizio NPS disponga delle autorizzazioni per accedere alla directory. Se si usano trust tra foreste, contattare il supporto tecnico per ulteriori informazioni. |
| Richiesta di richiesta in Authentication Ext for User | Le organizzazioni che usano un protocollo RADIUS diverso da PAP vedono che l'autorizzazione VPN dell'utente ha esito negativo e questi eventi vengono visualizzati nel registro eventi AuthZOptCh del server di estensione NPS. È possibile configurare il server NPS per supportare PAP. Se PAP non è un'opzione, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL edizione Standard per eseguire il fallback alle notifiche push approva/nega. Per altre informazioni, controllare La corrispondenza dei numeri usando l'estensione NPS. |
Errori relativi all'ID di accesso alternativo
| Codice di errore | Messaggio di errore | Passaggi per la risoluzione dei problemi |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Errore: la ricerca di userObjectSid non è riuscita | Verificare che l'utente esista nell'istanza di Active Directory locale. Se si usano trust tra foreste, contattare il supporto tecnico per ulteriori informazioni. |
| ALTERNATE_LOGIN_ID_ERROR | Errore: la ricerca dell'ID di accesso alternativo non è riuscita | Verificare che LDAP_ALTERNATE_LOGINID_ATTRIBUTE sia impostato su un attributo di Active Directory valido. Se LDAP_FORCE_GLOBAL_CATALOG è impostata su True o LDAP_LOOKUP_FORESTS è configurato con un valore non vuoto, verificare di avere configurato un catalogo globale e che vi sia stato aggiunto l'attributo AlternateLoginId. Se LDAP_LOOKUP_FORESTS è configurato con un valore non vuoto, verificare che il valore sia corretto. Se è presente più di un nome di foresta, i nomi devono essere separati da punti e virgola, non da spazi. Se questi passaggi non risolvono il problema, contattare il supporto tecnico per maggiore assistenza. |
| ALTERNATE_LOGIN_ID_ERROR | Errore: il valore dell'ID di accesso alternativo è vuoto | Verificare che l'attributo AlternateLoginId sia configurato per l'utente. |
Errori che possono verificarsi per gli utenti
| Codice di errore | Messaggio di errore | Passaggi per la risoluzione dei problemi |
|---|---|---|
| AccessDenied | Il tenant del chiamante non dispone delle autorizzazioni di accesso per eseguire l'autenticazione per l'utente | Controllare che il dominio del tenant e il dominio del nome dell'entità utente (UPN) corrispondano. Ad esempio, assicurarsi che user@contoso.com stia tentando di eseguire l'autenticazione al tenant di Contoso. L'UPN rappresenta un utente valido per il tenant in Azure. |
| AuthenticationMethodNotConfigured | The specified authentication method was not configured for the user (Il metodo di autenticazione specificato non è stato configurato per l'utente) | Richiedere all'utente di aggiungere o verificare i metodi di verifica seguendo le istruzioni in Gestire le impostazioni per la verifica in due passaggi. |
| AuthenticationMethodNotSupported | Il metodo di autenticazione specificato non è supportato. | Raccogliere tutti i log che includono questo errore e contattare il supporto tecnico. Quando si contatta il supporto tecnico, comunicare il nome utente e il metodo di verifica secondaria che ha generato l'errore. |
| BecAccessDenied | Chiamata MSODS Bec restituita accesso negato, probabilmente il nome utente non è definito nel tenant | L'utente è presente in Active Directory locale, ma non è sincronizzato con Microsoft Entra ID by AD Connessione. Oppure manca l'utente per il tenant. Aggiungere l'utente all'ID Microsoft Entra e fargli aggiungere i metodi di verifica in base alle istruzioni riportate in Gestire le impostazioni per la verifica in due passaggi. |
| InvalidFormat o StrongAuthenticationServiceInvalidParameter | The phone number is in an unrecognizable format (Il numero di telefono presenta un formato non riconoscibile) | Richiedere all'utente di correggere i numeri di telefono per la verifica. |
| InvalidSession | The specified session is invalid or may have expired (La sessione specificata non è valida o potrebbe essere scaduta) | Il completamente della sessione ha richiesto più di tre minuti. Verificare che l'utente inserisca il codice di verifica o risponda alla notifica app, entro tre minuti dall'avvio della richiesta di autenticazione. Se il problema non viene risolto, verificare che non siano presenti latenze di rete tra client, server NAS, server NPS e endpoint di autenticazione a più fattori Di Microsoft Entra. |
| NoDefaultAuthenticationMethodIsConfigured | No default authentication method was configured for the user (Non è stato configurato alcun metodo di autenticazione predefinito per l'utente) | Richiedere all'utente di aggiungere o verificare i metodi di verifica seguendo le istruzioni in Gestire le impostazioni per la verifica in due passaggi. Verificare che l'utente abbia scelto un metodo di autenticazione predefinito e che questo sia stato configurato per il proprio account. |
| OathCodePinIncorrect | Wrong code and pin entered. (Codice e pin inseriti non corretti.) | Questo errore non è previsto nell'estensione NPS. Se l'utente rileva questo errore, contattare il supporto tecnico per la risoluzione del problema. |
| ProofDataNotFound | Proof data was not configured for the specified authentication method. (I dati di prova non sono stati configurati per il metodo di autenticazione specificato.) | Chiedere all'utente di provare un metodo di verifica diverso o aggiungere un nuovo metodo di verifica in base alle istruzioni riportate in Gestire le impostazioni per la verifica in due passaggi. Se l'errore viene visualizzato ancora anche dopo aver confermato che il metodo di verifica è stato configurato correttamente, contattare il supporto tecnico. |
| SMSAuthFailedWrongCodePinEntered | Wrong code and pin entered. (Codice e pin inseriti non corretti.) (OneWaySMS) | Questo errore non è previsto nell'estensione NPS. Se l'utente rileva questo errore, contattare il supporto tecnico per la risoluzione del problema. |
| TenantIsBlocked | Tenant is blocked (Il tenant è bloccato) | Contattare il supporto tecnico con l'ID tenant dalla pagina delle proprietà di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra. |
| UserNotFound | The specified user was not found (Impossibile trovare l'utente specificato) | Il tenant non è più visibile come attivo in Microsoft Entra ID. Verificare che la sottoscrizione sia attiva e che si dispone delle app proprietarie necessarie. Assicurarsi anche che il tenant nel soggetto del certificato sia quello previsto e che il certificato sia ancora valido e registrato nell'entità servizio. |
Messaggi che l'utente potrebbe visualizzare ma che non sono errori
In alcuni casi, gli utenti potrebbero ricevere messaggi dall'autenticazione a più fattori perché la richiesta di autenticazione non è riuscita. Non si tratta di errori del prodotto di configurazione, ma sono avvisi intenzionali che spiegano il motivo per cui una richiesta di autenticazione è stata negata.
| Codice di errore | Error message | Procedure consigliate |
|---|---|---|
| OathCodeIncorrect | Wrong code entered\OATH Code Incorrect (Codice inserito non corretto\Codice OATH errato) | L'utente ha immesso il codice errato. Fare in modo che l'utente ripeta l'operazione richiedendo un nuovo codice o effettuando di nuovo l'accesso. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Maximum allowed code retry reached (Numero massimo di tentativi di inserimento del codice raggiunto) | L'utente ha superato il numero di richieste di verifica consentito. A seconda delle impostazioni, potrebbe essere necessaria una procedura di sblocco da parte dell'amministratore. |
| SMSAuthFailedWrongCodeEntered | Wrong code entered/Text Message OTP Incorrect (Codice inserito errato/OTP del messaggio di testo errato) | L'utente ha immesso il codice errato. Fare in modo che l'utente ripeta l'operazione richiedendo un nuovo codice o effettuando di nuovo l'accesso. |
| AuthenticationThrottled | Troppi tentativi da parte dell'utente in un breve periodo di tempo. Limitazione delle Richieste. | Microsoft può limitare i tentativi di autenticazione ripetuti eseguiti dallo stesso utente in un breve periodo di tempo. Questa limitazione non si applica al codice di verifica o Microsoft Authenticator. Se si raggiungono questi limiti, è possibile usare l'app Authenticator, il codice di verifica o provare a eseguire di nuovo l'accesso in pochi minuti. |
| AuthenticationMethodLimitReached | Limite del metodo di autenticazione raggiunto. Limitazione delle Richieste. | Microsoft può limitare i tentativi di autenticazione ripetuti eseguiti dallo stesso utente usando lo stesso tipo di metodo di autenticazione in un breve periodo di tempo, in particolare chiamate vocali o SMS. Questa limitazione non si applica al codice di verifica o Microsoft Authenticator. Se si raggiungono questi limiti, è possibile usare l'app Authenticator, il codice di verifica o provare a eseguire di nuovo l'accesso in pochi minuti. |
Errori per cui è necessario il supporto tecnico
Se si verifica uno di questi errori, è consigliabile contattare il supporto tecnico per assistenza diagnostica. Non esistono procedure standard che consentono di risolvere questi errori. Quando si contatta il supporto tecnico, assicurarsi di includere più informazioni possibili sui passaggi che hanno causato l'errore e le informazioni del tenant.
| Codice di errore | Error message |
|---|---|
| InvalidParameter | Request must not be null (La richiesta non deve essere null) |
| InvalidParameter | ObjectId must not be null or empty for ReplicationScope:{0} (ObjectId non deve essere null o vuoto per ReplicationScope: {0}) |
| InvalidParameter | La lunghezza di CompanyName {0}\ è maggiore della lunghezza massima consentita {1} |
| InvalidParameter | UserPrincipalName must not be null or empty (UserPrincipalName non deve essere null o vuoto) |
| InvalidParameter | Il tenantId specificato non è nel formato corretto |
| InvalidParameter | SessionId must not be null or empty (SessionId non deve essere null o vuoto) |
| InvalidParameter | Could not resolve any ProofData from request or Msods. (Impossibile risolvere ProofData dalla richiesta o Msods.) The ProofData is unKnown (ProofData è sconosciuto) |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Passaggi successivi
Risolvere i problemi relativi agli account utente
Se gli utenti hanno Problemi con la verifica in due passaggi è necessario aiutarli a diagnosticare autonomamente i problemi.
Script di controllo integrità
Lo script di controllo dell'integrità dell'estensione NPS per l'autenticazione a più fattori Microsoft Entra esegue diversi controlli di integrità di base durante la risoluzione dei problemi dell'estensione NPS. Di seguito è riportato un riepilogo rapido su ogni opzione disponibile quando viene eseguito lo script:
- Opzione 1 : per isolare la causa del problema: se si tratta di un problema di Server dei criteri di rete o MFA (esportare le chiavi regkey MFA, riavviare server dei criteri di rete, test, importare regkey, riavviare Server dei criteri di rete)
- Opzione 2 : per controllare un set completo di test, quando non tutti gli utenti possono usare l'estensione NPS MFA (test dell'accesso ad Azure/Crea report HTML)
- Opzione 3 : per controllare un set specifico di test, quando un utente specifico non può usare l'estensione NPS MFA (testare MFA per un UPN specifico)
- Opzione 4 : per raccogliere i log per contattare il supporto Tecnico Microsoft (Abilita registrazione/riavvio dei criteri di rete/Raccogli log)
Contattare il supporto tecnico Microsoft
Se è necessaria assistenza aggiuntiva, contattare un professionista del supporto tecnico tramite il supporto MFA. Quando si contatta Microsoft, è utile includere il maggior numero possibile di informazioni relative al problema. Le informazioni da dare includono la pagina in cui viene visualizzato l'errore, il codice dell'errore specifico, l'ID della sessione specifico, l'ID dell'utente che visualizza l'errore e i log di debug.
Per raccogliere i log di debug per la diagnostica del supporto, eseguire lo script di controllo dell'integrità dell'estensione NPS per l'autenticazione a più fattori Microsoft nel server dei criteri di rete e scegliere l'opzione 4 per raccogliere i log da fornire al supporto Microsoft.
Al termine, caricare il file di output ZIP generato nella cartella C:\NPS e collegarlo al caso di supporto.