Autenticazione pass-through Microsoft Entra
Questo articolo consente di trovare informazioni utili per risolvere i problemi comuni relativi all'autenticazione pass-through di Microsoft Entra.
Importante
Se si verificano problemi di accesso utente con l'autenticazione pass-through, non disabilitare la funzionalità o disinstallare gli agenti di autenticazione pass-through se non è disponibile un account amministratore di identità ibrida solo cloud per eseguire il fallback.
Problemi generali
Controllare lo stato della funzionalità e degli agenti di autenticazione
Verificare che la funzionalità di autenticazione pass-through sia ancora abilitata nel tenant e che lo stato degli agenti di autenticazione mostri Attivoe non Inattivo. È possibile controllare lo stato andando al pannello Microsoft Entra Connect nell'interfaccia di amministrazione di Microsoft Entra.
Messaggi di errore visualizzati in fase di accesso
Se l'utente non è in grado di accedere usando l'autenticazione pass-through, è possibile che venga visualizzato uno dei seguenti errori nella schermata di accesso di Microsoft Entra:
Errore | Descrizione | Risoluzione |
---|---|---|
AADSTS80001 | Impossibile connettersi ad Active Directory | Verificare che i server degli agenti siano membri della stessa foresta AD degli utenti le cui password devono essere convalidate e siano in grado di connettersi ad Active Directory. |
AADSTS80002 | Si è verificato un timeout di connessione ad Active Directory | Verificare che Active Directory sia disponibile e risponda alle richieste degli agenti. |
AADSTS80004 | Il nome utente passato all'agente non era valido | Assicurarsi che l'utente stia tentando di accedere con il nome utente corretto. |
AADSTS80005 | La convalida ha rilevato un errore WebException imprevedibile | Errore temporaneo. ripetere la richiesta. Se il problema persiste, contattare il supporto Microsoft. |
AADSTS80007 | Errore durante la comunicazione con Active Directory | Controllare i log dell'agente per altre informazioni e verificare che Active Directory funzioni come previsto. |
Gli utenti ricevono un errore di nome utente/password non valido
Questo può accadere quando lo UserPrincipalName (UPN) locale di un utente è diverso dal nome UPN cloud dell'utente.
Per verificare se il problema è questo, controllare innanzitutto se l'agente di autenticazione pass-through funziona correttamente:
Creare un account tenant.
Importare il modulo PowerShell nel computer dell'agente:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
Eseguire il comando Invoke della PowerShell:
Invoke-PassthroughAuthOnPremLogonTroubleshooter
Quando ti viene chiesto di immettere le credenziali, immetti lo stesso nome utente e la stessa password usati per accedere a (https://login.microsoftonline.com).
Se viene visualizzato lo stesso errore di nome utente/password, l'agente di autenticazione pass-through funziona correttamente e il problema potrebbe essersi verificato perché l'UPN locale non è instradabile. Per saperne di più, vedi Configurazione dell'ID di accesso alternativo.
Importante
Se il server Microsoft Entra Connect non è aggiunto a un dominio, viene indicato un requisito in Microsoft Entra Connect: Prerequisiti, e si verifica il problema relativo al nome utente/password non valido.
Motivi degli errori di accesso nell'interfaccia di amministrazione di Microsoft Entra (necessaria licenza Premium)
Se al tuo tenant è associata una licenza di Microsoft Entra ID P1 o P2, puoi anche consultare il report delle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra.
Passa a Microsoft Entra ID ->Accessi nella [interfaccia di amministrazione di Microsoft Entra](https://portal.azure.com/) e clicca sull'attività di accesso di un utente specifico. Individuare il campo CODICE ERRORE DI ACCESSO. Eseguire il mapping del valore del campo a un motivo e una risoluzione dell'errore usando la tabella seguente:
Codice dell'errore di accesso | Motivo dell'errore di accesso | Risoluzione |
---|---|---|
50144 | La password di Active Directory dell'utente è scaduta. | Reimpostare la password dell'utente nella sessione locale di Active Directory. |
80001 | Non sono disponibili agenti di autenticazione. | Installare e registrare un agente di autenticazione. |
80002 | Timeout della richiesta di convalida della password dell'agente di autenticazione. | Verificare se Active Directory è raggiungibile dall'agente di autenticazione. |
80003 | Risposta non valida ricevuta dall'agente di autenticazione. | Se il problema è riproducibile in modo coerente tra più utenti, controllare la configurazione di Active Directory. |
80004 | È stato usato un nome dell'entità utente (UPN) non corretto nella richiesta di accesso. | Chiedere all'utente di accedere con il nome utente corretto. |
80005 | Agente di autenticazione: si è verificato un errore. | Errore temporaneo. Riprovare. |
80007 | L'agente di autenticazione non è in grado di connettersi ad Active Directory. | Verificare se Active Directory è raggiungibile dall'agente di autenticazione. |
80010 | L'agente di autenticazione non è in grado di decrittografare la password. | Se il problema è riproducibile in modo coerente, installare e registrare un nuovo agente di autenticazione. E disinstallare quello corrente. |
80011 | L'agente di autenticazione non è in grado di recuperare la chiave di decrittografia. | Se il problema è riproducibile in modo coerente, installare e registrare un nuovo agente di autenticazione. E disinstallare quello corrente. |
80014 | La risposta della richiesta di convalida è pervenuta dopo il superamento del tempo massimo. | Si è verificato il timeout dell'agente di autenticazione. Apri un ticket di supporto con codice errore, ID di correlazione e timestamp per ottenere altri dettagli su questo errore |
Importante
Gli agenti di autenticazione pass-through autenticano gli utenti di Microsoft Entra convalidando username e password in Active Directory chiamando l'API Win32 LogonUser. Di conseguenza, se hai impostato la configurazione "Logon To” (Accesso a) in Active Directory per limitare l'accesso alla workstation, dovrai aggiungere server che ospitano agenti di autenticazione pass-through all'elenco dei server "Logon To". Se non esegui questa operazione, bloccherai ai tuoi utenti l'accesso a Microsoft Entra ID.
Problemi di installazione dell'agente di autenticazione
Si è verificato un errore imprevisto
Raccogliere i log dell'agente dal server e contattare il supporto tecnico Microsoft per risolvere il problema.
Problemi di registrazione dell'agente di autenticazione
La registrazione dell'agente di autenticazione non è riuscita a causa di porte bloccate
Verificare che il server in cui è installato l'agente di autenticazione sia in grado di comunicare con gli URL del nostro servizio e le porte indicate qui.
La registrazione dell'agente di autenticazione non è riuscita a causa di errori di autorizzazione dell'account o del token
Assicurarsi di usare un account amministratore di identità ibrida solo cloud per tutte le operazioni di installazione e registrazione dell'agente di autenticazione autonomo o di Microsoft Entra Connect. Esiste un problema noto con gli account amministratore di identità ibrida con autenticazione MFA abilitata: disattivare l'autenticazione MFA temporaneamente (solo per completare le operazioni) come soluzione alternativa.
Si è verificato un errore imprevisto
Raccogliere i log dell'agente dal server e contattare il supporto tecnico Microsoft per risolvere il problema.
Problemi di disinstallazione dell'agente di autenticazione
Messaggio di avviso quando si disinstalla Microsoft Entra Connect
Se l'autenticazione pass-through è abilitata nel tenant e si tenta di disinstallare Microsoft Entra Connect, compare il seguente messaggio di avviso: "Gli utenti non potranno accedere a Microsoft Entra ID e non sono installati altri agenti di autenticazione pass-through in altri server."
Verificare che l'installazione in uso sia a disponibilità elevata prima di disinstallare Microsoft Entra Connect per evitare interruzioni degli accessi utente.
Problemi con l'abilitazione della funzionalità
L'abilitazione della funzionalità non è riuscita perché non erano disponibili agenti di autenticazione
È necessario che sia attivo almeno un agente di autenticazione per abilitare l'autenticazione pass-through nel tenant. Puoi installare un agente di autenticazione installando sia Microsoft Entra Connect, sia un agente di autenticazione autonomo.
L'abilitazione della funzionalità non è riuscita a causa di porte bloccate
Assicurati che il server su cui è installato Microsoft Entra Connect possa comunicare con gli URL del nostro servizio e le porte elencate qui.
L'abilitazione della funzionalità non è riuscita a causa di errori di autorizzazione dell'account o del token
Assicurarsi di usare un account amministratore globale solo cloud quando si abilita la funzionalità. Esiste un problema noto con gli account amministratore di identità ibrida con autenticazione MFA abilitata: disattivare l'autenticazione MFA temporaneamente (solo per completare le operazioni) come soluzione alternativa.
Raccolta dei log dell'agente di autenticazione pass-through
In base al tipo di problema, i log dell'agente di autenticazione pass-through vanno cercati in posizioni diverse.
Log Microsoft Entra Connect
Per errori relativi all'installazione, controlla i log di Microsoft Entra Connect in %ProgramData%\AADConnect\trace-*.log
.
Log eventi dell'agente di autenticazione
Per gli errori correlati all'agente di autenticazione aprire l'applicazione Visualizzatore eventi sul server e controllare in Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Per un'analisi dettagliata, abilitare il log sessione (fare clic con il pulsante destro del mouse all'interno dell'applicazione Visualizzatore eventi per trovare questa opzione). Non eseguire l'agente di autenticazione con questo registro abilitato durante il funzionamento normale, usarlo solo per la risoluzione dei problemi. Il contenuto del registro è visibile solo dopo che il registro è stato nuovamente disattivato.
Log di traccia dettagliati
Per risolvere gli errori di accesso utente, cerca i log di traccia in %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Questi log includono i motivi per cui l'accesso di un utente specifico non è riuscito tramite la funzionalità di autenticazione pass-through. Questi errori sono anche associati ai motivi degli errori di accesso indicati nella tabella dei motivi degli errori di accesso precedente. Di seguito è riportato un esempio di voce di registro:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
È possibile ottenere una descrizione dettagliata dell'errore, "1328" nell'esempio precedente, aprendo il prompt dei comandi ed eseguendo il comando seguente (sostituire "1328" con il numero di errore effettivo visualizzato nei log):
Net helpmsg 1328
Log di accesso con autenticazione pass-through
Se la registrazione di controllo è abilitata, informazioni aggiuntive sono disponibili nei log di sicurezza del tuo server di autenticazione pass-through. Un modo semplice per eseguire query sulle richieste di accesso consiste nel filtrare i log di sicurezza usando la query seguente:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Contatori di Performance Monitor
Un altro metodo per monitorare gli agenti di autenticazione consiste nel monitorare contatori di Performance Monitor specifici in ogni server in cui è installato l'agente di autenticazione. Usare i contatori globali (relativi a numero di autenticazioni pass-through, numero di autenticazioni pass-through non riuscite e numero di autenticazioni pass-through riuscite) e i contatori di errori (relativi a numero di errori di autenticazione pass-through) seguenti:
Importante
L'autenticazione pass-through fornisce disponibilità elevata tramite più agenti di autenticazione, senza il bilanciamento del carico. A seconda della configurazione, non tutti gli agenti di autenticazione ricevono all'incirca un numero uguale di richieste. È possibile che un agente di autenticazione specifico non riceva traffico del tutto.