Solucionar problemas de conectividade do Microsoft Entra Connect
Esse artigo explica como funciona a conectividade entre o Microsoft Entra Connect e o Microsoft Entra ID e como solucionar problemas de conectividade. Esses problemas são mais prováveis em um ambiente que usa um servidor proxy.
Problemas de conectividade no assistente de instalação
O Microsoft Entra Connect usa a MSAL (Biblioteca de Autenticação da Microsoft) para autenticação. O assistente de instalação e o mecanismo de sincronização exigem a configuração correta do machine.config porque são aplicativos .NET.
Observação
O Azure AD Connect v1.6.xx.x usa a ADAL (Biblioteca de Autenticação do Active Directory). A ADAL será preterida e o suporte a ela terminará em junho de 2022. É recomendado atualizar para a versão mais recente do Microsoft Entra Connect v2.
Neste artigo, mostraremos como a Fabrikam se conecta ao Microsoft Entra ID por meio de seu proxy. O servidor proxy é denominado fabrikamproxy e usa a porta 8080.
Primeiro, verifique se o arquivo machine.config está configurado corretamente e se o serviço Microsoft Entra ID Sync foi reiniciado após a atualização do machine.config.
Observação
Alguns blogs que não são da Microsoft recomendam fazer alterações no miiserver.exe.config em vez de no arquivo machine.config. No entanto, o arquivo miiserver.exe.config é substituído a cada atualização. Mesmo que o arquivo funcione durante a instalação inicial, o sistema para de funcionar durante a primeira atualização. Por esse motivo, é recomendado atualizar o machine.config conforme descrito neste artigo.
O servidor proxy também deve ter as URLs necessárias abertas. A lista oficial é documentada em intervalos de endereços IP e URLs do Office 365 .
Entre essas URLs, as listadas na tabela a seguir são o requisito mínimo para estabelecer uma conexão com o Microsoft Entra ID. Esta lista não inclui nenhum recurso opcional, como write-back de senha ou o Microsoft Entra Connect Health. As informações são fornecidas aqui para ajudar na solução de problemas da configuração inicial.
| URL | Porta | Descrição |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Usado para baixar listas de CRLs (listas de certificados revogados). |
*.verisign.com |
HTTP/80 | Usada para baixar as listas CRL. |
*.entrust.net |
HTTP/80 | Usado para baixar listas de CRLs para MFA (autenticação multifator). |
*.management.core.windows.net (Armazenamento do Azure)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Usado para os diversos serviços do Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Usado para MFA. |
*.microsoftonline.com |
HTTPS/443 | Usado para configurar o diretório do Microsoft Entra e importar/exportar dados. |
*.crl3.digicert.com |
HTTP/80 | Usado para verificar certificados. |
*.crl4.digicert.com |
HTTP/80 | Usado para verificar certificados. |
*.digicert.cn |
HTTP/80 | Usado para verificar certificados. |
*.ocsp.digicert.com |
HTTP/80 | Usado para verificar certificados. |
*.www.d-trust.net |
HTTP/80 | Usado para verificar certificados. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Usado para verificar certificados. |
*.crl.microsoft.com |
HTTP/80 | Usado para verificar certificados. |
*.oneocsp.microsoft.com |
HTTP/80 | Usado para verificar certificados. |
*.ocsp.msocsp.com |
HTTP/80 | Usado para verificar certificados. |
Erros no assistente
O assistente de instalação usa dois contextos de segurança diferentes. Na página Conectar-se ao Microsoft Entra ID, ele usa o usuário que está conectado no momento. Na página Configurar, ele muda para a conta que executa o serviço para o mecanismo de sincronização. Se ocorrer um problema, o erro provavelmente aparecerá na página Conectar-se ao Microsoft Entra ID no assistente porque a configuração do proxy é global.
Os problemas a seguir são os erros mais comuns que podem acontecer no assistente de instalação.
O assistente de instalação não foi configurado corretamente
Este erro aparece quando o próprio assistente não consegue acessar o proxy.
Se você encontrar esse erro, verifique se o arquivo machine.config foi configurado corretamente. Se o machine.config parecer correto, conclua as etapas em Verificar a conectividade do proxy para ver se o problema também está presente fora do assistente.
Uma conta da Microsoft é usada
Ao usar uma conta Microsoft em vez de uma conta escolar ou organizacional, um erro genérico é exibido:
Não é possível acessar o ponto de extremidade de MFA
Este erro aparece quando não é possível acessar o ponto de extremidade https://secure.aadcdn.microsoftonline-p.com e seu administrador de identidade híbrida habilitou a MFA.
Se você vir esse erro, verifique se o ponto de extremidade secure.aadcdn.microsoftonline-p.com foi adicionado ao proxy.
Não é possível verificar a senha
Se o assistente de instalação for bem-sucedido ao se conectar ao Microsoft Entra ID, mas não for possível verificar a senha, você verá este erro:
A senha é temporária e deve ser alterada? É realmente a senha correta? Tente entrar em https://login.microsoftonline.com por meio de um computador diferente do servidor Microsoft Entra Connect e verifique se a conta pode ser usada.
Verificar a conectividade do proxy
Para verificar se o servidor Microsoft Entra Connect está se conectando ao proxy e à Internet, use alguns cmdlets do PowerShell e veja se o proxy está permitindo solicitações da Web. No PowerShell, execute Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Tecnicamente, a primeira chamada é para https://login.microsoftonline.com, e esse URI também funciona, mas o outro URI responde mais rapidamente.)
O PowerShell usa a configuração em machine.config para entrar em contato com o proxy. As configurações em winhttp/netsh não devem afetar esses cmdlets.
Se o proxy estiver configurado corretamente, um status de sucesso será exibido:
Quando a mensagem Não foi possível conectar-se ao servidor remoto é exibida, isso significa que o PowerShell está tentando fazer uma chamada direta sem usar o proxy ou o DNS que não está configurado corretamente. Verifique se o arquivo machine.config está configurado corretamente.
Se o proxy não estiver configurado corretamente, uma mensagem de erro 403 ou 407 será exibida:
A seguinte tabela descreve os erros de proxy 403 e 407:
| Erro | Texto do erro | Comentário |
|---|---|---|
| 403 | Proibido | O proxy não foi aberto para a URL solicitada. Revisite a configuração do proxy e verifique se as URLs foram abertas. |
| 407 | Autenticação de proxy necessária | O servidor proxy solicitou uma entrada e nenhuma foi fornecida. Se o servidor proxy exigir autenticação, defina essa configuração em machine.config e use contas de domínio para o usuário que está executando o assistente e para a conta de serviço. |
Configuração de tempo limite ocioso de proxy
Quando o Microsoft Entra Connect envia uma solicitação de exportação para o Microsoft Entra ID, o Microsoft Entra ID pode levar até 5 minutos para processar a solicitação antes de gerar uma resposta. Especialmente nesse caso, a resposta provavelmente será atrasada se muitos objetos de grupo com associações de grupos grandes forem incluídos na mesma solicitação de exportação. Verifique se o tempo limite ocioso do proxy está configurado para ser superior a cinco minutos. Caso contrário, será possível ter problemas de conectividade intermitente com o Microsoft Entra ID no servidor Microsoft Entra Connect.
Padrão de comunicação entre o Microsoft Entra Connect e o Microsoft Entra ID
Se você tiver seguido todas as etapas descritas neste artigo e ainda não for possível conectar-se, confira os logs de rede. Esta seção descreve um padrão de conectividade normal e bem-sucedido.
Mas primeiro, veja algumas preocupações comuns sobre os dados nos logs de rede que podem ser ignoradas:
- Não há chamadas para
https://dc.services.visualstudio.com. Não é necessário ter essa URL aberta no proxy para que a instalação seja bem-sucedida e essas chamadas podem ser ignoradas. - Observe que a resolução DNS lista os hosts reais que estão no namespace DNS
nsatc.nete os outros namespaces que não estão emmicrosoftonline.com. No entanto, não há nenhuma solicitação de serviço Web nos nomes de servidor reais. Não é necessário adicionar essas URLs ao proxy. - Os pontos de extremidade
adminwebserviceeprovisioningapisão de descoberta e são usados para localizar o ponto de extremidade real que será usado. Esses pontos de extremidade são diferentes dependendo de sua região.
Logs de proxy de referência
O exemplo a seguir é um dump de um log de proxy real e da página do assistente de instalação de onde ele foi obtido (as entradas duplicadas no mesmo ponto de extremidade foram removidas). Esta seção pode ser usada como referência para seus próprios logs de proxy e de rede. Os pontos de extremidade reais podem ser diferentes no ambiente (em particular, as URLs em itálico).
Conectar-se ao Microsoft Entra ID
| Hora | URL |
|---|---|
| 11/01/2016 08:31 | connect:/login.microsoftonline.com:443 |
| 11/01/2016 08:31 | connect://adminwebservice.microsoftonline.com:443 |
| 11/01/2016 08:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 11/01/2016 08:32 | connect://login.microsoftonline.com:443 |
| 11/01/2016 08:33 | connect://provisioningapi.microsoftonline.com:443 |
| 11/01/2016 08:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Configurar
| Hora | URL |
|---|---|
| 11/01/2016 08:43 | connect://login.microsoftonline.com:443 |
| 11/01/2016 08:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 11/01/2016 08:43 | connect://login.microsoftonline.com:443 |
| 11/01/2016 08:44 | connect://adminwebservice.microsoftonline.com:443 |
| 11/01/2016 08:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 11/01/2016 08:44 | connect://login.microsoftonline.com:443 |
| 11/01/2016 08:44 | connect://adminwebservice.microsoftonline.com:443 |
| 11/01/2016 08:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 11/01/2016 08:44 | connect://login.microsoftonline.com:443 |
| 11/01/2016 08:46 | connect://provisioningapi.microsoftonline.com:443 |
| 11/01/2016 08:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Sincronização inicial
| Hora | URL |
|---|---|
| 11/01/2016 08:48 | connect://login.windows.net:443 |
| 11/01/2016 08:49 | connect://adminwebservice.microsoftonline.com:443 |
| 11/01/2016 08:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 11/01/2016 08:49 | connect://bba800-anchor.microsoftonline.com:443 |
Erros de autenticação
Esta seção aborda os erros que podem ser retornados pela ADAL e pelo PowerShell. A explicação do erro deve ajudar você a identificar as próximas etapas.
Concessão inválida
Você digitou um nome de usuário ou uma senha inválidos. Para saber mais, confira Não é possível verificar a senha.
Tipo de usuário desconhecido
Não é possível encontrar ou resolver o diretório do Microsoft Entra. Talvez você tenha tentado entrar com um nome de usuário em um domínio não verificado?
A descoberta do realm do usuário falhou
Problemas de configuração de rede ou proxy. Não foi possível acessar a rede. Confira Problemas de conectividade no assistente de instalação.
A senha do usuário expirou
Suas credenciais expiraram. Altere a sua senha.
Falha de autorização
Ocorreu uma falha quando o Microsoft Entra Connect tentou autorizar o usuário a executar uma ação no Microsoft Entra ID.
Autenticação cancelada
O desafio de MFA foi cancelado.
A conexão com o MSOnline falhou
A autenticação foi bem-sucedida, mas o PowerShell do Azure AD tem um problema de autenticação.
Privileged Identity Management habilitado
A autenticação foi bem-sucedida, mas o Privileged Identity Management foi habilitado e o usuário não é atualmente um administrador de identidade híbrida. Para saber mais, confira Privileged Identity Management.
As informações da empresa não estão disponíveis
A autenticação foi bem-sucedida, mas não foi possível recuperar as informações da empresa no Microsoft Entra ID.
Informações de domínio indisponíveis
A autenticação foi bem-sucedida, mas não foi possível recuperar as informações de domínio no Microsoft Entra ID.
Falha de autenticação não especificada
Exibida como Erro inesperado no assistente de instalação. Esse erro pode ocorrer ao tentar usar uma conta Microsoft em vez de uma conta de escola ou organizacional.
Etapas de solução de problemas para versões anteriores
Nas versões que começam com o número de build 1.1.105.0 (lançado em fevereiro de 2016), o assistente de logon foi desativado. A configuração do assistente de logon não deve mais ser necessária, mas as informações nas próximas seções foram incluídas para referência.
Para que o assistente de logon único funcione, o WinHTTP (Microsoft Windows HTTP Services) deve ser configurado. É possível configurar o WinHTTP usando o netsh.
O assistente de logon não está configurado corretamente
Este erro aparece quando o assistente de logon não consegue acessar o proxy ou o proxy não permite a solicitação.
Se esse erro for exibido, confira a configuração do proxy no netsh e verifique se ela está correta.
Se a configuração do proxy parecer correta, conclua as etapas em Verificar a conectividade do proxy para ver se o problema ocorre fora do assistente.
Próximas etapas
Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.