Felsöka anslutningsproblem med Microsoft Entra Connect
Den här artikeln beskriver hur anslutningen mellan Microsoft Entra Connect och Microsoft Entra ID fungerar och hur du felsöker anslutningsproblem. Dessa problem visas troligen i en miljö som använder en proxyserver.
Anslutningsproblem i installationsguiden
Microsoft Entra Connect använder Microsoft Authentication Library (MSAL) för autentisering. Installationsguiden och synkroniseringsmotorn kräver att machine.config konfigureras korrekt eftersom dessa två är .NET-program.
Not
Azure AD Connect v1.6.xx.x använder Active Directory Authentication Library (ADAL). ADAL är inaktuellt och stödet upphör i juni 2022. Vi rekommenderar att du uppgraderar till den senaste versionen av Microsoft Entra Connect v2.
I den här artikeln visar vi hur Fabrikam ansluter till Microsoft Entra-ID via dess proxy. Proxyservern heter fabrikamproxy och använder port 8080.
Kontrollera först att machine.config är korrekt konfigurerad och att Microsoft Entra ID Sync-tjänsten har startats om en gång efter uppdateringen av filen machine.config .
Not
Vissa bloggar som inte kommer från Microsoft anger att du bör göra ändringar i miiserver.exe.config i stället för filen machine.config . Filen miiserver.exe.config skrivs dock över vid varje uppgradering. Även om filen fungerar under den första installationen slutar systemet att fungera under den första uppgraderingen. Därför rekommenderar vi att du uppdaterar machine.config enligt beskrivningen i den här artikeln.
Proxyservern måste också ha de url:er som krävs öppna. Den officiella listan finns dokumenterad i Office 365-URL:er och IP-adressintervall.
Av dessa URL:er är url:erna som anges i följande tabell det absoluta minimumet för att kunna ansluta till Microsoft Entra-ID alls. Den här listan innehåller inga valfria funktioner, till exempel tillbakaskrivning av lösenord eller Microsoft Entra Connect Health. Informationen finns här för att hjälpa till med felsökning för den inledande konfigurationen.
| URL | Hamn | Beskrivning |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Används för att ladda ned listor över återkallade certifikat (CRL). |
*.verisign.com |
HTTP/80 | Används för att ladda ned LISTOR över återkallade certifikat. |
*.entrust.net |
HTTP/80 | Används för att ladda ned CRL-listor för multifaktorautentisering (MFA). |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Används för de olika Azure-tjänsterna. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Används för MFA. |
*.microsoftonline.com |
HTTPS/443 | Används för att konfigurera din Microsoft Entra-katalog och importera/exportera data. |
*.crl3.digicert.com |
HTTP/80 | Används för att verifiera certifikat. |
*.crl4.digicert.com |
HTTP/80 | Används för att verifiera certifikat. |
*.digicert.cn |
HTTP/80 | Används för att verifiera certifikat. |
*.ocsp.digicert.com |
HTTP/80 | Används för att verifiera certifikat. |
*.www.d-trust.net |
HTTP/80 | Används för att verifiera certifikat. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Används för att verifiera certifikat. |
*.crl.microsoft.com |
HTTP/80 | Används för att verifiera certifikat. |
*.oneocsp.microsoft.com |
HTTP/80 | Används för att verifiera certifikat. |
*.ocsp.msocsp.com |
HTTP/80 | Används för att verifiera certifikat. |
Fel i guiden
Installationsguiden använder två olika säkerhetskontexter. På sidan Anslut till Microsoft Entra-ID använder den användaren som för närvarande är inloggad. På sidan Konfigurera ändras det till det konto som kör tjänsten för synkroniseringsmotorn. Om ett problem uppstår visas felet troligen på sidan Anslut till Microsoft Entra-ID i guiden eftersom proxykonfigurationen är global.
Följande problem är de vanligaste felen du kan stöta på i installationsguiden.
Installationsguiden har inte konfigurerats korrekt
Det här felet visas när själva guiden inte kan nå proxyn.
Om du ser det här felet kontrollerar du att filen machine.config är korrekt konfigurerad. Om machine.config ser korrekt ut slutför du stegen i Verifiera proxyanslutning för att se om problemet också finns utanför guiden.
Ett Microsoft-konto används
Om du använder ett Microsoft-konto i stället för ett skol- eller organisationskonto visas ett allmänt fel:
MFA-slutpunkten kan inte nås
Det här felet visas om slutpunkten https://secure.aadcdn.microsoftonline-p.com inte kan nås och hybrididentitetsadministratören har MFA aktiverat.
Om du ser det här felet kontrollerar du att slutpunkten secure.aadcdn.microsoftonline-p.com har lagts till i proxyn.
Det går inte att verifiera lösenordet
Om installationsguiden lyckas ansluta till Microsoft Entra-ID men själva lösenordet inte kan verifieras visas det här felet:
Är lösenordet ett tillfälligt lösenord som måste ändras? Är det faktiskt rätt lösenord? Försök att logga in https://login.microsoftonline.com på en annan dator än Microsoft Entra Connect-servern och kontrollera att kontot kan användas.
Verifiera proxyanslutning
Om du vill kontrollera om Microsoft Entra Connect-servern ansluter till proxyn och Internet använder du vissa PowerShell-cmdletar för att se om proxyn tillåter webbbegäranden. I PowerShell kör du Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Tekniskt sett är det första anropet till https://login.microsoftonline.com, och den här URI:n fungerar också, men den andra URI:n svarar snabbare.)
PowerShell använder konfigurationen i machine.config för att kontakta proxyn. Inställningarna i winhttp/netsh bör inte påverka dessa cmdletar.
Om proxyn är korrekt konfigurerad visas statusen lyckad:
Om du ser meddelandet Det går inte att ansluta till fjärrservern försöker PowerShell göra ett direktanrop utan att använda proxyn eller DNS är inte korrekt konfigurerat. Kontrollera att filen machine.config är korrekt konfigurerad.
Om proxyn inte är korrekt konfigurerad visas ett 403- eller 407-felmeddelande:
I följande tabell beskrivs 403- och 407-proxyfel:
Tidsgränsinställning för inaktiv proxy
När Microsoft Entra Connect skickar en exportbegäran till Microsoft Entra-ID kan Microsoft Entra-ID ta upp till 5 minuter att bearbeta begäran innan ett svar genereras. Svaret är särskilt troligt att fördröjas om många gruppobjekt som har stora gruppmedlemskap ingår i samma exportbegäran. Se till att tidsgränsen för inaktiv proxy är konfigurerad till mer än 5 minuter. Annars kan det uppstå tillfälliga anslutningsproblem med Microsoft Entra-ID på Microsoft Entra Connect-servern.
Kommunikationsmönster mellan Microsoft Entra Connect och Microsoft Entra ID
Om du har följt alla steg som beskrivs i den här artikeln och du fortfarande inte kan ansluta kan du titta på nätverksloggar i det här läget. I det här avsnittet beskrivs ett normalt och lyckat anslutningsmönster.
Men först är här några vanliga problem med data i nätverksloggarna som du kan ignorera:
- Det finns anrop till
https://dc.services.visualstudio.com. Den här URL:en måste inte vara öppen i proxyn för att installationen ska lyckas och dessa anrop kan ignoreras. - Du ser att DNS-matchning visar de faktiska värdarna som i DNS-namnområdet
nsatc.netoch andra namnområden som inte finns undermicrosoftonline.com. Det finns dock inga webbtjänstbegäranden på de faktiska servernamnen. Du behöver inte lägga till dessa URL:er i proxyn. - Slutpunkterna
adminwebserviceochprovisioningapiär identifieringsslutpunkter, och de används för att hitta den faktiska slutpunkten som ska användas. Dessa slutpunkter skiljer sig beroende på din region.
Referensproxyloggar
Följande exempel är en dump från en faktisk proxylogg och installationsguidesidan från den plats där den togs (dubblettposter till samma slutpunkt har tagits bort). Det här avsnittet kan användas som referens för dina egna proxy- och nätverksloggar. De faktiska slutpunkterna kan skilja sig åt i din miljö (särskilt URL:erna i kursiv stil).
Ansluta till Microsoft Entra-ID
| Tid | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
Konfigurera
| Tid | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
Inledande synkronisering
| Tid | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
Autentiseringsfel
Det här avsnittet beskriver fel som kan returneras från ADAL och PowerShell. Felförklaringen bör hjälpa dig att identifiera nästa steg.
Ogiltigt beviljande
Du har angett ett ogiltigt användarnamn eller lösenord. Mer information finns i Lösenordet kan inte verifieras.
Okänd användartyp
Det går inte att hitta eller lösa microsoft Entra-katalogen. Du kanske försökte logga in med ett användarnamn i en overifierad domän?
Identifieringen av användarsfären misslyckades
Problem med nätverks- eller proxykonfiguration. Det går inte att nå nätverket. Se Anslutningsproblem i installationsguiden.
Användarlösenordet har upphört att gälla
Dina autentiseringsuppgifter har upphört att gälla. Ändra ditt lösenord.
Auktoriseringsfel
Microsoft Entra Connect kunde inte auktorisera användaren att utföra en åtgärd i Microsoft Entra-ID.
Autentiseringen avbröts
MFA-utmaningen avbröts.
Det gick inte att ansluta till MSOnline
Autentiseringen lyckades, men Azure AD PowerShell har ett autentiseringsproblem.
Privileged Identity Management aktiverat
Autentiseringen lyckades, men Privileged Identity Management har aktiverats och användaren är för närvarande inte hybrididentitetsadministratör. Mer information finns i Privileged Identity Management( Privileged Identity Management).
Företagsinformation är inte tillgänglig
Autentiseringen lyckades, men det gick inte att hämta företagsinformation från Microsoft Entra-ID.
Domäninformationen är inte tillgänglig
Autentiseringen lyckades, men domäninformation kunde inte hämtas från Microsoft Entra-ID.
Ospecificerat autentiseringsfel
Visas som oväntat fel i installationsguiden. Det här felet kan inträffa om du försöker använda ett Microsoft-konto i stället för ett skol- eller organisationskonto.
Felsökningssteg för tidigare versioner
I versioner som börjar med versionsnummer 1.1.105.0 (släpptes februari 2016) drogs inloggningsassistenten tillbaka. Det bör inte längre krävas att konfigurera inloggningsassistenten, men informationen i nästa avsnitt ingår som referens.
För att assistenten för enkel inloggning ska fungera måste Microsoft Windows HTTP Services (WinHTTP) konfigureras. Du kan konfigurera WinHTTP med hjälp av netsh.
Inloggningsassistenten är inte korrekt konfigurerad
Det här felet visas när inloggningsassistenten inte kan nå proxyn eller proxyn inte tillåter begäran.
Om du ser det här felet kan du titta på proxykonfigurationen i netsh och kontrollera att den är korrekt.
Om proxykonfigurationen ser korrekt ut slutför du stegen i Verifiera proxyanslutning för att se om problemet uppstår utanför guiden.
Nästa steg
Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.