Lösa felmeddelanden från NPS-tillägget för Microsoft Entra multifaktorautentisering

Om du stöter på fel med NPS-tillägget för Microsoft Entra multifaktorautentisering använder du den här artikeln för att nå en lösning snabbare. NPS-tilläggsloggar finns i Loggboken under Program- och tjänstloggar>Microsoft>AzureMfa>AuthN>AuthZ på servern där NPS-tillägget är installerat.

Felsökningssteg för vanliga fel

Felkod Felsökningsanvisningar
CONTACT_SUPPORT Kontakta supporten och nämn listan med steg för att samla in loggar. Ange så mycket information du kan om vad som hände före felet, inklusive klientorganisations-ID och UPN (User Principal Name).
CLIENT_CERT_INSTALL_ERROR Det kan finnas ett problem med hur klientcertifikatet installerades eller associerades med din klientorganisation. Följ anvisningarna i Felsöka MFA NPS-tillägget för att undersöka problem med klientcertifikat.
ESTS_TOKEN_ERROR Följ anvisningarna i Felsöka MFA NPS-tillägget för att undersöka problem med klientcertifikat och säkerhetstoken.
HTTPS_COMMUNICATION_ERROR NPS-servern kan inte ta emot svar från Microsoft Entra multifaktorautentisering. Kontrollera att brandväggarna är öppna dubbelriktade för trafik till och från https://adnotifications.windowsazure.com och att TLS 1.2 är aktiverat (standard). Om TLS 1.2 är inaktiverat misslyckas användarautentiseringen och händelse-ID 36871 med käll-SChannel anges i systemloggen i Loggboken. Information om hur du kontrollerar att TLS 1.2 är aktiverat finns i TLS-registerinställningar.
HTTP_CONNECT_ERROR På servern som kör NPS-tillägget kontrollerar du att du kan nå https://adnotifications.windowsazure.com och https://login.microsoftonline.com/. Om dessa platser inte läses in kan du felsöka anslutningen på servern.
NPS-tillägg för Microsoft Entra multifaktorautentisering (AccessReject):
NPS-tillägget för Microsoft Entra multifaktorautentisering utför endast sekundär autentisering för Radius-begäranden i AccessAccept-tillstånd. Begäran har tagits emot för användarnamn för användare med svarstillståndet AccessReject och ignorerar begäran.
Det här felet beror vanligtvis på ett autentiseringsfel i AD eller att NPS-servern inte kan ta emot svar från Microsoft Entra ID. Kontrollera att dina brandväggar är öppna dubbelriktat för trafik till och från https://adnotifications.windowsazure.com och https://login.microsoftonline.com med portarna 80 och 443. Det är också viktigt att kontrollera att inställningen är inställd på "kontrollera åtkomst via NPS-nätverksprincip" på fliken DIAL-IN i Behörigheter för nätverksåtkomst. Det här felet kan också utlösas om användaren inte har tilldelats någon licens.
NPS-tillägg för Microsoft Entra multifaktorautentisering (AccessChallenge):
NPS-tillägget för Microsoft Entra multifaktorautentisering utför endast sekundär autentisering för Radius-begäranden i AccessAccept-tillstånd. Begäran har tagits emot för Användarnamn för användare med svarstillståndet AccessChallenge och ignorerar begäran.
Det här svaret används när ytterligare information krävs från användaren för att slutföra autentiserings- eller auktoriseringsprocessen. NPS-servern skickar en utmaning till användaren och begär ytterligare autentiseringsuppgifter eller information. Det föregår vanligtvis ett access-accept- eller access-reject-svar.
REGISTRY_CONFIG_ERROR En nyckel saknas i registret för programmet, vilket kan bero på att PowerShell-skriptet inte har körts efter installationen. Felmeddelandet bör innehålla nyckeln som saknas. Kontrollera att du har nyckeln under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
REQUEST_FORMAT_ERROR
Radius-begäran saknar obligatoriskt Radius userName\Identifier-attribut. Kontrollera att NPS tar emot RADIUS-begäranden
Det här felet beror vanligtvis på ett installationsproblem. NPS-tillägget måste installeras på NPS-servrar som kan ta emot RADIUS-begäranden. NPS-servrar som installeras som beroenden för tjänster som RDG och RRAS tar inte emot Radius-begäranden. NPS-tillägget fungerar inte när det installeras över sådana installationer och fel ut eftersom det inte kan läsa informationen från autentiseringsbegäran.
REQUEST_MISSING_CODE Kontrollera att protokollet för lösenordskryptering mellan NPS- och NAS-servrarna stöder den sekundära autentiseringsmetod som du använder. PAP stöder alla autentiseringsmetoder för Microsoft Entra-multifaktorautentisering i molnet: telefonsamtal, enkelriktat sms, mobilappsavisering och verifieringskod för mobilappar. CHAPV2 och EAP stöder telefonsamtal och mobilappsavisering.
USERNAME_CANONICALIZATION_ERROR Kontrollera att användaren finns i din lokal Active Directory-instans och att NPS-tjänsten har behörighet att komma åt katalogen. Om du använder skogsförtroenden kontaktar du supporten för ytterligare hjälp.
Utmaning som begärs i autentisering ext för användare Organisationer som använder ett ANNAT RADIUS-protokoll än PAP ser att användarens VPN-auktorisering misslyckas med att dessa händelser visas i händelseloggen AuthZOptCh för NPS-tilläggsservern. Du kan konfigurera NPS-servern så att den stöder PAP. Om PAP inte är ett alternativ kan du ange OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE för att återgå till Godkänn/Neka push-meddelanden. Mer hjälp finns i Nummermatchning med NPS-tillägget.

Alternativa inloggnings-ID-fel

Felkod Felmeddelande Felsökningsanvisningar
ALTERNATE_LOGIN_ID_ERROR Fel: userObjectSid-sökningen misslyckades Kontrollera att användaren finns i din lokal Active Directory-instans. Om du använder skogsförtroenden kontaktar du supporten för ytterligare hjälp.
ALTERNATE_LOGIN_ID_ERROR Fel: Det gick inte att söka efter alternativt LoginId Kontrollera att LDAP_ALTERNATE_LOGINID_ATTRIBUTE är inställt på ett giltigt Active Directory-attribut.

Om LDAP_FORCE_GLOBAL_CATALOG är inställt på Sant eller om LDAP_LOOKUP_FORESTS har konfigurerats med ett värde som inte är tomt kontrollerar du att du har konfigurerat en global katalog och att attributet AlternateLoginId läggs till i den.

Om LDAP_LOOKUP_FORESTS har konfigurerats med ett värde som inte är tomt kontrollerar du att värdet är korrekt. Om det finns fler än ett skogsnamn måste namnen avgränsas med semikolon, inte blanksteg.

Om de här stegen inte åtgärdar problemet kontaktar du supporten för mer hjälp.
ALTERNATE_LOGIN_ID_ERROR Fel: Det alternativa LoginId-värdet är tomt Kontrollera att attributet AlternateLoginId har konfigurerats för användaren.

Fel som användarna kan stöta på

Felkod Felmeddelande Felsökningsanvisningar
AccessDenied Anroparens klientorganisation har inte åtkomstbehörighet för att utföra autentisering för användaren Kontrollera om klientdomänen och domänen för användarens huvudnamn (UPN) är desamma. Kontrollera till exempel att user@contoso.com försöker autentisera till Contoso-klientorganisationen. UPN representerar en giltig användare för klientorganisationen i Azure.
AuthenticationMethodNotConfigured Den angivna autentiseringsmetoden har inte konfigurerats för användaren Be användaren lägga till eller verifiera sina verifieringsmetoder enligt anvisningarna i Hantera dina inställningar för tvåstegsverifiering.
AuthenticationMethodNotSupported Den angivna autentiseringsmetoden stöds inte. Samla in alla loggar som innehåller det här felet och kontakta supporten. När du kontaktar supporten anger du användarnamnet och den sekundära verifieringsmetod som utlöste felet.
BecAccessDenied MSODS Bec-anropet returnerade åtkomst nekad, förmodligen är användarnamnet inte definierat i klientorganisationen Användaren finns i Active Directory lokalt men synkroniseras inte med Microsoft Entra-ID av AD Anslut. Eller så saknas användaren för klientorganisationen. Lägg till användaren i Microsoft Entra-ID och låt dem lägga till sina verifieringsmetoder enligt anvisningarna i Hantera dina inställningar för tvåstegsverifiering.
InvalidFormat eller StrongAuthenticationServiceInvalidParameter Telefonnumret är i ett oigenkännligt format Låt användaren korrigera sina verifieringstelefonnummer.
InvalidSession Den angivna sessionen är ogiltig eller kan ha upphört att gälla Sessionen har tagit mer än tre minuter att slutföra. Kontrollera att användaren anger verifieringskoden eller svarar på appmeddelandet inom tre minuter efter att autentiseringsbegäran har initierats. Om det inte löser problemet kontrollerar du att det inte finns några nätverksfördröjningar mellan klienten, NAS Server, NPS Server och slutpunkten för Microsoft Entra-multifaktorautentisering.
NoDefaultAuthenticationMethodIsConfigured Ingen standardautentiseringsmetod har konfigurerats för användaren Be användaren lägga till eller verifiera sina verifieringsmetoder enligt anvisningarna i Hantera dina inställningar för tvåstegsverifiering. Kontrollera att användaren har valt en standardautentiseringsmetod och konfigurerat den metoden för sitt konto.
OathCodePinIncorrect Fel kod och pin-kod har angetts. Det här felet förväntas inte i NPS-tillägget. Om användaren stöter på detta kontaktar du supporten för felsökningshjälp.
ProofDataNotFound Bevisdata har inte konfigurerats för den angivna autentiseringsmetoden. Låt användaren prova en annan verifieringsmetod eller lägga till en ny verifieringsmetod enligt anvisningarna i Hantera dina inställningar för tvåstegsverifiering. Om användaren fortsätter att se det här felet när du har bekräftat att verifieringsmetoden har konfigurerats korrekt kontaktar du supporten.
SMSAuthFailedWrongCodePinEntered Fel kod och pin-kod har angetts. (OneWaySMS) Det här felet förväntas inte i NPS-tillägget. Om användaren stöter på detta kontaktar du supporten för felsökningshjälp.
TenantIsBlocked Klientorganisationen är blockerad Kontakta supporten med klientorganisations-ID :t från sidan Microsoft Entra-egenskaper i administrationscentret för Microsoft Entra.
UserNotFound Det gick inte att hitta den angivna användaren Klientorganisationen visas inte längre som aktiv i Microsoft Entra-ID. Kontrollera att din prenumeration är aktiv och att du har nödvändiga appar från första part. Kontrollera också att klientorganisationen i certifikatämnet är som förväntat och att certifikatet fortfarande är giltigt och registrerat under tjänstens huvudnamn.

Meddelanden som användarna kan stöta på som inte är fel

Ibland kan användarna få meddelanden från multifaktorautentisering eftersom deras autentiseringsbegäran misslyckades. Det här är inte fel i produkten av konfigurationen, men är avsiktliga varningar som förklarar varför en autentiseringsbegäran nekades.

Felkod Felmeddelande Rekommenderade åtgärder
OathCodeIncorrect Fel kod har angetts\OATH-koden är felaktig Användaren angav fel kod. Be dem försöka igen genom att begära en ny kod eller logga in igen.
SMSAuthFailedMaxAllowedCodeRetryReached Maximalt antal tillåtna återförsök av kod har uppnåtts Användaren misslyckades med verifieringsuppgiften för många gånger. Beroende på dina inställningar kan de behöva avblockeras av en administratör nu.
SMSAuthFailedWrongCodeEntered Felaktig kod har angetts/OTP för textmeddelande är felaktig Användaren angav fel kod. Be dem försöka igen genom att begära en ny kod eller logga in igen.
AuthenticationThrottled För många försök av användaren på kort tid. Begränsning. Microsoft kan begränsa upprepade autentiseringsförsök som utförs av samma användare på kort tid. Den här begränsningen gäller inte för Microsoft Authenticator eller verifieringskoden. Om du har nått dessa gränser kan du använda Authenticator-appen, verifieringskoden eller försöka logga in igen om några minuter.
AuthenticationMethodLimitReached Gränsen för autentiseringsmetod har nåtts. Begränsning. Microsoft kan begränsa upprepade autentiseringsförsök som utförs av samma användare med samma autentiseringsmetodtyp på kort tid, särskilt röstsamtal eller SMS. Den här begränsningen gäller inte för Microsoft Authenticator eller verifieringskoden. Om du har nått dessa gränser kan du använda Authenticator-appen, verifieringskoden eller försöka logga in igen om några minuter.

Fel som kräver stöd

Om du stöter på något av dessa fel rekommenderar vi att du kontaktar supporten för diagnostikhjälp. Det finns ingen standarduppsättning med steg som kan åtgärda dessa fel. När du kontaktar supporten måste du ta med så mycket information som möjligt om de steg som ledde till ett fel och din klientinformation.

Felkod Felmeddelande
InvalidParameter Begäran får inte vara null
InvalidParameter ObjectId får inte vara null eller tomt för ReplicationScope:{0}
InvalidParameter Längden på CompanyName {0}\ är längre än den maximala tillåtna längden {1}
InvalidParameter UserPrincipalName får inte vara null eller tomt
InvalidParameter Det angivna TenantId är inte i rätt format
InvalidParameter SessionId får inte vara null eller tomt
InvalidParameter Det gick inte att lösa några ProofData från begäran eller Msods. ProofData är ovetande
InternalError
OathCodePinIncorrect
VersionNotSupported
MFAPinNotSetup

Nästa steg

Felsöka användarkonton

Om användarna har problem med tvåstegsverifiering kan du hjälpa dem att självdiagnostisera problem.

Hälsokontrollskript

Hälsokontrollskriptet för Microsoft Entra-multifaktorautentisering för NPS-tillägget utför flera grundläggande hälsokontroller när du felsöker NPS-tillägget. Här är en snabbsammanfattning om varje tillgängligt alternativ när skriptet körs:

  • Alternativ 1 – för att isolera orsaken till problemet: om det är ett NPS- eller MFA-problem (Exportera MFA RegKeys, Starta om NPS, Testa, Importera RegKeys, Starta om NPS)
  • Alternativ 2 – för att kontrollera en fullständig uppsättning tester, när inte alla användare kan använda MFA NPS-tillägget (testa åtkomst till Azure/Skapa HTML-rapport)
  • Alternativ 3 – för att kontrollera en specifik uppsättning tester, när en specifik användare inte kan använda MFA NPS-tillägget (Test MFA för specifikt UPN)
  • Alternativ 4 – samla in loggar för att kontakta Microsofts support (Aktivera loggning/starta om NPS/Samla in loggar)

Kontakta Microsoft-supporten

Om du behöver ytterligare hjälp kontaktar du en supportpersonal via MFA-supporten. När du kontaktar oss är det bra om du kan inkludera så mycket information om problemet som möjligt. Information som du kan ange innehåller sidan där du såg felet, den specifika felkoden, det specifika sessions-ID:t, ID:t för den användare som såg felet och felsökningsloggar.

Om du vill samla in felsökningsloggar för supportdiagnostik kör du hälsokontrollskriptet för NPS-tilläggshälsa för Microsoft Entra-multifaktorautentisering på NPS-servern och väljer alternativ 4 för att samla in loggarna för att tillhandahålla dem till Microsoft-supporten.

I slutet laddar du upp zip-utdatafilen som genererats i mappen C:\NPS och kopplar den till supportäredet.