Microsoft Entra Bağlan bağlantı sorunlarını giderme
Bu makalede, Microsoft Entra Bağlan ile Microsoft Entra ID arasındaki bağlantının nasıl çalıştığı ve bağlantı sorunlarının nasıl giderilir açıklanmaktadır. Bu sorunlar büyük olasılıkla ara sunucu kullanan bir ortamda görülür.
Yükleme sihirbazında Bağlan üretkenlik sorunları
Microsoft Entra Bağlan kimlik doğrulaması için Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanır. Bu ikisi .NET uygulamaları olduğundan yükleme sihirbazı ve eşitleme altyapısı machine.config dosyasının düzgün yapılandırılmasını gerektirir.
Dekont
Azure AD Bağlan v1.6.xx.x, Active Directory Kimlik Doğrulama Kitaplığı'nı (ADAL) kullanır. ADAL kullanımdan kaldırılıyor ve destek Haziran 2022'de sona erecek. Microsoft Entra Bağlan v2'nin en son sürümüne yükseltmenizi öneririz.
Bu makalede Fabrikam'ın ara sunucusu aracılığıyla Microsoft Entra Id'ye nasıl bağlanıyor göstereceğiz. Proxy sunucusu adlandırılır fabrikamproxy
ve 8080 numaralı bağlantı noktasını kullanır.
İlk olarak machine.config dosyasının doğru yapılandırıldığından ve machine.config dosya güncelleştirmesinin ardından Microsoft Entra ID Eşitleme hizmetinin bir kez yeniden başlatıldığından emin olun.
Dekont
Bazı Microsoft dışı bloglar machine.config dosyası yerine miiserver.exe.config dosyasında değişiklik yapmanız gerektiğini belirtir. Ancak, her yükseltmede miiserver.exe.config dosyasının üzerine yazılır. İlk yükleme sırasında dosya çalışsa bile, sistem ilk yükseltme sırasında çalışmayı durdurur. Bu nedenle, bu makalede açıklandığı gibi machine.config dosyasını güncelleştirmenizi öneririz.
Proxy sunucusunda gerekli URL'lerin de açık olması gerekir. Resmi liste Office 365 URL'leri ve IP adresi aralıklarında belgelenmiştir.
Bu URL'lerden, aşağıdaki tabloda listelenen URL'ler, Microsoft Entra Id'ye bağlanabilmek için mutlak minimum değerdir. Bu listede parola geri yazma veya Microsoft Entra Bağlan Health gibi isteğe bağlı özellikler yoktur. İlk yapılandırma sorunlarını gidermeye yardımcı olmak için burada bilgiler sağlanır.
URL | Bağlantı noktası | Açıklama |
---|---|---|
mscrl.microsoft.com |
HTTP/80 | Sertifika iptal listesi (CRL) listelerini indirmek için kullanılır. |
*.verisign.com |
HTTP/80 | CRL listelerini indirmek için kullanılır. |
*.entrust.net |
HTTP/80 | Çok faktörlü kimlik doğrulaması (MFA) için CRL listelerini indirmek için kullanılır. |
*.management.core.windows.net (Azure Depolama)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Çeşitli Azure hizmetleri için kullanılır. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | MFA için kullanılır. |
*.microsoftonline.com |
HTTPS/443 | Microsoft Entra dizininizi yapılandırmak ve verileri içeri/dışarı aktarmak için kullanılır. |
*.crl3.digicert.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.crl4.digicert.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.digicert.cn |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.ocsp.digicert.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.www.d-trust.net |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.crl.microsoft.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.oneocsp.microsoft.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
*.ocsp.msocsp.com |
HTTP/80 | Sertifikaları doğrulamak için kullanılır. |
Sihirbazdaki hatalar
Yükleme sihirbazı iki farklı güvenlik bağlamı kullanır. Microsoft Entra Id'ye Bağlan sayfasında, şu anda oturum açmış olan kullanıcıyı kullanır. Yapılandır sayfasında, eşitleme altyapısı için hizmeti çalıştıran hesaba dönüşür. Bir sorun oluşursa, ara sunucu yapılandırması genel olduğundan hata büyük olasılıkla sihirbazdaki Microsoft Entra Id Bağlan sayfasında görünür.
Aşağıdaki sorunlar, yükleme sihirbazında karşılaşabileceğiniz en yaygın hatalardır.
Yükleme sihirbazı doğru yapılandırılmamış
Sihirbazın kendisi ara sunucuya ulaşamayınca bu hata görüntülenir.
Bu hatayı görürseniz machine.config dosyasının doğru yapılandırıldığını doğrulayın. machine.config doğru görünüyorsa, sorunun sihirbazın dışında da mevcut olup olmadığını görmek için Ara sunucu bağlantısını doğrulama bölümünde verilen adımları tamamlayın.
Bir Microsoft hesabı kullanılır
Okul veya kuruluş hesabı yerine Microsoft hesabı kullanıyorsanız genel bir hata görürsünüz:
MFA uç noktasına ulaşılamıyor
Uç noktaya https://secure.aadcdn.microsoftonline-p.com
ulaşılamıyorsa ve Karma Kimlik Yönetici istrator'ınız MFA etkinleştirilmişse bu hata görüntülenir.
Bu hatayı görürseniz uç noktanın ara sunucuya secure.aadcdn.microsoftonline-p.com
eklendiğini doğrulayın.
Parola doğrulanamaz
Yükleme sihirbazı Microsoft Entra Id'ye bağlanmada başarılı olursa ancak parolanın kendisi doğrulanamıyorsa şu hatayı görürsünüz:
Parola değiştirilmesi gereken geçici bir parola mı? Gerçekten doğru parola mı? Microsoft Entra Bağlan sunucusundan farklı bir bilgisayarda oturum açmayı https://login.microsoftonline.com
deneyin ve hesabın kullanılabilir olduğunu doğrulayın.
Ara sunucu bağlantısını doğrulama
Microsoft Entra Bağlan sunucusunun ara sunucuya ve İnternet'e bağlanıp bağlanmadığını denetlemek için, ara sunucunun web isteklerine izin verip vermediğini görmek için bazı PowerShell cmdlet'lerini kullanın. PowerShell’de Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc
komutunu çalıştırın. (Teknik olarak, ilk çağrı öğesine https://login.microsoftonline.com
yapılır ve bu URI de çalışır, ancak diğer URI'nin yanıt vermesi daha hızlıdır.)
PowerShell, ara sunucuya başvurmak için machine.config dosyasındaki yapılandırmayı kullanır. Winhttp/netsh içindeki ayarlar bu cmdlet'leri etkilememelidir.
Ara sunucu doğru yapılandırıldıysa, bir başarı durumu görüntülenir:
Uzak sunucuya bağlanılamıyor iletisini görürseniz, PowerShell ara sunucuyu kullanmadan doğrudan çağrı yapmaya çalışıyor veya DNS doğru yapılandırılmamış. machine.config dosyasının doğru yapılandırıldığından emin olun.
Ara sunucu doğru yapılandırılmamışsa bir 403 veya 407 hata iletisi görüntülenir:
Aşağıdaki tabloda 403 ve 407 proxy hataları açıklanmaktadır:
Hata | Hata Metni | Açıklama |
---|---|---|
403 | Yasak | İstenen URL için ara sunucu açılmadı. Ara sunucu yapılandırmasını yeniden ziyaret edin ve URL'lerin açıldığından emin olun. |
407 | Ara Sunucu Kimlik Doğrulaması Gerekli | Proxy sunucusu bir oturum açma gerektiriyordu ve hiçbiri sağlanmadı. Proxy sunucunuz kimlik doğrulaması gerektiriyorsa bu ayarı machine.config dosyasında yapılandırdığınızdan emin olun. Ayrıca, sihirbazı çalıştıran kullanıcı ve hizmet hesabı için etki alanı hesaplarını kullandığınızdan emin olun. |
Proxy boşta kalma zaman aşımı ayarı
Microsoft Entra Bağlan Microsoft Entra Id'ye bir dışarı aktarma isteği gönderdiğinde, Microsoft Entra Id'nin yanıt oluşturmadan önce isteği işlemesi 5 dakika kadar sürebilir. Büyük grup üyelikleri olan birçok grup nesnesi aynı dışarı aktarma isteğine dahil edilirse yanıt özellikle gecikebilir. Proxy boşta kalma zaman aşımının 5 dakikadan uzun olacak şekilde yapılandırıldığından emin olun. Aksi takdirde, Microsoft Entra Bağlan sunucusunda Microsoft Entra Kimliği ile ilgili aralıklı bağlantı sorunlarınız olabilir.
Microsoft Entra Bağlan ile Microsoft Entra Id arasındaki iletişim düzeni
Bu makalede açıklanan tüm adımları izlediyseniz ve hala bağlanamıyorsanız, bu noktada ağ günlüklerine bakabilirsiniz. Bu bölümde normal ve başarılı bir bağlantı düzeni açıklanmaktadır.
Ancak ilk olarak, ağ günlüklerindeki verileri yoksayabileceğiniz bazı yaygın endişeler şunlardır:
- için
https://dc.services.visualstudio.com
çağrılar vardır. Yüklemenin başarılı olması için bu URL'nin proxy'de açık olması gerekmez ve bu çağrılar yoksayılabilir. - DNS çözümlemesinin gerçek konakları DNS ad alanında
nsatc.net
ve altındamicrosoftonline.com
olmayan diğer ad alanında olarak listelediğini görürsünüz. Ancak, gerçek sunucu adlarında herhangi bir web hizmeti isteği yoktur. Bu URL'leri ara sunucuya eklemeniz gerekmez. - Uç noktalar
adminwebservice
veprovisioningapi
bulma uç noktalarıdır ve kullanılacak gerçek uç noktayı bulmak için kullanılır. Bu uç noktalar bölgenize bağlı olarak farklıdır.
Başvuru ara sunucusu günlükleri
Aşağıdaki örnek, gerçek bir proxy günlüğünden bir döküm ve alındığı yükleme sihirbazı sayfasıdır (aynı uç noktaya yinelenen girişler kaldırılmıştır). Bu bölüm, kendi proxy'niz ve ağ günlükleriniz için başvuru olarak kullanılabilir. Gerçek uç noktalar ortamınızda farklı olabilir (özellikle italik URL'ler).
Microsoft Entra Id'ye Bağlan
Zaman | URL |
---|---|
1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:32 | connect:// bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
1/11/2016 8:33 | connect:// bwsc02-relay.microsoftonline.com:443 |
Yapılandır
Zaman | URL |
---|---|
1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
1/11/2016 8:43 | connect:// bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:44 | connect:// bba900-anchor.microsoftonline.com:443 |
1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:44 | connect:// bba800-anchor.microsoftonline.com:443 |
1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
1/11/2016 8:46 | connect:// bwsc02-relay.microsoftonline.com:443 |
İlk eşitleme
Zaman | URL |
---|---|
1/11/2016 8:48 | connect://login.windows.net:443 |
1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
1/11/2016 8:49 | connect:// bba900-anchor.microsoftonline.com:443 |
1/11/2016 8:49 | connect:// bba800-anchor.microsoftonline.com:443 |
Kimlik Doğrulama hataları
Bu bölüm, ADAL ve PowerShell'den döndürülebilecek hataları kapsar. Hata açıklaması, sonraki adımlarınızı belirlemenize yardımcı olmalıdır.
Geçersiz izin
Geçersiz bir kullanıcı adı veya parola girdiniz. Daha fazla bilgi için bkz . Parola doğrulanamaz.
Bilinmeyen kullanıcı türü
Microsoft Entra dizininiz bulunamıyor veya çözümlenemiyor. Doğrulanmamış bir etki alanında kullanıcı adıyla oturum açmaya çalışmış olabilirsiniz.
Kullanıcı bölgesi bulma başarısız oldu
Ağ veya ara sunucu yapılandırma sorunları. Ağa ulaşılamıyor. Yükleme sihirbazında Bağlan üretkenlik sorunları konusuna bakın.
Kullanıcı parolasının süresi doldu
Kimlik bilgilerinizin süresi doldu. Parolanızı değiştirin.
Yetkilendirme hatası
Microsoft Entra Bağlan, kullanıcıya Microsoft Entra Kimliği'nde eylem gerçekleştirme yetkisi veremedi.
Kimlik doğrulaması iptal edildi
MFA sınaması iptal edildi.
MSOnline'a Bağlan başarısız oldu
Kimlik doğrulaması başarılı oldu, ancak Azure AD PowerShell'de kimlik doğrulaması sorunu var.
Microsoft Entra Global Yönetici istrator rolü gerekiyor
Kullanıcının kimliği başarıyla doğrulandı, ancak kullanıcıya Genel Yönetici istrator rolü atanmadı. Genel Yönetici istrator rolünü kullanıcıya atayabilirsiniz.
Privileged Identity Management etkin
Kimlik doğrulaması başarılı oldu, ancak Privileged Identity Management etkinleştirildi ve kullanıcı şu anda Karma Kimlik Yönetici istrator değil. Daha fazla bilgi için bkz . Privileged Identity Management.
Şirket bilgileri kullanılamıyor
Kimlik doğrulaması başarılı oldu, ancak şirket bilgileri Microsoft Entra Id'den alınamadı.
Etki alanı bilgileri kullanılamıyor
Kimlik doğrulaması başarılı oldu, ancak etki alanı bilgileri Microsoft Entra Id'den alınamadı.
Belirtilmeyen kimlik doğrulaması hatası
Yükleme sihirbazında Beklenmeyen hata olarak gösterilir. Bu hata, okul veya kuruluş hesabı yerine Bir Microsoft hesabı kullanmaya çalışırsanız oluşabilir.
Önceki sürümler için sorun giderme adımları
1.1.105.0 (Şubat 2016'da yayımlandı) derlemesiyle başlayan sürümlerde oturum açma yardımcısı kullanımdan kaldırıldı. Oturum açma yardımcısını yapılandırma artık gerekli olmamalıdır, ancak sonraki bölümlerdeki bilgiler başvuru için eklenmiştir.
Çoklu oturum açma yardımcısının çalışması için Microsoft Windows HTTP Hizmetleri 'nin (WinHTTP) yapılandırılması gerekir. WinHTTP'yi netsh kullanarak yapılandırabilirsiniz.
Oturum açma yardımcısı doğru yapılandırılmamış
Oturum açma yardımcısı ara sunucuya erişemiyorsa veya ara sunucu isteğe izin vermiyorsa bu hata görüntülenir.
Bu hatayı görürseniz, netsh'deki ara sunucu yapılandırmasına bakın ve doğru olduğunu doğrulayın.
Ara sunucu yapılandırması doğru görünüyorsa, sorunun sihirbazın dışında oluşup oluşmadığını görmek için Ara sunucu bağlantısını doğrulama bölümünde verilen adımları tamamlayın.
Sonraki adımlar
Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.