針對 Microsoft Entra Connect 的連線問題進行疑難排解
本文章說明 Microsoft Entra Connect 與 Microsoft Entra ID 之間連線的運作方式,以及如何疑難排解連線問題。 這些問題最有可能出現在使用 Proxy 伺服器的環境中。
安裝精靈中的連線問題
Microsoft Entra Connect 使用 Microsoft 驗證程式庫 (MSAL) 進行驗證。 安裝精靈和同步處理引擎要求必須正確設定 machine.config,因為這兩項為 .NET 應用程式。
注意
Azure AD Connect v1.6.xx.x 使用 Active Directory 驗證程式庫 (ADAL)。 ADAL 即將受到取代,並將於 2022 年 6 月結束支援。 建議您升級至最新版本的 Microsoft Entra Connect v2。
在本文章中,我們將說明 Fabrikam 如何透過其 Proxy 連接至 Microsoft Entra ID。 Proxy 伺服器的名稱為 fabrikamproxy,並使用 8080 連接埠。
首先,請確定已正確設定 machine.config,並且在 machine.config 檔案更新之後,將 Microsoft Entra ID 同步服務重新啟動一次。
注意
某些非 Microsoft 部落格指出應該變更 miiserver.exe.config,而非 machine.config 檔案。 不過,每次升級時都會覆寫 miiserver.exe.config 檔案。 即使檔案在初始安裝期間能運作,在第一次升級時系統也會停止運作。 基於這個理由,我們建議您按照本文所述更新 machine.config。
Proxy 伺服器還必須開啟必要的網址。 如需官方清單,請參閱<Office 365 網址與 IP 位址範圍>。
在這些網址中,下表列出的網址是能夠連接到 Microsoft Entra ID 的絕對最低限度。 這份清單未包含任何選用的功能,例如密碼回寫或 Microsoft Entra Connect Health。 此處提供相關資訊用於協助針對初始設定進行疑難排解。
| 網址 | 連接埠 | 描述 |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | 用於下載憑證撤銷清單 (CRL) 清單。 |
*.verisign.com |
HTTP/80 | 用於下載 CRL 清單。 |
*.entrust.net |
HTTP/80 | 用於下載多重要素驗證 (MFA) 的 CRL 清單。 |
*.management.core.windows.net (Azure 儲存體)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | 用於各種 Azure 服務。 |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | 用於 MFA。 |
*.microsoftonline.com |
HTTPS/443 | 用於設定您的 Microsoft Entra 目錄及匯入/匯出資料。 |
*.crl3.digicert.com |
HTTP/80 | 用於驗證證書。 |
*.crl4.digicert.com |
HTTP/80 | 用於驗證證書。 |
*.digicert.cn |
HTTP/80 | 用於驗證證書。 |
*.ocsp.digicert.com |
HTTP/80 | 用於驗證證書。 |
*.www.d-trust.net |
HTTP/80 | 用於驗證證書。 |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | 用於驗證證書。 |
*.crl.microsoft.com |
HTTP/80 | 用於驗證證書。 |
*.oneocsp.microsoft.com |
HTTP/80 | 用於驗證證書。 |
*.ocsp.msocsp.com |
HTTP/80 | 用於驗證證書。 |
精靈中的錯誤
安裝精靈會使用兩種不同的安全性內容。 在 [連線至 Microsoft Entra ID] 頁面上,系統會使用目前已登入的使用者。 在 [設定] 頁面上,其會變更為執行同步處理引擎服務的帳戶。 如果發生問題,錯誤最有可能已經出現在精靈中的 [連線到 Microsoft Entra ID] 頁面,因為 Proxy 設定是全域設定。
下列問題是您會在安裝精靈中遇到的最常見錯誤。
安裝精靈未正確設定
當精靈本身無法連線到 Proxy 時,就會出現此錯誤。
如果您看到此錯誤,請驗證是否已經正確設定 machine.config 檔案。 如果 machine.config 看起來正確,請完成確認 Proxy 連線中的步驟,查看問題是否也出現在精靈以外的地方。
使用了 Microsoft 帳戶
如果您使用的是「Microsoft 帳戶」而不是「學校或「組織帳戶」,則會看到一個一般錯誤:
無法連線 MFA 端點
如果無法連線到 https://secure.aadcdn.microsoftonline-p.com 端點,而您的混合式身分識別管理員已啟用 MFA,就會出現此錯誤。
如果您看到此錯誤,請確認是否已將 secure.aadcdn.microsoftonline-p.com 端點新增到 Proxy。
無法驗證密碼
如果安裝精靈成功連線到 Microsoft Entra ID,但密碼本身無法獲得驗證,則會看到此錯誤:
密碼是臨時密碼而且必須變更嗎? 的確是正確的密碼嗎? 嘗試在 Microsoft Entra Connect 伺服器以外的另一台電腦上登入 https://login.microsoftonline.com,並確認該帳戶可供使用。
確認 Proxy 連線
若要檢查 Microsoft Entra Connect 伺服器是否確實能夠與 Proxy 和網際網路連線,請使用一些 PowerShell Cmdlet 來查看 Proxy 是否允許 Web 要求。 在 PowerShell 中,執行 Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc。 (從技術上而言,第一個呼叫是對 https://login.microsoftonline.com 發出,並且此 URI 能夠運作,但另一個 URI 的回應速度更快。)
PowerShell 使用 machine.config 中的設定來連絡 Proxy。 winhttp/netsh 中的設定不應影響這些 Cmdlet。
如果 Proxy 設定正確,則會顯示為成功狀態:
如果您看到 [無法連線至遠端伺服器] 訊息,表示 PowerShell 正嘗試進行直接呼叫而未使用 Proxy,或是 DNS 設定不正確。 請確定 machine.config 檔案設定正確。
如果 Proxy 未正確設定,則會出現 403 或 407 錯誤訊息:
下表描述了 403 和 407 Proxy 錯誤:
| 錯誤 | 錯誤文字 | 註解 |
|---|---|---|
| 403 | 禁止 | 尚未對所請求的網址開啟 Proxy。 重新瀏覽 Proxy 設定,並確定網址已經開啟。 |
| 407 | 需要 Proxy 驗證 | Proxy 伺服器要求提供登入資訊,但並未提供任何登入資訊。 如果您的 Proxy 伺服器需要驗證,請務必在 machine.config 中進行這項設定。此外,也請確保執行精靈的使用者和服務帳戶使用網域帳戶。 |
Proxy 閒置逾時設定
當 Microsoft Entra Connect 將匯出要求傳送至 Microsoft Entra ID 時,Microsoft Entra ID 在產生回應之前,可能需要 5 分鐘的時間來處理要求。 如果許多具有大型群組成員資格的群組物件包含在相同的匯出要求中,則回應尤其可能發生延遲。 請確保 Proxy 閒置逾時設定為 5 分鐘以上。 否則,Microsoft Entra Connect 伺服器上的 Microsoft Entra ID 可能發生間歇連線問題。
Microsoft Entra Connect 與 Microsoft Entra ID 之間的通訊模式
如果您已遵循本文描述的所有步驟,但仍無法連線,可以在此時查看網路記錄。 本章節說明正常和成功的連線模式。
但首先,您可以略過以下有關網路記錄中資料的一些常見問題:
- 會有一些對
https://dc.services.visualstudio.com的呼叫。 無需在 Proxy 中開啟此網址,安裝即可成功,因此可以忽略這些呼叫。 - 您會看到 DNS 解析列出要在 DNS 命名空間
nsatc.net中的實際主機,以及其他不在microsoftonline.com底下的命名空間。 不過,實際伺服器名稱上沒有任何網頁服務要求, 您無需將這些網址新增到 Proxy。 - 端點
adminwebservice和provisioningapi是探索端點,可用來尋找要使用的實際端點。 這些端點會依據您的區域而有所不同。
參考 Proxy 記錄
以下範例是實際 Proxy 記錄的傾印及從其中取得該傾印的安裝精靈頁面 (已移除至相同端點的重複項目)。 本章節可以作為您自己 Proxy 和網路記錄的參考。 您環境中的實際端點可能會有所不同 (特別是以「斜體字」表示的網址)。
連線至 Microsoft Entra ID
| 時間 | 網址 |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
設定
| 時間 | 網址 |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
初始同步
| 時間 | 網址 |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
驗證錯誤
本章節涵蓋可能從 ADAL 和 PowerShell 傳回的錯誤。 其中所說明的錯誤應可協助您了解後續步驟。
無效的授與
您輸入的使用者名稱或密碼無效。 若要了解詳細資訊,請參閱<無法驗證密碼>。
未知使用者類型
找不到或無法解析 Microsoft Entra 目錄。 可能是您嘗試以未驗證網域中的使用者名稱登入?
使用者領域探索失敗
網路或 Proxy 組態問題。 無法連線到網路。 請參閱<安裝精靈中的連線問題>。
使用者密碼過期
您的認證已過期。 請更改密碼。
授權失敗
Microsoft Entra Connect 無法授權使用者在 Microsoft Entra ID 中執行動作。
驗證已取消
MFA 查問已取消。
連線到 MSOnline 失敗
驗證成功,但 Azure AD PowerShell 發生驗證問題。
已啟用 Privileged Identity Management
驗證成功,但已啟用 Privileged Identity Management,而且使用者目前不是混合式身分識別管理員。 若要了解詳細資訊,請參閱<Privileged Identity Management>。
無法取得公司資訊
驗證成功,但無法從 Microsoft Entra ID 擷取公司資訊。
無法取得網域資訊
驗證成功,但無法從 Microsoft Entra ID 擷取網域資訊。
未指定的驗證失敗
在安裝精靈中顯示為「未預期的錯誤」。 如果您嘗試使用「Microsoft 帳戶」而不是「學校或組織帳戶」,則可能發生此錯誤。
針對舊版本的疑難排解步驟
從組建編號 1.1.105.0 (於 2016 年 2 月發行) 版本開始,登入助理便已淘汰。 雖然應該不再需要設定登入助理,但仍保留下一章節的資訊以供參考。
若要讓單一登入助理能夠運作,必須設定 Microsoft Windows HTTP 服務 (WinHTTP)。 您可以使用 netsh 來設定 WinHTTP。
登入助理未正確設定
登入助理無法連線到 Proxy 或 Proxy 不允許該要求時,就會出現此錯誤。
如果您看到此錯誤,請查看 netsh 中的 Proxy 設定,並確認是否正確。
如果 Proxy 設定看起來正確,請完成確認 Proxy 連線中的步驟,查看問題是否出現在精靈以外的地方。