- Artikla
Tämä artikkeli auttaa sinua löytämään vianmääritystietoja yleisistä Azure AD Pass-through Authentication -todennusta koskevista ongelmista.
Tärkeä
Jos sinulla on ongelmia käyttäjän kirjautumisessa Pass-through Authenticationin kanssa, älä poista ominaisuutta käytöstä tai poista Pass-through Authentication Agents -agentteja ilman, että sinulla on vain pilvipalveluun tarkoitettu Global Administrator -tili tai Hybrid Identity Administrator -tili. Ota selväävain pilvipalveluun tarkoitetun Global Administrator -tilin lisääminen. Tämän vaiheen tekeminen on kriittinen ja varmistaa, ettet joudu ulos vuokralaisesta.
Yleisiä kysymyksiä
Tarkista ominaisuuden ja todennusagenttien tila
Varmista, että Pass-through Authentication -ominaisuus on edelleen käytössäKäytössävuokralaisellesi ja todennusagenttien tila näkyyAktiivinen, ja eiEpäaktiivinen. Voit tarkistaa tilan menemällä kohtaanAzure AD Connectterä päälläSiirry hallintakeskukseen.
Käyttäjälle päin olevat kirjautumisvirheilmoitukset
Jos käyttäjä ei pysty kirjautumaan sisään käyttämällä Pass-through Authenticationia, hän saattaa nähdä yhden seuraavista käyttäjäkohtaisista virheistä Azure AD -kirjautumisnäytössä:
| Virhe | Kuvaus | Resoluutio |
|---|---|---|
| AADSTS80001 | Ei voida muodostaa yhteyttä Active Directoryyn | Varmista, että agenttipalvelimet ovat saman AD-metsän jäseniä kuin käyttäjät, joiden salasanat on tarkistettava, ja että he voivat muodostaa yhteyden Active Directoryyn. |
| AADSTS80002 | Yhteyden muodostamisessa Active Directoryyn tapahtui aikakatkaisu | Tarkista, että Active Directory on saatavilla ja vastaa agenttien pyyntöihin. |
| AADSTS80004 | Agentille välitetty käyttäjänimi ei ollut kelvollinen | Varmista, että käyttäjä yrittää kirjautua sisään oikealla käyttäjätunnuksella. |
| AADSTS80005 | Vahvistuksessa havaittiin arvaamaton WebException | Ohimenevä virhe. Yritä pyyntöä uudelleen. Jos epäonnistuminen jatkuu, ota yhteyttä Microsoftin tukeen. |
| AADSTS80007 | Virhe kommunikoitaessa Active Directoryn kanssa | Tarkista agenttilokeista lisätietoja ja varmista, että Active Directory toimii odotetulla tavalla. |
Käyttäjät saavat virheellisen käyttäjätunnuksen/salasana-virheen
Näin voi tapahtua, kun käyttäjän paikallinen UserPrincipalName (UPN) on eri kuin käyttäjän pilvipalvelun UPN.
Varmista, että tämä ongelma on, testaamalla ensin, että Pass-through Authentication -agentti toimii oikein:
Luo testitili.
Tuo PowerShell-moduuli agenttikoneeseen:
Import-moduuli "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Suorita Invoke PowerShell -komento:
Invoke-PassthroughAuthOnPremLogon TroubleshooterKun sinua pyydetään antamaan tunnistetiedot, kirjoita sama käyttäjätunnus ja salasana, joita käytetään kirjautumiseen (https://login.microsoftonline.com).
Jos saat saman käyttäjänimi-/salasana-virheen, tämä tarkoittaa, että Pass-through Authentication agentti toimii oikein ja ongelma saattaa olla se, että paikallinen UPN ei ole reititettävissä. Lisätietoja on kohdassaVaihtoehtoisen kirjautumistunnuksen määrittäminen.
Tärkeä
Jos Azure AD Connect -palvelin ei ole liittynyt toimialueeseen, kohdassa mainittu vaatimusAzure AD Connect: Edellytykset, ilmenee virheellinen käyttäjätunnus/salasana-ongelma.
Sisäänkirjautumisen epäonnistumisen syyt Azure-portaalissa (vaatii Premium-lisenssin)
Jos vuokraajaasi on liitetty Azure AD Premium -lisenssi, voit myös tarkastellakirjautumistoimintoraporttipäälläSiirry hallintakeskukseen.
Navigoida johonkinAzure Active Directory->KirjautumisetpäälläAzure-portaalija napsauta tietyn käyttäjän kirjautumistoimintaa. EtsiKIRJAUDUUSVIRHEKOODIala. Yhdistä tämän kentän arvo virheen syystä ja ratkaisuun seuraavan taulukon avulla:
| Kirjautumisvirhekoodi | Sisäänkirjautumisen epäonnistumisen syy | Resoluutio |
|---|---|---|
| 50144 | Käyttäjän Active Directory -salasana on vanhentunut. | Palauta käyttäjän salasana paikallisessa Active Directoryssa. |
| 80001 | Todennusagenttia ei ole saatavilla. | Asenna ja rekisteröi todennusagentti. |
| 80002 | Authentication Agentin salasanan vahvistuspyyntö aikakatkaistiin. | Tarkista, onko Active Directory -hakemistosi tavoitettavissa todennusagentilta. |
| 80003 | Todennusagentin vastaanottama virheellinen vastaus. | Jos ongelma toistuu jatkuvasti useiden käyttäjien kesken, tarkista Active Directory -kokoonpanosi. |
| 80004 | Kirjautumispyynnössä käytetty virheellinen pääkäyttäjänimi (UPN). | Pyydä käyttäjää kirjautumaan sisään oikealla käyttäjätunnuksella. |
| 80005 | Todennusagentti: Tapahtui virhe. | Ohimenevä virhe. Yritä myöhemmin uudelleen. |
| 80007 | Authentication Agent ei pysty muodostamaan yhteyttä Active Directoryyn. | Tarkista, onko Active Directory -hakemistosi tavoitettavissa todennusagentilta. |
| 80010 | Authentication Agent ei voi purkaa salasanaa. | Jos ongelma on jatkuvasti toistettavissa, asenna ja rekisteröi uusi todennusagentti. Ja poista nykyinen. |
| 80011 | Todennusagentti ei pysty hakemaan salauksen purkuavainta. | Jos ongelma on jatkuvasti toistettavissa, asenna ja rekisteröi uusi todennusagentti. Ja poista nykyinen. |
| 80014 | Vahvistuspyyntöön vastattiin, kun enimmäisaika on ylitetty. | Todennusagentti aikakatkaistiin. Saat lisätietoja tästä virheestä avaamalla tukilipun, jossa on virhekoodi, korrelaatiotunnus ja aikaleima |
Tärkeä
Pass-through Authentication Agents -agentit todentavat Azure AD -käyttäjät vahvistamalla heidän käyttäjätunnuksensa ja salasanansa Active Directoryssa soittamallaWin32 LogonUser API. Tämän seurauksena, jos olet asettanut "Kirjaudu sisään" -asetuksen Active Directoryssa rajoittamaan työaseman sisäänkirjautumista, sinun on lisättävä myös Pass-through Authentication Agent -agentteja isännöivät palvelimet "Kirjaudu sisään" -palvelimien luetteloon. Jos et tee tätä, käyttäjiäsi estetään kirjautumasta Azure AD:hen.
Todennusagentin asennusongelmat
odottamaton virhe
Kerää agenttilokitpalvelimelta ja ota yhteyttä Microsoftin tukeen ongelmasi kanssa.
Todennusagentin rekisteröintiongelmat
Todennusagentin rekisteröinti epäonnistui estettyjen porttien vuoksi
Varmista, että palvelin, jolle todennusagentti on asennettu, voi kommunikoida palveluidemme URL-osoitteiden ja porttien kanssa.tässä.
Todennusagentin rekisteröinti epäonnistui tunnuksen tai tilin valtuutusvirheiden vuoksi
Varmista, että käytät vain pilvipalvelua Global Administrator -tiliä tai Hybrid Identity Administrator -tiliä kaikissa Azure AD Connectin tai erillisissä Authentication Agent -asennus- ja rekisteröintitoiminnoissa. MFA-yhteensopivissa Global Administrator -tileissä on tunnettu ongelma. poista MFA tilapäisesti käytöstä (vain toimintojen suorittamiseksi loppuun) kiertotapana.
odottamaton virhe
Kerää agenttilokitpalvelimelta ja ota yhteyttä Microsoftin tukeen ongelmasi kanssa.
Todennusagentin asennuksen poistoongelmat
Varoitusviesti poistettaessa Azure AD Connectin asennusta
Jos olet ottanut Pass-through Authentication käyttöön vuokraajassasi ja yrität poistaa Azure AD Connectin asennuksen, se näyttää seuraavan varoitussanoman: "Käyttäjät eivät voi kirjautua Azure AD:hen, ellei sinulla ole muita läpikulkutodennusagentteja. asennettu muille palvelimille."
Varmista, että asetukset ovaterittäin saatavillaennen kuin poistat Azure AD Connectin asennuksen, jotta käyttäjän kirjautuminen ei katkea.
Ongelmia ominaisuuden käyttöönotossa
Ominaisuuden käyttöönotto epäonnistui, koska käytettävissä ei ollut todennusagentteja
Sinulla on oltava vähintään yksi aktiivinen todennusagentti, jotta voit ottaa läpivientitodennuksen käyttöön vuokraajassasi. Voit asentaa Authentication Agentin joko asentamalla Azure AD Connectin tai erillisen todennusagentin.
Ominaisuuden käyttöönotto epäonnistui estettyjen porttien vuoksi
Varmista, että palvelin, jolle Azure AD Connect on asennettu, voi olla yhteydessä lueteltuihin palvelu-URL-osoitteisiin ja portteihintässä.
Ominaisuuden käyttöönotto epäonnistui tunnuksen tai tilin valtuutusvirheiden vuoksi
Varmista, että käytät vain pilvipalveluun tarkoitettua Global Administrator -tiliä, kun otat ominaisuuden käyttöön. Monitekijätodennusta (MFA) käyttävissä Global Administrator -tileissä on tunnettu ongelma. poista MFA tilapäisesti käytöstä (vain toimenpiteen suorittamiseksi loppuun) kiertotapana.
Pass-through Authentication Agent -lokien kerääminen
Riippuen mahdollisen ongelman tyypistä, sinun on etsittävä eri paikoista Pass-through Authentication Agent -lokeja.
Azure AD Connect -lokit
Tarkista asennukseen liittyviä virheitä Azure AD Connect -lokeista osoitteessa%ProgramData%\AADConnect\trace-*.log.
Authentication Agent -tapahtumalokit
Jos havaitset Authentication Agentiin liittyviä virheitä, avaa Event Viewer -sovellus palvelimella ja tarkista kohdastaSovellus- ja palvelulokit\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Jos haluat yksityiskohtaista analytiikkaa, ota käyttöön "Istunto"-loki (löydä tämä vaihtoehto napsauttamalla hiiren kakkospainikkeella Event Viewer -sovellusta). Älä suorita todennusagenttia tämän lokin ollessa käytössä normaalin toiminnan aikana. käytä vain vianetsintään. Lokin sisältö näkyy vasta, kun loki on jälleen poistettu käytöstä.
Yksityiskohtaiset jäljityslokit
Voit etsiä käyttäjien kirjautumishäiriöitä etsimällä jäljityslokeja osoitteesta%ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Nämä lokit sisältävät syitä siihen, miksi tietyn käyttäjän kirjautuminen epäonnistui läpivientitodennusominaisuuden avulla. Nämä virheet on myös kartoitettu edellisessä kirjautumisen epäonnistumisen syiden taulukossa esitettyihin kirjautumisen epäonnistumissyihin. Seuraavassa on esimerkki lokimerkinnästä:
AzureADConnectAuthenticationAgentService.exe Virhe: 0 : Läpivientitodennuspyyntö epäonnistui. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Syy: '1328'. ThreadId=5 DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZVoit saada kuvaavat tiedot virheestä (1328 edellisessä esimerkissä) avaamalla komentokehote ja suorittamalla seuraavan komennon (Huomaa: Korvaa '1328' todellisella virhenumerolla, jonka näet lokeissasi):
Net helpmsg 1328
Domain Controller -lokit
Jos valvontaloki on käytössä, lisätietoja löytyy toimialueen ohjaimien suojauslokeista. Yksinkertainen tapa tiedustella läpikulkutodennusagenttien lähettämiä kirjautumispyyntöjä on seuraava:
Suorituskykymonitorin laskurit
Toinen tapa valvoa todennusagentteja on seurata tiettyjä Performance Monitorin laskureita jokaisessa palvelimessa, johon todennusagentti on asennettu. Käytä seuraavia globaaleja laskureita (# PTA-todennus,#PTA-todennus epäonnistuija#PTA onnistunut todennus) ja virhelaskurit (# PTA-todennusvirheitä):
Tärkeä
Pass-through Authentication tarjoaa korkean käytettävyyden käyttämällä useita todennusagentteja jaeikuormituksen tasapainoittaminen. Määrityksestäsi riippuen,eikaikki todennusagenttisi saavat suunnilleenyhtä suuripyyntöjen määrä. On mahdollista, että tietty todennusagentti ei vastaanota liikennettä ollenkaan.