Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья поможет вам найти информацию по устранению неполадок, связанных с общими проблемами при использовании pass-through аутентификации Microsoft Entra.
Важно
Если вы сталкиваетесь с проблемами при входе пользователей с Pass-through Authentication, не отключайте эту функцию и не удаляйте агентов Pass-through Authentication, не имея облачной учетной записи администратора гибридной идентификации, на которую можно было бы опереться.
Общие проблемы
Проверьте статус функции и агентов аутентификации
Убедитесь, что функция сквозной аутентификации по-прежнему включена на вашем арендаторе, а статус агентов аутентификации показывает активно, а не неактивно. Вы можете проверить статус, перейдя на вкладку Microsoft Entra Connect в центре администрирования Microsoft Entra.
Сообщения об ошибках входа, отображаемые пользователю
Если пользователь не может войти в систему, используя проверку подлинности с обходом, он может увидеть одно из следующих сообщений об ошибке на экране входа Microsoft Entra.
| Ошибка | Описание | разрешение |
|---|---|---|
| AADSTS80001 | Невозможно подключиться к Active Directory | Убедитесь, что серверы агентов являются членами того же леса AD, что и пользователи, чьи пароли необходимо проверить, и что они могут подключаться к Active Directory. |
| AADSTS80002 | Произошло время ожидания при подключении к Active Directory | Проверьте, чтобы убедиться, что Active Directory доступен и отвечает на запросы от агентов. |
| AADSTS80004 | Имя пользователя, переданное агенту, было недействительным. | Убедитесь, что пользователь пытается войти с правильным именем пользователя. |
| AADSTS80005 | Проверка столкнулась с непредсказуемой ошибкой WebException | Временная ошибка. Повторите запрос. Если проблема продолжает возникать, обратитесь в службу поддержки Microsoft. |
| AADSTS80007 | Произошла ошибка при взаимодействии с Active Directory | Проверьте журналы агента для получения дополнительной информации и убедитесь, что Active Directory работает должным образом. |
Пользователи получают ошибку неверного имени пользователя/пароля
Это может произойти, если локальное имя пользователя (UPN) отличается от облачного UPN пользователя.
Чтобы подтвердить, что это именно та проблема, сначала протестируйте, правильно ли работает агент Pass-through Authentication:
Создайте тестовый аккаунт.
Импортируйте модуль PowerShell на машине агента:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Запустите команду Invoke PowerShell:
Invoke-PassthroughAuthOnPremLogonTroubleshooterКогда вам будет предложено ввести учетные данные, введите то же имя пользователя и пароль, которые используются для входа в (https://login.microsoftonline.com).
Если вы получаете ту же ошибку имени пользователя/пароля, это означает, что агент сквозной проверки подлинности работает корректно, и проблема может заключаться в том, что локальный UPN не может быть маршрутизирован. Чтобы узнать больше, смотрите Configuring Alternate Login ID.
Важно
Если сервер Microsoft Entra Connect не присоединен к домену, как это требуется в Microsoft Entra Connect: Предварительные условия, возникнет проблема с неверным именем пользователя/паролем.
Причины сбоя входа в Центр администрирования Microsoft Entra (требуется лицензия Premium)
Если у вашего арендатора есть лицензия Microsoft Entra ID P1 или P2, связанная с ним, вы также можете посмотреть отчёт о действиях при входе в административном центре Microsoft Entra.
Перейдите квходам в Microsoft Entra ID> в [Центре администрирования Microsoft Entra](https://portal.azure.com/) и щелкните действие входа определенного пользователя. Ищите поле SIGN-IN ERROR CODE. Отобразите значение этого поля на причину сбоя и способ решения, используя следующую таблицу:
| Код ошибки при входе | Причина сбоя при входе | разрешение |
|---|---|---|
| 50144 | Пароль пользователя в Active Directory истек. | Сбросьте пароль пользователя в вашей локальной Active Directory. |
| 80001 | Нет доступного агента аутентификации. | Установите и зарегистрируйте агент проверки подлинности. |
| 80002 | Запрос на проверку пароля от агента аутентификации истек по времени. | Проверьте, доступен ли ваш Active Directory из агента аутентификации. |
| 80003 | Аутентификационный агент получил недопустимый ответ. | Если проблема неизменно воспроизводится у нескольких пользователей, проверьте конфигурацию Active Directory. |
| 80004 | Неправильное имя основного пользователя (UPN) использовано в запросе на вход. | Попросите пользователя войти с правильным именем пользователя. |
| 80005 | Агент проверки подлинности: произошла ошибка. | Это временная проблема. Попробуйте снова позже. |
| 80007 | Агент аутентификации не может подключиться к Active Directory. | Проверьте, доступен ли ваш Active Directory из агента аутентификации. |
| 80010 | Агент аутентификации не может расшифровать пароль. | Если проблема воспроизводится постоянно, установите и зарегистрируйте нового агента аутентификации. А затем удалите текущую. |
| 80011 | Агент аутентификации не может получить ключ для расшифровки. | Если проблема воспроизводится постоянно, установите и зарегистрируйте нового агента аутентификации. А затем удалите текущую. |
| 80014 | Ответ на запрос на проверку был дан после того, как истекло максимальное время. | Агент аутентификации истек. Откройте заявку в службу поддержки, указав код ошибки, идентификатор корреляции и метку времени, чтобы получить дополнительные сведения об этой ошибке. |
Важно
Агенты сквозной проверки подлинности аутентифицируют пользователей Microsoft Entra, проверяя их имена пользователей и пароли в Active Directory с использованием вызова API Win32 LogonUser. В результате, если в Active Directory вы настроили параметр «Вход в систему на» для ограничения доступа к рабочим станциям, вам также потребуется добавить серверы, на которых размещены агенты аутентификации pass-through, в список серверов «Вход в систему на». Невыполнение этого приведет к блокировке пользователей от входа в Microsoft Entra ID.
Проблемы с установкой агента проверки подлинности
Произошла непредвиденная ошибка
Соберите журналы агента с сервера и свяжитесь с поддержкой Microsoft с вашей проблемой.
Проблемы с регистрацией агента проверки подлинности
Регистрация агента аутентификации не удалась из-за заблокированных портов.
Убедитесь, что сервер, на котором установлен агент аутентификации, может взаимодействовать с нашими URL-адресами и портами службы, перечисленными здесь.
Регистрация агента аутентификации не удалась из-за ошибок авторизации токена или учетной записи.
Убедитесь, что вы используете учетную запись администратора гибридного удостоверения только в облаке для всех операций установки и регистрации агента аутентификации Microsoft Entra Connect или автономного агента проверки подлинности. Известна проблема с учетными записями администратора гибридной идентификации, для которых включена MFA. Как временное решение, отключите MFA временно (только для завершения операций).
Произошла непредвиденная ошибка
Соберите журналы агента с сервера и свяжитесь с поддержкой Microsoft с вашей проблемой.
Проблемы с удалением агента аутентификации
Предупреждающее сообщение при удалении Microsoft Entra Connect
Если в вашей аренде включена функция Pass-through Authentication и вы пытаетесь удалить Microsoft Entra Connect, появится следующее предупреждающее сообщение: "Пользователи не смогут войти в Microsoft Entra ID, если другие агенты Pass-through Authentication не установлены на других серверах."
Убедитесь, что ваша установка имеет высокий уровень доступности, прежде чем вы начнёте удалять Microsoft Entra Connect, чтобы избежать проблем с входом пользователей.
Проблемы с включением функции
Включение функции не удалось, так как не было доступных агентов аутентификации.
Вам необходимо иметь хотя бы одного активного агента аутентификации, чтобы включить сквозную аутентификацию в вашем арендаторе. Вы можете установить агент аутентификации, либо установив Microsoft Entra Connect, либо автономный агент аутентификации.
Включение функции не удалось из-за заблокированных портов.
Убедитесь, что сервер, на который установлено Microsoft Entra Connect, может подключаться к нашим URL-адресам служб и портам, указанным здесь.
Не удалось включить функцию из-за ошибок авторизации токена или учетной записи.
Убедитесь, что вы используете учетную запись администратора гибридной идентичности, предназначенную только для облака, при включении этой функции. Известна проблема с учетными записями администратора гибридной идентификации, которые используют многофакторную аутентификацию (МФА); временно отключите МФА (только для завершения операции) в качестве временного решения.
Сбор журналов агента сквозной аутентификации
В зависимости от типа проблемы, с которой вы столкнулись, вам нужно искать журналы агента сквозной аутентификации в разных местах.
журналы Microsoft Entra Connect
Для устранения ошибок, связанных с установкой, проверьте журналы Microsoft Entra Connect по адресу %ProgramData%\AADConnect\trace-*.log.
Журналы событий агента аутентификации
Для устранения ошибок, связанных с Агентом аутентификации, запустите приложение "Просмотр событий" на сервере и проверьте журнал Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Для получения подробной аналитики включите журнал "Сеанс" (щелкните правой кнопкой мыши в приложении Просмотр событий, чтобы найти этот параметр). Не запускайте Агент аутентификации с включенным журналом во время обычной работы; используйте только для устранения неполадок. Содержимое журнала видно только после того, как журнал снова отключен.
Подробные журналы трассировки
Чтобы устранить ошибки входа пользователя, найдите журналы трассировки по следующему пути: %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Эти журналы содержат причины, по которым вход конкретного пользователя не удался при использовании функции сквозной аутентификации. Эти ошибки также сопоставлены с причинами неудачной попытки входа, представленными в предыдущей таблице причин неудачной попытки входа. Ниже представлен пример записи в журнале:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Вы можете получить подробную информацию об ошибке ('1328' в приведенном выше примере), открыв командную строку и выполнив следующую команду (Примечание: замените '1328' на фактический номер ошибки, который вы видите в своих журналах).
Net helpmsg 1328
Журналы входа через аутентификацию Pass-through
Если ведение журнала аудита включено, дополнительные сведения можно найти в журналах безопасности сервера сквозной проверки подлинности. Один из простых способов запросить запросы на вход — это отфильтровать журналы безопасности, используя следующий запрос:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
счётчики монитора производительности
Другой способ контролировать Агенты аутентификации — отслеживать определенные счетчики производительности на каждом сервере, где установлен Агент аутентификации. Используйте следующие глобальные счетчики (# проверки подлинности PTA, # неудачные проверки подлинности PTA, # успешные проверки подлинности PTA) и счетчики ошибок (# ошибки проверки подлинности PTA):
Важно
Сквозная проверка подлинности обеспечивает высокий уровень доступности с помощью нескольких агентов проверки подлинности, а не балансировки нагрузки. В зависимости от вашей конфигурации, не все ваши агенты аутентификации получают примерно равное количество запросов. Возможно, что конкретный агент аутентификации совсем не получает трафика.