Resolver mensagens de erro da extensão NPS para autenticação multifator do Microsoft Entra
Se você encontrar erros com a extensão NPS para autenticação multifator do Microsoft Entra, use este artigo para alcançar uma resolução mais rapidamente. Os logs de extensão do NPS são encontrados no Visualizador de Eventos em Logs de Aplicativos e Serviços>Microsoft>AzureMfa>AuthN>AuthZ no servidor onde a Extensão NPS está instalada.
Etapas de solução de problemas para erros comuns
| Código de erro | Passos de resolução de problemas |
|---|---|
| CONTACT_SUPPORT | Entre em contato com o suporte e mencione a lista de etapas para coletar logs. Forneça o máximo de informações possível sobre o que aconteceu antes do erro, incluindo ID do locatário e nome principal do usuário (UPN). |
| CLIENT_CERT_INSTALL_ERROR | Pode haver um problema com a forma como o certificado de cliente foi instalado ou associado ao inquilino. Siga as instruções em Solução de problemas da extensão MFA NPS para investigar problemas de certificado de cliente. |
| ESTS_TOKEN_ERROR | Siga as instruções em Solução de problemas da extensão MFA NPS para investigar problemas de certificado de cliente e token de segurança. |
| HTTPS_COMMUNICATION_ERROR | O servidor NPS não consegue receber respostas da autenticação multifator do Microsoft Entra. Verifique se os firewalls estão abertos bidirecionalmente para o tráfego de e para e se https://adnotifications.windowsazure.com o TLS 1.2 está ativado (padrão). Se o TLS 1.2 estiver desativado, a autenticação do usuário falhará e a ID de evento 36871 com SChannel de origem será inserida no log do sistema no Visualizador de Eventos. Para verificar se o TLS 1.2 está habilitado, consulte Configurações do Registro TLS. |
| HTTP_CONNECT_ERROR | No servidor que executa a extensão NPS, confirme que consegue aceder a https://adnotifications.windowsazure.com e https://login.microsoftonline.com/. Se esses sites não carregarem, solucione problemas de conectividade nesse servidor. |
| Extensão NPS para autenticação multifator Microsoft Entra (AccessReject): A Extensão NPS para autenticação multifator Microsoft Entra executa apenas Autenticação Secundária para solicitações Radius no Estado AccessAccept. Solicitação recebida para Nome de usuário de usuário com estado de resposta AccessReject, ignorando a solicitação. |
Normalmente, este erro reflete uma falha de autenticação no AD ou significa que o servidor NPS não consegue receber respostas do Microsoft Entra ID. Confirme que as firewalls estão abertas bidirecionalmente para o tráfego de e para https://adnotifications.windowsazure.com e https://login.microsoftonline.com através das portas 80 e 443. Também é importante verificar se na guia DIAL-IN de Permissões de Acesso à Rede, a configuração está definida como "controlar o acesso por meio da Diretiva de Rede NPS". Esse erro também pode ser acionado se o usuário não receber uma licença. |
| Extensão NPS para autenticação multifator Microsoft Entra (AccessChallenge): A Extensão NPS para autenticação multifator Microsoft Entra executa apenas Autenticação Secundária para solicitações Radius no Estado AccessAccept. Solicitação recebida para Nome de usuário de usuário com estado de resposta AccessChallenge, ignorando a solicitação. |
Essa resposta é usada quando informações adicionais são necessárias do usuário para concluir o processo de autenticação ou autorização. O servidor NPS envia um desafio ao usuário, solicitando mais credenciais ou informações. Geralmente precede uma resposta Access-Accept ou Access-Reject . |
| REGISTRY_CONFIG_ERROR | Falta uma chave no registo da aplicação, o que pode dever-se ao facto de o script do PowerShell não ter sido executado após a instalação. A mensagem de erro deve incluir a chave em falta. Certifique-se de que tem a chave em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
| REQUEST_FORMAT_ERROR Solicitação Radius ausente atributo obrigatório Radius userName\Identifier. Confirme que o NPS está a receber pedidos RADIUS |
Normalmente, este erro reflete um problema de instalação. A extensão NPS deve ser instalada em servidores NPS que possam receber pedidos RADIUS. Os servidores NPS instalados como dependências para serviços como o RDG e o RRAS não recebem pedidos Radius. A Extensão NPS não funciona quando instalada nessas instalações e comete erros, pois não consegue ler os detalhes da solicitação de autenticação. |
| REQUEST_MISSING_CODE | Confirme que o protocolo de encriptação de palavra-passe entre os servidores NPS e NAS suporta o método de autenticação secundária que está a utilizar. O PAP suporta todos os métodos de autenticação multifator do Microsoft Entra na nuvem: chamada telefônica, mensagem de texto unidirecional, notificação de aplicativo móvel e código de verificação de aplicativo móvel. CHAPV2 e EAP suportam chamadas telefônicas e notificações de aplicativos móveis. |
| USERNAME_CANONICALIZATION_ERROR | Verifique se o usuário está presente em sua instância local do Ative Directory e se o Serviço NPS tem permissões para acessar o diretório. Se você usa confianças de floresta, entre em contato com o suporte para obter mais ajuda. |
| Desafio solicitado no Authentication Ext for User | As organizações que usam um protocolo RADIUS diferente do PAP veem a autorização VPN do usuário falhando com esses eventos aparecendo no log de eventos AuthZOptCh do servidor de extensão NPS. Você pode configurar o servidor NPS para oferecer suporte a PAP. Se PAP não for uma opção, você pode definir OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para retornar a Aprovar/Negar notificações por push. Para obter mais ajuda, verifique a correspondência de números usando a extensão NPS. |
Erros de ID de login alternativos
| Código de erro | Mensagem de erro | Passos de resolução de problemas |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Erro: falha na pesquisa userObjectSid | Verifique se o usuário existe em sua instância local do Ative Directory. Se você usa confianças de floresta, entre em contato com o suporte para obter mais ajuda. |
| ALTERNATE_LOGIN_ID_ERROR | Erro: Falha na pesquisa de LoginId alternativo | Verifique se LDAP_ALTERNATE_LOGINID_ATTRIBUTE está definido como um atributo válido do Ative Directory. Se LDAP_FORCE_GLOBAL_CATALOG estiver definido como True ou se LDAP_LOOKUP_FORESTS estiver configurado com um valor não vazio, verifique se você configurou um Catálogo Global e se o atributo AlternateLoginId foi adicionado a ele. Se LDAP_LOOKUP_FORESTS estiver configurado com um valor não vazio, verifique se o valor está correto. Se houver mais de um nome de floresta, os nomes devem ser separados com ponto-e-vírgula, não espaços. Se estes passos não resolverem o problema, contacte o suporte para obter mais ajuda. |
| ALTERNATE_LOGIN_ID_ERROR | Erro: O valor LoginId alternativo está vazio | Verifique se o atributo AlternateLoginId está configurado para o usuário. |
Erros que seus usuários podem encontrar
| Código de erro | Mensagem de erro | Passos de resolução de problemas |
|---|---|---|
| Acesso negado | O locatário do chamador não tem permissões de acesso para fazer a autenticação do usuário | Verifique se o domínio do locatário e o domínio do nome principal do usuário (UPN) são os mesmos. Por exemplo, certifique-se de que user@contoso.com está tentando autenticar no locatário da Contoso. O UPN representa um usuário válido para o locatário no Azure. |
| AuthenticationMethodNotConfigured | O método de autenticação especificado não foi configurado para o usuário | Peça ao usuário que adicione ou verifique seus métodos de verificação de acordo com as instruções em Gerenciar suas configurações para verificação em duas etapas. |
| AuthenticationMethodNotSupported | Não há suporte para o método de autenticação especificado. | Colete todos os seus logs que incluem esse erro e entre em contato com o suporte. Ao entrar em contato com o suporte, forneça o nome de usuário e o método de verificação secundário que disparou o erro. |
| BecAccessNegado | MSODS Bec call retornou acesso negado, provavelmente o nome de usuário não está definido no locatário | O usuário está presente no Ative Directory local, mas não é sincronizado com o ID do Microsoft Entra pelo AD Connect. Ou, o usuário está faltando para o locatário. Adicione o usuário ao Microsoft Entra ID e peça que ele adicione seus métodos de verificação de acordo com as instruções em Gerenciar suas configurações para verificação em duas etapas. |
| InvalidFormat ou StrongAuthenticationServiceInvalidParameter | O número de telefone está em um formato irreconhecível | Peça ao usuário que corrija seus números de telefone de verificação. |
| InvalidSession | A sessão especificada é inválida ou pode ter expirado | A sessão demorou mais de três minutos a ser concluída. Verifique se o usuário está inserindo o código de verificação ou respondendo à notificação do aplicativo dentro de três minutos após iniciar a solicitação de autenticação. Se isso não corrigir o problema, verifique se não há latências de rede entre o cliente, o Servidor NAS, o Servidor NPS e o ponto de extremidade de autenticação multifator Microsoft Entra. |
| NoDefaultAuthenticationMethodIsConfigured | Nenhum método de autenticação padrão foi configurado para o usuário | Peça ao usuário que adicione ou verifique seus métodos de verificação de acordo com as instruções em Gerenciar suas configurações para verificação em duas etapas. Verifique se o usuário escolheu um método de autenticação padrão e configurou esse método para sua conta. |
| OathCodePinIncorreto | Código e pino inseridos errados. | Este erro não é esperado na extensão NPS. Se o usuário encontrar isso, entre em contato com o suporte para obter ajuda para solução de problemas. |
| ProofDataNotFound | Os dados de prova não foram configurados para o método de autenticação especificado. | Peça ao usuário que tente um método de verificação diferente ou adicione um novo método de verificação de acordo com as instruções em Gerenciar suas configurações para verificação em duas etapas. Se o utilizador continuar a ver este erro depois de confirmar que o seu método de verificação está configurado corretamente, contacte o suporte. |
| SMSAuthFailedWrongCodePinEntered | Código e pino inseridos errados. (OneWaySMS) | Este erro não é esperado na extensão NPS. Se o usuário encontrar isso, entre em contato com o suporte para obter ajuda para solução de problemas. |
| TenantIsBlocked | O inquilino está bloqueado | Entre em contato com o suporte com a ID do Locatário na página de propriedades do Microsoft Entra no centro de administração do Microsoft Entra. |
| UserNotFound | O usuário especificado não foi encontrado | O locatário não está mais visível como ativo no Microsoft Entra ID. Verifique se a sua subscrição está ativa e se tem as aplicações originais necessárias. Verifique também se o locatário no assunto do certificado está conforme o esperado e se o certificado ainda é válido e registrado sob a entidade de serviço. |
Mensagens que seus usuários podem encontrar que não são erros
Às vezes, os usuários podem receber mensagens da autenticação multifator porque a solicitação de autenticação falhou. Estes não são erros no produto de configuração, mas são avisos intencionais explicando por que uma solicitação de autenticação foi negada.
| Código de erro | Error message | Passos recomendados |
|---|---|---|
| OathCodeIncorrect | Código errado inserido\Código OATH incorreto | O usuário inseriu o código errado. Peça-lhes que tentem novamente solicitando um novo código ou entrando novamente. |
| SMSAuthFailedMaxAllowedCodeRetryReached | Máximo permitido de repetição de código atingido | O usuário falhou no desafio de verificação muitas vezes. Dependendo das suas configurações, eles podem precisar ser desbloqueados por um administrador agora. |
| SMSAuthFailedWrongCodeEntered | Código errado inserido/Mensagem de texto OTP incorreta | O usuário inseriu o código errado. Peça-lhes que tentem novamente solicitando um novo código ou entrando novamente. |
| AutenticaçãoLimitada | Muitas tentativas por parte do usuário em um curto período de tempo. Limitação. | A Microsoft pode limitar tentativas repetidas de autenticação que são executadas pelo mesmo usuário em um curto período de tempo. Esta limitação não se aplica ao Microsoft Authenticator ou ao código de verificação. Se tiver atingido estes limites, pode utilizar a Aplicação Autenticadora, o código de verificação ou tentar iniciar sessão novamente em poucos minutos. |
| AuthenticationMethodLimitReached | Limite do método de autenticação atingido. Limitação. | A Microsoft pode limitar tentativas repetidas de autenticação que são executadas pelo mesmo usuário usando o mesmo tipo de método de autenticação em um curto período de tempo, especificamente chamada de voz ou SMS. Esta limitação não se aplica ao Microsoft Authenticator ou ao código de verificação. Se tiver atingido estes limites, pode utilizar a Aplicação Autenticadora, o código de verificação ou tentar iniciar sessão novamente em poucos minutos. |
Erros que requerem suporte
Se você encontrar um desses erros, recomendamos que entre em contato com o suporte para obter ajuda de diagnóstico. Não há um conjunto padrão de etapas que possa resolver esses erros. Quando entrar em contato com o suporte, certifique-se de incluir o máximo de informações possível sobre as etapas que levaram a um erro e as informações do locatário.
| Código de erro | Error message |
|---|---|
| InvalidParameter | A solicitação não deve ser nula |
| InvalidParameter | ObjectId não deve ser nulo ou vazio para ReplicationScope:{0} |
| InvalidParameter | O comprimento de CompanyName {0}\ é maior do que o comprimento máximo permitido {1} |
| InvalidParameter | UserPrincipalName não deve ser nulo ou vazio |
| InvalidParameter | O TenantId fornecido não está no formato correto |
| InvalidParameter | SessionId não deve ser nulo ou vazio |
| InvalidParameter | Não foi possível resolver nenhum ProofData da solicitação ou Msods. O ProofData não é conhecido |
| Erro interno | |
| OathCodePinIncorreto | |
| VersãoNotSupported | |
| MFAPinNotSetup |
Próximos passos
Solucionar problemas de contas de usuário
Se os seus utilizadores estiverem a ter problemas com a verificação em dois passos, ajude-os a autodiagnosticar problemas.
Script de verificação de integridade
O script de verificação de integridade da Extensão NPS de autenticação multifator do Microsoft Entra executa várias verificações básicas de integridade ao solucionar problemas da extensão NPS. Aqui está um resumo rápido sobre cada opção disponível quando o script é executado:
- Opção 1 - para isolar a causa do problema: se for um problema de NPS ou MFA (Exportar chaves de MFA, Reiniciar NPS, Testar, Importar chaves de repetição, Reiniciar NPS)
- Opção 2 - para verificar um conjunto completo de testes, quando nem todos os usuários podem usar a extensão MFA NPS (Testando o acesso ao Azure/Criar relatório HTML)
- Opção 3 - para verificar um conjunto específico de testes, quando um usuário específico não pode usar a extensão NPS MFA (MFA de teste para UPN específico)
- Opção 4 - para coletar logs para entrar em contato com o suporte da Microsoft (Habilitar Logging/Reiniciar NPS/Coletar Logs)
Contacte o Suporte da Microsoft
Se precisar de ajuda adicional, contacte um profissional de suporte através do suporte MFA. Ao entrar em contato conosco, é útil se você puder incluir o máximo possível de informações sobre seu problema. As informações que você pode fornecer incluem a página onde você viu o erro, o código de erro específico, o ID de sessão específico, o ID do usuário que viu o erro e os logs de depuração.
Para coletar logs de depuração para diagnóstico de suporte, execute o script de verificação de integridade da Extensão NPS de autenticação multifator do Microsoft Entra no servidor NPS e escolha a opção 4 para coletar os logs e fornecê-los ao suporte da Microsoft.
No final, carregue o arquivo de saída zip gerado na pasta C:\NPS e anexe-o ao caso de suporte.