Solucionar problemas de autenticação de passagem do Microsoft Entra
Este artigo ajuda você a encontrar informações de solução de problemas comuns relacionados à autenticação de passagem do Microsoft Entra.
Importante
Se você estiver enfrentando problemas de login do usuário com a Autenticação de Passagem, não desative o recurso ou desinstale os Agentes de Autenticação de Passagem sem ter uma conta de Administrador de Identidade Híbrida somente na nuvem para recorrer.
Questões gerais
Verificar o status do recurso e dos Agentes de Autenticação
Verifique se o recurso Autenticação de Passagem ainda está Habilitado em seu locatário e se o status de Agentes de Autenticação mostra Ativo e não Inativo. Você pode verificar o status acessando a folha Microsoft Entra Connect no centro de administração do Microsoft Entra.
Mensagens de erro de entrada voltadas para o usuário
Se o usuário não conseguir entrar usando a Autenticação de Passagem, ele poderá ver um dos seguintes erros voltados para o usuário na tela de entrada do Microsoft Entra:
| Erro | Descrição | Resolução |
|---|---|---|
| AADSTS80001 | Não é possível conectar-se ao Ative Directory | Verifique se os servidores do agente são membros da mesma floresta do AD que os usuários cujas senhas precisam ser validadas e se eles podem se conectar ao Ative Directory. |
| AADSTS80002 | Ocorreu um tempo limite de conexão com o Ative Directory | Verifique se o Ative Directory está disponível e respondendo às solicitações dos agentes. |
| AADSTS80004 | O nome de usuário passado para o agente não era válido | Verifique se o usuário está tentando entrar com o nome de usuário correto. |
| AADSTS80005 | A validação encontrou WebException imprevisível | Um erro transitório. Repita a solicitação. Se continuar a falhar, contacte o suporte da Microsoft. |
| AADSTS80007 | Ocorreu um erro na comunicação com o Ative Directory | Verifique os logs do agente para obter mais informações e verifique se o Ative Directory está operando conforme o esperado. |
Os usuários obtêm erro de nome de usuário/senha inválido
Isso pode acontecer quando o UserPrincipalName (UPN) local de um usuário é diferente do UPN na nuvem do usuário.
Para confirmar que esse é o problema, primeiro teste se o agente de autenticação de passagem está funcionando corretamente:
Crie uma conta de teste.
Importe o módulo PowerShell na máquina do agente:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Execute o comando Invoke PowerShell:
Invoke-PassthroughAuthOnPremLogonTroubleshooterQuando lhe for pedido para introduzir credenciais, introduza o mesmo nome de utilizador e palavra-passe que são utilizados para iniciar sessão em (https://login.microsoftonline.com).
Se você receber o mesmo erro de nome de usuário/senha, isso significa que o agente de Autenticação de Passagem está funcionando corretamente e o problema pode ser que o UPN local não é roteável. Para saber mais, consulte Configurando ID de login alternativo.
Importante
Se o servidor Microsoft Entra Connect não estiver associado ao domínio, um requisito mencionado em Microsoft Entra Connect: Pré-requisitos, ocorrerá o problema de nome de usuário/senha inválido.
Motivos de falha de entrada no centro de administração do Microsoft Entra (precisa de licença Premium)
Se o seu inquilino tiver uma licença do Microsoft Entra ID P1 ou P2 associada, também pode consultar o relatório de atividade de início de sessão no centro de administração do Microsoft Entra.
Navegue até Microsoft Entra ID ->Sign-ins no [Centro de administração do Microsoft Entra](https://portal.azure.com/) e clique na atividade de entrada de um usuário específico. Procure o campo CÓDIGO DE ERRO DE ENTRADA. Mapeie o valor desse campo para um motivo e resolução de falha usando a tabela a seguir:
| Código de erro de início de sessão | Motivo da falha de início de sessão | Resolução |
|---|---|---|
| 50144 | A senha do Ative Directory do usuário expirou. | Redefina a senha do usuário no Ative Directory local. |
| 80001 | Nenhum agente de autenticação disponível. | Instale e registre um Agente de Autenticação. |
| 80002 | A solicitação de validação de senha do Agente de Autenticação expirou. | Verifique se o Ative Directory está acessível a partir do Agente de Autenticação. |
| 80003 | Resposta inválida recebida pelo Agente de Autenticação. | Se o problema for consistentemente reproduzível em vários usuários, verifique a configuração do Ative Directory. |
| 80004 | UPN (Nome Principal do Usuário) incorreto usado na solicitação de entrada. | Peça ao usuário para entrar com o nome de usuário correto. |
| 80005 | Agente de autenticação: Ocorreu um erro. | Erro transitório. Tente novamente mais tarde. |
| 80007 | O Agente de Autenticação não consegue ligar ao Ative Directory. | Verifique se o Ative Directory está acessível a partir do Agente de Autenticação. |
| 80010 | O Agente de Autenticação não consegue desencriptar a palavra-passe. | Se o problema for consistentemente reproduzível, instale e registre um novo Agente de Autenticação. E desinstale o atual. |
| 80011 | O Agente de Autenticação não consegue recuperar a chave de desencriptação. | Se o problema for consistentemente reproduzível, instale e registre um novo Agente de Autenticação. E desinstale o atual. |
| 80014 | O pedido de validação foi respondido após o tempo máximo decorrido excedido. | O agente de autenticação atingiu o tempo limite. Abra um tíquete de suporte com o código de erro, ID de correlação e carimbo de data/hora para obter mais detalhes sobre esse erro |
Importante
Os Agentes de Autenticação de Passagem autenticam os usuários do Microsoft Entra validando seus nomes de usuário e senhas em relação ao Ative Directory chamando a API Win32 LogonUser. Como resultado, se você tiver definido a configuração "Logon em" no Ative Directory para limitar o acesso de logon da estação de trabalho, você terá que adicionar servidores que hospedam agentes de autenticação de passagem à lista de servidores "Logon em" também. Se não fizer isso, os usuários não entrarão no Microsoft Entra ID.
Problemas de instalação do Agente de Autenticação
Ocorreu um erro inesperado
Colete logs de agente do servidor e entre em contato com o Suporte da Microsoft com seu problema.
Problemas de registro do Agente de Autenticação
O registro do agente de autenticação falhou devido a portas bloqueadas
Certifique-se de que o servidor no qual o Agente de Autenticação foi instalado possa se comunicar com nossas URLs e portas de serviço listadas aqui.
O registro do Agente de Autenticação falhou devido a erros de autorização de token ou conta
Certifique-se de usar uma conta de Administrador de Identidade Híbrida somente na nuvem para todas as operações de instalação e registro do Microsoft Entra Connect ou do Agente de Autenticação autônomo. Há um problema conhecido com contas de Administrador de Identidade Híbrida habilitadas para MFA; desative o MFA temporariamente (apenas para concluir as operações) como uma solução alternativa.
Ocorreu um erro inesperado
Colete logs de agente do servidor e entre em contato com o Suporte da Microsoft com seu problema.
Problemas de desinstalação do Agente de Autenticação
Mensagem de aviso ao desinstalar o Microsoft Entra Connect
Se você tiver a Autenticação de Passagem habilitada em seu locatário e tentar desinstalar o Microsoft Entra Connect, ela mostrará a seguinte mensagem de aviso: "Os usuários não poderão entrar na ID do Microsoft Entra a menos que você tenha outros agentes de Autenticação de Passagem instalados em outros servidores."
Certifique-se de que sua configuração esteja altamente disponível antes de desinstalar o Microsoft Entra Connect para evitar quebrar o login do usuário.
Problemas com a ativação do recurso
A ativação do recurso falhou porque não havia agentes de autenticação disponíveis
Você precisa ter pelo menos um Agente de Autenticação ativo para habilitar a Autenticação de Passagem em seu locatário. Você pode instalar um Agente de Autenticação instalando o Microsoft Entra Connect ou um Agente de Autenticação autônomo.
A ativação do recurso falhou devido a portas bloqueadas
Certifique-se de que o servidor no qual o Microsoft Entra Connect está instalado pode se comunicar com nossas URLs e portas de serviço listadas aqui.
A ativação do recurso falhou devido a erros de autorização de token ou conta
Certifique-se de usar uma conta de Administrador de Identidade Híbrida somente na nuvem ao habilitar o recurso. Há um problema conhecido com contas de Administrador de Identidade Híbrida habilitadas para autenticação multifator (MFA); desative o MFA temporariamente (apenas para concluir a operação) como uma solução alternativa.
Coletando logs do Agente de Autenticação de Passagem
Dependendo do tipo de problema que você possa ter, você precisa procurar logs do Agente de Autenticação de Passagem em locais diferentes.
Logs do Microsoft Entra Connect
Para erros relacionados à instalação, verifique os logs do Microsoft Entra Connect em %ProgramData%\AADConnect\trace-*.log.
Logs de eventos do Agente de Autenticação
Para erros relacionados ao Agente de Autenticação, abra o aplicativo Visualizador de Eventos no servidor e verifique em Logs de Aplicativo e Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Para análises detalhadas, ative o log "Sessão" (clique com o botão direito do mouse dentro do aplicativo Visualizador de Eventos para encontrar essa opção). Não execute o Agente de Autenticação com este log ativado durante operações normais; Use apenas para solução de problemas. O conteúdo do log só fica visível depois que o log é desativado novamente.
Logs de rastreamento detalhados
Para solucionar problemas de falhas de entrada do usuário, procure logs de rastreamento em %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Esses logs incluem os motivos pelos quais o login de um usuário específico falhou usando o recurso de Autenticação de Passagem. Esses erros também são mapeados para os motivos de falha de entrada mostrados na tabela de motivos de falha de entrada anterior. Segue-se um exemplo de entrada de registo:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Você pode obter detalhes descritivos do erro ('1328' no exemplo anterior) abrindo o prompt de comando e executando o seguinte comando (Nota: Substitua '1328' pelo número de erro real que você vê em seus logs):
Net helpmsg 1328
Logs de entrada de autenticação de passagem
Se o log de auditoria estiver habilitado, informações adicionais poderão ser encontradas nos logs de segurança do servidor de Autenticação de Passagem. Uma maneira simples de consultar solicitações de entrada é filtrar logs de segurança usando a seguinte consulta:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Contadores do Monitor de Desempenho
Outra maneira de monitorar os Agentes de Autenticação é rastrear contadores específicos do Monitor de Desempenho em cada servidor onde o Agente de Autenticação está instalado. Use os seguintes contadores globais (# autenticações PTA, #PTA autenticações com falha e #PTA autenticações bem-sucedidas) e contadores de erro (# erros de autenticação PTA):
Importante
A Autenticação de Passagem fornece alta disponibilidade usando vários Agentes de Autenticação e não balanceamento de carga. Dependendo da sua configuração, nem todos os seus Agentes de Autenticação recebem aproximadamente o mesmo número de solicitações. É possível que um Agente de Autenticação específico não receba tráfego.