你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

本文说明 Azure AD Connect 与 Azure Active Directory (Azure AD) 之间的连接是如何工作的，以及如何排查连接问题。 这些问题很有可能出现在使用代理服务器的环境中。

Azure AD Connect 使用 Microsoft 身份验证库 (MSAL) 进行身份验证。 安装向导和同步引擎要求正确配置 machine.config，因为这二者都是 .NET 应用程序。

注意

Azure AD Connect v1.6.xx.x 使用 Active Directory 身份验证库 (ADAL)。 ADAL 将被弃用，支持于 2022 年 6 月结束。 我们建议升级到最新版本的 Azure AD Connect v2。

在本文中，我们说明了 Fabrikam 如何通过其代理连接到 Azure AD。 代理服务器名为 fabrikamproxy 并使用端口 8080。

首先，请确保正确配置 machine.config 且在 machine.config 文件更新后已重启 Microsoft Azure AD Sync 服务。

注意

一些非 Microsoft 博客指出应更改 miiserver.exe.config 而不是 machine.config 文件。 但是，每次升级时都会覆盖 miiserver.exe.config 文件。 即使文件在初始安装期间正常工作，系统也会在第一次升级期间停止工作。 因此，建议按本文所述更新 machine.config。

还必须在代理服务器上打开所需的 URL。 Office 365 URL 和 IP 地址范围中提供了正式列表。

在这些 URL 中，至少下表列出的 URL 必须能够连接到 Azure AD。 此列表未包含任何可选功能，例如密码写回或 Azure AD Connect Health。 此处提供的信息有助于对初始配置进行故障排除。

安装向导使用两种不同的安全上下文。 在“连接到 Azure AD”页上，它使用当前已登录的用户。 在“配置”页上，它则改为使用运行同步引擎服务的帐户。 如果出现问题，错误很可能显示在向导的“连接到 Azure AD”页上，因为代理配置是全局性的。

以下问题是在安装向导中可能遇到的最常见错误。

当向导本身无法访问代理时，将出现此错误。

如果看到此错误，请验证是否已正确配置 machine.config 文件。 如果 machine.config 看起来正确，请完成验证代理连接中的步骤，以了解问题是否也出现在向导外部。

如果使用的是 Microsoft 帐户而不是学校或组织帐户，则会看到一个常规错误：

如果无法访问终结点 https://secure.aadcdn.microsoftonline-p.com 并且混合标识管理员已启用 MFA，则会出现此错误。

如果看到此错误，请验证是否已将终结点 secure.aadcdn.microsoftonline-p.com 添加到代理。

如果安装向导已成功连接到 Azure AD，但无法验证密码本身，将出现以下错误：

密码是否为必须更改的临时密码？ 它是否确实为正确的密码？ 请在 Azure AD Connect 服务器以外的另一台计算机上尝试登录到 https://login.microsoftonline.com，并验证该帐户是否可用。

若要检查 Azure AD Connect 服务器是否正在连接到代理和 Internet，请使用一些 PowerShell cmdlet 查看代理是否允许 Web 请求。 在 PowerShell 中运行 Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc。 （从技术上讲，第一个调用是对 https://login.microsoftonline.com 发出的，并且此 URI 也能正常工作，但另一个 URI 的响应速度更快。）

PowerShell 使用 machine.config 中的配置来联系代理。 winhttp/netsh 中的设置应该不会影响这些 cmdlet。

如果代理配置正确，则会显示成功状态：

如果看到“无法连接到远程服务器”消息，则表示 PowerShell 正在尝试进行直接调用而未使用代理，或者 DNS 配置不正确。 请确保正确配置了 machine.config 文件。

如果未正确配置代理，则会出现 403 或 407 错误消息：

下表介绍了 403 和 407 代理错误：

Azure AD Connect 向 Azure AD 发送导出请求时，在生成响应之前，Azure AD 最多可用 5 分钟的时间来处理该请求。 如果同一导出请求中包含许多具有大量组成员身份的组对象，则响应特别有可能延迟。 确保代理空闲超时配置为大于 5 分钟。 否则，Azure AD Connect 服务器上可能会出现 Azure AD 的间歇性连接问题。

如果已按照本文中所述的所有步骤操作，但仍无法连接，此时可能需要查看网络日志。 本部分说明正常且成功的连接模式。

但首先，下面是一些可以忽略的有关网络日志中数据的常见问题：

以下示例是实际代理日志中的转储以及从中获取此信息的安装向导页（已删除同一终结点的重复条目）。 本部分可用作自己的代理和网络日志的参考。 你的环境中的实际终结点可能有所不同（尤其是以斜体显示的 URL）。

连接到 Azure AD

配置

初始同步

本部分说明可能从 ADAL 和 PowerShell 返回的错误。 有关错误的说明可帮助你确定后续步骤。

输入的用户名或密码无效。 有关详细信息，请参阅无法验证密码。

找不到或无法解析 Azure AD 目录。 也许你尝试了使用未经验证的域中的用户名登录？

网络或代理配置问题。 无法访问网络。 请参阅安装向导中的连接问题。

凭据已过期。 请更改密码。

Azure AD Connect 未能授权用户在 Azure AD 中执行操作。

MFA 质询已取消。

身份验证成功，但 Azure AD PowerShell 出现身份验证问题。

已成功对用户进行身份验证，但用户未被分配全局管理员角色。 可以将全局管理员角色分配给用户。

身份验证已成功，但 Privileged Identity Management 已启用，并且用户当前不是混合标识管理员。 有关详细信息，请参阅 Privileged Identity Management。

身份验证已成功，但无法从 Azure AD 检索公司信息。

身份验证已成功，但无法从 Azure AD 检索域信息。

在安装向导中显示为“意外错误”。 如果尝试使用 Microsoft 帐户而不是学校或组织帐户，则可能会发生此错误。

在从内部版本号 1.1.105.0（2016 年 2 月发布）开始的版本中，登录助手已停用。 应不再需要配置登录助手，但后续部分中包含了相应信息以供参考。

要使单点登录助手正常工作，必须配置 Microsoft Windows HTTP Services (WinHTTP)。 可以使用 netsh 配置 WinHTTP。

当登录助手无法访问代理或代理不允许该请求时，将出现此错误。

如果看到此错误，请在 netsh 中查看代理配置并验证该配置是否正确。

如果 machine.config 看起来正确，请完成验证代理连接中的步骤，以了解问题是否出现在向导外部。

了解有关将本地标识与 Azure Active Directory 集成的详细信息。