Можно ли проходной выключатель подключить как обычный


Как подключить проходной выключатель как обычный и наоборот: можно ли это сделать

Содержание статьи:

Установка проходного выключателя является оптимальной, когда необходимо управлять световым устройством из нескольких разных мест. Зная схему подключения, для подобной системы можно использовать традиционный прибор. Чтобы обеспечить комфортное управление источником света, нужно знать, как подключить проходной выключатель как обычный.

Особенности конструкции

Применение проходного выключателя

Исходя из количества коммутируемых электрических цепей, устройства могут быть одно-, двух- и трехклавишными. Клеммы с винтовыми или пружинными зажимами. Также конструкция зависит от функционального назначения. Виды устройств отличаются при использовании для внешней или внутренней проводки.

Подобное электрооборудование предназначено для включения и выключения из разных мест одного или группы светильников. Нет потребности возвращаться в другой конец помещения, чтобы нажать клавишу. Электроприборы применяют в квартирах большой площади, в коридорах и на лестницах, при освещении садовых дорожек, в спальне. Кроме удобства, это дает экономию электроэнергии.

Проходные выключатели также используются в концертных залах, на стадионах, в подземных переходах и туннелях, в подъездах высотных домов.

Различия между проходным и традиционным выключателем

Разница между проходным и обычным выключателем (вид сзади)

По внешнему виду выключатели ничем не разнятся. Внутренняя конструкция обычного снабжена одним входом и выходом. Может иметь до трех клавиш, что позволяет управлять несколькими источниками освещения. Чаще устанавливают возле входа в помещение. Подключение осуществляется с помощью двух клемм.

Классический проходной имеет пару выходов и один вход. В этом случае электрический ток не разрывается, а перенаправляется на любой другой выход. Под корпусом изделия нанесена схема. Проходной одноклавишный снабжен трехжильной коммутацией и тремя клеммами с медными контактами. Это переключатель, который перенаправляет ток на другие участки.

По конструкции, способу установки и типу управления выключатели могут быть:

  • клавишные;
  • кнопочные;
  • ползунковые;
  • тяговые;
  • тумблерные.

Также их классифицируют в зависимости от напряжения и силы тока, степени защиты, климатических условий, в которых их устанавливают.

Важно не спутать электроприбор с перекидным или перекрестным. На клавише проходного обозначен вертикальный треугольник, в остальных он расположен в горизонтальном направлении.

Как подсоединить проходное устройство

Подвод тока осуществляют через распределительную коробку. Выбирают подходящее место, устанавливают ее и выводят трехжильный кабель. Кроме фазы и нуля он снабжен заземляющим проводом, что делает систему безопасной. Заводская цветовая маркировка жил упрощает монтаж. Чаще это медный гибкий кабель, сечение отдельных проводов от 1 до 1,5 мм.

Предварительно делают разметку, где будут располагаться выключатели и светильники. Затем штробят стены и выполняют разводку линий проводников. Сверлят ниши для монтажа механизма выключателя. После подготовительных работ можно подсоединять всю систему.

Провода в распределительной коробке

Для правильного и безопасного подключения следует соблюдать следующую последовательность:

  1. Прежде всего необходимо удостовериться, какой провод в коробке является фазой, обычно он красного цвета.
  2. Отключить напряжение.
  3. К близлежащему выключателю подводят фазу и подключают ее на клемму «1».
  4. По маркировке на клеммнике подсоединяют остальные жилы, запомнив соответствующие цвета.
  5. Аналогично выполняют работу на другом выключателе.
  6. Жилу от второго выключателя с фазой светильника соединяют с ярким проводом в распределительной коробке.
  7. Два других провода от первого выключателя подводят к соответствующим клеммам второго.
  8. Ноль и заземление от коробки подводят к таким же по цвету жилам светильника.
  9. Все скрутки необходимо выполнить правильно, заизолировать соединения.

Затем можно подать ток на несколько часов и проверить работу системы. Каждый из выключателей должен отключать и включать осветительный прибор независимо от другого. Если этого не происходит, следует проверить правильность схемы. Обнаруженные очаги тепла – признак слабого контакта. Необходимо обесточить систему и пересмотреть соединение.

Нельзя скручивать медную и алюминиевую жилу.

Как из простого выключателя сделать проходной

Схема управления освещением с двух мест с помощью проходных выключателей

Для преобразования понадобится два выключателя – одно- и двухклавишный. Лучше, если они будут от одного производителя и одинаковые по размеру. Суть переделки – добавление еще одного контакта в двухклавишный обычный выключатель. Предварительно нужно убедиться, что конструкция позволяет поменять местами клеммы.

На керамическом основании есть группа общих, частных и контакты «коромысла». Электрическую часть снимают, один из подвижных контактов разворачивают на 180°. Одну площадку из общей группы срезают. Получившийся механизм собирают, проверяя его работу.

Устройство закрывают одинарной крышкой. Можно оставить двойные клавиши, склеив их между собой. Таким образом, в одном положении активируется одна цепь. Переключив клавишу, будет подключаться другая.

Перекидной выключатель

Варианты схем

Снабжен двумя входами и выходами, имеет четыре клеммы, сразу переключает пару контактов. Используется не так часто, но в некоторых случаях незаменим. Облегчает передвижение в темное время суток:

  • в большом коридоре или холле с множеством дверей;
  • в квартире с тремя уровнями;
  • спальне с выключателем у входа и двумя рядом с кроватью;
  • находясь в доме, возможно управлять светильниками в гараже, на террасе, в беседке.

Чтобы обустроить освещение лестницы в трехэтажном здании, необходимо создать три точки контроля. Перекидной переключатель перекрестного типа не используется сам по себе. Подключать его нужно в разрыве между проходными выключателями. Зная порядок подключения проходного, несложно разобраться, как сделать переключатель перекидной.

Их количество может доходить до 10, но они всегда должны быть расположены между проходными.

Есть несколько схем для управления освещением из 3 и более мест. Собрать цепь можно через распределительный щиток, или минуя его. Возможно подключение сразу нескольких типов светильников.

Можно ли использовать проходной выключатель как обычный

Иногда необходимо из проходного выключателя сделать обычный двухклавишный. Устанавливают проходное устройство таким образом, чтобы оно работало как простое. Для этого нужно подключить его без пары.

Однако тогда теряется смысл элементов его конструкции. А ведь сложность механизма и количество деталей сказывается на цене. Нет смысла покупать дорогой проходной выключатель и использовать его как обычный.

Недостатки проходных устройств

Перед подключением нужно всегда проверять схему. Входные и выходные контакты перекидного выключателя могут располагаться по-разному

Положение клавиш не позволяет определить, выключена или включена система. Например, сразу не удастся понять, отключен свет или перегорела лампочка. Невозможно одновременно из разных мест управлять световым прибором. Большое количество подключенных приборов подразумевает массу скруток в распределительной коробке. Ошибки в подключении вынуждают собирать всю схему заново.

Проходной выключатель обладает многими функциональными возможностями. Но чтобы его подсоединить, нужно приобрести еще один прибор. Также возрастает количество соединительных проводов, что увеличивает общую стоимость системы. Обыкновенный выключатель имеет сравнительно низкий ценовой показатель, но проигрывает в функциональности.

://

Azure AD Connect: сквозная проверка подлинности - часто задаваемые вопросы

  • 8 минут на чтение

В этой статье

В этой статье рассматриваются часто задаваемые вопросы о сквозной аутентификации Azure Active Directory (Azure AD). Продолжайте проверять наличие обновленного содержимого.

Какой из методов входа в Azure AD, сквозной аутентификации, синхронизации хэша паролей и служб федерации Active Directory (AD FS) мне следует выбрать?

Просмотрите это руководство, чтобы сравнить различные методы входа в Azure AD и узнать, как выбрать правильный метод входа для вашей организации.

Является ли сквозная аутентификация бесплатной функцией?

Сквозная аутентификация - это бесплатная функция. Для его использования вам не нужны какие-либо платные выпуски Azure AD.

Работает ли условный доступ с сквозной аутентификацией?

Да. Все возможности условного доступа, включая Многофакторную аутентификацию Azure, работают с сквозной аутентификацией.

Поддерживает ли сквозная аутентификация «Альтернативный идентификатор» в качестве имени пользователя вместо «userPrincipalName»?

Да, вход с использованием значения, отличного от имени участника-пользователя, например альтернативного адреса электронной почты, поддерживается как для сквозной проверки подлинности (PTA), так и для синхронизации хэша паролей (PHS). Дополнительные сведения об альтернативном идентификаторе входа.

Действует ли синхронизация хэша пароля как альтернатива сквозной аутентификации?

Нет. Сквозная проверка подлинности не выполняет автоматическое переключение на синхронизацию хэшей паролей. Чтобы избежать сбоев входа пользователя в систему, вам следует настроить сквозную аутентификацию для обеспечения высокой доступности.

Что происходит, когда я переключаюсь с синхронизации хэшей паролей на сквозную аутентификацию?

Когда вы используете Azure AD Connect для переключения метода входа с синхронизации хэша паролей на сквозную аутентификацию, сквозная аутентификация становится основным методом входа для ваших пользователей в управляемых доменах.Обратите внимание, что хэши паролей всех пользователей, которые ранее были синхронизированы с помощью синхронизации хэшей паролей, остаются в Azure AD.

Могу ли я установить соединитель прокси приложения Azure AD на том же сервере, что и агент сквозной аутентификации?

Да. Обновленные версии агента сквозной аутентификации версии 1.5.193.0 или новее поддерживают эту конфигурацию.

Какие версии Azure AD Connect и агента сквозной аутентификации вам нужны?

Для работы этой функции вам потребуется версия 1.1.750.0 или новее для Azure AD Connect и 1.5.193.0 или новее для агента сквозной аутентификации. Установите все программное обеспечение на серверы с Windows Server 2012 R2 или новее.

Что произойдет, если срок действия пароля моего пользователя истек, и он попытается войти в систему с помощью сквозной аутентификации?

Если вы настроили обратную запись паролей для определенного пользователя и если пользователь входит в систему с помощью сквозной проверки подлинности, он может изменить или сбросить свои пароли. Пароли записываются обратно в локальную Active Directory, как и ожидалось.

Если вы не настроили обратную запись пароля для определенного пользователя или если пользователю не назначена действующая лицензия Azure AD, пользователь не сможет обновить свой пароль в облаке. Они не могут обновить свой пароль, даже если срок его действия истек. Вместо этого пользователь видит следующее сообщение: «Ваша организация не позволяет вам обновлять свой пароль на этом сайте. Обновите его в соответствии с методом, рекомендованным вашей организацией, или обратитесь к администратору, если вам нужна помощь». Пользователь или администратор должны сбросить свой пароль в локальной службе Active Directory.

Как сквозная аутентификация защищает вас от взлома пароля?

Прочтите информацию о Smart Lockout.

Что агенты сквозной аутентификации обмениваются данными через порты 80 и 443?

  • Агенты аутентификации отправляют HTTPS-запросы через порт 443 для всех операций с функциями.

  • Агенты аутентификации отправляют HTTP-запросы через порт 80 для загрузки списков отзыва сертификатов (CRL) TLS / SSL.

    Примечание

    Последние обновления уменьшили количество портов, необходимых для этой функции. Если у вас есть более старые версии Azure AD Connect или агента аутентификации, оставьте открытыми и эти порты: 5671, 8080, 9090, 9091, 9350, 9352 и 10100-10120.

Могут ли агенты сквозной аутентификации обмениваться данными через исходящий веб-прокси-сервер?

Да. Если в вашей локальной среде включено автоматическое обнаружение веб-прокси (WPAD), агенты проверки подлинности автоматически пытаются найти и использовать веб-прокси-сервер в сети.

Если в вашей среде нет WPAD, вы можете добавить информацию о прокси (как показано ниже), чтобы агент сквозной аутентификации мог взаимодействовать с Azure AD:

  • Настройте информацию прокси в Internet Explorer перед установкой агента сквозной проверки подлинности на сервере. Это позволит вам завершить установку агента аутентификации, но он по-прежнему будет отображаться как Неактивный на портале администратора.
  • На сервере перейдите к «C: \ Program Files \ Microsoft Azure AD Connect Authentication Agent».
  • Отредактируйте файл конфигурации «AzureADConnectAuthenticationAgentService» и добавьте следующие строки (замените «http://contosoproxy.com:8080» на свой фактический адрес прокси-сервера):
    <прокси usesystemdefault = "истина" proxyaddress = "http://contosoproxy.com:8080" bypassonlocal = "правда" />    

Могу ли я установить два или более агентов сквозной аутентификации на одном сервере?

Нет, на одном сервере можно установить только один агент сквозной аутентификации. Если вы хотите настроить сквозную аутентификацию для обеспечения высокой доступности, следуйте приведенным здесь инструкциям.

Должен ли я вручную обновлять сертификаты, используемые агентами сквозной аутентификации?

Обмен данными между каждым агентом сквозной проверки подлинности и Azure AD защищен с помощью проверки подлинности на основе сертификатов.Эти сертификаты автоматически обновляются каждые несколько месяцев службой Azure AD. Эти сертификаты не нужно обновлять вручную. При необходимости вы можете удалить старые сертификаты с истекшим сроком действия.

Как удалить агент сквозной аутентификации?

Пока работает агент сквозной аутентификации, он остается активным и постоянно обрабатывает запросы пользователя на вход. Если вы хотите удалить агент проверки подлинности, перейдите в Панель управления -> Программы -> Программы и компоненты и удалите программы Microsoft Azure AD Connect Authentication Agent и Microsoft Azure AD Connect Agent Updater .

Если вы проверите колонку Сквозная проверка подлинности в центре администрирования Azure Active Directory после завершения предыдущего шага, вы увидите, что агент проверки подлинности отображается как Неактивно . Это , ожидаемое . Агент аутентификации автоматически удаляется из списка через 10 дней.

Я уже использую AD FS для входа в Azure AD. Как переключить его на сквозную аутентификацию?

Если вы переходите с AD FS (или других технологий федерации) на сквозную аутентификацию, мы настоятельно рекомендуем вам следовать нашему подробному руководству по развертыванию, опубликованному здесь.

Могу ли я использовать сквозную аутентификацию в среде Active Directory с несколькими лесами?

Да. Среды с несколькими лесами поддерживаются при наличии доверительных отношений между лесами (двусторонними) между лесами Active Directory и при правильной настройке маршрутизации суффиксов имен.

Обеспечивает ли сквозная аутентификация балансировку нагрузки между несколькими агентами аутентификации?

Нет, установка нескольких агентов сквозной аутентификации обеспечивает только высокую доступность. Он не обеспечивает детерминированную балансировку нагрузки между агентами аутентификации.Любой агент аутентификации (произвольно) может обработать конкретный запрос на вход пользователя.

Сколько агентов сквозной аутентификации мне нужно установить?

Установка нескольких агентов сквозной аутентификации обеспечивает высокую доступность. Но он не обеспечивает детерминированную балансировку нагрузки между агентами аутентификации.

Учитывайте пиковую и среднюю нагрузку запросов на вход, которые вы ожидаете увидеть в своем клиенте. В качестве эталонного теста один агент аутентификации может обрабатывать от 300 до 400 аутентификаций в секунду на стандартном 4-ядерном ЦП и сервере с ОЗУ 16 ГБ.

Для оценки сетевого трафика используйте следующие рекомендации по определению размера:

  • Каждый запрос имеет размер полезной нагрузки (0,5K + 1K * num_of_agents) байт; то есть данные из Azure AD в агент аутентификации. Здесь «num_of_agents» указывает количество агентов аутентификации, зарегистрированных на вашем клиенте.
  • Каждый ответ имеет размер полезной нагрузки 1 Кбайт; то есть данные от агента аутентификации в Azure AD.

Для большинства клиентов всего двух или трех агентов аутентификации достаточно для обеспечения высокой доступности и емкости.Вы должны установить агентов аутентификации рядом с контроллерами домена, чтобы уменьшить задержку при входе.

Примечание

Существует ограничение системы в 40 агентов аутентификации на каждого арендатора.

Могу ли я установить первый агент сквозной аутентификации на сервере, отличном от того, на котором выполняется Azure AD Connect?

Нет, этот сценарий не поддерживается.

Зачем мне нужна облачная учетная запись глобального администратора для включения сквозной аутентификации?

Рекомендуется включать или отключать сквозную аутентификацию с помощью облачной учетной записи глобального администратора.Узнайте о добавлении облачной учетной записи глобального администратора. Это гарантирует, что вы не потеряете доступ к своему арендатору.

Как отключить сквозную аутентификацию?

Перезапустите мастер Azure AD Connect и измените метод входа пользователя с сквозной проверки подлинности на другой метод. Это изменение отключает сквозную аутентификацию на клиенте и удаляет агент аутентификации с сервера. Вы должны вручную удалить агентов аутентификации с других серверов.

Что происходит, когда я удаляю агент сквозной аутентификации?

Если вы удалите агент сквозной аутентификации с сервера, это приведет к тому, что сервер перестанет принимать запросы на вход. Чтобы избежать нарушения возможности входа пользователя в систему на вашем клиенте, убедитесь, что у вас запущен другой агент аутентификации, прежде чем удалять агент сквозной аутентификации.

У меня есть старый клиент, который изначально был настроен с использованием AD FS. Недавно мы перешли на PTA, но теперь не видим, чтобы наши изменения UPN синхронизировались с Azure AD.Почему наши изменения UPN не синхронизируются?

A: В следующих случаях ваши локальные изменения UPN могут не синхронизироваться, если:

  • Ваш клиент Azure AD был создан до 15 июня 2015 г.
  • Изначально вы были объединены с вашим клиентом Azure AD с использованием AD FS для проверки подлинности
  • Вы перешли на использование управляемых пользователей, использующих PTA в качестве аутентификации

Это связано с тем, что по умолчанию клиенты, созданные до 15 июня 2015 г., блокировали изменения UPN.Если вам нужно разблокировать изменения UPN, вам необходимо запустить следующую команду PowerShell:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $ True

Клиенты, созданные после 15 июня 2015 г., по умолчанию имеют синхронизацию изменений UPN.

Следующие шаги

.

Сквозная проверка подлинности Azure AD - краткое руководство

  • На чтение 9 минут

В этой статье

Развертывание сквозной аутентификации Azure AD

Сквозная проверка подлинности

Azure Active Directory (Azure AD) позволяет пользователям входить как в локальные, так и в облачные приложения, используя одни и те же пароли.Сквозная проверка подлинности выполняет вход пользователей, проверяя их пароли непосредственно в локальной службе Active Directory.

Важно

Если вы переходите с AD FS (или других технологий федерации) на сквозную аутентификацию, мы настоятельно рекомендуем вам следовать нашему подробному руководству по развертыванию, опубликованному здесь.

Следуйте этим инструкциям, чтобы развернуть сквозную аутентификацию на своем клиенте:

Шаг 1. Проверьте предварительные условия

Убедитесь, что выполнены следующие предварительные условия.

Важно

С точки зрения безопасности администраторы должны рассматривать сервер, на котором запущен агент PTA, как если бы он был контроллером домена. Серверы агентов PTA должны быть усилены в соответствии с теми же принципами, которые описаны в разделе «Защита контроллеров домена от атак»

.

В центре администрирования Azure Active Directory

  1. Создайте облачную учетную запись глобального администратора в своем клиенте Azure AD. Таким образом, вы можете управлять конфигурацией вашего клиента, если ваши локальные службы выйдут из строя или станут недоступны.Узнайте, как добавить облачную учетную запись глобального администратора. Выполнение этого шага крайне важно, чтобы вы не потеряли доступ к своему клиенту.
  2. Добавьте одно или несколько пользовательских доменных имен в свой клиент Azure AD. Ваши пользователи могут входить в систему с одним из этих доменных имен.

В локальной среде

  1. Укажите сервер под управлением Windows Server 2012 R2 или более поздней версии для запуска Azure AD Connect. Если это еще не сделано, включите TLS 1.2 на сервере. Добавьте сервер в тот же лес Active Directory, что и пользователи, пароли которых вам нужно проверить.

  2. Установите последнюю версию Azure AD Connect на сервер, указанный на предыдущем шаге. Если у вас уже работает Azure AD Connect, убедитесь, что это версия 1.1.750.0 или более поздняя.

    Примечание

    Azure AD Connect версий 1.1.557.0, 1.1.558.0, 1.1.561.0 и 1.1.614.0 имеет проблему, связанную с синхронизацией хэша паролей. Если вы, , не собираетесь использовать синхронизацию хэшей пароля в сочетании с сквозной аутентификацией, прочтите примечания к выпуску Azure AD Connect.

  3. Укажите один или несколько дополнительных серверов (под управлением Windows Server 2012 R2 или новее, с включенным TLS 1.2), на которых можно запускать автономные агенты аутентификации. Эти дополнительные серверы необходимы для обеспечения высокой доступности запросов на вход. Добавьте серверы в тот же лес Active Directory, что и пользователи, пароли которых вам необходимо проверить.

    Важно

    В производственной среде мы рекомендуем иметь как минимум 3 агента аутентификации, работающих на вашем клиенте.Существует системный лимит в 40 агентов аутентификации на одного клиента. Лучше всего рассматривать все серверы, на которых работают агенты аутентификации, как системы уровня 0 (см. Ссылку).

  4. Если между вашими серверами и Azure AD есть брандмауэр, настройте следующие элементы:

    • Убедитесь, что агенты аутентификации могут отправлять исходящих запросов в Azure AD через следующие порты:

      Агенты аутентификации
      Номер порта Как это используется
      80 Загружает списки отзыва сертификатов (CRL) при проверке сертификата TLS / SSL.
      443 Обрабатывает все исходящие сообщения со службой
      8080 (дополнительно) сообщают о своем состоянии каждые десять минут через порт 8080, если порт 443 недоступен.Этот статус отображается на портале Azure AD. Порт 8080 - это , а не , используемый для входа пользователей.

      Если ваш брандмауэр применяет правила в соответствии с исходными пользователями, откройте эти порты для трафика от служб Windows, которые работают как сетевая служба.

    • Если ваш брандмауэр или прокси-сервер разрешает занесение в белый список DNS, добавьте подключения к * .msappproxy.net и * .servicebus.windows.net . Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure, которые обновляются еженедельно.

    • Вашим агентам аутентификации необходим доступ к login.windows.net и login.microsoftonline.com для начальной регистрации. Откройте брандмауэр и для этих URL-адресов.

    • Для проверки сертификата разблокируйте следующие URL-адреса: mscrl.microsoft.com:80 , crl.microsoft.com:80 , ocsp.msocsp.com:80 и www.microsoft.com:80 . Поскольку эти URL-адреса используются для проверки сертификатов с другими продуктами Microsoft, возможно, эти URL-адреса уже разблокированы.

Обязательное условие для облака Azure для государственных организаций

Перед включением сквозной проверки подлинности через Azure AD Connect на шаге 2 загрузите последнюю версию агента PTA с портала Azure. Вам необходимо убедиться, что ваш агент имеет версию 1.5.1742.0. или новее. Чтобы проверить свой агент, см. Обновление агентов аутентификации

.

После загрузки последней версии агента следуйте приведенным ниже инструкциям, чтобы настроить сквозную аутентификацию через Azure AD Connect.

Шаг 2. Включите функцию

Включите сквозную аутентификацию через Azure AD Connect.

Важно

Вы можете включить сквозную аутентификацию на основном или промежуточном сервере Azure AD Connect. Настоятельно рекомендуется включить его с основного сервера. Если вы настраиваете промежуточный сервер Azure AD Connect в будущем, необходимо, чтобы продолжал выбирать сквозную проверку подлинности в качестве параметра входа; при выборе другого варианта отключит сквозную проверку подлинности на клиенте и переопределит настройку на основном сервере.

Если вы устанавливаете Azure AD Connect в первый раз, выберите путь выборочной установки. На странице входа пользователя в систему выберите Сквозная проверка подлинности в качестве метода входа . После успешного завершения агент сквозной проверки подлинности устанавливается на том же сервере, что и Azure AD Connect. Кроме того, на вашем клиенте включена функция сквозной аутентификации.

Если вы уже установили Azure AD Connect с помощью экспресс-установки или пользовательского пути установки, выберите задачу Изменить вход пользователя в Azure AD Connect, а затем выберите Далее .Затем выберите Сквозная проверка подлинности в качестве метода входа. После успешного завершения агент сквозной проверки подлинности устанавливается на том же сервере, что и Azure AD Connect, и эта функция включается на вашем клиенте.

Важно

Сквозная проверка подлинности - это функция уровня клиента. Включение этого параметра влияет на вход для пользователей в всех управляемых доменах вашего клиента. Если вы переключаетесь со служб федерации Active Directory (AD FS) на сквозную аутентификацию, вам следует подождать не менее 12 часов, прежде чем завершать работу инфраструктуры AD FS.Это время ожидания необходимо для того, чтобы пользователи могли продолжать входить в Exchange ActiveSync во время перехода. Для получения дополнительной помощи по переходу с AD FS на сквозную аутентификацию ознакомьтесь с нашим подробным планом развертывания, опубликованным здесь.

Шаг 3. Протестируйте функцию

Следуйте этим инструкциям, чтобы убедиться, что вы правильно включили сквозную аутентификацию:

  1. Войдите в центр администрирования Azure Active Directory с учетными данными глобального администратора для своего клиента.
  2. Выберите Azure Active Directory на левой панели.
  3. Выберите Azure AD Connect .
  4. Убедитесь, что функция сквозной аутентификации отображается как Включено .
  5. Выберите Сквозная проверка подлинности . На панели Сквозная аутентификация перечислены серверы, на которых установлены ваши агенты аутентификации.

На этом этапе пользователи из всех управляемых доменов в вашем клиенте могут войти в систему с помощью сквозной аутентификации.Однако пользователи из федеративных доменов продолжают входить в систему с помощью AD FS или другого поставщика федерации, который вы настроили ранее. Если вы преобразовываете домен из федеративного в управляемый, все пользователи из этого домена автоматически начинают вход с использованием сквозной аутентификации. Функция сквозной аутентификации не влияет на пользователей, работающих только в облаке.

Шаг 4. Обеспечьте высокую доступность

Если вы планируете развернуть сквозную аутентификацию в производственной среде, вам следует установить дополнительные автономные агенты аутентификации.Установите эти агенты аутентификации на сервере (ах) , отличном от , на котором запущено Azure AD Connect. Эта настройка обеспечивает высокую доступность для запросов пользователей на вход.

Важно

В производственной среде мы рекомендуем иметь как минимум 3 агента аутентификации, работающих на вашем клиенте. Существует системный лимит в 40 агентов аутентификации на одного клиента. Лучше всего рассматривать все серверы, на которых работают агенты аутентификации, как системы уровня 0 (см. Ссылку).

Установка нескольких агентов сквозной аутентификации обеспечивает высокую доступность, но не обеспечивает детерминированную балансировку нагрузки между агентами аутентификации. Чтобы определить, сколько агентов аутентификации вам нужно для вашего клиента, рассмотрите пиковую и среднюю нагрузку запросов на вход, которые вы ожидаете увидеть на своем клиенте. В качестве эталонного теста один агент аутентификации может обрабатывать от 300 до 400 аутентификаций в секунду на стандартном 4-ядерном ЦП и сервере с ОЗУ 16 ГБ.

Для оценки сетевого трафика используйте следующие рекомендации по выбору размера:

  • Каждый запрос имеет размер полезной нагрузки (0.5K + 1K * num_of_agents) байт, то есть данные из Azure AD в агент аутентификации. Здесь «num_of_agents» указывает количество агентов аутентификации, зарегистрированных на вашем клиенте.
  • Каждый ответ имеет размер полезной нагрузки 1 КБ, то есть данные от агента аутентификации в Azure AD.

Для большинства клиентов всего трех агентов аутентификации достаточно для обеспечения высокой доступности и емкости. Вы должны установить агентов аутентификации рядом с контроллерами домена, чтобы уменьшить задержку при входе.

Для начала следуйте этим инструкциям по загрузке программного обеспечения агента аутентификации:

  1. Чтобы загрузить последнюю версию агента проверки подлинности (версия 1.5.193.0 или более поздняя), войдите в центр администрирования Azure Active Directory с учетными данными глобального администратора вашего клиента.
  2. Выберите Azure Active Directory на левой панели.
  3. Выберите Azure AD Connect , выберите Сквозная проверка подлинности , а затем выберите Загрузить агент .
  4. Выберите Принять условия и загрузить кнопку .

Есть два способа развернуть автономный агент аутентификации:

Во-первых, вы можете сделать это в интерактивном режиме, просто запустив загруженный исполняемый файл агента аутентификации и предоставив учетные данные глобального администратора вашего клиента при появлении запроса.

Во-вторых, вы можете создать и запустить сценарий автоматического развертывания. Это полезно, если вы хотите развернуть несколько агентов аутентификации одновременно или установить агенты аутентификации на серверах Windows, на которых не включен пользовательский интерфейс или к которым вы не можете получить доступ с помощью удаленного рабочего стола.Вот инструкции о том, как использовать этот подход:

  1. Выполните следующую команду для установки агента проверки подлинности: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR = "false" / q .
  2. Вы можете зарегистрировать агент аутентификации в нашей службе с помощью Windows PowerShell. Создайте объект учетных данных PowerShell $ cred , который содержит имя пользователя и пароль глобального администратора для вашего клиента. Запустите следующую команду, заменив и :
  $ User = "<имя пользователя>" $ PlainPassword = '<пароль>' $ SecurePassword = $ PlainPassword | ConvertTo-SecureString -AsPlainText -Force $ cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ User, $ SecurePassword  
  1. Перейдите к C: \ Program Files \ Microsoft Azure AD Connect Authentication Agent и запустите следующий сценарий, используя созданный вами объект $ cred :
  RegisterConnector.ps1 -modulePath "C: \ Program Files \ Microsoft Azure AD Connect Authentication Agent \ Modules \" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $ cred -Feature PassthroughAuthentication  

Важно

Если агент аутентификации установлен на виртуальной машине, вы не можете клонировать виртуальную машину для установки другого агента аутентификации.Этот метод не поддерживается .

Шаг 5. Настройка возможности интеллектуальной блокировки

Smart Lockout помогает заблокировать злоумышленников, которые пытаются угадать пароли ваших пользователей или используют методы грубой силы для входа. Настроив параметры Smart Lockout в Azure AD и / или соответствующие параметры блокировки в локальной Active Directory, можно атаковать могут быть отфильтрованы до того, как попадут в Active Directory. Прочтите эту статью, чтобы узнать больше о том, как настроить параметры Smart Lockout на вашем клиенте для защиты ваших учетных записей.

Следующие шаги

.

Azure AD Connect: устранение неполадок сквозной аутентификации

  • 7 минут на чтение

В этой статье

Эта статья поможет вам найти информацию об устранении неполадок, касающихся распространенных проблем, связанных с сквозной аутентификацией Azure AD.

Важно

Если вы столкнулись с проблемами входа пользователя в систему с помощью сквозной аутентификации, не отключайте эту функцию и не удаляйте агенты сквозной аутентификации, не имея облачной учетной записи глобального администратора, к которой можно будет вернуться.Узнайте о добавлении облачной учетной записи глобального администратора. Выполнение этого шага очень важно и гарантирует, что вы не потеряете доступ к своему клиенту.

Общие проблемы

Проверить статус функции и агентов аутентификации

Убедитесь, что функция сквозной проверки подлинности по-прежнему Включена на вашем клиенте, а состояние агентов проверки подлинности показывает Активно , а не Неактивно . Вы можете проверить статус, перейдя в колонку Azure AD Connect в центре администрирования Azure Active Directory.

Сообщения об ошибках входа для пользователя

Если пользователю не удается войти в систему с помощью сквозной проверки подлинности, он может увидеть одну из следующих ошибок пользователя на экране входа в Azure AD:

Ошибка Описание Разрешение
AADSTS80001 Не удается подключиться к Active Directory Убедитесь, что серверы агентов являются членами того же леса AD, что и пользователи, чьи пароли необходимо проверить, и что они могут подключаться к Active Directory.
AADSTS8002 Истекло время ожидания подключения к Active Directory Убедитесь, что Active Directory доступен и отвечает на запросы от агентов.
AADSTS80004 Имя пользователя, переданное агенту, недействительно Убедитесь, что пользователь пытается войти в систему с правильным именем пользователя.
AADSTS80005 При проверке обнаружен непредсказуемый WebException Временная ошибка.Повторите запрос. Если ошибка не исчезнет, ​​обратитесь в службу поддержки Microsoft.
AADSTS80007 Ошибка связи с Active Directory Проверьте журналы агента для получения дополнительной информации и убедитесь, что Active Directory работает должным образом.

Пользователи получают неверное имя пользователя / пароль, ошибка

Это может произойти, если локальное имя пользователя UserPrincipalName (UPN) отличается от облачного UPN пользователя.

Чтобы убедиться, что это проблема, сначала проверьте правильность работы агента сквозной аутентификации:

  1. Создайте тестовую учетную запись.
  2. Импортируйте модуль PowerShell на машину агента:
  Import-Module «C: \ Program Files \ Microsoft Azure AD Connect Authentication Agent \ Modules \ PassthroughAuthPSModule \ PassthroughAuthPSModule.psd1»  
  1. Выполните команду Invoke PowerShell:
  Invoke-PassthroughAuthOnPremLogonTroubleshooter  
  1. Когда вам будет предложено ввести учетные данные, введите те же имя пользователя и пароль, которые используются для входа в (https: // login.microsoftonline.com).

Если вы получаете ту же ошибку имени пользователя и пароля, это означает, что агент сквозной проверки подлинности работает правильно, и проблема может заключаться в том, что локальное имя участника-пользователя не поддерживает маршрутизацию. Чтобы узнать больше, см. Настройка альтернативного идентификатора входа.

Важно

Если сервер Azure AD Connect не присоединен к домену, требование, упомянутое в Azure AD Connect: предварительные условия, возникает проблема с неверным именем пользователя / паролем.

Причины сбоя входа в центр администрирования Azure Active Directory (требуется лицензия Premium)

Если с вашим клиентом связана лицензия Azure AD Premium, вы также можете просмотреть отчет об активности входа в центре администрирования Azure Active Directory.

Перейдите к Azure Active Directory -> Входов в центре администрирования Azure Active Directory и щелкните действие входа определенного пользователя. Найдите поле КОД ОШИБКИ ВОЙНА . Сопоставьте значение этого поля с причиной сбоя и разрешением, используя следующую таблицу:

Код ошибки входа Причина ошибки входа Разрешение
50144 Срок действия пароля пользователя Active Directory истек. Сбросьте пароль пользователя в локальной службе Active Directory.
80001 Нет доступного агента аутентификации. Установите и зарегистрируйте агент аутентификации.
80002 Истекло время ожидания запроса проверки пароля агента аутентификации. Проверьте, доступен ли ваш Active Directory с помощью агента аутентификации.
80003 Агент аутентификации получил недействительный ответ. Если проблема постоянно воспроизводится у нескольких пользователей, проверьте конфигурацию Active Directory.
80004 Неверное имя участника-пользователя (UPN), используемое в запросе на вход. Попросите пользователя войти в систему с правильным именем пользователя.
80005 Агент аутентификации: произошла ошибка. Временная ошибка. Попробуйте позже.
80007 Агент аутентификации не может подключиться к Active Directory. Проверьте, доступен ли ваш Active Directory с помощью агента аутентификации.
80010 Агент аутентификации не может расшифровать пароль. Если проблема постоянно воспроизводится, установите и зарегистрируйте новый агент аутентификации. И удалите текущий.
80011 Агент аутентификации не может получить ключ дешифрования. Если проблема постоянно воспроизводится, установите и зарегистрируйте новый агент аутентификации.И удалите текущий.

Важно

Агенты сквозной аутентификации аутентифицируют пользователей Azure AD, проверяя их имена пользователей и пароли в Active Directory, вызывая Win32 LogonUser API. В результате, если вы установили параметр «Вход в систему» ​​в Active Directory для ограничения доступа для входа на рабочую станцию, вам также придется добавить серверы, на которых размещены агенты сквозной аутентификации, в список серверов «Вход в систему». В противном случае ваши пользователи не смогут войти в Azure AD.

Проблемы с установкой агента аутентификации

Произошла непредвиденная ошибка

Соберите журналы агента с сервера и обратитесь в службу поддержки Майкрософт с вашей проблемой.

Проблемы с регистрацией агента аутентификации

Ошибка регистрации агента аутентификации из-за заблокированных портов

Убедитесь, что сервер, на котором установлен агент аутентификации, может взаимодействовать с URL-адресами наших служб и портами, перечисленными здесь.

Ошибка регистрации агента аутентификации из-за ошибок авторизации токена или учетной записи

Убедитесь, что вы используете облачную учетную запись глобального администратора для всех операций установки и регистрации Azure AD Connect или автономного агента проверки подлинности.Существует известная проблема с учетными записями глобального администратора с поддержкой MFA; временно отключите MFA (только для завершения операций) в качестве временного решения.

Произошла непредвиденная ошибка

Соберите журналы агента с сервера и обратитесь в службу поддержки Майкрософт с вашей проблемой.

Проблемы с удалением агента аутентификации

Предупреждающее сообщение при удалении Azure AD Connect

Если в вашем клиенте включена сквозная проверка подлинности и вы пытаетесь удалить Azure AD Connect, отображается следующее предупреждающее сообщение: «Пользователи не смогут войти в Azure AD, если у вас нет другой сквозной проверки подлинности. агенты, установленные на других серверах.«

Убедитесь, что ваша установка высокодоступна, прежде чем удалять Azure AD Connect, чтобы не нарушить вход пользователя.

Проблемы с включением функции

Не удалось включить эту функцию из-за отсутствия доступных агентов аутентификации

У вас должен быть хотя бы один активный агент аутентификации, чтобы включить сквозную аутентификацию на вашем клиенте. Вы можете установить агент аутентификации, установив Azure AD Connect или автономный агент аутентификации.

Не удалось включить функцию из-за заблокированных портов

Убедитесь, что сервер, на котором установлен Azure AD Connect, может взаимодействовать с URL-адресами наших служб и портами, перечисленными здесь.

Не удалось включить функцию из-за ошибок авторизации токена или учетной записи

Убедитесь, что вы используете облачную учетную запись глобального администратора при включении функции. Существует известная проблема с учетными записями глобального администратора с включенной многофакторной аутентификацией (MFA); временно отключите MFA (только для завершения операции) в качестве временного решения.

Сбор журналов агента сквозной аутентификации

В зависимости от типа проблемы, которая может у вас возникнуть, вам нужно искать в разных местах журналы агента сквозной аутентификации.

Журналы подключения Azure AD

На наличие ошибок, связанных с установкой, проверьте журналы Azure AD Connect по адресу % ProgramData% \ AADConnect \ trace - *. Log .

Журналы событий агента аутентификации

Для ошибок, связанных с агентом аутентификации, откройте приложение «Просмотр событий» на сервере и проверьте в разделе Журналы приложений и служб \ Microsoft \ AzureAdConnect \ AuthenticationAgent \ Admin .

Для подробной аналитики включите журнал «Сессия» (щелкните правой кнопкой мыши в приложении «Просмотр событий», чтобы найти эту опцию). Не запускайте агент аутентификации с включенным журналом во время обычных операций; используйте только для устранения неполадок. Содержимое журнала становится видимым только после того, как журнал снова будет отключен.

Подробные журналы трассировки

Для устранения сбоев входа пользователя в систему ищите журналы трассировки в % ProgramData% \ Microsoft \ Azure AD Connect Authentication Agent \ Trace \ .Эти журналы включают причины, по которым конкретный пользователь не смог войти в систему с помощью функции сквозной аутентификации. Эти ошибки также сопоставляются с причинами сбоя входа, показанными в предыдущей таблице причин сбоя входа. Ниже приведен пример записи журнала:

  AzureADConnectAuthenticationAgentService.exe Ошибка: 0: сбой запроса сквозной проверки подлинности. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Причина: «1328». ThreadId = 5 DateTime = xxxx-xx-xxTxx: xx: xx.xxxxxxZ  

Вы можете получить подробное описание ошибки («1328» в предыдущем примере), открыв командную строку и выполнив следующую команду (примечание: замените «1328» фактическим номером ошибки, который вы видите в своих журналах):

Net helpmsg 1328

Журналы контроллера домена

Если ведение журнала аудита включено, дополнительную информацию можно найти в журналах безопасности ваших контроллеров домена.Простой способ запросить запросы на вход, отправленные агентами сквозной аутентификации, выглядит следующим образом:

        

Счетчики системного монитора

Другой способ контролировать агентов аутентификации - отслеживать определенные счетчики системного монитора на каждом сервере, где установлен агент аутентификации.Используйте следующие глобальные счетчики ( # аутентификации PTA , # PTA неудачные аутентификации и # PTA успешные аутентификации ) и счетчики ошибок ( # ошибки аутентификации PTA ):

Важно

Сквозная проверка подлинности

обеспечивает высокую доступность с использованием нескольких агентов проверки подлинности, а , а не для балансировки нагрузки. В зависимости от вашей конфигурации , а не , все ваши агенты аутентификации получают примерно , равное количеству запросов.Возможно, что конкретный агент аутентификации вообще не получает трафик.

.

Azure AD Connect: сквозная проверка подлинности - текущие ограничения

  • 2 минуты на чтение

В этой статье

Важно

Azure Active Directory (Azure AD) Сквозная проверка подлинности - это бесплатная функция, и для ее использования не требуются какие-либо платные выпуски Azure AD.Сквозная проверка подлинности доступна только во всемирном экземпляре Azure AD, но не в облаке Microsoft Azure для Германии или облаке Microsoft Azure для государственных организаций.

Поддерживаемые сценарии

Поддерживаются следующие сценарии:

  • Вход пользователей в приложения на основе веб-браузера.
  • Вход пользователей в клиенты Outlook с использованием устаревших протоколов, таких как Exchange ActiveSync, EAS, SMTP, POP и IMAP.
  • Вход пользователей в устаревшие клиентские приложения Office и приложения Office, поддерживающие современную проверку подлинности: версии Office 2013 и 2016.
  • Вход пользователей в приложения с устаревшим протоколом, например PowerShell версии 1.0 и другие.
  • Azure AD присоединяется для устройств с Windows 10.
  • Пароли приложений для многофакторной аутентификации.

Неподдерживаемые сценарии

Следующие сценарии не поддерживаются :

  • Обнаружение пользователей с утечкой учетных данных.
  • Доменным службам Azure AD необходимо включить синхронизацию хэша паролей на клиенте. Следовательно, клиенты, использующие сквозную аутентификацию только , не работают в сценариях, требующих доменных служб Azure AD.
  • Сквозная проверка подлинности
  • не интегрирована с Azure AD Connect Health.

Важно

В качестве временного решения для неподдерживаемых сценариев только (кроме интеграции с Azure AD Connect Health) включите синхронизацию хэша паролей на странице дополнительных функций в мастере Azure AD Connect.

Примечание

Включение синхронизации хэша паролей дает вам возможность отказоустойчивой проверки подлинности, если ваша локальная инфраструктура нарушена.Переход от сквозной аутентификации к синхронизации хэша паролей не происходит автоматически. Вам нужно будет вручную переключить метод входа с помощью Azure AD Connect. Если сервер, на котором работает Azure AD Connect, выйдет из строя, вам потребуется помощь службы поддержки Microsoft, чтобы отключить сквозную аутентификацию.

Следующие шаги

.

Смотрите также