Tópico Anterior Próximo Tópico

Solução de Problemas na instalação do agente de login GINA

Os seguintes erros podem ocorrer durante a instalação do agente de login GINA, siga as soluções fornecidas para resolvê-los:

• 'Remcom.exe' não é reconhecido como um comando interno ou externo, programa operável ou arquivo em lote.

• Não foi possível instalar o software cliente

• Falha ao iniciar conexão com o serviço remoto

• Não foi possível conectar à máquina, ADMIN$.Acesso negado

• Falha no logon: O nome da conta de destino está incorreto.

• Falha no logon: nome de usuário desconhecido ou senha incorreta.

• Não foi possível iniciar o serviço remoto. Operação de E/S sobreposta está em andamento.

• Outra versão deste produto já está instalada.

• Outra instalação já está em andamento.

• Não foi possível conectar à máquina.

• Caminho de rede não encontrado/Credencial inválida.

• Não foi possível copiar ADSelfServicePlusClientSoftware.msi

• Múltiplas conexões a um servidor ou recurso compartilhado pelo mesmo usuário.

• Erro em security-core.js. O usuário verá um pop-up exibindo a mensagem de erro do script.

• Uma tela em branco aparece quando o usuário tenta autenticar usando Windows MFA ou realizar uma ação de autoatendimento, como redefinição de senha ou desbloqueio de conta.

• Uma tela em branco aparece durante o processo de MFA no endpoint.

• Quando um usuário tenta fazer login em sua máquina, há um atraso no carregamento do componente GINA.

• Por que a autenticação multifator offline (offline MFA) não é solicitada ao usuário mesmo quando o recurso está configurado e a versão mais recente do agente de login GINA está instalada na máquina do usuário?

• Por que o código de uso único baseado em tempo (TOTP) gerado durante o offline MFA pelo Google Authenticator, Microsoft Authenticator, Zoho OneAuth TOTP ou um autenticador TOTP personalizado é marcado como inválido?

• Por que o usuário é impedido de fazer login em sua máquina ou realizar ações periféricas como autenticação UAC quando não está conectado ao ADSelfService Plus?

• Por que o usuário consegue realizar offline MFA mesmo após ter desinscrito sua máquina, ou o administrador ter desinscrito via Relatório de Inscrição Offline MFA?

• Por que o usuário precisa realizar MFA online às vezes mesmo após confiar em seu dispositivo ou navegador?

• Por que o idioma exibido configurado no portal ADSelfService Plus não é refletido durante o Offline MFA?

• Usuários tentando MFA para logins no Windows, em alguns casos, foram redirecionados de volta à tela de login apesar da conclusão bem-sucedida do MFA.

1. 'Remcom.exe' não é reconhecido como um comando interno ou externo, programa operável ou arquivo em lote.

   Este erro ocorre se o arquivo Remcom.exe, usado para instalar o agente de login em máquinas remotas, foi sinalizado e excluído pelo software antivírus. Para resolver este problema:

   • Verifique se o arquivo Remcom.exe existe na pasta bin do diretório de instalação do ADSelfService Plus (C:\ManageEngine\ADSelfService Plus\bin).
   • Caso não exista, verifique se seu software antivírus removeu o arquivo. Configure seu software antivírus para confiar no arquivo Remcom.exe.

2. Não foi possível instalar o software cliente

   Este erro ocorre devido a um tempo limite de rede durante a instalação do software cliente. Certifique-se de que a conexão de rede foi restabelecida e tente instalar o software novamente.

3. Falha ao iniciar conexão com o serviço remoto

   Este erro pode ocorrer se o computador de destino não pôde ser contatado. Para evitar isso:

   • Verifique se tal computador realmente existe. Se existir, verifique se está conectado à rede.
   • Para verificar a conectividade, faça um ping neste computador a partir do servidor onde o ADSelfService Plus está instalado.
   • Certifique-se de que o serviço Remote Registry está em execução na máquina cliente.

4. Não foi possível conectar à máquina, ADMIN$.Acesso negado

   Este erro pode ocorrer porque o compartilhamento admin não foi habilitado no computador cliente. Para resolver este problema:

   • Configure as Configurações de Domínio (quando executado como console) ou a Aba de Logon (quando executado como serviço) com uma conta de usuário diferente que tenha privilégios de Administrador de Domínio.
   • Habilite o compartilhamento admin:
   • No computador cliente, vá para Iniciar > Executar e digite gpedit.msc e pressione Enter.
   • Expanda Modelos Administrativos > Rede > Conexões de Rede > Windows Firewall.
   • Clique em Domain Profile e dê um duplo clique em Windows Firewall: Allow inbound remote administration exception.
   • Selecione Enabled e clique em OK.

5. Falha no logon: O nome da conta de destino está incorreto.

   Esta mensagem de erro pode ocorrer se dois computadores tiverem o mesmo nome. Um computador está localizado no domínio filho; o outro está no domínio pai.

6. Falha no logon: nome de usuário desconhecido ou senha incorreta.

   Esta mensagem de erro ocorre quando o admin share pode não estar habilitado no computador cliente. Para resolver este problema:

   • Configure as Configurações de Domínio (quando executado como console) ou a Aba de Logon (quando executado como serviço) com uma conta de usuário diferente que tenha privilégios de Administrador de Domínio.
   • Habilite o compartilhamento admin:
   • No computador cliente, vá para Iniciar > Executar e digite gpedit.msc e pressione Enter.
   • Expanda Modelos Administrativos > Rede > Conexões de Rede > Windows Firewall.
   • Clique em Domain Profile e dê um duplo clique em Windows Firewall: Allow inbound remote administration exception.
   • Selecione Enabled e clique em OK.

7. Não foi possível iniciar o serviço remoto. Operação de E/S sobreposta está em andamento.

   O serviço Remoto não pôde ser iniciado, seja porque a cópia foi bloqueada pelo antivírus ou porque o serviço não pôde ser iniciado automaticamente. Para evitar isso:

   • Na máquina cliente, vá para a aba Serviços e verifique se os serviços Remote Registry e Server foram iniciados. Caso contrário, habilite esses serviços.

8. Outra versão deste produto já está instalada.

   Este erro ocorre quando outra versão deste agente de login já está instalada na máquina remota. Para evitar isso, desinstale o software cliente existente desta máquina.

9. Outra instalação já está em andamento.

   Este erro ocorre quando outra instalação já está em andamento. Para evitar isso, tente instalar o software cliente após alguns minutos.

10. Não foi possível conectar à máquina.

    Este erro pode ocorrer se o computador de destino não pôde ser contatado. Para evitar isso:

    • Verifique se tal computador realmente existe.
    • Se existir, certifique-se de que está conectado à rede.
    • Para verificar a conectividade, faça ping neste computador apenas a partir do servidor onde o ADSelfService Plus está instalado.

11. Caminho de rede não encontrado/Credencial inválida.

    Este erro pode ocorrer se o computador de destino não pôde ser contatado. Para evitar isso:

    • Configure as Configurações de Domínio (quando executado como console) ou a Aba de Logon (quando executado como serviço) com uma conta de usuário diferente que tenha privilégios de Administrador de Domínio.
    • Habilite o compartilhamento admin:
    • No computador cliente, vá para Iniciar > Executar e digite gpedit.msc e pressione Enter.
    • Expanda Modelos Administrativos > Rede > Conexões de Rede > Windows Firewall.
    • Clique em Domain Profile e dê um duplo clique em Windows Firewall: Allow inbound remote administration exception.
    • Selecione Enabled e clique em OK.

12. Não foi possível copiar ADSelfServicePlusClientSoftware.msi

    Este erro ocorre porque o servidor ADSelfService Plus não tem privilégios suficientes para acessar a máquina cliente. Para evitar isso:

    • Configure as Configurações de Domínio (quando executado como console) ou a Aba de Logon (quando executado como serviço) com uma conta de usuário diferente que tenha privilégios de Administrador de Domínio.
    • Habilite o compartilhamento admin:
    • No computador cliente, vá para Iniciar > Executar e digite gpedit.msc e pressione Enter.
    • Expanda Modelos Administrativos > Rede > Conexões de Rede > Windows Firewall.
    • Clique em Domain Profile e dê um duplo clique em Windows Firewall: Allow inbound remote administration exception.
    • Selecione Enabled e clique em OK.

13. Múltiplas conexões a um servidor ou recurso compartilhado pelo mesmo usuário.

    Este erro ocorre quando outras aplicações ou processos estão usando a mesma conta de usuário usada pelo ADSelfService Plus para tentar conectar à máquina remota onde o agente de login será instalado. Para resolver este problema:

    • Desconecte todas as conexões anteriores ao servidor ou recurso compartilhado e tente novamente.
    • Configure as Configurações de Domínio (quando executado como console) ou a Aba de Logon (quando executado como serviço) com uma conta de usuário diferente que tenha privilégios de Administrador de Domínio.

14. Erro em security-core.js. O usuário verá um pop-up exibindo a mensagem de erro do script.

    Causas prováveis:

    • Cookies não estão habilitados no Internet Explorer para a conta do sistema.
    • A URL do produto ADSelfService Plus não está adicionada como site confiável no Internet Explorer.

    Solução:

    • Siga os passos aqui para habilitar cookies.
    • Siga os passos aqui para adicionar a URL do produto ADSelfService Plus à lista de sites confiáveis no Internet Explorer.

15. Uma tela em branco aparece quando o usuário tenta autenticar usando Windows MFA ou realizar uma ação de autoatendimento, como redefinição de senha ou desbloqueio de conta.

    Causa provável: Cookies não estão habilitados no Internet Explorer no sistema do usuário.

    Solução: Siga os passos aqui para habilitar cookies no Internet Explorer.

16. Uma tela em branco aparece durante o processo de MFA no endpoint.

    Causa provável: A URL do produto ADSelfService Plus não está adicionada como site confiável no Internet Explorer.

    Solução: Siga os passos aqui para adicionar a URL do ADSelfService Plus à lista de sites confiáveis no Internet Explorer.

17. Quando um usuário tenta fazer login em sua máquina, há um atraso no carregamento do componente GINA.

    Causa provável: O usuário está usando um certificado autoassinado.

    Solução: Desative a revogação de certificado, ou o ato de invalidar um certificado TLS/SSL antes da data de expiração programada. Existem duas formas de fazer isso.

    Método 1: Adicionando valores no registro

    • Abra a caixa de diálogo Run pressionando Windows + R na máquina onde você tem o problema de carregamento do GINA.
    • Digite regedit na caixa de diálogo Run e abra o Editor do Registro.
    • Navegue até Computer\HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings.
    • Clique com o botão direito em Internet Settings e selecione New → DWORD.
    • Insira o nome do valor do registro como CertificateRevocation. Clique com o botão direito neste novo valor de registro e selecione Modify. Na caixa de diálogo Edit Dword Value que aparecer, insira o value data como 0.

    

    Método 2: Alterando configurações no Internet Explorer

    • Download PsTools na máquina que está enfrentando o problema.
    • Pressione Windows + R para abrir a caixa de diálogo Run e digite cmd para abrir o Prompt de Comando.
    • Digite o comando psexec.exe -s -i "C:\Program Files (x86)\Internet Explorer\iexplore.exe.".
    • O navegador será aberto. Agora vá para Settings e selecione Internet options.

    

    • Na janela Internet Options, vá para a aba Advanced e role até o grupo Security na lista de Settings.
    • Desmarque as caixas ao lado de Check for publisher's certificate revocation e Check for server certificate revocation.

    

    • Clique em OK para fechar a janela.

Solução: Habilitando cookies no Internet Explorer no sistema do usuário

Verifique se os cookies estão habilitados no Internet Explorer no sistema do usuário. Se não estiverem, habilite os cookies seguindo os passos abaixo:

1. Download PsTools na máquina que está enfrentando o problema.
2. Abra o Prompt de Comando e execute o comando psexec.exe -s -i "C:\Program Files (x86)\Internet Explorer\iexplore.exe."
3. O Internet Explorer será aberto. (Nota: O Internet Explorer é o único navegador que abre para erros relacionados ao GINA no Windows, independentemente de outros navegadores instalados no sistema do usuário.)
4. Vá para Configurações e selecione Opções da Internet.



5. Na janela Opções da Internet, vá para a aba Privacidade. Em Configurações, selecione o botão Avançado.
6. Na janela Configurações Avançadas de Privacidade, selecione o botão de opção Aceitar tanto para Cookies de primeira parte quanto para Cookies de terceiros.



7. Selecione OK e feche a janela Configurações Avançadas de Privacidade.
8. Clique em Sites em Configurações na janela Opções da Internet.
9. Na janela Ações de Privacidade por Site que abrir, insira a URL do produto ADSelfService Plus no campo Endereço do site e clique em Permitir.



10. Pressione OK para fechar as janelas Ações de Privacidade por Site e Opções da Internet.

Solução: Adicionando a URL do ADSelfService Plus aos sites da intranet/confiáveis

1. Download PsTools na máquina que está enfrentando o problema.
2. Abra o Prompt de Comando e execute o comando psexec.exe -s -i "C:\Program Files (x86)\Internet Explorer\iexplore.exe."
3. O navegador será aberto. Agora vá para Settings e selecione Internet options.



4. Na janela Opções da Internet, vá para a aba Segurança e selecione Sites confiáveis no campo Selecione uma zona para exibir ou alterar as configurações de segurança.



5. Clique em Sites abaixo do campo Selecione uma zona para exibir ou alterar as configurações de segurança para abrir a janela Sites confiáveis.



6. Na janela Sites confiáveis, digite a URL da aplicação ADSelfService Plus no campo Adicionar este site à zona e clique em Adicionar.

Esses passos devem garantir que não haja mais problemas de carregamento do GINA.

18. Por que a autenticação multifator offline (offline MFA) não é solicitada ao usuário mesmo quando o recurso está configurado e a versão mais recente do agente de login GINA está instalada na máquina do usuário?

    As múltiplas causas para este problema estão listadas abaixo junto com a solução:

    • Causa provável 1: The user doesn't belong to the self-service policy with offline MFA enabled.

      Solução: Certifique-se de que o MFA offline foi habilitado para a política de autoatendimento à qual os usuários pertencem. Se o usuário pertencer a múltiplas políticas de autoatendimento, certifique-se de que a política com MFA offline habilitado tenha a maior prioridade.

    • Causa provável 2: The user has not enrolled their machine for offline MFA.

      Solução: Garanta que o usuário tenha registrado sua máquina para MFA offline. O registro pode até ser forçado habilitando a configuração Forçar o usuário a registrar seu dispositivo para MFA offline após autenticação online bem-sucedida para a política de autoatendimento à qual o usuário pertence. O usuário e sua máquina registrada aparecerão no Relatório de Registro de MFA Offline se o registro for bem-sucedido.

    • Causa provável 3: MFA is not enabled for the scenarios that have to be secured by offline MFA.

      Solução: Siga estes passos para habilitar o MFA baseado em máquina para logins e ações periféricas como prompts de Controle de Conta de Usuário (UAC), desbloqueios do sistema e autenticação do lado do servidor RDP. Após habilitar o MFA, execute o agendador de personalização para atualizar essas mudanças em todas as máquinas dos usuários.

    Entre em contato com nossa equipe de suporte se este problema persistir após implementar esta solução.

19. Por que o código de uso único baseado em tempo (TOTP) gerado durante o offline MFA pelo Google Authenticator, Microsoft Authenticator, Zoho OneAuth TOTP ou um autenticador TOTP personalizado é marcado como inválido?

    Causa provável: O OTP gerado durante o processo de MFA offline pelo autenticador TOTP de software ou hardware é invalidado se o horário da máquina do usuário e do dispositivo móvel que gera o OTP não estiverem sincronizados.

    Solução: Certifique-se de que o dispositivo móvel e a máquina estejam com o horário correto.

20. Por que o usuário é impedido de fazer login em sua máquina ou realizar ações periféricas como autenticação UAC quando não está conectado ao ADSelfService Plus?

    • Causa provável 1: MFA is enforced for the specific machine, but the user is neither connected to ADSelfService Plus, nor is their machine enrolled for Offline MFA, and so they're denied access since they cannot perform MFA.

      Solução: Verifique os valores do menu suspenso Manage MFA (Configuração > Ferramentas Administrativas > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalação GINA/Mac/Linux > Máquinas Instaladas). Se esta configuração estiver definida como Forçar, o acesso será negado independentemente de outras configurações.

      As configurações podem ser configuradas para exigir que o usuário complete o MFA online, bem como para incentivar ou exigir o registro da máquina para MFA offline.

    • Causa provável 2: MFA is not configured to be bypassed when the ADSelfService Plus server is unreachable, and the user is not enrolled for offline MFA, and so they're denied access because MFA cannot be completed.

      Solução: Verifique o valor da configuração Pular MFA quando o servidor ADSelfService Plus estiver fora do ar ou inacessível (Configuração > Autoatendimento > Autenticação Multifator > Configurações Avançadas > MFA de Endpoint > MFA de Login das Máquinas()). Se esta configuração não estiver habilitada, o acesso será negado. As configurações podem ser configuradas para exigir que o usuário complete o MFA online, bem como incentivar ou exigir o registro da máquina para MFA offline.

    Para alterar o resultado conforme suas necessidades, defina o valor dessas configurações adequadamente e execute o agendador de personalização para atualizar as mudanças em todas as máquinas dos usuários. O agendador refletirá as mudanças apenas nos agentes de login instalados via portal administrativo, ou que tenham serviços de registro remoto habilitados.

    Entre em contato com nossa equipe de suporte se este problema persistir mesmo após implementar esta solução.

21. Por que o usuário consegue realizar offline MFA mesmo após ter desinscrito sua máquina, ou o administrador ter desinscrito via Relatório de Inscrição Offline MFA?

    Causa provável: O usuário consegue realizar MFA offline até que os dados de cancelamento de registro sejam atualizados na máquina específica.

    Solução: Os dados de cancelamento de registro serão atualizados durante o próximo MFA online bem-sucedido por qualquer usuário na máquina específica.

22. Por que o usuário precisa realizar MFA online às vezes mesmo após confiar em seu dispositivo ou navegador?

    Causas prováveis:

    • A configuração Restringir usuários de realizar MFA offline após _ dias está habilitada e o usuário atingiu seu limite. Para garantir que o limite seja resetado e o usuário possa realizar MFA offline novamente, o MFA online é iniciado.
    • A configuração Forçar o usuário a registrar seu dispositivo para MFA offline após autenticação online bem-sucedida está habilitada. Para garantir que os usuários completem a autenticação e sejam registrados para MFA offline, o processo de MFA online é iniciado uma vez após o MFA offline ser habilitado e o usuário ser obrigado a se registrar.

23. Por que o idioma exibido configurado no portal ADSelfService Plus não é refletido durante o Offline MFA?

    Causa provável: O idioma de exibição definido via portal ADSelfService Plus é aplicado apenas aos elementos da interface do usuário executados pelo servidor, e portanto apenas algumas partes do agente de login dependem dessa configuração. As outras partes, incluindo recursos como MFA offline e Password Policy Enforcer, dependem das configurações de idioma da tela de boas-vindas (Iniciar > Configurações > Hora e Idioma > Configurações administrativas de idioma > Tela de boas-vindas e novas contas de usuário > Copiar configurações > Idioma de exibição da tela de boas-vindas).

    Solução: Saiba como personalizar o idioma de exibição para o recurso MFA offline aqui.

24. Usuários tentando MFA para logins no Windows, em alguns casos, foram redirecionados de volta à tela de login apesar da conclusão bem-sucedida do MFA.

    Causa: O tempo limite da tela de login do Windows para autenticação é menor que o tempo necessário para completar o MFA.

    Solução: O tempo limite da tela de login do Windows pode ser alterado nas configurações do registro. O tempo padrão após a instalação do agente de login versão 6.7 ou superior é 300.000 ms (5 minutos). Se o tempo limite já estiver definido no registro, a instalação do agente de login não modificará o valor existente. O administrador pode alterar o valor manualmente seguindo estes passos:

    1. Vá para o caminho do registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
    2. Clique com o botão direito em LogonUI e selecione DWORD.
    3. Nomeie como IdleTimeOut. Dê um duplo clique e altere o Value Data para Decimal e especifique o IdleTimeOut em milissegundos.
    4. Clique em OK.

Tópico AnteriorPróximo Tópico