Sdílet prostřednictvím


Řešení potíží se zpětným zápisem samoobslužného resetování hesla v Microsoft Entra ID

Samoobslužné resetování hesla Microsoft Entra (SSPR) umožňuje uživatelům resetovat hesla v cloudu. Zpětný zápis hesla je funkce povolená se synchronizací Microsoft Entra Connect nebo cloudovou synchronizací , která umožňuje zapsat změny hesel v cloudu zpět do existujícího místního adresáře v reálném čase.

Pokud máte problémy se zpětným zápisem SSPR, můžou vám pomoct následující kroky při řešení potíží a běžné chyby. Pokud nemůžete najít odpověď na váš problém, jsou naše týmy podpory vždy k dispozici , aby vám pomohly dále.

Řešení potíží s připojením

Pokud máte problémy se zpětným zápisem hesla pro Microsoft Entra Connect, projděte si následující kroky, které vám můžou pomoct problém vyřešit. Pokud chcete službu obnovit, doporučujeme postupovat podle těchto kroků:

Potvrzení připojení k síti

Nejběžnějším bodem selhání je nesprávná konfigurace brány firewall nebo proxy portů nebo vypršení časového limitu nečinnosti.

Pro Microsoft Entra Connect verze 1.1.443.0 a vyšší je vyžadován odchozí přístup HTTPS na následující adresy:

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

Koncové body Azure pro státní správu USA:

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Koncové body Azure China 21Vianet:

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Pokud potřebujete podrobnější informace, podívejte se na seznam rozsahů IP adres a značek služeb Microsoft Azure pro veřejný cloud.

Informace o Azure for US Government najdete v seznamu rozsahů IP adres Microsoft Azure a značek služeb pro cloud Azure pro státní správu USA.

Tyto soubory se aktualizují každý týden.

Pokud chcete zjistit, jestli je přístup k adrese URL a portu omezený v prostředí, jako je veřejný cloud Azure, postupujte takto:

  1. Na serveru Entra connect otevřete protokoly prohlížeče událostí (protokoly Windows, aplikace) a vyhledejte jedno z těchto ID událostí: 31034 nebo 31019.

  2. Z těchto ID událostí identifikujte název naslouchacího procesu služby Service Bus:

    Snímek obrazovky s ID události 31019 v protokolu aplikace Prohlížeč událostí

  3. Spusťte následující rutinu:

    Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
    

    Nebo spusťte následující příkaz:

    Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
    

    <Obor názvů nahraďte stejným oborem,> který jste extrahovali z ID událostí výše. Například v předchozím případě je příkaz:

    Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
    

Další informace najdete v požadavcích na připojení pro Microsoft Entra Connect.

Kontrola, jestli je povolený protokol TLS 1.2

Dalším krokem při řešení potíží je kontrola správného povolení protokolu TLS 1.2 na synchronizačním serveru. Spuštěním skriptu PowerShellu zkontrolujte protokol TLS 1.2 na serveru Entra Connect. Nezapomeňte skript spustit v režimu správce.

Výstup z kontrolního skriptu, který musí vypadat jako na následujícím obrázku (cesta, sloupce názvu a hodnoty), aby byl povolen správně. Pokud ne, spusťte skript PowerShellu , který na serveru Entra Connect povolí protokol TLS 1.2, restartujte server a spusťte skript, který znovu zkontroluje protokol TLS 1.2.

Ujistěte se, že je povolené rozhraní Microsoft .NET Framework 4.8 nebo vyšší (synchronizační server).

Ujistěte se, že je na serveru synchronizace povolená rozhraní Microsoft .NET Framework 4.8 nebo vyšší.

Restartujte službu Microsoft Entra Connect Sync.

Pokud chcete vyřešit problémy s připojením nebo jiné přechodné problémy se službou, proveďte následující kroky a restartujte službu Microsoft Entra Connect Sync:

  1. Jako správce na serveru, na kterém běží Microsoft Entra Connect, vyberte Spustit.

  2. Do vyhledávacího pole zadejte services.msc a vyberte Enter.

  3. Vyhledejte položku Synchronizace Azure AD.

  4. Klikněte pravým tlačítkem myši na položku služby, vyberte Restartovat a počkejte, až se operace dokončí.

    Restartování služby Azure AD Sync pomocí grafického uživatelského rozhraní

Tento postup znovu naváže připojení s ID Microsoft Entra a měl by vyřešit problémy s připojením.

Pokud restartování služby Microsoft Entra Connect Sync váš problém nevyřeší, zkuste zakázat a znovu povolit funkci zpětného zápisu hesla v další části.

Zakázání a opětovné povolení funkce zpětného zápisu hesla

Pokud chcete dál řešit problémy, pomocí následujících kroků zakažte a znovu povolte funkci zpětného zápisu hesla:

  1. Jako správce na serveru, na kterém běží Microsoft Entra Connect, otevřete průvodce konfigurací Microsoft Entra Connect.
  2. Do části Připojit k Microsoft Entra ID zadejte své přihlašovací údaje správce Microsoft Entra Hybrid Administrator.
  3. Do části Připojit ke službě AD DS zadejte svoje přihlašovací údaje správce služby Domain Services místní Active Directory.
  4. V jedinečné identifikaci uživatelů vyberte tlačítko Další .
  5. V volitelných funkcích zrušte zaškrtnutí políčka Zpětný zápis hesla.
  6. Výběr možnosti Další prostřednictvím zbývajících stránek dialogového okna beze změny čehokoli, dokud se nedostanete na stránku Připraveno ke konfiguraci .
  7. Zkontrolujte, že stránka Připraveno ke konfiguraci zobrazuje možnost zpětného zápisu hesla jako zakázaná. Výběrem zeleného tlačítka Konfigurovat potvrďte provedené změny.
  8. V části Dokončeno zrušte zaškrtnutí políčka Synchronizovat a potom výběrem možnosti Dokončit zavřete průvodce.
  9. Znovu otevřete průvodce konfigurací služby Microsoft Entra Connect.
  10. Opakujte kroky 2 až 8, tentokrát výběrem možnosti Zpětné zápisu hesla na stránce Volitelné funkce službu znovu povolte.

Tento postup znovu naváže připojení s ID Microsoft Entra a měl by vyřešit problémy s připojením.

Pokud zakážete a znovu povolíte funkci zpětného zápisu hesla, váš problém nevyřeší, přeinstalujte Microsoft Entra Connect v další části.

Instalace nejnovější verze Microsoft Entra Connect

Přeinstalace nástroje Microsoft Entra Connect vyřeší problémy s konfigurací a připojením mezi ID Microsoft Entra a místním prostředím služby Doména služby Active Directory Services. Tento krok doporučujeme provést až po pokusu o ověření připojení a řešení potíží s předchozími kroky.

Upozorňující

Pokud jste přizpůsobili předem hotová pravidla synchronizace, zálohujte je před pokračováním v upgradu a po dokončení je znovu nasaďte ručně.

  1. Stáhněte si nejnovější verzi nástroje Microsoft Entra Connect z webu Microsoft Download Center.

  2. Jak jste už nainstalovali Microsoft Entra Connect, proveďte místní upgrade a aktualizujte instalaci Microsoft Entra Connect na nejnovější verzi.

    Spusťte stažený balíček a postupujte podle pokynů na obrazovce a aktualizujte Microsoft Entra Connect.

Tyto kroky by měly znovu navázat spojení s ID Microsoft Entra a vyřešit problémy s připojením.

Pokud instalace nejnovější verze serveru Microsoft Entra Connect nevyřeší váš problém, zkuste zakázat a znovu povolit zpětný zápis hesla jako poslední krok po instalaci nejnovější verze.

Ověřte, že microsoft Entra Connect má požadovaná oprávnění.

Microsoft Entra Connect vyžaduje oprávnění k resetování hesla služby AD DS k provádění zpětného zápisu hesla. Pokud chcete zkontrolovat, jestli má Microsoft Entra Connect požadovaná oprávnění pro daný místní uživatelský účet služby AD DS, použijte funkci Efektivní oprávnění systému Windows:

  1. Přihlaste se k serveru Microsoft Entra Connect a spusťte Správce synchronizační služby výběrem možnosti Spustit>synchronizační službu.

  2. Na kartě Konektory vyberte místní konektor Doména služby Active Directory Services a pak vyberte Vlastnosti.

    Synchronization Service Manager showing how to edit properties

  3. V automaticky otevíraných otevíraných oknech vyberte Připojit k doménové struktuře služby Active Directory a poznamenejte si vlastnost Uživatelské jméno . Tato vlastnost je účet služby AD DS používaný službou Microsoft Entra Connect k provádění synchronizace adresářů.

    Aby služba Microsoft Entra Connect prováděla zpětný zápis hesla, musí mít účet AD DS oprávnění k resetování hesla. Oprávnění k tomuto uživatelskému účtu zkontrolujete v následujících krocích.

    Vyhledání uživatelského účtu synchronizační služby Active Directory

  4. Přihlaste se k místnímu řadiči domény a spusťte aplikaci Uživatelé a počítače služby Active Directory.

  5. Vyberte Zobrazit a ujistěte se, že je povolená možnost Rozšířené funkce .

    Uživatelé a počítače služby Active Directory zobrazit pokročilé funkce

  6. Vyhledejte uživatelský účet služby AD DS, který chcete ověřit. Klikněte pravým tlačítkem myši na název účtu a vyberte Vlastnosti.

  7. V automaticky otevíraných otevíraných oknech přejděte na kartu Zabezpečení a vyberte Upřesnit.

  8. V místním okně Upřesnit nastavení zabezpečení pro správce přejděte na kartu Efektivní přístup .

  9. Zvolte Vybrat uživatele, vyberte účet AD DS používaný službou Microsoft Entra Connect a pak vyberte Zobrazit efektivní přístup.

    Karta Efektivní přístup zobrazující synchronizační účet

  10. Posuňte se dolů a vyhledejte resetování hesla. Pokud má položka značku zaškrtnutí, má účet služby AD DS oprávnění k resetování hesla vybraného uživatelského účtu služby Active Directory.

    Ověření, že synchronizační účet má oprávnění k resetování hesla

Běžné chyby zpětného zápisu hesla

K následujícím konkrétnějším problémům může dojít u zpětného zápisu hesla. Pokud máte některou z těchto chyb, zkontrolujte navrhované řešení a zkontrolujte, jestli zpětný zápis hesla funguje správně.

Chyba Řešení
Služba resetování hesla se nespustí místně. Chyba 6800 se zobrazí v protokolu událostí aplikace počítače Microsoft Entra Connect.

Po onboardingu, federované, předávací ověřování nebo synchronizaci hodnot hash hesel nemůžou uživatelé resetovat svá hesla.
Pokud je povolený zpětný zápis hesla, synchronizační modul zavolá knihovnu zpětného zápisu, která provede konfiguraci (onboarding) tím, že komunikuje se službou onboardingu cloudu. Všechny chyby, ke kterým došlo při onboardingu nebo při spuštění koncového bodu WCF (Windows Communication Foundation) pro zpětný zápis hesla, způsobí chyby v protokolu událostí na vašem počítači Microsoft Entra Connect.

Pokud byl při restartování služby Azure AD Sync (ADSync) nakonfigurovaný zpětný zápis, spustí se koncový bod WCF. Pokud ale spuštění koncového bodu selže, zaznamenáme událost 6800 a necháme synchronizační službu spustit. Přítomnost této události znamená, že se koncový bod zpětného zápisu hesla nespustí. Podrobnosti protokolu událostí pro tuto událost 6800 spolu s položkami protokolu událostí vygenerovaným komponentou PasswordResetService označují, proč nemůžete koncový bod spustit. Zkontrolujte tyto chyby protokolu událostí a zkuste restartovat Microsoft Entra Connect, pokud zpětný zápis hesla stále nefunguje. Pokud problém přetrvává, zkuste zakázat a znovu povolit zpětný zápis hesla.
Když se uživatel pokusí resetovat heslo nebo odemknout účet s povoleným zpětným zápisem hesla, operace selže.

Kromě toho se v protokolu událostí Microsoft Entra Connect zobrazí událost, která obsahuje: "Synchronizační modul vrátil chybu hr=800700CE, message=Název souboru nebo rozšíření je příliš dlouhý" po dokončení operace odemknutí.
Vyhledejte účet služby Active Directory pro Microsoft Entra Connect a resetujte heslo tak, aby obsahoval maximálně 256 znaků. V dalším kroku otevřete synchronizační službu z nabídky Start . Přejděte do konektorů a vyhledejte konektor služby Active Directory. Vyberte ho a pak vyberte Vlastnosti. Přejděte na stránku Přihlašovací údaje a zadejte nové heslo. Vyberte OK a stránku zavřete.
V posledním kroku procesu instalace služby Microsoft Entra Connect se zobrazí chyba, která značí, že se nepodařilo nakonfigurovat zpětný zápis hesla.

Protokol událostí aplikace Microsoft Entra Connect obsahuje chybu 32009 s textem Chyba při získávání ověřovacího tokenu.
K této chybě dochází v následujících dvou případech:
  • Zadali jste nesprávné heslo pro účet hybridního správce zadaný na začátku procesu instalace Microsoft Entra Connect.
  • Pokusili jste se použít federovaného uživatele pro účet hybridního správce zadaný na začátku procesu instalace Microsoft Entra Connect.
Pokud chcete tento problém vyřešit, ujistěte se, že nepoužíváte federovaný účet pro hybridního správce, který jste zadali na začátku procesu instalace, a že zadané heslo je správné.
Protokol událostí počítače Microsoft Entra Connect obsahuje chybu 32002, která se vyvolá spuštěním služby PasswordResetService.

Chyba se přečte: Chyba při připojování ke službě ServiceBus. Zprostředkovatel tokenu nemohl poskytnout token zabezpečení."
Vaše místní prostředí se nemůže připojit ke koncovému bodu služby Azure Service Bus v cloudu. Tato chyba je obvykle způsobena pravidlem brány firewall, které blokuje odchozí připojení k určitému portu nebo webové adrese. Další informace najdete v požadavcích na připojení. Po aktualizaci těchto pravidel by mělo znovu začít fungovat restartování serveru Microsoft Entra Connect a zpětného zápisu hesla.
Po určité době, federované, předávací ověřování nebo synchronizace hodnot hash hesel nemůžou uživatelé resetovat svá hesla. V některých výjimečných případech může služba zpětného zápisu hesla při restartování služby Microsoft Entra Connect selhat. V těchto případech nejprve zkontrolujte, jestli je povolený zpětný zápis hesla v místním prostředí. Kontrolu můžete provést pomocí průvodce Microsoft Entra Connect nebo PowerShellu. Pokud se zdá, že je tato funkce povolená, zkuste ji znovu povolit nebo zakázat. Pokud tento krok řešení potíží nefunguje, zkuste dokončit odinstalaci a přeinstalovat Microsoft Entra Connect.
Federované, předávací ověřování nebo hash hesla synchronizovaní uživatelé, kteří se pokusí resetovat svá hesla, se po pokusu o odeslání hesla zobrazí chyba. Tato chyba značí, že došlo k problému se službou.

Kromě tohoto problému se během operací resetování hesla může zobrazit chyba, že agent pro správu byl odepřen přístup v protokolech místních událostí.
Pokud se tyto chyby zobrazí v protokolu událostí, ověřte, že účet ADMA (Active Directory Management Agent) zadaný v průvodci v době konfigurace má potřebná oprávnění pro zpětný zápis hesla.

Po udělení tohoto oprávnění může trvat až hodinu, než se oprávnění na řadiči domény zpomalí úlohou sdprop na pozadí.

Aby resetování hesla fungovalo, musí být oprávnění označeno popisovačem zabezpečení objektu uživatele, jehož heslo se resetuje. Dokud se toto oprávnění nezobrazí u objektu uživatele, resetování hesla bude i nadále neúspěšné se zprávou o odepření přístupu.
Federované, předávací ověřování nebo uživatele synchronizované pomocí hodnoty hash hesel, kteří se pokusí resetovat svá hesla, se po odeslání hesla zobrazí chyba. Tato chyba značí, že došlo k problému se službou.

Kromě tohoto problému se při operacích resetování hesla může v protokolech událostí ve službě Microsoft Entra Connect zobrazit chyba oznamující, že se nepodařilo najít objekt.
Tato chyba obvykle značí, že synchronizační modul nemůže najít buď objekt uživatele v prostoru konektoru Microsoft Entra, nebo propojený metaverse (MV) nebo objekt prostoru konektoru Microsoft Entra.

Pokud chcete tento problém vyřešit, ujistěte se, že je uživatel skutečně synchronizovaný z místního prostředí do Microsoft Entra ID prostřednictvím aktuální instance microsoft Entra Connect a zkontrolujte stav objektů v prostorech konektoru a MV. Ověřte, že je objekt služby Ad CS (Active Directory Certificate Services) připojený k objektu MV prostřednictvím pravidla Microsoft.InfromADUserAccountEnabled.xxx.
Federované, předávací ověřování nebo hash hesla synchronizované uživatele, kteří se pokusí resetovat hesla, se po odeslání hesla zobrazí chyba. Tato chyba značí, že došlo k problému se službou.

Kromě tohoto problému se během operací resetování hesla může v protokolech událostí zobrazit chyba ze služby Microsoft Entra Connect, která značí, že došlo k chybě Více nalezených shod.
To znamená, že synchronizační modul zjistil, že objekt MV je připojený k více než jednomu objektu AD CS prostřednictvím "Microsoft.InfromADUserAccountEnabled.xxx". To znamená, že uživatel má povolený účet ve více než jedné doménové struktuře. Tento scénář není podporovaný pro zpětný zápis hesla.
Operace s heslem selžou s chybou konfigurace. Protokol událostí aplikace obsahuje chybu Microsoft Entra Connect 6329 s textem "0x8023061f (Operace selhala, protože pro tohoto agenta pro správu není povolená synchronizace hesel)". K této chybě dochází v případě, že se po povolení funkce zpětného zápisu hesla změní konfigurace služby Microsoft Entra Connect tak, aby se přidala nová doménová struktura služby Active Directory (nebo aby se odebrala a přečetla existující doménová struktura). Operace s heslem pro uživatele v těchto nedávno přidaných doménových strukturách selžou. Pokud chcete tento problém vyřešit, zakažte a znovu povolte funkci zpětného zápisu hesla po dokončení změn konfigurace doménové struktury.
SSPR_0029: Vaše heslo nemůžeme resetovat kvůli chybě v místní konfiguraci. Obraťte se na správce a požádejte ho, aby ho prošetřil. Problém: Zpětný zápis hesla byl povolen po všech požadovaných krocích, ale při pokusu o změnu hesla se zobrazí "SSPR_0029: Vaše organizace nenastavila správně místní konfiguraci pro resetování hesla". Kontrola protokolů událostí v systému Microsoft Entra Connect ukazuje, že přihlašovací údaje agenta pro správu byly odepřeny přístup. Možné řešení: Použijte RSOP v systému Microsoft Entra Connect a řadičích domény a zjistěte, jestli je povolená zásada "Přístup k síti: Omezení klientů povolených vzdálených volání do SAM" v části Možnosti zabezpečení nastavení zabezpečení nastavení > > systému Windows konfigurace > počítače>. Upravte zásadu tak, aby zahrnovala účet pro správu MSOL_XXXXXXX jako povoleného uživatele. Další informace najdete v tématu Řešení chyb SSPR_0029: Vaše organizace nenastavila správně místní konfiguraci pro resetování hesla.

Kódy chyb protokolu událostí pro zpětný zápis hesla

Osvědčeným postupem při řešení potíží se zpětným zápisem hesla je kontrola protokolu událostí aplikace na počítači Microsoft Entra Connect. Tento protokol událostí obsahuje události ze dvou zdrojů pro zpětný zápis hesla. Zdroj PasswordResetService popisuje operace a problémy související s operací zpětného zápisu hesla. Zdroj ADSync popisuje operace a problémy související s nastavením hesel v prostředí služby Doména služby Active Directory Services.

Pokud je zdrojem události ADSync

Kód Jméno nebo zpráva Popis
6329 KAUCE: MMS(4924) 0x80230619: "Omezení brání změně hesla na aktuální zadaný" K této události dochází, když se služba zpětného zápisu hesla pokusí nastavit heslo v místním adresáři, který nesplňuje požadavky na stáří, historii, složitost nebo filtrování hesla domény. Tato událost může nastat také v případě, že pro uživatele nejde změnit heslo.

Pokud máte minimální věk hesla a nedávno jste změnili heslo v daném časovém intervalu, nebudete moct heslo znovu změnit, dokud nedosáhne zadaného věku ve vaší doméně. Pro účely testování by měl být minimální věk nastaven na 0.

Pokud máte povolené požadavky na historii hesel, musíte vybrat heslo, které se v posledních N časech nepoužilo, kde N je nastavení historie hesel. Pokud vyberete heslo, které bylo použito v posledních N časech, zobrazí se v tomto případě chyba. Pro účely testování by měla být historie hesel nastavená na hodnotu 0.

Pokud máte požadavky na složitost hesla, vynucují se všechny, když se uživatel pokusí změnit nebo resetovat heslo.

Pokud máte povolené filtry hesel a uživatel vybere heslo, které nesplňuje kritéria filtrování, operace resetování nebo změny se nezdaří.

Pokud má uživatel nastavený příznak vlastnosti PASSWD_CANT_CHANGE, heslo se nedá synchronizovat. Pro účely testování odeberte příznak vlastnosti PASSWD_CANT_CHANGE. Další informace naleznete v popisu příznaku vlastnosti.
6329 MMS(3040): admaexport.cpp(2837): Server neobsahuje řízení zásad hesel LDAP. K tomuto problému dochází, pokud není na řadičích domény povolen ovládací prvek LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066). Pokud chcete použít funkci zpětného zápisu hesla, musíte ovládací prvek povolit. Aby to bylo možné, musí být řadiče domény ve Windows Serveru 2016 nebo novějším.
HR 8023042 Synchronizační modul vrátil chybu hr=80230402, message=Pokus o získání objektu selhal, protože existují duplicitní položky se stejným ukotveným ukotvení. K této chybě dochází v případě, že je stejné ID uživatele povolené ve více doménách. Příkladem je, že synchronizujete doménové struktury účtů a prostředků a máte stejné ID uživatele, které je v každé doménové struktuře povolené a povolené.

K této chybě může dojít také v případě, že použijete ne jedinečný atribut ukotvení, jako je alias nebo hlavní název uživatele (UPN) a dva uživatelé sdílejí stejný atribut ukotvení.

Pokud chcete tento problém vyřešit, ujistěte se, že nemáte v doménách žádné duplicitní uživatele a že pro každého uživatele používáte jedinečný atribut ukotvení.

Pokud zdrojem události je PasswordResetService

Kód Jméno nebo zpráva Popis
31001 PasswordResetStart Tato událost udává, že místní služba zjistila žádost o resetování hesla pro federované, předávací ověřování nebo uživatele synchronizovaného pomocí hodnoty hash hesla, který pochází z cloudu. Tato událost je první událostí při každé operaci zpětného zápisu resetování hesla.
31002 PasswordResetSuccess Tato událost označuje, že uživatel během operace resetování hesla vybral nové heslo. Zjistili jsme, že toto heslo splňuje požadavky na firemní heslo. Heslo bylo úspěšně zapsáno zpět do místního prostředí služby Active Directory.
31003 PasswordResetFail Tato událost označuje, že uživatel vybral heslo a heslo bylo úspěšně doručeno do místního prostředí. Ale když jsme se pokusili nastavit heslo v místním prostředí Active Directory, došlo k chybě. K tomuto selhání může dojít z několika důvodů:
  • Heslo uživatele nesplňuje požadavky na věk, historii, složitost nebo filtrování domény. Pokud chcete tento problém vyřešit, vytvořte nové heslo.
  • Účet služby ADMA nemá příslušná oprávnění k nastavení nového hesla pro příslušný uživatelský účet.
  • Účet uživatele je v chráněné skupině, jako je doména nebo podniková skupina pro správu, která nepovoluje operace nastavení hesel.
31004 OnboardingEventStart K této události dochází v případě, že povolíte zpětný zápis hesla pomocí microsoft Entra Connect a zahájili jsme registraci vaší organizace do webové služby zpětného zápisu hesla.
31005 OnboardingEventSuccess Tato událost označuje, že proces onboardingu proběhl úspěšně a že funkce zpětného zápisu hesla je připravená k použití.
31006 ChangePasswordStart Tato událost označuje, že místní služba zjistila žádost o změnu hesla pro federované, předávací ověřování nebo uživatele synchronizovaného pomocí hodnoty hash hesla, který pochází z cloudu. Tato událost je první událostí každé operace zpětného zápisu změn hesla.
31007 ChangePasswordSuccess Tato událost označuje, že uživatel během operace změny hesla vybral nové heslo, zjistili jsme, že heslo splňuje požadavky podnikového hesla a že heslo bylo úspěšně zapsáno zpět do místního prostředí Active Directory.
31008 ChangePasswordFail Tato událost označuje, že uživatel vybral heslo a že heslo bylo úspěšně doručeno do místního prostředí, ale když jsme se pokusili nastavit heslo v místním prostředí Active Directory, došlo k chybě. K tomuto selhání může dojít z několika důvodů:
  • Heslo uživatele nesplňuje požadavky na věk, historii, složitost nebo filtrování domény. Pokud chcete tento problém vyřešit, vytvořte nové heslo.
  • Účet služby ADMA nemá příslušná oprávnění k nastavení nového hesla pro příslušný uživatelský účet.
  • Účet uživatele je v chráněné skupině, jako je doména nebo podnikoví správci, kteří nepovolují operace nastavení hesel.
31009 ResetUserPasswordByAdminStart Místní služba zjistila žádost o resetování hesla pro federované, předávací ověřování nebo uživatele synchronizovaného pomocí hodnoty hash hesla pocházejícího od správce jménem uživatele. Tato událost je první událostí při každé operaci zpětného zápisu resetování hesla, kterou inicioval správce.
31010 ResetUserPasswordByAdminSuccess Správce během operace resetování hesla iniciované správcem vybral nové heslo. Zjistili jsme, že toto heslo splňuje požadavky na firemní heslo. Heslo bylo úspěšně zapsáno zpět do místního prostředí služby Active Directory.
31011 ResetUserPasswordByAdminFail Správce vybral heslo jménem uživatele. Heslo bylo úspěšně doručeno do místního prostředí. Ale když jsme se pokusili nastavit heslo v místním prostředí Active Directory, došlo k chybě. K tomuto selhání může dojít z několika důvodů:
  • Heslo uživatele nesplňuje požadavky na věk, historii, složitost nebo filtrování domény. Zkuste tento problém vyřešit pomocí nového hesla.
  • Účet služby ADMA nemá příslušná oprávnění k nastavení nového hesla pro příslušný uživatelský účet.
  • Účet uživatele je v chráněné skupině, jako je doména nebo podnikoví správci, kteří nepovolují operace nastavení hesel.
31012 OffboardingEventStart K této události dochází, pokud zakážete zpětný zápis hesla pomocí služby Microsoft Entra Connect a indikuje, že jsme zahájili offboarding vaší organizace do webové služby zpětného zápisu hesla.
31013 OffboardingEventSuccess Tato událost označuje, že proces offboardingu byl úspěšný a že funkce zpětného zápisu hesla byla úspěšně zakázána.
31014 OffboardingEventFail Tato událost označuje, že proces odpojování nebyl úspěšný. Příčinou může být chyba oprávnění v cloudovém nebo místním účtu správce zadaném během konfigurace. K této chybě může dojít také v případě, že se pokoušíte použít federovaného cloudového hybridního správce při zakazování zpětného zápisu hesla. Pokud chcete tento problém vyřešit, zkontrolujte oprávnění správce a ujistěte se, že při konfiguraci funkce zpětného zápisu hesla nepoužíváte federovaný účet.
31015 WriteBackServiceStarted Tato událost označuje, že služba zpětného zápisu hesla byla úspěšně spuštěna. Je připravený přijímat žádosti o správu hesel z cloudu.
31016 WriteBackServiceStopped Tato událost označuje, že služba zpětného zápisu hesla byla zastavena. Všechny žádosti o správu hesel z cloudu nebudou úspěšné.
31017 AuthTokenSuccess Tato událost značí, že jsme úspěšně načetli autorizační token pro hybridního správce zadaného během instalace microsoft Entra Connect, aby se spustil proces offboardingu nebo onboardingu.
31018 KeyPairCreationSuccess Tato událost značí, že jsme úspěšně vytvořili šifrovací klíč hesla. Tento klíč slouží k šifrování hesel z cloudu, která se mají posílat do vašeho místního prostředí.
31019 ServiceBusHeartBeat Tato událost značí, že jsme úspěšně odeslali požadavek na instanci služby Service Bus vašeho tenanta.
31034 ServiceBusListenerError Tato událost označuje, že došlo k chybě při připojování k naslouchacímu procesu služby Service Bus vašeho tenanta. Pokud chybová zpráva obsahuje informace o neplatném vzdáleném certifikátu, ujistěte se, že váš server Microsoft Entra Connect obsahuje všechny požadované kořenové certifikační autority, jak je popsáno v změnách certifikátu Tls v Azure.
31044 PasswordResetService Tato událost označuje, že zpětný zápis hesla nefunguje. Service Bus naslouchá požadavkům na dvou samostatných přenosech kvůli redundanci. Každé předávací připojení spravuje jedinečný hostitel služeb. Klient zpětného zápisu vrátí chybu, pokud některý z hostitelů služeb není spuštěný.
32000 Neznámá chyba Tato událost značí, že během operace správy hesel došlo k neznámé chybě. Další podrobnosti najdete v textu výjimky v události. Pokud máte problémy, zkuste zakázat a znovu povolit zpětný zápis hesla. Pokud to nepomůže, zahrňte kopii protokolu událostí spolu s ID sledování, které jste zadali při otevření žádosti o podporu.
32001 Chyba služby Tato událost značí, že došlo k chybě při připojování ke službě cloudového resetování hesla. K této chybě obvykle dochází v případě, že se místní služba nemohla připojit k webové službě pro resetování hesla.
32002 ServiceBusError Tato událost značí, že došlo k chybě při připojování k instanci služby Service Bus vašeho tenanta. K tomu může dojít, pokud blokujete odchozí připojení ve vašem místním prostředí. Zkontrolujte bránu firewall a ujistěte se, že povolíte připojení přes protokol TCP 443 a pak https://ssprdedicatedsbprodncu.servicebus.windows.netto zkuste znovu. Pokud stále máte problémy, zkuste zakázat a znovu povolit zpětný zápis hesla.
32003 InPutValidationError Tato událost označuje, že vstup předaný rozhraní API webové služby je neplatný. Zkuste operaci provést znovu.
32004 DecryptionError Tato událost označuje, že došlo k chybě při dešifrování hesla, které přišlo z cloudu. Příčinou může být neshoda dešifrovacího klíče mezi cloudovou službou a místním prostředím. Pokud chcete tento problém vyřešit, zakažte a znovu povolte zpětný zápis hesla v místním prostředí.
32005 Chyba konfigurace Během onboardingu ukládáme informace specifické pro tenanta do konfiguračního souboru ve vašem místním prostředí. Tato událost označuje, že při ukládání tohoto souboru došlo k chybě nebo že při spuštění služby došlo k chybě při čtení souboru. Pokud chcete tento problém vyřešit, zkuste zakázat a znovu povolit zpětný zápis hesla, aby se vynutil přepsání konfiguračního souboru.
32007 OnBoardingConfigUpdateError Během onboardingu odesíláme data z cloudu do místní služby resetování hesla. Tato data se pak zapíšou do souboru v paměti, než se odešlou do synchronizační služby, aby byla bezpečně uložena na disku. Tato událost označuje, že došlo k potížím s zápisem nebo aktualizací těchto dat v paměti. Pokud chcete tento problém vyřešit, zkuste zakázat a znovu povolit zpětný zápis hesla, aby se vynutil přepsání tohoto konfiguračního souboru.
32008 Chyba ověření Tato událost udává, že jsme dostali neplatnou odpověď z webové služby pro resetování hesla. Pokud chcete tento problém vyřešit, zkuste zakázat a znovu povolit zpětný zápis hesla.
32009 AuthTokenError Tato událost značí, že se nám nepodařilo získat autorizační token pro účet hybridního správce zadaný během instalace služby Microsoft Entra Connect. Příčinou této chyby může být chybné uživatelské jméno nebo heslo zadané pro účet hybridního správce. K této chybě může dojít také v případě, že je zadaný účet hybridního správce federovaný. Pokud chcete tento problém vyřešit, spusťte znovu konfiguraci se správným uživatelským jménem a heslem a ujistěte se, že je správce spravovaný (jenom cloudový nebo synchronizovaný) účet.
32010 CryptoError Tato událost značí, že došlo k chybě při generování šifrovacího klíče hesla nebo dešifrování hesla, které přichází z cloudové služby. Tato chyba pravděpodobně značí problém s vaším prostředím. Další informace o řešení tohoto problému najdete v podrobnostech protokolu událostí. Můžete také zkusit zakázat a znovu povolit službu zpětného zápisu hesla.
32011 OnBoardingServiceError Tato událost značí, že místní služba nemohla správně komunikovat s webovou službou pro resetování hesla, aby se zahájil proces onboardingu. K tomu může dojít v důsledku pravidla brány firewall nebo v případě problému se získáním ověřovacího tokenu pro vašeho tenanta. Chcete-li tento problém vyřešit, ujistěte se, že neblokujete odchozí připojení přes tcp 443 a TCP 9350-9354 nebo do https://ssprdedicatedsbprodncu.servicebus.windows.net. Ujistěte se také, že účet správce Microsoft Entra, který používáte k onboardingu, není federovaný.
32013 OffBoardingError Tato událost udává, že místní služba nemohla správně komunikovat s webovou službou pro resetování hesla, aby se zahájil proces offboardingu. K tomu může dojít v důsledku pravidla brány firewall nebo v případě problému se získáním autorizačního tokenu pro vašeho tenanta. Pokud chcete tento problém vyřešit, ujistěte se, že neblokujete odchozí připojení přes 443 nebo do https://ssprdedicatedsbprodncu.servicebus.windows.neta že účet správce Microsoft Entra, který používáte k offboardingu, není federovaný.
32014 ServiceBusWarning Tato událost značí, že jsme se museli zkusit znovu připojit k instanci služby Service Bus vašeho tenanta. Za normálních podmínek by to nemělo být problém, ale pokud se tato událost často zobrazuje, zvažte kontrolu síťového připojení ke službě Service Bus, zejména pokud se jedná o připojení s vysokou latencí nebo nízkou šířkou pásma.
32015 ReportServiceHealthError Abychom mohli monitorovat stav služby zpětného zápisu hesla, odesíláme do webové služby resetování hesla každých pět minut data prezenčních signálů. Tato událost označuje, že při odesílání těchto informací o stavu zpět do cloudové webové služby došlo k chybě. Tyto informace o stavu nezahrnují žádné osobní údaje a jsou čistě prezenčních signálů a základní statistiky služeb, abychom mohli poskytovat informace o stavu služby v cloudu.
33001 ADUnKnownError Tato událost označuje, že služba Active Directory vrátila neznámou chybu. Další informace najdete v protokolu událostí serveru Microsoft Entra Connect ze zdroje ADSync.
33002 ADUserNotFoundError Tato událost označuje, že uživatel, který se pokouší resetovat nebo změnit heslo, nebyl v místním adresáři nalezen. K této chybě může dojít v případě, že uživatel byl odstraněn místně, ale ne v cloudu. K této chybě může dojít také v případě, že dojde k potížím se synchronizací. Další informace najdete v protokolech synchronizace a v podrobnostech o posledním spuštění synchronizace.
33003 ADMutliMatchError Když žádost o resetování hesla nebo změnu pochází z cloudu, použijeme cloudové ukotvení zadané během procesu nastavení služby Microsoft Entra Connect a určíme, jak tuto žádost propojit zpět s uživatelem ve vašem místním prostředí. Tato událost označuje, že jsme našli dva uživatele ve vašem místním adresáři se stejným atributem cloudového ukotvení. Další informace najdete v protokolech synchronizace a v podrobnostech o posledním spuštění synchronizace.
33004 ADPermissionsError Tato událost označuje, že účet služby Active Directory Management Agent (ADMA) nemá příslušná oprávnění k danému účtu pro nastavení nového hesla. Ujistěte se, že účet ADMA v doménové struktuře uživatele má oprávnění k resetování hesla pro všechny objekty v doménové struktuře. Další informace o nastavení oprávnění najdete v kroku 4: Nastavení příslušných oprávnění služby Active Directory. K této chybě může dojít také v případě, že atribut adminCount uživatele je nastaven na hodnotu 1.
33005 ADUserAccountDisabled Tato událost značí, že jsme se pokusili resetovat nebo změnit heslo pro účet, který byl místně zakázaný. Povolte účet a zkuste operaci zopakovat.
33006 ADUserAccountLockedOut Tato událost značí, že jsme se pokusili resetovat nebo změnit heslo pro účet, který byl místně uzamčený. Uzamčení může nastat, když uživatel zkusil operaci změny nebo resetování hesla příliš mnohokrát za krátkou dobu. Odemkněte účet a zkuste operaci zopakovat.
33007 ADUserIncorrectPassword Tato událost označuje, že uživatel při provádění operace změny hesla zadal nesprávné aktuální heslo. Zadejte správné aktuální heslo a zkuste to znovu.
33008 ADPasswordPolicyError K této události dochází, když se služba zpětného zápisu hesla pokusí nastavit heslo v místním adresáři, který nesplňuje požadavky na stáří, historii, složitost nebo filtrování hesla domény.

Pokud máte minimální věk hesla a nedávno jste změnili heslo v daném časovém intervalu, nebudete moct heslo znovu změnit, dokud nedosáhne zadaného věku ve vaší doméně. Pro účely testování by měl být minimální věk nastaven na 0.

Pokud máte povolené požadavky na historii hesel, musíte vybrat heslo, které se v posledních N časech nepoužilo, kde N je nastavení historie hesel. Pokud vyberete heslo, které bylo použito v posledních N časech, zobrazí se v tomto případě chyba. Pro účely testování by měla být historie hesel nastavená na hodnotu 0.

Pokud máte požadavky na složitost hesla, vynucují se všechny, když se uživatel pokusí změnit nebo resetovat heslo.

Pokud máte povolené filtry hesel a uživatel vybere heslo, které nesplňuje kritéria filtrování, operace resetování nebo změny se nezdaří.
33009 AdConfigurationError Tato událost značí, že došlo k potížím při zápisu hesla zpět do místního adresáře kvůli potížím s konfigurací služby Active Directory. V protokolu událostí aplikace počítače Microsoft Entra Connect vyhledejte zprávy ze služby ADSync, kde najdete další informace o tom, ke které chybě došlo.

Znaky organizační jednotky rezervované zpětným zápisem hesla

Následující tabulka uvádí rezervované znaky, které brání zpětnému zápisu hesla. Pokud se tyto znaky zobrazí ve struktuře místní organizační jednotky (OU), může zpětný zápis hesla selhat s ID události 33001.

Vyhrazený znak Popis Šestnáctkové hodnoty
mezera nebo znak # na začátku řetězce
znak mezery na konci řetězce
, čárka 0x2C
+ znaménko plus 0x2B
" uvozovka 0x22
\ zpětné lomítko 0x5C
< levý úhel závorka 0x3C
> pravá závorka 0x3E
; středník 0x3B
LF posun o řádek 0x0A
CR návrat na začátek řádku 0x0D
= rovnítko 0x3D
/ Lomítko 0x2F

Fóra Microsoft Entra

Pokud máte obecné dotazy týkající se Microsoft Entra ID a samoobslužného resetování hesla, můžete komunitu požádat o pomoc na stránce otázek Microsoft Q&A pro Microsoft Entra ID. Mezi členy komunity patří inženýři, produktoví manažeři, MVP a kolegové IT specialisté.

Kontaktovat podporu Microsoftu

Pokud nemůžete najít odpověď na problém, jsou naše týmy podpory vždy k dispozici, aby vám pomohly dál.

Abychom vám správně pomohli, žádáme vás, abyste při otevření případu zadali co nejvíce podrobností. Mezi tyto podrobnosti patří:

  • Obecný popis chyby: Jaká je chyba? Jaké bylo chování, které bylo zaznamenáno? Jak můžeme chybu reprodukovat? Uveďte co nejvíce podrobností.
  • Stránka: Na jaké stránce jste byli, když jste si všimli chyby? Pokud máte možnost a snímek obrazovky se stránkou, uveďte adresu URL.
  • Kód podpory: Jaký byl kód podpory, který se vygeneroval, když se uživateli zobrazila chyba?
    • Pokud chcete tento kód najít, reprodukujte chybu, vyberte odkaz na kód podpory v dolní části obrazovky a odešlete technika podpory identifikátor GUID, který bude výsledkem.

      Kód podpory se nachází v pravém dolním rohu okna webového prohlížeče.

    • Pokud jste na stránce bez kódu podpory dole, vyberte klávesu F12 a vyhledejte identifikátor SID a CID a odešlete tyto dva výsledky technikovi podpory.

  • Datum, čas a časové pásmo: Uveďte přesné datum a čas s časovým pásmem , ke kterému došlo k chybě.
  • ID uživatele: Kdo byl uživatel, který chybu viděl? Příklad: user@contoso.com.
    • Jedná se o federovaného uživatele?
    • Jedná se o předávacího uživatele ověřování?
    • Je to uživatel synchronizovaný pomocí hodnoty hash hesla?
    • Jedná se o výhradně cloudového uživatele?
  • Licencování: Má uživatel přiřazenou licenci Microsoft Entra ID?
  • Protokol událostí aplikace: Pokud používáte zpětný zápis hesla a chyba je ve vaší místní infrastruktuře, zahrňte komprimovanou kopii protokolu událostí aplikace ze serveru Microsoft Entra Connect.

Další kroky

Další informace o samoobslužné resetování hesla najdete v tématu Jak to funguje: Samoobslužné resetování hesla Microsoft Entra nebo Jak funguje zpětný zápis samoobslužného resetování hesla v Microsoft Entra ID?.