Řešení potíží se synchronizace hodnot hash hesel pomocí Microsoft Entra Connect
Toto téma obsahuje postup řešení potíží se synchronizací hodnot hash hesel. Pokud se hesla nesynchronují podle očekávání, může se jednat o podmnožinu uživatelů nebo pro všechny uživatele.
Pro nasazení Microsoft Entra Connect s verzí 1.1.614.0 nebo novější použijte úlohu řešení potíží v průvodci k řešení potíží se synchronizací hodnot hash hesel:
Pokud máte problém, kdy se nesynchronují žádná hesla, přečtěte si téma Žádná hesla: Řešení potíží pomocí oddílu úlohy řešení potíží.
Pokud máte problém s jednotlivými objekty, přečtěte si, že jeden objekt nesynchronuje hesla: řešení potíží pomocí oddílu úlohy řešení potíží.
Pro nasazení s verzí 1.1.524.0 nebo novější je k dispozici diagnostická rutina, kterou můžete použít k řešení potíží se synchronizací hodnot hash hesel:
Pokud máte problém, kdy se nesynchronují žádná hesla, projděte si část Diagnostické rutiny v části Žádná hesla: Řešení potíží.
Pokud máte problém s jednotlivými objekty, projděte si, že jeden objekt nesynchronuje hesla: řešení potíží pomocí oddílu diagnostické rutiny .
Pro starší verze nasazení Microsoft Entra Connect:
Pokud máte problém, kdy se nesynchronují žádná hesla, přečtěte si část Žádné hesla: ruční postup řešení potíží.
Pokud máte problém s jednotlivými objekty, přečtěte si, že jeden objekt nesynchronuje hesla: část s ručním postupem pro řešení potíží.
Žádná hesla se nesynchronizují: Řešení potíží pomocí úlohy řešení potíží
Pomocí úlohy řešení potíží můžete zjistit, proč se žádná hesla nesynchronují.
Poznámka:
Úloha řešení potíží je dostupná pouze pro Microsoft Entra Connect verze 1.1.614.0 nebo novější.
Spuštění úlohy řešení potíží
Řešení potíží v případě, že se nesynchronizují žádná hesla:
Na serveru Microsoft Entra Connect otevřete novou relaci Windows PowerShellu s možností Spustit jako správce .
Spusťte
Set-ExecutionPolicy RemoteSignedneboSet-ExecutionPolicy Unrestricted.Spusťte průvodce Microsoft Entra Connect.
Přejděte na stránku Další úlohy, vyberte Řešení potížía vyberte Další.
Na stránce Řešení potíží vyberte Spustit a spusťte nabídku řešení potíží v PowerShellu.
V hlavní nabídce vyberte Řešení potíží se synchronizací hodnot hash hesel.
V pod nabídce vyberte Synchronizaci hodnot hash hesel vůbec nefunguje.
Vysvětlení výsledků úlohy řešení potíží
Úloha řešení potíží provádí následující kontroly:
Ověří, že je pro vašeho tenanta Microsoft Entra povolená funkce synchronizace hodnot hash hesel.
Ověří, že server Microsoft Entra Connect není v pracovním režimu.
Pro každý existující konektor místní Active Directory (který odpovídá existující doménové struktuře služby Active Directory):
Ověří, že je povolená funkce synchronizace hodnot hash hesel.
Vyhledá události prezenčních signálů synchronizace hodnot hash hesel v protokolech událostí aplikace systému Windows.
Pro každou doménu služby Active Directory v konektoru místní Active Directory:
Ověří, že je doména dostupná ze serveru Microsoft Entra Connect.
Ověří, že účty Doména služby Active Directory Services (AD DS) používané konektorem místní Active Directory mají správné uživatelské jméno, heslo a oprávnění vyžadovaná pro synchronizaci hodnot hash hesel.
Následující diagram znázorňuje výsledky rutiny pro jednodoménovou topologii místní Active Directory:
Zbytek této části popisuje konkrétní výsledky vrácené úkolem a odpovídajícími problémy.
Funkce synchronizace hodnot hash hesel není povolená.
Pokud jste nepovolili synchronizaci hodnot hash hesel pomocí průvodce Microsoft Entra Connect, vrátí se následující chyba:
Server Microsoft Entra Connect je v pracovním režimu
Pokud je server Microsoft Entra Connect v pracovním režimu, synchronizace hodnot hash hesel je dočasně zakázaná a vrátí se následující chyba:
Žádné události prezenčních signálů synchronizace hodnot hash hesel
Každý konektor místní Active Directory má svůj vlastní kanál synchronizace hodnot hash hesel. Když se naváže kanál synchronizace hodnot hash hesel a v protokolu událostí aplikace systému Windows se jednou za 30 minut vygeneruje událost prezentačního signálu (EventId 654). Pro každý konektor místní Active Directory rutina vyhledá odpovídající události prezenčních signálů za poslední tři hodiny. Pokud se nenajde žádná událost prezenčních signálů, vrátí se následující chyba:
Účet SLUŽBY AD DS nemá správná oprávnění
Pokud účet služby AD DS, který používá konektor místní Active Directory k synchronizaci hodnot hash hesel, nemá příslušná oprávnění, vrátí se následující chyba:
Nesprávné uživatelské jméno nebo heslo účtu SLUŽBY AD DS
Pokud účet služby AD DS používaný konektorem místní Active Directory k synchronizaci hodnot hash hesel obsahuje nesprávné uživatelské jméno nebo heslo, vrátí se následující chyba:
Jeden objekt nesynchronuje hesla: Řešení potíží pomocí úlohy řešení potíží
Pomocí úlohy řešení potíží můžete určit, proč jeden objekt nesynchronuje hesla.
Poznámka:
Úloha řešení potíží je dostupná pouze pro Microsoft Entra Connect verze 1.1.614.0 nebo novější.
Spuštění diagnostické rutiny
Řešení potíží s konkrétním objektem uživatele:
Na serveru Microsoft Entra Connect otevřete novou relaci Windows PowerShellu s možností Spustit jako správce .
Spusťte
Set-ExecutionPolicy RemoteSignedneboSet-ExecutionPolicy Unrestricted.Spusťte průvodce Microsoft Entra Connect.
Přejděte na stránku Další úlohy, vyberte Řešení potížía vyberte Další.
Na stránce Řešení potíží vyberte Spustit a spusťte nabídku řešení potíží v PowerShellu.
V hlavní nabídce vyberte Řešení potíží se synchronizací hodnot hash hesel.
V podnabídce vyberte Heslo není synchronizováno pro konkrétní uživatelský účet.
Vysvětlení výsledků úlohy řešení potíží
Úloha řešení potíží provádí následující kontroly:
Zkontroluje stav objektu služby Active Directory v prostoru konektoru služby Active Directory, metaverse a prostoru konektoru Microsoft Entra.
Ověří, jestli jsou povolená synchronizační pravidla se synchronizací hodnot hash hesel a použita pro objekt služby Active Directory.
Pokusí se načíst a zobrazit výsledky posledního pokusu o synchronizaci hesla objektu.
Následující diagram znázorňuje výsledky rutiny při řešení potíží se synchronizací hodnot hash hesel pro jeden objekt:
Zbytek této části popisuje konkrétní výsledky vrácené rutinou a odpovídající problémy.
Objekt Služby Active Directory se neexportuje do MICROSOFT Entra ID.
Synchronizace hodnot hash hesel pro tento místní účet služby Active Directory selže, protože v tenantovi Microsoft Entra neexistuje žádný odpovídající objekt. Vrátí se následující chyba:
Uživatel má dočasné heslo.
Starší verze služby Microsoft Entra Connect nepodporují synchronizaci dočasných hesel s ID Microsoft Entra. Heslo se považuje za dočasné, pokud je u uživatele místní Active Directory nastavena možnost Změnit heslo při příštím přihlášení. Následující chyba se vrátí s těmito staršími verzemi:
Pokud chcete povolit synchronizaci dočasných hesel, musíte mít nainstalovanou verzi Microsoft Entra Connect 2.0.3.0 nebo vyšší a musí být povolená funkce ForcePasswordChangeOnLogon.
Výsledky posledního pokusu o synchronizaci hesla nejsou k dispozici.
Ve výchozím nastavení microsoft Entra Connect ukládá výsledky pokusů o synchronizaci hodnot hash hesel po dobu sedmi dnů. Pokud pro vybraný objekt služby Active Directory nejsou k dispozici žádné výsledky, vrátí se následující upozornění:
Žádná hesla se nesynchronizují: Řešení potíží pomocí diagnostické rutiny
Pomocí této rutiny Invoke-ADSyncDiagnostics můžete zjistit, proč se nesynchronují žádná hesla.
Poznámka:
Rutina Invoke-ADSyncDiagnostics je dostupná pouze pro Microsoft Entra Connect verze 1.1.524.0 nebo novější.
Spuštění diagnostické rutiny
Řešení potíží v případě, že se nesynchronizují žádná hesla:
Na serveru Microsoft Entra Connect otevřete novou relaci Windows PowerShellu s možností Spustit jako správce .
Spusťte
Set-ExecutionPolicy RemoteSignedneboSet-ExecutionPolicy Unrestricted.Spusťte
Import-Module ADSyncDiagnostics.Spusťte
Invoke-ADSyncDiagnostics -PasswordSync.
Jeden objekt nesynchronuje hesla: Řešení potíží pomocí diagnostické rutiny
Pomocí rutiny Invoke-ADSyncDiagnostics můžete určit, proč jeden objekt nesynchronuje hesla.
Poznámka:
Rutina Invoke-ADSyncDiagnostics je dostupná pouze pro Microsoft Entra Connect verze 1.1.524.0 nebo novější.
Spuštění diagnostické rutiny
Řešení potíží, kdy se pro uživatele nesynchronují žádná hesla:
Na serveru Microsoft Entra Connect otevřete novou relaci Windows PowerShellu s možností Spustit jako správce .
Spusťte
Set-ExecutionPolicy RemoteSignedneboSet-ExecutionPolicy Unrestricted.Spusťte
Import-Module ADSyncDiagnostics.Spusťte následující rutinu:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>Příklad:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
Žádná hesla se nesynchronizují: Postup ručního řešení potíží
Pokud chcete zjistit, proč se žádná hesla nesynchronují, postupujte takto:
Je server Connect v pracovním režimu? Server v pracovním režimu nesynchronizuje žádná hesla.
Spusťte skript v části Získání stavu nastavení synchronizace hesel. Poskytuje přehled konfigurace synchronizace hesel.
Pokud tato funkce není povolena v Microsoft Entra ID nebo pokud není povoleno nastavení synchronizačního kanálu, spusťte průvodce instalací nástroje Connect. Vyberte Možnosti přizpůsobení synchronizace a zrušte výběr synchronizace hesel. Tato změna dočasně zakáže tuto funkci. Pak znovu spusťte průvodce a znovu povolte synchronizaci hesel. Spusťte skript znovu a ověřte správnost konfigurace.
Vyhledejte chyby v protokolu událostí. Vyhledejte následující události, které by značily problém:
Zdroj: Synchronizace adresářů
ID: 0, 611, 652, 655Pokud se tyto události zobrazí, máte problém s připojením. Zpráva protokolu událostí obsahuje informace o doménové struktuře, kde máte problém.
Pokud se nezobrazí žádný prezentační signál nebo pokud nic jiného nefungovalo, spusťte trigger úplné synchronizace všech hesel. Spusťte skript pouze jednou.
Podívejte se na část Řešení potíží s jedním objektem, který nesynchronuje hesla.
Problémy s připojením
Máte připojení k Microsoft Entra ID?
Má účet požadovaná oprávnění ke čtení hodnot hash hesel ve všech doménách? Pokud jste nainstalovali připojení pomocí expresního nastavení, oprávnění by už měla být správná.
Pokud jste použili vlastní instalaci, nastavte oprávnění ručně následujícím způsobem:
Pokud chcete najít účet používaný konektorem služby Active Directory, spusťte Správce synchronizačních služeb.
Přejděte do konektorů a vyhledejte místní Active Directory doménovou strukturu, kterou řešíte.
Vyberte konektor a pak vyberte Vlastnosti.
Přejděte na Připojit k doménové struktuře služby Active Directory.
Poznamenejte si uživatelské jméno a doménu, ve které se účet nachází.Spustit Uživatelé a počítače služby Active Directorya ověřte, že účet nalezený dříve má na kořenové úrovni všech domén ve vaší doménové struktuře nastavená následující oprávnění:
- Replikace změn adresáře
- Replikace změn adresáře – Vše
Jsou řadiče domény dostupné službou Microsoft Entra Connect? Pokud se server Connect nemůže připojit ke všem řadičům domény, nakonfigurujte pouze upřednostňovaný řadič domény.
Vraťte se do synchronizačního portálu Service Manager a nakonfigurujte oddíl adresáře.
Vyberte svoji doménu v Vyberte oddíly adresáře, zaškrtněte políčko Používat pouze upřednostňované řadiče domény a pak vyberte Konfigurovat.
V seznamu zadejte řadiče domény, které by se měly použít pro synchronizaci hesel. Stejný seznam se používá i pro import a export. Tento postup proveďte pro všechny vaše domény.
Poznámka:
Pokud chcete tyto změny použít, restartujte službu Microsoft Entra ID Sync (ADSync).
- Pokud skript ukazuje, že neexistuje žádný prezenční signál, spusťte skript v Aktivujte úplnou synchronizaci všech hesel.
Jeden objekt nesynchronuje hesla: ruční postup řešení potíží
Problémy se synchronizací hodnot hash hesel můžete snadno vyřešit kontrolou stavu objektu.
V Uživatelé a počítače služby Active Directory vyhledejte uživatele a ověřte, že při příštím přihlášení je zaškrtnuté políčko Uživatel musí změnit heslo.
Pokud je políčko zaškrtnuté, požádejte uživatele, aby se přihlásil a změnil heslo. Dočasná hesla se nesynchronují s ID Microsoft Entra.
Pokud heslo ve službě Active Directory vypadá správně, postupujte podle uživatele v synchronizačním modulu. Když sledujete uživatele z místní služby Active Directory do Microsoft Entra ID, můžete zjistit, jestli objekt obsahuje popisnou chybu.
a. Spusťte Synchronizační service Manager.
b. Vyberte Konektory.
c. Vyberte konektor služby Active Directory, ve kterém se nachází uživatel.
d. Vyberte prostor konektoru vyhledávání.
e. V poli Obor vyberte DN nebo Anchor a zadejte úplný NÁZEV uživatele, který řešíte potíže.
f. Vyhledejte uživatele, který hledáte, a pak vyberte Vlastnosti, aby se zobrazily všechny atributy. Pokud uživatel není ve výsledku hledání, ověřte pravidla filtrování a ujistěte se, že provedete následující kroky: Použít a ověřit změny, aby se uživatel zobrazil v Connect.
g. Pokud chcete zobrazit podrobnosti synchronizace hesel objektu za poslední týden, vyberte Protokol.
Pokud je protokol objektů prázdný, služba Microsoft Entra Connect nemohla číst hodnotu hash hesel ze služby Active Directory. Pokračujte v řešení potíží s chybami připojení. Pokud se zobrazí jiná hodnota než úspěch, přečtěte si tabulku v protokolu synchronizace hesel.
h. Vyberte kartu rodokmenu a ujistěte se, že alespoň jedno synchronizační pravidlo ve sloupci PasswordSync má hodnotu True. Ve výchozí konfiguraci je název pravidla synchronizace z AD – User AccountEnabled.
i. Výběrem možnosti Vlastnosti objektu metaverse zobrazte seznam atributů uživatele.
Ověřte, že neexistuje žádný atribut cloudFiltered. Ujistěte se, že atributy domény (domainFQDN a domainNetBios) mají očekávané hodnoty.
j. Vyberte kartu Konektory. Ujistěte se, že vidíte konektory pro místní službu Active Directory i Microsoft Entra ID.
k. Vyberte řádek, který představuje MICROSOFT Entra ID, vyberte Vlastnostia pak vyberte kartu Rodokmen. Objekt prostoru konektoru by měl mít ve sloupci PasswordSync nastaveno pravidlo odchozích přenosů na hodnotu True. Ve výchozí konfiguraci je název pravidla synchronizace out to Microsoft Entra ID - User Join.
Protokol synchronizace hesel
Sloupec stavu může mít následující hodnoty:
| Status | Description |
|---|---|
| Akce proběhla úspěšně | Heslo bylo úspěšně synchronizováno. |
| FilteredByTarget | Heslo je nastavené na Uživatel musí při příštím přihlášení změnit heslo. Heslo se nesynchronizovalo. |
| NoTargetConnection | Žádný objekt v metaverse nebo v prostoru konektoru Microsoft Entra. |
| SourceConnectorNotPresent | V prostoru konektoru místní Active Directory nebyl nalezen žádný objekt. |
| TargetNotExportedToDirectory | Objekt v prostoru konektoru Microsoft Entra ještě nebyl exportován. |
| MigratedCheckDetailsForMoreInfo | Položka protokolu byla vytvořena před buildem 1.0.9125.0 a zobrazuje se ve starším stavu. |
| Chyba | Služba vrátila neznámou chybu. |
| Neznámý | Při pokusu o zpracování dávky hodnot hash hesel došlo k chybě. |
| MissingAttribute | Konkrétní atributy (například hash protokolu Kerberos) vyžadované službou Microsoft Entra Domain Services nejsou k dispozici. |
| RetryRequestedByTarget | Konkrétní atributy (například hash protokolu Kerberos) vyžadované službou Microsoft Entra Domain Services nebyly dříve k dispozici. Provede se pokus o opětovnou synchronizaci hodnoty hash hesla uživatele. |
Skripty, které vám pomůžou s řešením potíží
Získání stavu nastavení synchronizace hesel
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Aktivace úplné synchronizace všech hesel
Poznámka:
Tento skript spusťte pouze jednou. Pokud ho potřebujete spustit více než jednou, je problém jiný. Pokud chcete tento problém vyřešit, obraťte se na podporu Microsoftu.
Úplnou synchronizaci všech hesel můžete aktivovat pomocí následujícího skriptu:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true