Freigeben über


Problembehandlung beim Rückschreiben der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID

Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in Microsoft Entra ID können Benutzer ihre Kennwörter in der Cloud zurücksetzen. Kennwortrückschreiben ist eine Funktion, die mit Microsoft Entra Connect oder der Cloudsynchronisierung aktiviert wurde und ermöglicht, Kennwortänderungen in der Cloud in Echtzeit in ein vorhandenes lokales Verzeichnis zurückzuschreiben.

Wenn Sie Probleme beim Rückschreiben der Self-Service-Kennwortzurücksetzung haben, können Ihnen die folgende Beschreibung häufiger Fehler und die Schritte zur Problembehandlung helfen. Wenn Sie keine Antwort für Ihr Problem finden, stehen Ihnen unsere Supportteams stets für weitere Unterstützung zur Verfügung.

Problembehandlung für Verbindung

Wenn Sie Probleme beim Kennwortrückschreiben für Microsoft Entra Connect haben, helfen Ihnen möglicherweise die folgenden Schritte, das Problem zu beheben. Um den Dienst wiederherzustellen, sollten Sie diese Schritte in der folgenden Reihenfolge ausführen:

Bestätigen der Netzwerkkonnektivität

Die häufigste Fehlerursache besteht darin, dass die Firewall, Proxyports oder Leerlauftimeouts falsch konfiguriert sind.

Für Microsoft Entra Connect, Version 1.1.443.0 und höher ist ausgehender HTTPS-Zugriff auf die folgenden Adressen erforderlich:

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

Endpunkte für Azure for US Government:

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Endpunkte für Azure China 21Vianet:

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Detaillierter Informationen finden Sie in der Liste der Microsoft Azure-IP-Bereiche und -Diensttags für die öffentliche Cloud unter Azure IP Ranges and Service Tags – Public Cloud.

Informationen zu Azure for US Government finden Sie in der Liste der Microsoft Azure IP Ranges und Service Tags für die Azure for US Government-Cloud.

Diese Dateien werden jede Woche aktualisiert.

Führen Sie die folgenden Schritte aus, um festzustellen, ob der Zugriff auf eine URL und einen Port in einer Umgebung (wie die öffentliche Azure Cloud) eingeschränkt ist:

  1. Öffnen Sie auf dem Entra Connect-Server die Ereignisanzeigeprotokolle (Windows-Protokolle, Anwendung), und suchen Sie eine der folgenden Ereignis-IDs: 31034 oder 31019.

  2. Identifizieren Sie anhand dieser Ereignis-IDs den Namen des Service Bus-Listeners:

    Screenshot der Ereignis-ID 31019 im Anwendungsprotokoll der Ereignisanzeige.

  3. Führen Sie das folgende Cmdlet aus:

    Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
    

    Oder führen Sie Folgendes aus:

    Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
    

    Ersetzen Sie den <Namespace> durch den Wert, den Sie aus den obigen Ereignis-IDs extrahiert haben. Im vorherigen Fall lautet der Befehl z. B. wie folgt:

    Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
    

Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Entra Connect.

Überprüfen, ob TLS 1.2. aktiviert ist

Ein weiterer Schritt zur Problembehandlung besteht darin, zu überprüfen, ob TLS 1.2 auf dem Synchronisierungsserver ordnungsgemäß aktiviert ist. Führen Sie das PowerShell-Skript zur Überprüfung von TLS 1.2 auf dem Entra Connect-Server aus. Stellen Sie sicher, dass Sie das Skript im Administratormodus ausführen.

Ausgabe des Überprüfungsskripts, das zur ordnungsgemäßen Aktivierung wie auf der folgende Abbildung (Spalten für Pfad, Name und Wert) aussehen muss. Führen Sie andernfalls das PowerShell-Skript zur Aktivierung von TLS 1.2 auf dem Entra Connect-Server aus. Starten Sie dann den Server neu, und führen Sie das Skript aus, um TLS 1.2 erneut zu überprüfen.

Stellen Sie sicher, dass Microsoft .NET Framework 4.8 oder höher aktiviert ist (Synchronisierungsserver).

Stellen Sie sicher, dass Microsoft .NET Framework 4.8 oder höher auf dem Synchronisierungsserver aktiviert ist.

Neustart des Microsoft Entra Connect Sync-Diensts

Führen Sie zum Beheben von Konnektivitätsproblemen oder anderen vorübergehenden Problemen die folgenden Schritte aus, um den Microsoft Entra Connect-Synchronisierungsdienst neu zu starten:

  1. Wählen Sie als Administrator auf dem Server, auf dem Microsoft Entra Connect ausgeführt wird, Start aus.

  2. Geben Sie services.msc in das Suchfeld ein, und drücken Sie die EINGABETASTE.

  3. Suchen Sie nach dem Eintrag Azure AD Sync.

  4. Klicken Sie mit der rechten Maustaste auf den Diensteintrag, klicken Sie auf Neu starten, und warten Sie, bis der Vorgang abgeschlossen wurde.

    Neustarten des Azure AD Sync-Diensts mit der grafischen Benutzeroberfläche

Mit diesen Schritten wird die Verbindung mit Microsoft Entra ID wiederhergestellt, und die Konnektivitätsprobleme sollten behoben sein.

Wenn das Problem durch einen Neustart des Microsoft Entra Connect-Synchronisierungsdiensts nicht behoben wurde, deaktivieren Sie das Kennwortrückschreibenfeature, und aktivieren Sie es anschließend wieder, wie im nächsten Abschnitt beschrieben.

Deaktivieren und erneutes Aktivieren des Kennwortrückschreibenfeatures

Um mit der Problembehandlung fortzufahren, führen Sie die folgenden Schritte aus, um das Kennwortrückschreibenfeature zu deaktivieren und dann erneut zu aktivieren:

  1. Öffnen Sie als Administrator auf dem Server, auf dem Microsoft Entra Connect ausgeführt wird, den Assistenten für die Microsoft Entra Connect-Konfiguration.
  2. Geben Sie unter Herstellen einer Verbindung mit Microsoft Entra ID Ihre Microsoft Entra-Hybridadministratoranmeldeinformationen ein.
  3. Geben Sie unter Mit AD DS verbinden Ihre Anmeldeinformationen für lokale Administratoren der Active Directory Domain Services ein.
  4. Klicken Sie unter Eindeutige Identifizierung der Benutzer auf die Schaltfläche Weiter.
  5. Deaktivieren Sie unter Optionale Features das Kontrollkästchen Kennwortrückschreiben.
  6. Klicken Sie auf den restlichen Seiten des Assistenten jeweils auf Weiter, ohne Änderungen vorzunehmen, bis Sie zur Seite Bereit zur Konfiguration gelangen.
  7. Überprüfen Sie, ob auf der Seite Bereit für Konfiguration die Option Kennwortrückschreiben als deaktiviert angezeigt wird. Wählen Sie die grüne Schaltfläche Konfigurieren aus, um die Änderungen zu committen.
  8. Deaktivieren Sie unter Fertig die Option Jetzt synchronisieren, und klicken Sie auf Fertig stellen, um den Assistenten zu schließen.
  9. Öffnen Sie den Assistenten für die Microsoft Entra Connect-Konfiguration erneut.
  10. Wiederholen Sie die Schritte 2 bis 8, aktivieren Sie diesmal jedoch auf der Seite Optionale Features die Option Kennwortrückschreiben, um den Dienst wieder zu aktivieren.

Mit diesen Schritten wird die Verbindung mit Microsoft Entra ID wiederhergestellt, und die Konnektivitätsprobleme sollten behoben sein.

Wenn das Problem durch Deaktivieren und erneutes Aktivieren des Kennwortrückschreibenfeatures nicht behoben wurde, installieren Sie Microsoft Entra Connect neu, wie im nächsten Abschnitt beschrieben.

Installieren des neuesten Microsoft Entra Connect-Releases

Eine Neuinstallation von Microsoft Entra Connect kann Konfigurations- und Konnektivitätsprobleme zwischen Microsoft Entra ID und Ihrer lokalen Active Directory Domain Services-Umgebung beseitigen. Es wird empfohlen, diesen Schritt erst auszuführen, nachdem Sie die vorherigen Schritte ausgeführt haben, um die Konnektivität zu überprüfen und Konnektivitätsprobleme zu beheben.

Warnung

Falls Sie die integrierten Synchronisierungsregeln angepasst haben, sichern Sie diese, bevor Sie mit dem Upgrade fortfahren, und stellen Sie die Anpassungen nach dem Upgrade manuell wieder bereit.

  1. Laden Sie die neueste Version von Microsoft Entra Connect aus dem Microsoft Download Center herunter.

  2. Da Sie Microsoft Entra Connect bereits installiert haben, führen Sie ein direktes Upgrade Ihrer Microsoft Entra Connect-Installation auf die aktuelle Version durch.

    Führen Sie das heruntergeladene Paket aus, und folgen Sie den Bildschirmanweisungen zum Aktualisieren von Microsoft Entra Connect.

Mit diesen Schritten wird die Verbindung mit Microsoft Entra ID wiederhergestellt, und die Konnektivitätsprobleme sollten behoben sein.

Wenn das Problem durch Installieren der aktuellen Version des Microsoft Entra Connect-Servers nicht behoben wurde, deaktivieren Sie als Letztes nach dem Installieren der aktuellen Version das Kennwortrückschreiben, und aktivieren Sie es anschließend erneut.

Überprüfen, ob Microsoft Entra Connect über die erforderlichen Berechtigungen verfügt

Microsoft Entra Connect benötigt für das Kennwortrückschreiben die AD DS-Berechtigung Kennwort zurücksetzen. Ob Microsoft Entra Connect diese Berechtigung für ein bestimmtes lokales AD DS-Benutzerkonto besitzt, können Sie mithilfe des Windows-Features „Effektive Berechtigung“ ermitteln:

  1. Melden Sie sich beim Microsoft Entra Connect-Server an, und starten Sie den Synchronization Service Manager, indem Sie auf Start>Synchronisierungsdienst klicken.

  2. Wählen Sie auf der Registerkarte Connectors den lokalen Connector Active Directory Domain Services aus, und klicken Sie anschließend auf Eigenschaften.

    Synchronization Service Manager zeigt das Bearbeiten von Eigenschaften

  3. Klicken Sie im Popupfenster auf die Registerkarte Mit Active Directory-Gesamtstruktur verbinden, und notieren Sie sich die Eigenschaft Benutzername. Bei dieser Eigenschaft handelt es sich um das AD DS-Konto, das von Microsoft Entra Connect für die Verzeichnissynchronisierung verwendet wird.

    Damit Microsoft Entra Connect das Kennwortrückschreiben durchführen kann, muss das AD DS-Konto über die Berechtigung „Kennwort zurücksetzen“ verfügen. Mit den folgenden Schritten überprüfen Sie die Berechtigungen für dieses Benutzerkonto.

    Suchen des Active Directory-Benutzerkontos für den Synchronisierungsdienst

  4. Melden Sie sich bei einem lokalen Domänencontroller an, und starten Sie die Anwendung Active Directory-Benutzer und -Computer.

  5. Klicken Sie auf Ansicht, und vergewissern Sie sich, dass die Option Erweiterte Features aktiviert ist.

    Active Directory-Benutzer und -Computer zeigen erweiterte Features.

  6. Suchen Sie nach dem AD DS-Benutzerkonto, das Sie überprüfen möchten. Klicken Sie mit der rechten Maustaste auf das Konto, und klicken Sie anschließend auf Eigenschaften.

  7. Navigieren Sie im Popupfenster zur Registerkarte Sicherheit, und klicken Sie auf Erweitert.

  8. Navigieren Sie im Popupfenster mit den erweiterten Sicherheitseinstellungen für den Administratorzur Registerkarte Effektiver Zugriff.

  9. Wählen Sie Benutzer auswählen aus, wählen Sie das von Microsoft Entra Connect verwendete AD DS-Konto aus, und klicken Sie anschließend auf Effektiven Zugriff anzeigen.

    Registerkarte „Effektiver Zugriff“ zeigt das Synchronisierungskonto

  10. Scrollen Sie nach unten, und suchen Sie nach Kennwort zurücksetzen. Ist der Eintrag mit einem Häkchen versehen, ist das AD DS-Konto zum Zurücksetzen des Kennworts für das ausgewählte Active Directory-Benutzerkonto berechtigt.

    Überprüfen, ob das Synchronisierungskonto die Berechtigung zum Zurücksetzen des Kennworts hat

Häufige Fehler bei der Kennwortrückschreibung

Bei der Kennwortrückschreibung können die folgenden speziellen Probleme auftreten. Wenn einer dieser Fehler aufgetreten ist, verwenden Sie die vorgeschlagene Lösung, und überprüfen Sie dann, ob die Kennwörter ordnungsgemäß zurückgeschrieben werden.

Fehler Lösung
Der Dienst für die Kennwortzurücksetzung startet lokal nicht. Das Anwendungsereignisprotokoll des Microsoft Entra Connect-Computers enthält den Fehler 6800.

Nach der Integration können Verbundbenutzer oder Benutzer mit Pass-Through-Authentifizierung bzw. Kennworthashsynchronisierung ihre Kennwörter nicht zurücksetzen.
Bei aktiviertem Kennwortrückschreiben ruft das Synchronisierungsmodul die Bibliothek für das Rückschreiben auf, um die Konfiguration (Integration) mittels Kommunikation mit dem Cloudintegrationsdienst durchzuführen. Fehler bei der Integration oder beim Start des WCF-Endpunkts ( Windows Communication Foundation) für das Kennwortrückschreiben führen zu Fehlern im Ereignisprotokoll auf Ihrem Microsoft Entra Connect-Computer.

Im Rahmen des Neustarts des ADSync-Diensts (Azure AD Sync) wird der WCF-Endpunkt gestartet, sofern das Kennwortrückschreiben konfiguriert wurde. Falls beim Starten des Endpunkts jedoch ein Fehler auftritt, wird der Fehler 6800 protokolliert, und der Synchronisierungsdienst wird gestartet. Dieses Ereignis bedeutet, dass der Endpunkt für das Kennwortrückschreiben nicht gestartet wurde. Die Ereignisprotokolldetails für dieses Ereignis (6800) geben – zusammen mit den von der PasswordResetService-Komponente generierten Ereignisprotokolleinträgen – an, warum der Endpunkt nicht gestartet werden kann. Überprüfen Sie diese Ereignisprotokollfehler, und versuchen Sie Microsoft Entra Connect neu zu starten, wenn das Kennwortrückschreiben weiterhin nicht funktioniert. Sollte das Problem bestehen bleiben, versuchen Sie, das Kennwortrückschreiben zu deaktivieren und erneut zu aktivieren.
Wenn ein Benutzer versucht, ein Kennwort zurückzusetzen oder ein Konto mit aktiviertem Kennwortrückschreiben zu entsperren, tritt dabei ein Fehler auf.

Darüber hinaus wird nach dem Entsperren ein Ereignis im Microsoft Entra Connect-Ereignisprotokoll mit folgendem Inhalt angezeigt: „Synchronization Engine returned an error hr=800700CE, message=The filename or extension is too long“ (Das Synchronisierungsmodul hat einen Fehler zurückgegeben: hr=800700CE, message=Der Dateiname oder die Erweiterung ist zu lang.)
Suchen Sie das Active Directory-Konto für Microsoft Entra Connect, und setzen Sie das Kennwort zurück, sodass es maximal 256 Zeichen umfasst. Öffnen Sie dann über das Startmenü den Synchronisierungsdienst. Navigieren Sie zu Connectors, und suchen Sie Active Directory Connector. Wählen Sie diesen Connector aus, und klicken Sie anschließend auf Eigenschaften. Navigieren Sie zur Seite Anmeldeinformationen, und geben Sie das neue Kennwort ein. Wählen Sie OK, um die Seite zu schließen.
Im letzten Schritt des Microsoft Entra Connect-Installationsvorgangs wird ein Fehler mit dem Hinweis angezeigt, dass das Kennwortrückschreiben nicht konfiguriert werden konnte.

Das Microsoft Entra Connect-Anwendungsereignisprotokoll enthält den Fehler 32009 mit dem Text „Error getting auth token“ (Fehler beim Abrufen des Authentifizierungstokens).
Dieser Fehler tritt in den folgenden beiden Fällen auf:
  • Sie haben zu Beginn der Microsoft Entra Connect-Installation ein falsches Kennwort für das Hybridadministratorkonto angegeben.
  • Sie haben versucht, zu Beginn der Microsoft Entra Connect-Installation einen Verbundbenutzer für das Hybridadministratorkonto zu verwenden.
Stellen Sie zum Beheben dieses Problems sicher, dass Sie zu Beginn der Installation kein Verbundkonto für den Hybridadministrator angegeben haben und dass das angegebene Kennwort richtig ist.
Das Ereignisprotokoll für den Microsoft Entra Connect-Computer enthält den Fehler 32002, der durch Ausführen von „PasswordResetService“ ausgelöst wurde.

Der Fehler lautet: „Error Connecting to ServiceBus. The token provider was unable to provide a security token.“ (Fehler beim Herstellen einer Verbindung mit „ServiceBus“. Der Tokenanbieter konnte kein Sicherheitstoken bereitstellen.)
Ihre lokale Umgebung kann keine Verbindung mit dem Azure Service Bus-Endpunkt in der Cloud herstellen. Dieser Fehler wird durch eine Firewallregel verursacht, die eine ausgehende Verbindung mit einem bestimmten Port oder einer Webadresse blockiert. Weitere Informationen finden Sie unter Voraussetzungen für Azure AD Connect. Starten Sie nach dem Aktualisieren dieser Regeln den Microsoft Entra Connect-Server neu. Anschließend sollte das Kennwortrückschreiben wieder funktionieren.
Nachdem sie eine Weile gearbeitet haben, können Verbundbenutzer oder Benutzer mit Pass-Through-Authentifizierung bzw. Kennworthashsynchronisierung ihre Kennwörter nicht zurücksetzen. In seltenen Fällen kann der Dienst für das Kennwortrückschreiben möglicherweise nicht neu gestartet werden, wenn Microsoft Entra Connect neu gestartet wurde. Prüfen Sie in diesen Fällen zunächst, ob das Kennwortrückschreiben lokal aktiviert ist. Hierzu können Sie entweder den Microsoft Entra Connect-Assistenten oder PowerShell verwenden. Wenn das Feature aktiviert ist, versuchen Sie erneut, es zu aktivieren oder zu deaktivieren. Sollte dieser Problembehandlungsschritt nicht funktionieren, deinstallieren Sie Microsoft Entra Connect vollständig, und installieren Sie es neu.
Verbundbenutzern oder Benutzern mit Pass-Through-Authentifizierung bzw. Kennworthashsynchronisierung, die versuchen, ihre Kennwörter zurückzusetzen, wird ein Fehler angezeigt, wenn sie versuchen, ihre Kennwörter zu übermitteln. Der Fehler deutet auf ein Dienstproblem hin.

Zusätzlich zu diesem Problem wird in den lokalen Ereignisprotokollen während der Vorgänge zur Kennwortzurücksetzung möglicherweise ein Fehler mit dem Hinweis angezeigt, dass dem Verwaltungs-Agent der Zugriff verweigert wurde.
Sollten diese Fehler in Ihrem Ereignisprotokoll enthalten sein, stellen Sie sicher, dass das ADMA-Konto (Active Directory Management Agent, Active Directory-Verwaltungs-Agent), das im Rahmen der Konfiguration im Assistenten angegeben wurde, über die erforderlichen Berechtigungen für das Kennwortrückschreiben verfügt.

Nach Erteilung dieser Berechtigung kann es bis zu einer Stunde dauern, bis die Berechtigungen über den Hintergrundtask sdprop auf dem Domänencontroller (DC) angewendet wurden.

Damit die Kennwortzurücksetzung funktioniert, müssen die Berechtigungen in die Sicherheitsbeschreibung des Benutzerobjekts geschrieben werden, dessen Kennwort zurückgesetzt wird. Bis diese Berechtigung im Benutzerobjekt angezeigt werden, treten bei der Kennwortzurücksetzung weiterhin Zugriffsverweigerungsfehler auf.
Verbundbenutzern oder Benutzern mit Pass-Through-Authentifizierung bzw. Kennworthashsynchronisierung, die versuchen, ihre Kennwörter zurückzusetzen, wird nach der Kennwortübermittlung ein Fehler angezeigt. Der Fehler deutet auf ein Dienstproblem hin.

Darüber hinaus wird in den Ereignisprotokollen bei Vorgängen zur Kennwortzurücksetzung für den Microsoft Entra Connect-Dienst möglicherweise ein Fehler mit dem Hinweis auf ein nicht gefundenes Objekt angezeigt.
Dieser Fehler deutet üblicherweise darauf hin, dass das Synchronisierungsmodul entweder das Benutzerobjekt im Microsoft Entra-Connectorbereich oder das verknüpfte Metaverse- oder Microsoft Entra-Connectorbereichsobjekt nicht gefunden hat.

Stellen Sie zur Behandlung dieses Problems sicher, dass für den Benutzer tatsächlich eine Synchronisierung der lokalen Umgebung über die aktuelle Microsoft Entra Connect-Instanz zu Microsoft Entra ID erfolgt, und untersuchen Sie den Zustand des Objekts in den Connectorbereichen und im Metaverse (MV). Vergewissern Sie sich, dass das AD CS-Objekt (Active Directory-Zertifikatdienste) über die Regel „Microsoft.InfromADUserAccountEnabled.xxx“ mit dem MV-Objekt verbunden ist.
Verbundbenutzern oder Benutzern mit Pass-Through-Authentifizierung bzw. Kennworthashsynchronisierung, die versuchen, ihre Kennwörter zurückzusetzen, wird nach der Kennwortübermittlung ein Fehler angezeigt. Der Fehler deutet auf ein Dienstproblem hin.

Darüber hinaus wird in den Ereignisprotokollen bei Vorgängen zur Kennwortzurücksetzung für den Microsoft Entra Connect-Dienst möglicherweise ein Fehler mit dem Hinweis angezeigt, dass mehrere Übereinstimmungen gefunden wurden.
Dies deutet darauf hin, dass das Synchronisierungsmodul ermittelt hat, dass das MV-Objekt über die Regel „Microsoft.InfromADUserAccountEnabled.xxx“ mit mehr als einem AD CS-Objekt verbunden ist. Dies bedeutet, dass das Benutzerkonto in mehr als einer Gesamtstruktur über ein aktives Konto verfügt. Dieses Szenario wird für das Kennwortrückschreiben nicht unterstützt.
Bei Kennwortvorgängen treten Konfigurationsfehler auf. Das Anwendungsereignisprotokoll enthält den Microsoft Entra Connect-Fehler 6329 mit dem Text „0x8023061f (The operation failed because password synchronization is not enabled on this Management Agent)“ (0x8023061f (Der Vorgang konnte nicht ausgeführt werden, da die Kennwortsynchronisierung für diesen Verwaltungs-Agent nicht aktiviert ist.)). Dieser Fehler tritt auf, wenn die Microsoft Entra Connect-Konfiguration geändert wird, um eine neue Active Directory-Gesamtstruktur hinzuzufügen (oder eine vorhandene Gesamtstruktur zu entfernen und erneut hinzuzufügen), nachdem die Funktion zum Kennwortrückschreiben bereits aktiviert wurde. Kennwortvorgänge für Benutzer in diesen kürzlich hinzugefügten Gesamtstrukturen sind nicht erfolgreich. Deaktivieren Sie zur Behebung dieses Problems das Kennwortrückschreibenfeature nach Abschluss der Konfigurationsänderungen an der Gesamtstruktur, und aktivieren Sie es anschließend wieder.
SSPR_0029: Wir können Ihr Kennwort aufgrund eines Fehlers in Ihrer lokalen Konfiguration nicht zurücksetzen. Wenden Sie sich an Ihren Administrator, und bitten Sie ihn, nachzuforschen. Problem: Es wurden alle erforderlichen Schritte zum Aktivieren des Kennwortrückschreibens ausgeführt, aber wenn Sie versuchen, ein Kennwort zu ändern, erhalten Sie die Meldung „SSPR_0029“: Ihre Organisation hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet." In den Ereignisprotokollen im Microsoft Entra Connect-System wird angezeigt, dass der Zugriff für die Anmeldeinformationen des Verwaltungs-Agents verweigert wurde. Mögliche Lösung: Verwenden Sie RSOP auf dem Microsoft Entra Connect-System und Ihren Domänencontrollern, um festzustellen, ob die Richtlinie „Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen“ unter „Computerkonfiguration“ > „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Lokale Richtlinien“ > „Sicherheitsoptionen“ aktiviert ist. Bearbeiten Sie die Richtlinie so, dass auch das MSOL_XXXXXXX-Verwaltungskonto als zulässiger Benutzer enthalten ist. Weitere Informationen finden Sie unter Problembehandlung von Fehler SSPR_0029: Ihre Organisation hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet.

Ereignisprotokoll-Fehlercodes für das Kennwortrückschreiben

Eine bewährte Methode bei der Problembehandlung für das Kennwortrückschreiben ist, das Anwendungsereignisprotokoll auf Ihrem Microsoft Entra Connect-Computer zu überprüfen. Dieses Ereignisprotokoll enthält Ereignisse aus zwei Quellen für das Kennwortrückschreiben. Die Quelle PasswordResetService beschreibt Vorgänge und Probleme im Zusammenhang mit dem Kennwortrückschreiben. Die Quelle ADSync beschreibt Vorgänge und Probleme im Zusammenhang mit dem Zurücksetzen von Kennwörtern in Ihrer Active Directory Domain Services-Umgebung.

Ereignisquelle „ADSync“

Code Name oder Meldung Beschreibung
6329 BAIL: MMS(4924) 0x80230619: „A restriction prevents the password from being changed to the current one specified.“ (BAIL: MMS(4924) 0x80230619: Eine Einschränkung verhindert, dass das Kennwort in die aktuelle Angabe geändert wird.) Dieses Ereignis tritt auf, wenn der Dienst für das Kennwortrückschreiben versucht, ein Kennwort für Ihr lokales Verzeichnis festzulegen, das die in der Domäne geltenden Anforderungen im Hinblick auf Alter, Verlauf, Komplexität oder Filterung für Kennwörter nicht erfüllt. Dieses Ereignis kann auch auftreten, wenn ein Kennwort für einen Benutzer nicht geändert werden kann.

Wenn Sie ein Mindestkennwortalter festgelegt haben und das Kennwort kürzlich geändert wurde, können Sie das Kennwort erst wieder ändern, wenn es das für Ihre Domäne festgelegte Kennwortalter erreicht hat. Zu Testzwecken sollte das Mindestalter auf 0 festgelegt werden.

Wenn Sie Anforderungen für den Kennwortverlauf aktiviert haben, müssen Sie ein Kennwort auswählen, das die letzten n Male nicht verwendet wurde, wobei n für die Einstellung des Kennwortverlaufs steht. Wenn Sie ein Kennwort auswählen, das die letzten n Male verwendet wurde, tritt ein Fehler auf. Zu Testzwecken sollte der Kennwortverlauf auf 0 festgelegt werden.

Wenn Anforderungen an die Kennwortkomplexität gelten, werden diese erzwungen, wenn der Benutzer versucht, ein Kennwort zu ändern oder zurückzusetzen.

Wenn Sie Kennwortfilter aktiviert haben und ein Benutzer versucht, ein Kennwort auszuwählen, das nicht den Filterkriterien entspricht, tritt bei der Kennwortänderung oder -zurücksetzung ein Fehler auf.

Wenn der Benutzer das Eigenschaftsflag PASSWD_CANT_CHANGE festgelegt hat, kann sein Kennwort nicht synchronisiert werden. Entfernen Sie zu Testzwecken das Eigenschaftsflag PASSWD_CANT_CHANGE. Weitere Informationen finden Sie unter Beschreibungen von Eigenschaftsflags.
6329 MMS(3040): admaexport.cpp(2837): Die LDAP-Kennwortrichtliniensteuerung ist auf dem Server nicht vorhanden. Dieses Problem tritt auf, wenn die Steuerung „LDAP_SERVER_POLICY_HINTS_OID“ (1.2.840.113556.1.4.2066) auf den DCs nicht aktiviert ist. Die Steuerung muss aktiviert werden, um das Kennwortrückschreiben-Feature verwenden zu können. Hierzu müssen die Domänencontroller über Windows Server 2016 oder höher verfügen.
HR 8023042 Synchronization Engine returned an error hr=80230402, message=An attempt to get an object failed because there are duplicated entries with the same anchor. (Das Synchronisierungsmodul hat einen Fehler zurückgegeben: hr=80230402, message=Fehler beim Abrufen eines Objekts aufgrund von doppelten Einträgen mit dem gleichen Anker.) Dieser Fehler tritt auf, wenn die gleiche Benutzer-ID in mehreren Domänen aktiviert ist. So tritt er beispielsweise auf, wenn Sie Konto- und Ressourcengesamtstrukturen synchronisieren und dabei in den einzelnen Gesamtstrukturen die gleiche Benutzer-ID vorhanden und aktiviert ist.

Der Fehler kann auch auftreten, wenn Sie ein nicht eindeutiges Ankerattribut (etwa einen Alias oder UPN) verwenden und sich zwei Benutzer dieses Ankerattribut teilen.

Stellen Sie zur Behebung dieses Problems sicher, dass kein Benutzer in Ihren Domänen doppelt vorhanden ist und für jeden Benutzer ein eindeutiges Ankerattribut verwendet wird.

Ereignisquelle „PasswordResetService“

Code Name oder Meldung Beschreibung
31001 PasswordResetStart Dieses Ereignis gibt an, dass der lokale Dienst eine aus der Cloud stammende Anforderung zur Kennwortzurücksetzung für einen Verbundbenutzer oder einen Benutzer mit Pass-Through-Authentifizierung bzw. Kennworthashsynchronisierung erkannt hat. Hierbei handelt es sich jeweils um das erste Ereignis eines Rückschreibvorgangs für Kennwortzurücksetzungen.
31002 PasswordResetSuccess Dieses Ereignis gibt an, dass ein Benutzer im Zuge einer Kennwortzurücksetzung ein neues Kennwort ausgewählt hat. Das Kennwort wurde überprüft und erfüllt die Kennwortanforderungen des Unternehmens. Es wurde erfolgreich in die lokale Active Directory-Umgebung zurückgeschrieben.
31003 PasswordResetFail Dieses Ereignis gibt an, dass ein Benutzer ein Kennwort ausgewählt hat und das Kennwort erfolgreich in der lokalen Umgebung eingegangen ist. Aufgrund eines Fehlers konnte das Kennwort jedoch nicht in der lokalen Active Directory-Umgebung festgelegt werden. Dieser Fehler kann verschiedene Ursachen haben:
  • Das Benutzerkennwort entspricht nicht den für die Domäne geltenden Anforderungen in Bezug auf Alter, Verlauf, Komplexität oder Kennwortfilter. Erstellen Sie zur Behebung dieses Problems ein neues Kennwort.
  • Das ADMA-Dienstkonto verfügt nicht über die Berechtigungen, die zum Festlegen des neuen Kennworts für das betreffende Benutzerkonto erforderlich sind.
  • Das Benutzerkonto befindet sich in einer geschützten Gruppe (beispielsweise in der Gruppe „Domänenadministrator“ oder „Unternehmensadministrator“). Für diese Gruppen ist keine Kennwortverwaltung zulässig.
31004 OnboardingEventStart Dieses Ereignis tritt auf, wenn Sie das Kennwortrückschreiben mit Microsoft Entra Connect aktivieren und die Integration Ihrer Organisation in den Webdienst für das Kennwortrückschreiben gestartet wurde.
31005 OnboardingEventSuccess Dieses Ereignis gibt an, dass der Integrationsvorgang erfolgreich war und das Kennwortrückschreibenfeature einsatzbereit ist.
31006 ChangePasswordStart Dieses Ereignis gibt an, dass der lokale Dienst eine aus der Cloud stammende Anforderung zur Kennwortänderung für einen Verbundbenutzer oder einen Benutzer mit Pass-Through-Authentifizierung bzw. Kennworthashsynchronisierung erkannt hat. Hierbei handelt es sich jeweils um das erste Ereignis eines Rückschreibvorgangs für Kennwortänderungen.
31007 ChangePasswordSuccess Dieses Ereignis gibt an, dass ein Benutzer im Zuge einer Kennwortänderung ein neues Kennwort angefordert hat. Es wurde ermittelt, dass dieses Kennwort die Unternehmensanforderungen für Kennwörter erfüllt, und das Kennwort wurde erfolgreich in die lokale Active Directory-Umgebung zurückgeschrieben.
31008 ChangePasswordFail Dieses Ereignis gibt an, dass ein Benutzer ein Kennwort ausgewählt hat und dass dieses Kennwort erfolgreich in der lokalen Umgebung eingegangen ist. Beim Versuch, das Kennwort in der lokalen Active Directory-Umgebung festzulegen, ist jedoch ein Fehler aufgetreten. Dieser Fehler kann verschiedene Ursachen haben:
  • Das Benutzerkennwort entspricht nicht den für die Domäne geltenden Anforderungen in Bezug auf Alter, Verlauf, Komplexität oder Kennwortfilter. Erstellen Sie zur Behebung dieses Problems ein neues Kennwort.
  • Das ADMA-Dienstkonto verfügt nicht über die Berechtigungen, die zum Festlegen des neuen Kennworts für das betreffende Benutzerkonto erforderlich sind.
  • Das Benutzerkonto befindet sich in einer geschützten Gruppe, z. B. „Domänenadministratoren“ oder „Unternehmensadministratoren“, für die eine Kennwortverwaltung nicht möglich ist.
31009 ResetUserPasswordByAdminStart Der lokale Dienst hat eine Anforderung zur Kennwortzurücksetzung für einen Verbundbenutzer oder einen Benutzer mit Pass-Through-Authentifizierung bzw. Kennworthashsynchronisierung ermittelt, die vom Administrator im Namen eines Benutzers initiiert wurde. Hierbei handelt es sich jeweils um das erste Ereignis eines Rückschreibvorgangs für Kennwortzurücksetzungen, die von einem Administrator initiiert werden.
31010 ResetUserPasswordByAdminSuccess Der Administrator hat im Zuge eines vom Administrator initiierten Kennwortzurücksetzungsvorgangs ein neues Kennwort ausgewählt. Das Kennwort wurde überprüft und erfüllt die Kennwortanforderungen des Unternehmens. Es wurde erfolgreich in die lokale Active Directory-Umgebung zurückgeschrieben.
31011 ResetUserPasswordByAdminFail Der Administrator hat im Namen eines Benutzers ein Kennwort ausgewählt. Das Kennwort ist erfolgreich in der lokalen Umgebung eingegangen. Aufgrund eines Fehlers konnte das Kennwort jedoch nicht in der lokalen Active Directory-Umgebung festgelegt werden. Dieser Fehler kann verschiedene Ursachen haben:
  • Das Benutzerkennwort entspricht nicht den für die Domäne geltenden Anforderungen in Bezug auf Alter, Verlauf, Komplexität oder Kennwortfilter. Versuchen Sie es mit einem neuen Kennwort, um dieses Problem zu beheben.
  • Das ADMA-Dienstkonto verfügt nicht über die Berechtigungen, die zum Festlegen des neuen Kennworts für das betreffende Benutzerkonto erforderlich sind.
  • Das Benutzerkonto befindet sich in einer geschützten Gruppe, z. B. „Domänenadministratoren“ oder „Unternehmensadministratoren“, für die eine Kennwortverwaltung nicht möglich ist.
31012 OffboardingEventStart Dieses Ereignis tritt auf, wenn Sie das Kennwortrückschreiben mit Microsoft Entra Connect deaktivieren. Es gibt an, dass der Vorgang zum Entfernen Ihrer Organisation aus dem Webdienst für das Kennwortrückschreiben gestartet wurde.
31013 OffboardingEventSuccess Dieses Ereignis gibt an, dass der Vorgang zum Entfernen erfolgreich war und die Kennwortrückschreibenfunktion erfolgreich deaktiviert wurde.
31014 OffboardingEventFail Dieses Ereignis gibt an, dass der Vorgang zum Entfernen nicht erfolgreich war. Dies kann auf einen Berechtigungsfehler für das Cloudadministratorkonto oder für das lokale Administratorkonto zurückzuführen sein, das bei der Konfiguration angegeben wurde. Der Fehler kann auch auftreten, wenn Sie beim Deaktivieren des Kennwortrückschreibens versuchen, einen Hybridcloudadministrator zu verwenden. Prüfen Sie zur Behebung dieses Problems Ihre Administratorberechtigungen, und vergewissern Sie sich, dass Sie zum Konfigurieren des Kennwortrückschreibens kein Verbundkonto verwenden.
31015 WriteBackServiceStarted Dieses Ereignis gibt an, dass der Dienst zum Kennwortrückschreiben erfolgreich gestartet wurde. Er kann nun Kennwortverwaltungsanforderungen aus der Cloud entgegennehmen.
31016 WriteBackServiceStopped Dieses Ereignis gibt an, dass der Dienst zum Kennwortrückschreiben beendet wurde. Kennwortverwaltungsanforderungen aus der Cloud haben keinen Erfolg.
31017 AuthTokenSuccess Dieses Ereignis weist darauf hin, dass für den Hybridadministrator, der während der Microsoft Entra Connect-Einrichtung angegeben wurde, erfolgreich ein Autorisierungstoken abgerufen wurde, um den Vorgang zur Integration oder zum Entfernen zu starten.
31018 KeyPairCreationSuccess Dieses Ereignis gibt an, dass der Kennwortverschlüsselungsschlüssel erfolgreich erstellt wurde. Der Schlüssel dient zum Verschlüsseln von Kennwörtern aus der Cloud, die an Ihre lokale Umgebung gesendet werden.
31019 ServiceBusHeartBeat Dieses Ereignis gibt an, dass erfolgreich eine Anforderung an die Service Bus-Instance Ihres Mandanten gesendet wurde.
31034 ServiceBusListenerError Dieses Ereignis gibt an, dass beim Herstellen einer Verbindung mit dem Service Bus-Listener Ihres Mandanten ein Fehler aufgetreten ist. Wenn die Fehlermeldung „Das Remotezertifikat ist laut Validierungsverfahren ungültig“ enthält, stellen Sie sicher, dass der Microsoft Entra Connect-Server wie unter TLS-Zertifikatänderungen für Azure beschrieben über alle erforderlichen Stammzertifizierungsstellen verfügt.
31044 PasswordResetService Dieses Ereignis gibt an, dass das Kennwortrückschreiben nicht funktioniert. Der Service Bus lauscht aus Redundanzgründen auf zwei separaten Relays auf Anforderungen. Jede Relayverbindung wird von einem eindeutigen Diensthost verwaltet. Der Rückschreibeclient gibt einen Fehler zurück, wenn einer der Diensthosts nicht ausgeführt wird.
32000 UnknownError Dieses Ereignis gibt an, dass während eines Kennwortverwaltungsvorgangs ein unbekannter Fehler aufgetreten ist. Lesen Sie den Ausnahmetext im Ereignis, um weitere Informationen zu erhalten. Deaktivieren Sie bei Problemen das Kennwortrückschreiben, und aktivieren Sie es anschließend wieder. Sollte das Problem weiterhin auftreten, senden Sie eine Kopie des Ereignisprotokolls zusammen mit der angegebenen Nachverfolgungs-ID, wenn Sie eine Supportanfrage öffnen.
32001 ServiceError Dieses Ereignis gibt an, dass beim Herstellen einer Verbindung mit dem Kennwortzurücksetzungsdienst ein Fehler aufgetreten ist. Dieser Fehler tritt in der Regel auf, wenn der lokale Dienst keine Verbindung mit dem Webdienst für die Kennwortzurücksetzung herstellen konnte.
32002 ServiceBusError Dieses Ereignis gibt an, dass beim Herstellen einer Verbindung mit der Service Bus-Instanz Ihres Mandanten ein Fehler aufgetreten ist. Dieser Fall kann eintreten, wenn Sie in Ihrer lokalen Umgebung ausgehende Verbindungen blockieren. Prüfen Sie Ihre Firewall, und vergewissern Sie sich, dass Verbindungen über TCP 443 und mit https://ssprdedicatedsbprodncu.servicebus.windows.net möglich sind. Versuchen Sie es anschließend erneut. Sollten weiterhin Probleme auftreten, deaktivieren Sie das Kennwortrückschreiben, und aktivieren Sie es anschließend wieder.
32003 InPutValidationError Dieses Ereignis weist darauf hin, dass die an die Webdienst-API übergebene Eingabe ungültig war. Wiederholen Sie den Vorgang.
32004 DecryptionError Dieses Ereignis weist darauf hin, dass beim Entschlüsseln des aus der Cloud empfangenen Kennworts ein Fehler aufgetreten ist. Dieser Fall kann eintreten, wenn die Entschlüsselungsschlüssel von Clouddienst und lokaler Umgebung nicht übereinstimmen. Deaktivieren Sie zur Behebung dieses Problems das Kennwortrückschreiben in der lokalen Umgebung, und aktivieren Sie es anschließend wieder.
32005 ConfigurationError Während der Integration wurden mandantenspezifische Informationen in einer Konfigurationsdatei in Ihrer lokalen Umgebung gespeichert. Dieses Ereignis gibt an, dass beim Speichern dieser Datei ein Fehler aufgetreten ist oder dass beim Starten des Diensts ein Fehler beim Lesen der Datei aufgetreten ist. Deaktivieren Sie zur Behebung dieses Problems das Kennwortrückschreiben, und aktivieren Sie es anschließend wieder, um die Neuerstellung dieser Konfigurationsdatei zu erzwingen.
32007 OnBoardingConfigUpdateError Während der Integration werden Daten vom Clouddienst für die Kennwortzurücksetzung an den lokalen Dienst für die Kennwortzurücksetzung gesendet. Diese Daten werden dann in eine Datei im Arbeitsspeicher geschrieben, bevor sie an den Synchronisierungsdienst gesendet und sicher auf der Festplatte gespeichert werden. Dieses Ereignis gibt an, dass beim Schreiben oder Aktualisieren der Daten im Arbeitsspeicher ein Problem aufgetreten ist. Deaktivieren Sie zur Behebung dieses Problems das Kennwortrückschreiben, und aktivieren Sie es anschließend wieder, um die Neuerstellung dieser Konfigurationsdatei zu erzwingen.
32008 ValidationError Dieses Ereignis gibt an, dass eine ungültige Antwort vom Webdienst für die Kennwortzurücksetzung empfangen wurde. Deaktivieren Sie zur Behebung dieses Problems das Kennwortrückschreiben, und aktivieren Sie es anschließend wieder.
32009 AuthTokenError Dieses Ereignis gibt an, dass kein Autorisierungstoken für das Hybridadministratorkonto abgerufen werden konnte, das bei der Einrichtung von Microsoft Entra Connect angegeben wurde. Dieser Fehler kann durch einen ungültigen Benutzernamen oder ein ungültiges Kennwort verursacht werden, der bzw. das für das Hybridadministratorkonto angegeben wurde. Er kann aber auch auftreten, wenn es sich bei dem Hybridadministratorkonto um ein Verbundkonto handelt. Wiederholen Sie zur Behebung dieses Problems die Konfiguration mit dem korrekten Benutzernamen und Kennwort, und vergewissern Sie sich, dass es sich bei dem Administratorkonto um ein verwaltetes Konto (nur Cloud oder Kennwortsynchronisierung) handelt.
32010 CryptoError Dieses Ereignis gibt an, dass beim Generieren des Kennwortverschlüsselungsschlüssels oder beim Entschlüsseln eines vom Clouddienst empfangenen Kennworts ein Fehler aufgetreten ist. Dieser Fehler ist meist auf ein Problem mit der Umgebung zurückzuführen. Prüfen Sie die Details im Ereignisprotokoll, um weitere Informationen zum aufgetretenen Problem und zu dessen Lösung zu erhalten. Sie können auch versuchen, das Kennwortrückschreiben zu deaktivieren und wieder zu aktivieren.
32011 OnBoardingServiceError Dieses Ereignis gibt an, dass der lokale Dienst nicht ordnungsgemäß mit dem Webdienst für die Kennwortzurücksetzung kommunizieren konnte, um den Integrationsvorgang zu initiieren. Dieses Problem kann auf eine Firewallregel oder auf Probleme beim Abrufen eines Authentifizierungstokens für Ihren Mandanten zurückzuführen sein. Vergewissern Sie sich zur Behebung dieses Problems, dass ausgehende Verbindungen über TCP 443 und TCP 9350-9354 oder mit https://ssprdedicatedsbprodncu.servicebus.windows.net möglich sind. Stellen Sie außerdem sicher, dass es sich bei dem für die Integration verwendeten Microsoft Entra-Administratorkonto nicht um ein Verbundkonto handelt.
32013 OffBoardingError Dieses Ereignis gibt an, dass der lokale Dienst nicht ordnungsgemäß mit dem Webdienst für die Kennwortzurücksetzung kommunizieren konnte, um den Vorgang zum Entfernen zu initiieren. Dieses Problem kann auf eine Firewallregel oder auf Probleme beim Abrufen eines Autorisierungstokens für Ihren Mandanten zurückzuführen sein. Vergewissern Sie sich zur Behebung dieses Problems, dass ausgehende Verbindungen über Port 443 oder mit https://ssprdedicatedsbprodncu.servicebus.windows.net möglich sind, und dass es sich bei dem für das Offboarding verwendeten Microsoft Entra-Administratorkonto nicht um ein Verbundkonto handelt.
32014 ServiceBusWarning Dieses Ereignis gibt an, dass erneut versucht werden musste, eine Verbindung mit der Service Bus-Instanz Ihres Mandanten herzustellen. Unter normalen Umständen ist das kein Problem, aber wenn dieses Ereignis häufiger auftritt, sollten Sie ggf. Ihre Netzwerkverbindung mit Service Bus prüfen – insbesondere bei Verwendung einer Verbindung mit hoher Wartezeit oder geringer Bandbreite.
32015 ReportServiceHealthError Zur Überwachung der Integrität des Diensts für das Kennwortrückschreiben werden alle fünf Minuten Taktdaten an den Webdienst für die Kennwortzurücksetzung gesendet. Dieses Ereignis weist darauf hin, dass beim Senden dieser Integritätsinformationen zurück an den Cloudwebdienst ein Fehler aufgetreten ist. Diese Integritätsinformationen enthalten keine personenbezogenen Daten. Es handelt sich lediglich um ein Taktsignal und grundlegende Dienststatistiken, um Dienststatusinformationen in der Cloud bereitzustellen.
33001 ADUnKnownError Dieses Ereignis gibt an, dass von Active Directory ein unbekannter Fehler zurückgegeben wurde. Prüfen Sie das Ereignisprotokoll des Microsoft Entra Connect-Servers auf Ereignisse mit der Quelle „ADSync“, um weitere Informationen zu erhalten.
33002 ADUserNotFoundError Dieses Ereignis weist darauf hin, dass der Benutzer, der ein Kennwort zurücksetzen oder ändern möchte, nicht im lokalen Verzeichnis gefunden wurde. Dieser Fehler kann auftreten, wenn der Benutzer lokal, aber nicht in der Cloud gelöscht wurde. Er kann aber auch auf ein Problem mit der Synchronisierung zurückzuführen sein. Prüfen Sie Ihre Synchronisierungsprotokolle und die Details zu den letzten Synchronisierungsvorgängen, um weitere Informationen zu erhalten.
33003 ADMutliMatchError Wenn eine Anforderung zur Kennwortzurücksetzung oder -änderung aus der Cloud stammt, wird mithilfe des bei der Einrichtung von Microsoft Entra Connect angegeben Cloudankers ermittelt, wie diese Anforderung mit einem Benutzer in Ihrer lokalen Umgebung verknüpft wird. Dieses Ereignis weist darauf hin, dass zwei Benutzer mit demselben Cloudankerattribut im lokalen Verzeichnis gefunden wurden. Prüfen Sie Ihre Synchronisierungsprotokolle und die Details zu den letzten Synchronisierungsvorgängen, um weitere Informationen zu erhalten.
33004 ADPermissionsError Dieses Ereignis gibt an, dass das ADMA-Dienstkonto (Active Directory Management Agent, Active Directory-Verwaltungs-Agent) über keine ausreichenden Berechtigungen verfügt, um für das betreffende Konto ein neues Kennwort festzulegen. Stellen Sie sicher, dass das ADMA-Konto in der Gesamtstruktur des Benutzers über die Berechtigungen zum Zurücksetzen von Kennwörtern für alle Objekte in der Gesamtstruktur verfügt. Weitere Informationen zum Festlegen von Berechtigungen finden Sie in Schritt 4: Einrichten der geeigneten Active Directory-Berechtigungen. Dieser Fehler kann auch auftreten, wenn das „AdminCount“-Attribut des Benutzers auf „1“ festgelegt ist.
33005 ADUserAccountDisabled Dieses Ereignis gibt an, dass versucht wurde, ein Kennwort für ein lokal deaktiviertes Konto zurückzusetzen oder zu ändern. Aktivieren Sie das Konto, und versuchen Sie es erneut.
33006 ADUserAccountLockedOut Dieses Ereignis gibt an, dass versucht wurde, ein Kennwort für ein lokal gesperrtes Konto zurückzusetzen oder zu ändern. Sperrungen können auftreten, wenn ein Benutzer innerhalb eines kurzen Zeitraums zu häufig versucht hat, ein Kennwort zu ändern oder zurückzusetzen. Entsperren Sie das Konto, und versuchen Sie es erneut.
33007 ADUserIncorrectPassword Dieses Ereignis weist darauf hin, dass der Benutzer beim Ausführen einer Kennwortänderung ein falsches aktuelles Kennwort angegeben hat. Geben Sie das richtige aktuelle Kennwort an, und versuchen Sie es erneut.
33008 ADPasswordPolicyError Dieses Ereignis tritt auf, wenn der Dienst für das Kennwortrückschreiben versucht, ein Kennwort für Ihr lokales Verzeichnis festzulegen, das die in der Domäne geltenden Anforderungen im Hinblick auf Alter, Verlauf, Komplexität oder Filterung für Kennwörter nicht erfüllt.

Wenn Sie ein Mindestkennwortalter festgelegt haben und das Kennwort kürzlich geändert wurde, können Sie das Kennwort erst wieder ändern, wenn es das für Ihre Domäne festgelegte Kennwortalter erreicht hat. Zu Testzwecken sollte das Mindestalter auf 0 festgelegt werden.

Wenn Sie Anforderungen für den Kennwortverlauf festgelegt haben, müssen Sie ein Kennwort auswählen, das die letzten n Male nicht verwendet wurde, wobei n für die Einstellung des Kennwortverlaufs steht. Wenn Sie ein Kennwort auswählen, das die letzten n Male verwendet wurde, tritt ein Fehler auf. Zu Testzwecken sollte der Kennwortverlauf auf 0 festgelegt werden.

Wenn Anforderungen an die Kennwortkomplexität gelten, werden diese erzwungen, wenn der Benutzer versucht, ein Kennwort zu ändern oder zurückzusetzen.

Wenn Sie Kennwortfilter aktiviert haben und ein Benutzer versucht, ein Kennwort auszuwählen, das nicht den Filterkriterien entspricht, tritt bei der Kennwortänderung oder -zurücksetzung ein Fehler auf.
33009 ADConfigurationError Dieses Ereignis gibt an, dass aufgrund eines Konfigurationsproblems mit Active Directory ein Fehler beim Zurückschreiben eines Kennworts in das lokale Verzeichnis aufgetreten ist. Überprüfen Sie das Anwendungsereignisprotokoll für den Microsoft Entra Connect-Computer auf Meldungen des ADSync-Diensts, um weitere Informationen zur Fehlerursache zu erhalten.

Organisationseinheitszeichen, die aus Kennwortrückschreiben reserviert sind

In der folgenden Tabelle sind reservierte Zeichen aufgeführt, die ein Kennwortrückschreiben verhindern. Wenn diese Zeichen in Ihrer lokalen Organisationseinheit (OE) angezeigt werden, schlägt das Kennwortrückschreiben möglicherweise mit der Ereignis-ID 33001 fehl.

Reserviertes Zeichen Beschreibung Farbtonwert
Leerzeichen oder #-Zeichen am Anfang einer Zeichenfolge
Leerzeichen am Ende einer Zeichenfolge
, Komma 0x2C
+ Pluszeichen 0x2B
" Anführungszeichen 0x22
\ umgekehrter Schrägstrich 0x5C
< spitze Klammer links 0x3C
> spitze Klammer rechts 0x3E
; Semikolon 0x3B
LF Zeilenvorschub 0x0A
CR Wagenrücklauf 0x0D
= Gleichheitszeichen 0x3D
/ Schrägstrich 0x2F

Microsoft Entra-Foren

Wenn Sie allgemeine Fragen zu Microsoft Entra ID und zur Self-Service-Kennwortzurücksetzung haben, können Sie die Community auf der Microsoft Q&A-Frageseite für Microsoft Entra ID um Unterstützung bitten. Zu den Mitgliedern der Community gehören Techniker, Produktmanager MVPs und andere IT-Experten.

Microsoft-Support kontaktieren

Wenn Sie keine Antwort auf ein Problem finden, stehen Ihnen unsere Supportteams immer für weitere Unterstützung zur Verfügung.

Damit wir Sie bestmöglich unterstützen können, geben Sie bitte so viele Details wie möglich an, wenn Sie eine Anfrage erstellen. Hierzu gehören die folgenden Angaben:

  • Allgemeine Beschreibung des Fehlers: Welcher Fehler liegt vor? Welches Verhalten haben Sie festgestellt? Wie können wir den Fehler reproduzieren? Geben Sie bitte so viele Details wie möglich an.
  • Seite: Auf welcher Seite befanden Sie sich, als der Fehler aufgetreten ist? Geben Sie möglichst die URL an, und erstellen Sie einen Screenshot der Seite.
  • Unterstützungscode: Welcher Unterstützungscode wurde generiert, als der Fehler aufgetreten ist?
    • Reproduzieren Sie zum Ermitteln des Unterstützungscodes den Fehler, klicken Sie im unteren Bildschirmbereich auf den Link Unterstützungscode, und senden Sie die generierte GUID an den Supportmitarbeiter.

      Der Unterstützungscode befindet sich unten rechts im Webbrowserfenster.

    • Wenn Sie sich auf einer Seite ohne Unterstützungscode befinden, drücken Sie F12, suchen Sie nach der SID und der CID, und senden Sie beide Ergebnisse an den Supportmitarbeiter.

  • Datum, Uhrzeit und Zeitzone: Geben Sie das genaue Datum und die exakte Uhrzeit des Fehlers an (einschließlich der Zeitzone).
  • Benutzer-ID: Bei welchem Benutzer ist der Fehler aufgetreten? z. B. user@contoso.com.
    • Handelt es sich um einen Verbundbenutzer?
    • Ist dies ein Benutzer mit Pass-Through-Authentifizierung?
    • Handelt es sich um einen Benutzer mit Kennworthashsynchronisierung?
    • Handelt es sich um einen reinen Cloudbenutzer?
  • Lizenzierung: Ist dem Benutzer eine Microsoft Entra ID-Lizenz zugewiesen?
  • Anwendungsereignisprotokoll: Wenn Sie das Kennwortrückschreiben verwenden und der Fehler in Ihrer lokalen Infrastruktur auftritt, fügen Sie eine gezippte Kopie des Anwendungsereignisprotokolls Ihres Microsoft Entra Connect-Servers bei.

Nächste Schritte

Weitere Informationen zu SSPR finden Sie unter So funktioniert es: Self-Service-Kennwortzurücksetzung in Microsoft Entra oder Wie funktioniert das Rückschreibens der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID?.