Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync
Questo argomento descrive la procedura per risolvere i problemi di sincronizzazione dell'hash delle password. Se le password non vengono sincronizzate come previsto, può essere per un subset di utenti o per tutti gli utenti.
Per la distribuzione di Microsoft Entra Connect con la versione 1.1.614.0 o successiva, usare l'attività specificata nella procedura guidata per la risoluzione dei problemi di sincronizzazione dell'hash delle password:
Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: risolvere i problemi usando l'attività di risoluzione dei problemi.
Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: risolvere i problemi usando l'attività di risoluzione dei problemi.
Per la distribuzione con la versione 1.1.524.0 o successiva, è disponibile un cmdlet di diagnostica che è possibile usare per risolvere i problemi di sincronizzazione dell'hash delle password:
Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: risolvere i problemi tramite il cmdlet di diagnostica.
Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: risolvere i problemi tramite il cmdlet di diagnostica.
Per le versioni precedenti della distribuzione di Microsoft Entra Connect:
Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: passaggi per la risoluzione manuale dei problemi.
Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: passaggi per la risoluzione manuale dei problemi.
Nessuna password viene sincronizzata: risolvere i problemi usando l'attività di risoluzione dei problemi
Per stabilire il motivo per cui nessuna password viene sincronizzata, è possibile usare l'attività di risoluzione dei problemi.
Nota
L'attività di risoluzione dei problemi è disponibile solo per Microsoft Entra Connect versione 1.1.614.0 o successiva.
Eseguire l'attività di risoluzione dei problemi
Per risolvere i problemi per cui nessuna password viene sincronizzata:
Apri una nuova sessione di Windows PowerShell nel tuo server di Microsoft Entra Connect usando l'opzione Esegui come amministratore.
Eseguire
Set-ExecutionPolicy RemoteSignedoSet-ExecutionPolicy Unrestricted.Avviare la procedura guidata Microsoft Entra Connect.
Passare alla pagina attività aggiuntive, selezionare Risoluzione dei problemie selezionare Avanti.
Nella pagina Risoluzione dei problemi selezionare Avvia per avviare il menu di risoluzione dei problemi in PowerShell.
Nel menu principale scegliere Troubleshoot password hash synchronization (Risolvere i problemi di sincronizzazione dell'hash delle password).
Nel sottomenu scegliere Password hash synchronization does not work at all (La sincronizzazione dell'hash delle password non funziona).
Informazioni sui risultati dell'attività di risoluzione dei problemi
L'attività di risoluzione dei problemi effettua i controlli seguenti:
Verifica che la funzionalità di sincronizzazione dell'hash delle password sia abilitata per il tuo tenant di Microsoft Entra.
Verifica che il server Microsoft Entra Connect non sia in modalità di staging.
Per ogni istanza locale esistente di Active Directory Connector, corrispondente a una foresta di Active Directory esistente:
Verifica che la funzionalità di sincronizzazione dell'hash delle password sia abilitata.
Cerca gli eventi heartbeat di sincronizzazione dell'hash delle password nei log eventi delle applicazioni di Windows.
Per ogni dominio di Active Directory nell'istanza locale di Active Directory Connector:
Verifica che il dominio sia raggiungibile dal server di Microsoft Entra Connect.
Verifica che gli account di Active Directory Domain Services usati da Active Directory Connector locale abbiano il nome utente e la password corretti e le autorizzazioni necessarie per la sincronizzazione dell'hash delle password.
Il diagramma seguente illustra i risultati del cmdlet per una topologia di Active Directory locale a dominio singolo:
La parte restante di questa sezione descrive i risultati specifici restituiti dall'attività e i problemi corrispondenti.
La funzionalità di sincronizzazione dell'hash delle password non è abilitata
Se non hai abilitato la sincronizzazione dell'hash delle password tramite la procedura guidata di Microsoft Entra Connect, viene restituito l'errore seguente:
Il server Microsoft Entra Connect è in modalità di gestione temporanea
Se il server di Microsoft Entra Connect è in modalità di gestione temporanea, la sincronizzazione dell'hash delle password è temporaneamente disabilitata e viene restituito l'errore seguente:
Eventi heartbeat di mancata sincronizzazione dell'hash delle password
Ogni istanza locale di Active Directory Connector ha uno specifico canale di sincronizzazione dell'hash delle password. Quando il canale di sincronizzazione dell'hash delle password è attivo e non vi sono modifiche di password da sincronizzare, nel log eventi delle applicazioni di Windows viene generato un evento heartbeat (EventId 654) ogni 30 minuti. Per ogni istanza locale di Active Directory Connector, il cmdlet cerca gli eventi heartbeat corrispondenti che si sono verificati nelle ultime tre ore. Se la ricerca ha esito negativo, viene restituito l'errore seguente:
L'account di Active Directory Domain Services non ha le autorizzazioni corrette
Se l'account di Active Directory Domain Services usato dall'istanza locale di Active Directory Connector per sincronizzare gli hash delle password non ha le autorizzazioni appropriate, viene restituito l'errore seguente:
La password o il nome utente dell'account di Active Directory Domain Services non è corretto
Se l'account di Active Directory Domain Services usato dall'istanza locale di Active Directory Connector per sincronizzare gli hash delle password ha una password o un nome utente non corretto, viene restituito l'errore seguente:
Un oggetto non sincronizza le password: risolvere i problemi usando l'attività di risoluzione dei problemi
È possibile usare l'attività di risoluzione dei problemi per determinare il motivo per cui un oggetto non sincronizza le password.
Nota
L'attività di risoluzione dei problemi è disponibile solo per Microsoft Entra Connect versione 1.1.614.0 o successiva.
Eseguire il cmdlet di diagnostica
Per risolvere i problemi relativi a un oggetto utente specifico:
Apri una nuova sessione di Windows PowerShell nel tuo server di Microsoft Entra Connect usando l'opzione Esegui come amministratore.
Eseguire
Set-ExecutionPolicy RemoteSignedoSet-ExecutionPolicy Unrestricted.Avviare la procedura guidata Microsoft Entra Connect.
Passare alla pagina Attività Aggiuntive, selezionare Risolvere i problemie selezionare Avanti.
Nella pagina Risoluzione dei problemi selezionare Avvia per avviare il menu di risoluzione dei problemi in PowerShell.
Nel menu principale scegliere Troubleshoot password hash synchronization (Risolvere i problemi di sincronizzazione dell'hash delle password).
Nel menu secondario selezionare Password non è sincronizzata per un account utente specifico.
Informazioni sui risultati dell'attività di risoluzione dei problemi
L'attività di risoluzione dei problemi effettua i controlli seguenti:
Esamina lo stato dell'oggetto Active Directory nello spazio connettore di Active Directory, nel metaverse e nello spazio connettore di Microsoft Entra.
Verifica che siano definite regole di sincronizzazione con la sincronizzazione dell'hash delle password abilitata e applicata all'oggetto Active Directory.
Prova a recuperare e visualizzare i risultati dell'ultimo tentativo di sincronizzazione della password per l'oggetto.
Il diagramma seguente illustra i risultati del cmdlet durante la risoluzione dei problemi di sincronizzazione dell'hash delle password per un singolo oggetto:
La parte restante di questa sezione descrive i risultati specifici restituiti dal cmdlet e i problemi corrispondenti.
L'oggetto Active Directory non viene esportato in Microsoft Entra ID
La sincronizzazione dell'hash delle password per questo account Active Directory locale ha esito negativo perché non esiste alcun oggetto corrispondente nel tenant di Microsoft Entra. Viene restituito l'errore seguente:
L'utente ha una password temporanea
Le versioni precedenti di Microsoft Entra Connect non supportano la sincronizzazione delle password temporanee con Microsoft Entra ID. Una password viene considerata temporanea se l'opzione Cambiamento obbligatorio password all'accesso successivo è impostata per l'utente di Active Directory locale. L'errore seguente viene restituito con queste versioni precedenti:
Per abilitare le sincronizzazioni delle password temporanee, è necessario che sia installato Microsoft Entra Connect versione 2.0.3.0 o successiva e la funzionalità ForcePasswordChangeOnLogon deve essere abilitata.
I risultati dell'ultimo tentativo di sincronizzare la password non sono disponibili
Per impostazione predefinita, Microsoft Entra Connect archivia i risultati dei tentativi di sincronizzazione dell'hash delle password per sette giorni. Se per l'oggetto Active Directory selezionato non sono disponibili risultati, viene restituito l'avviso seguente:
Nessuna password viene sincronizzata: risolvere i problemi tramite il cmdlet di diagnostica
Per stabilire il motivo per cui nessuna password viene sincronizzata, è possibile usare il cmdlet Invoke-ADSyncDiagnostics.
Nota
Il cmdlet Invoke-ADSyncDiagnostics è disponibile solo per Microsoft Entra Connect versione 1.1.524.0 o successiva.
Eseguire il cmdlet di diagnostica
Per risolvere i problemi per cui nessuna password viene sincronizzata:
Apri una nuova sessione di Windows PowerShell nel tuo server di Microsoft Entra Connect usando l'opzione Esegui come amministratore.
Eseguire
Set-ExecutionPolicy RemoteSignedoSet-ExecutionPolicy Unrestricted.Eseguire
Import-Module ADSyncDiagnostics.Eseguire
Invoke-ADSyncDiagnostics -PasswordSync.
Un oggetto non sincronizza le password: risolvere i problemi usando il cmdlet di diagnostica
È possibile usare il cmdlet Invoke-ADSyncDiagnostics per determinare il motivo per cui un oggetto non sincronizza le password.
Nota
Il cmdlet Invoke-ADSyncDiagnostics è disponibile solo per Microsoft Entra Connect versione 1.1.524.0 o successiva.
Eseguire il cmdlet di diagnostica
Per risolvere i problemi per cui nessuna password viene sincronizzata per un utente:
Apri una nuova sessione di Windows PowerShell nel tuo server di Microsoft Entra Connect usando l'opzione Esegui come amministratore.
Eseguire
Set-ExecutionPolicy RemoteSignedoSet-ExecutionPolicy Unrestricted.Eseguire
Import-Module ADSyncDiagnostics.Eseguire il cmdlet seguente:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>Ad esempio:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
Nessuna password viene sincronizzata: passaggi per la risoluzione manuale dei problemi
Per stabilire il motivo per cui nessuna password viene sincronizzata, seguire questi passaggi:
Il server di connessione è in modalità di gestione temporanea? Un server in modalità di gestione temporanea non sincronizza le password.
Eseguire lo script nella sezione Ottenere lo stato delle impostazioni di sincronizzazione password. Fornisce una panoramica della configurazione della sincronizzazione password.
Se la funzionalità non è abilitata in Microsoft Entra ID o se lo stato del canale di sincronizzazione non è abilitato, eseguire l'installazione guidata di Connect. Selezionare Personalizzazione delle opzioni di sincronizzazione e deselezionare l'opzione di sincronizzazione delle password. Questa modifica disabilita temporaneamente la funzionalità. Eseguire quindi di nuovo la procedura guidata e riabilitare la sincronizzazione password. Eseguire di nuovo lo script per verificare che la configurazione sia corretta.
Esaminare il log eventi per cercare eventuali errori. Cercare gli eventi seguenti che potrebbero indicare un problema:
Origine: “Sincronizzazione della directory”
ID: 0, 611, 652, 655Se visualizzi eventi di questo tipo, è presente un problema di connessione. Il messaggio del log eventi contiene informazioni relative alla foresta in cui è presente un problema.
Se non viene visualizzato alcun heartbeat o non si sono trovate altre soluzioni al problema, eseguire lo script riportato in Attivare una sincronizzazione completa di tutte le password. Eseguire lo script una sola volta.
Vedere la sezione Risolvere i problemi relativi a un oggetto che non sincronizza le password.
Problemi di connettività
La connessione con Microsoft Entra ID è presente?
L'account dispone delle autorizzazioni necessarie per leggere gli hash delle password in tutti i domini? Se si è installato Connect usando le impostazioni rapide, le autorizzazioni dovrebbero già essere corrette.
Se invece si è usata l'installazione personalizzata, impostare manualmente le autorizzazioni eseguendo queste le operazioni:
Per trovare l'account usato dall'istanza di Active Directory Connector, avviare Synchronization Service Manager.
Passare a Connettori e cercare la foresta di Active Directory locale per cui risolvere i problemi.
Selezionare il connettore e quindi selezionare Proprietà.
Passare a Connetti a Foresta Active Directory.
Prendere nota del nome utente e del dominio in cui si trova l'account.Avvia Utenti e computer di Active Directorye quindi verifica che l'account trovato in precedenza disponga delle seguenti autorizzazioni impostate alla radice di tutti i domini della foresta:
- Replica modifiche directory
- Replica modifiche directory - Tutto
I controller di dominio sono raggiungibili da Microsoft Entra Connect? Se il server Connect non riesce a connettersi a tutti i controller di dominio, configurare Only use preferred domain controller (Usare solo controller di dominio preferito).
Tornare a Synchronization Service Manager e Configure Directory Partition (Configurare la partizione della directory).
Selezionare il proprio dominio in Selezionare le partizioni di directory, selezionare la casella di controllo Usare solo i controller di dominio preferiti e quindi selezionare Configura.
Nell'elenco immettere i controller di dominio che Connect deve usare per la sincronizzazione delle password. Lo stesso elenco viene usato anche per importare ed esportare. Eseguire questi passaggi per tutti i domini.
Nota
Per applicare queste modifiche, riavvia il servizio Microsoft Entra ID Sync (ADSync).
- Se lo script indica che non è presente alcun heartbeat, eseguire lo script in Attivare una sincronizzazione completa di tutte le password.
Un oggetto non sincronizza le password: passaggi manuali per la risoluzione dei problemi
È possibile risolvere facilmente i problemi di sincronizzazione dell'hash delle password esaminando lo stato di un oggetto.
In Utenti e computer di Active Directory cercare l'utente e verificare che la casella di controllo Cambiamento obbligatorio password all'accesso successivo sia deselezionata.
Se la casella di controllo è selezionata, chiedere all'utente di accedere e modificare la password. Le password temporanee non vengono sincronizzate con Microsoft Entra ID.
Se in Active Directory la password sembra corretta, seguire l'utente nel motore di sincronizzazione. Seguendo l'utente da Active Directory locale a Microsoft Entra ID, è possibile verificare se è presente un errore descrittivo nell'oggetto.
a. Avviare Synchronization Service Manager.
b. Selezionare Connettori.
c. Selezionare l'istanza di Active Directory Connector in cui si trova l'utente.
d. Selezionare Search Connector Space(Cerca spazio connettore).
e. Nella casella Ambito selezionare DN or Anchor (DN o ancoraggio) e quindi immettere il nome distinto completo dell'utente per il quale si devono risolvere i problemi.
f. Individua l'utente desiderato, quindi seleziona Proprietà per visualizzare tutti gli attributi. Se l'utente non è nel risultato della ricerca, verificare le regole di filtro e assicurarsi di eseguire Applica e verificare le modifiche affinché l'utente venga visualizzato in Connetti.
g. Per visualizzare i dettagli di sincronizzazione delle password dell'oggetto per la settimana precedente, selezionare Log.
Se il log dell'oggetto è vuoto, Microsoft Entra Connect non è stato in grado di leggere l'hash della password da Active Directory. Continuare la risoluzione dei problemi con Errori di connettività. Se viene visualizzato un valore diverso da success, fare riferimento alla tabella Log di sincronizzazione delle password.
h. Selezionare la scheda Lineage (Derivazione) e verificare che almeno una regola di sincronizzazione nella colonna PasswordSync (Sincronizzazione password) sia impostata su True. Nella configurazione predefinita il nome della regola di sincronizzazione è In from AD - User AccountEnabled.
i. Selezionare Proprietà oggetto Metaverse per visualizzare un elenco di attributi utente.
Verificare che non sia presente nessun attributo cloudFiltered. Assicurarsi che gli attributi di dominio (domainFQDN e domainNetBios) abbiano i valori previsti.
j. Selezionare la scheda Connettori. Assicurarsi di visualizzare i connettori sia per Active Directory locale che per ID Microsoft Entra.
k. Selezionare la riga che rappresenta Microsoft Entra ID, selezionare Proprietàe quindi selezionare la scheda Lineage. L'oggetto spazio connettore deve avere una regola di esportazione nella colonna PasswordSync impostata su True. Nella configurazione predefinita, il nome della regola di sincronizzazione è Out to Microsoft Entra ID - User Join.
Log di sincronizzazione delle password
I valori possibili per la colonna dello stato sono i seguenti:
| Stato | Description |
|---|---|
| Riuscita | La password è stata sincronizzata. |
| FilteredByTarget | La password è impostata su Richiedi modifica della password all'accesso successivo. La password non è stata sincronizzata. |
| NoTargetConnection | Nessun oggetto in metaverse o nello spazio connettore di Microsoft Entra. |
| SourceConnectorNotPresent | Nessun oggetto trovato nello spazio connettore di Active Directory locale. |
| TargetNotExportedToDirectory | L'oggetto nello spazio connettore Microsoft Entra non è ancora stato esportato. |
| MigratedCheckDetailsForMoreInfo | La voce di log è stata creata prima della compilazione 1.0.9125.0 e viene visualizzata nello stato precedente. |
| Error | Il servizio ha restituito un errore sconosciuto. |
| Sconosciuto | Si è verificato un errore durante il tentativo di elaborare un batch di hash delle password. |
| MissingAttribute | Gli attributi specifici (ad esempio, l'hash Kerberos) richiesti da Microsoft Entra Domain Services non sono disponibili. |
| RetryRequestedByTarget | Attributi specifici (ad esempio, hash Kerberos) richiesti da Microsoft Entra Domain Services non erano disponibili in precedenza. Viene effettuato un tentativo di risincronizzare l'hash della password dell'utente. |
Script per facilitare la risoluzione dei problemi
Ottenere lo stato delle impostazioni di sincronizzazione password
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Attivare una sincronizzazione completa di tutte le password
Nota
Eseguire questo script una sola volta. Se è necessario eseguirlo più volte, il problema è dovuto a un'altra causa. Per risolverlo, contattare il supporto tecnico Microsoft.
È possibile attivare una sincronizzazione completa di tutte le password usando lo script seguente:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true