Risolvere i problemi di writeback della reimpostazione della password self-service in Microsoft Entra ID
Microsoft Entra self-service password reset (SSPR) consente agli utenti di reimpostare le password nel cloud. Il writeback delle password è una funzionalità abilitata con Microsoft Entra Connect o la sincronizzazione cloud che consente di eseguire il writeback delle modifiche delle password nel cloud in una directory locale esistente in tempo reale.
Se si verificano problemi con il writeback della reimpostazione della password self-service, la procedura di risoluzione dei problemi e gli errori comuni seguenti possono risultare utili. Se non si riesce a trovare la risposta al problema, i team di supporto sono sempre disponibili per ulteriore assistenza.
Risolvere i problemi di connettività
Se si verificano problemi con il writeback delle password per Microsoft Entra Connect, esaminare i passaggi seguenti che potrebbero aiutare a risolvere il problema. Per ripristinare il servizio, è consigliabile seguire questa procedura nell'ordine seguente:
- Verificare la connettività della rete
- Controllare TLS 1.2
- Aggiornare Microsoft .NET 4.8
- Riavviare il servizio di sincronizzazione Microsoft Entra Connect
- Disabilitare e riabilitare la funzionalità di writeback delle password
- Installare la versione più recente di Microsoft Entra Connect
- Risolvere un problema relativo al writeback delle password
Verificare la connettività della rete
Il punto di errore più comune è che le porte del firewall o del proxy o i timeout di inattività non sono configurati correttamente.
Per Microsoft Entra Connect versione 1.1.443.0 e successive, è necessario l'accesso HTTPS in uscita agli indirizzi seguenti:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Azure per gli endpoint del governo degli Stati Uniti:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Endpoint di Azure China 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Se è necessaria una maggiore granularità, vedere l'elenco di intervalli IP e tag di servizio di Microsoft Azure per il cloud pubblico.
Per Azure per il governo degli Stati Uniti, vedere l'elenco di intervalli IP e tag di servizio di Microsoft Azure per Azure per il cloud per il governo degli Stati Uniti.
Questi file vengono aggiornati settimanalmente.
Per determinare se l'accesso a un URL e una porta è limitato in un ambiente come il cloud di Azure pubblico, eseguire i seguentI passaggi:
Nel server Entra connect aprire i registri del visualizzatore eventi (log di Windows, applicazione) e individuare uno di questi ID evento: 31034 o 31019.
Da questi ID evento identificare il nome del listener del bus di servizio:
Eseguire il cmdlet seguente:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
In alternativa, eseguire quanto segue:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
Sostituire lo <spazio dei nomi> con lo stesso estratto dagli ID evento precedenti. Ad esempio, nel caso precedente, il comando è:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Per altre informazioni, vedere i prerequisiti di connettività per Microsoft Entra Connect.
Verificare che TLS 1.2 sia abilitato
Un passaggio aggiuntivo per la risoluzione dei problemi consiste nel verificare che TLS 1.2 sia abilitato correttamente nel server di sincronizzazione. Eseguire script di PowerShell per controllare TLS 1.2 nel server Entra Connect. Assicurarsi di eseguire lo script in modalità amministratore.
L’output dello script check deve essere simile all'immagine seguente (il percorso, il nome e le colonne del valore) per essere abilitato correttamente. In caso contrario, eseguire lo script di PowerShell per abilitare TLS 1.2 in Entra Connect Server/ Quindi riavviare il server ed eseguire lo script per verificare di nuovo TLS 1.2.
Assicurarsi che Microsoft .NET Framework 4.8 o versione successiva sia abilitato (server di sincronizzazione)
Assicurarsi che Microsoft .NET Framework 4.8 o versione successiva sia abilitato nel server di sincronizzazione.
- Come verificare se .NET è già installato
- Eseguire query nel Registro di sistema usando PowerShell
- Download di .NET Framework
Riavviare il servizio di sincronizzazione Microsoft Entra Connect
Per risolvere i problemi di connettività o altri problemi temporanei con il servizio, completare la procedura seguente per riavviare il servizio di sincronizzazione Microsoft Entra Connect:
In qualità di amministratore del server che esegue Microsoft Entra Connect, selezionare Avvia.
Immettere services.msc nel campo di ricerca e premere INVIO.
Cercare la voce Azure AD Sync.
Fare clic con il pulsante destro del mouse sulla voce del servizio, selezionare Riavvia e attendere il completamento dell'operazione.
Questi passaggi consentono di ristabilire la connessione con Microsoft Entra ID e risolvere i problemi di connettività.
Se il riavvio del servizio di sincronizzazione Microsoft Entra Connect non risolve il problema, provare a disabilitare e quindi riabilitare la funzionalità di writeback delle password nella sezione successiva.
Disabilitare e riabilitare la funzionalità di writeback delle password
Per continuare a risolvere i problemi, completare i passaggi seguenti per disabilitare e quindi riabilitare la funzionalità di writeback delle password:
- In qualità di amministratore del server che esegue Microsoft Entra Connect, aprire la configurazione guidata di Microsoft Entra Connect.
- In Connetti a Microsoft Entra ID, immettere le credenziali di Amministratore ibrido di Microsoft Entra.
- In Connetti a AD DS, immettere le credenziali di amministratore di Active Directory Domain Services locali.
- In Identificazione univoca per gli utenti fare clic su Avanti.
- In Funzionalità facoltative deselezionare la casella di controllo Writeback password.
- Fare clic su Avanti nelle pagine rimanenti senza apportare alcuna modifica fino a quando non viene visualizzata la pagina Pronto per la configurazione.
- Verificare che nella pagina Pronto per la configurazione sia visualizzata l'opzione Writeback delle password come disabilitata. Selezionare il pulsante verde Configura per eseguire il commit delle modifiche.
- In Operazione completata deselezionare l'opzione Sincronizza adesso e quindi fare clic su Fine per chiudere la procedura guidata.
- Riaprire la configurazione guidata di Microsoft Entra Connect.
- Ripetere i passaggi da 2 a 8, questa volta selezionando l'opzione Writeback password nella pagina Funzionalità facoltative per riabilitare il servizio.
Questi passaggi consentono di ristabilire la connessione con Microsoft Entra ID e risolvere i problemi di connettività.
Se si disabilita e quindi si riabilita la funzionalità di writeback delle password non risolve il problema, reinstallare Microsoft Entra Connect nella sezione successiva.
Installare la versione più recente di Microsoft Entra Connect
La reinstallazione di Microsoft Entra Connect consente di risolvere i problemi di configurazione e connettività tra Microsoft Entra ID e l'ambiente di Servizi di dominio Active Directory locale. È consigliabile eseguire questo passaggio solo dopo aver tentato i passaggi precedenti per verificare e risolvere i problemi di connettività.
Avviso
Se sono state personalizzate le regole di sincronizzazione predefinite, eseguirne il backup prima di procedere con l'aggiornamento, ridistribuirle manualmente al termine.
Scaricare la versione più recente di Microsoft Entra Connect dall'Area download Microsoft.
Dopo aver già installato Microsoft Entra Connect, eseguire un aggiornamento sul posto per aggiornare l'installazione di Microsoft Entra Connect alla versione più recente.
Eseguire il pacchetto scaricato e seguire le istruzioni visualizzate per aggiornare Microsoft Entra Connect.
Questi passaggi devono ristabilire la connessione con Microsoft Entra ID e risolvere i problemi di connettività.
Se l'installazione della versione più recente del server Microsoft Entra Connect non risolve il problema, provare a disabilitare e quindi riabilitare il writeback delle password come passaggio finale dopo aver installato la versione più recente.
Verificare che Microsoft Entra Connect disponga delle autorizzazioni necessarie
Microsoft Entra Connect richiede l'autorizzazione per la reimpostazione della password di AD DS per eseguire il writeback delle password. Per verificare se Microsoft Entra Connect dispone dell'autorizzazione necessaria per un determinato account utente di AD DS locale, usare la funzionalità Autorizzazioni valide di Windows:
Accedere al server Microsoft Entra Connect e avviare Synchronization Service Manager selezionando Avvia>servizio di sincronizzazione.
Nella scheda Connettori selezionare il connettore Active Directory Domain Services locale e quindi selezionare Proprietà.
Nella finestra popup selezionare Connetti a foresta Active Directory e annotare la proprietà Nome utente. Questa proprietà è l'account di Active Directory Domain Services utilizzato da Microsoft Entra Connect per eseguire la sincronizzazione della directory.
Per consentire a Microsoft Entra Connect di eseguire il writeback delle password, l'account di Active Directory Domain Services deve disporre dell'autorizzazione di reimpostazione della password. Controllare le autorizzazioni per questo account utente nei passaggi seguenti.
Accedere a un controller di dominio locale e avviare l'applicazione Utenti e computer di Active Directory.
Selezionare Visualizza e verificare che l'opzione Funzionalità avanzate sia abilitata.
Cercare l'account utente di AD DS che si vuole verificare. Fare clic con il pulsante destro del mouse sull'account e scegliere Proprietà.
Nella finestra popup passare alla scheda Sicurezza e selezionare Avanzate.
Nella finestra popup Advanced Security Settings for Administrator (Impostazioni di sicurezza avanzate per l'amministratore) passare alla scheda Accesso valido.
Scegliere Seleziona un utente, selezionare l'account di AD DS usato da Microsoft Entra Connect e quindi selezionare Visualizza accesso effettivo.
Scorrere verso il basso e cercare Reimposta password. Se la voce è selezionata, significa che l'account di Active Directory Domain Services ha l'autorizzazione per reimpostare la password dell'account utente di Active Directory selezionato.
Errori comuni di writeback delle password
I problemi più specifici seguenti possono verificarsi con il writeback delle password. Se si verifica uno di questi errori, esaminare la soluzione proposta e verificare se il writeback delle password funziona correttamente.
Errore | Soluzione |
---|---|
Il servizio di reimpostazione della password non viene avviato in locale. L'errore 6800 viene visualizzato nel registro eventi dell'applicazione del computer Entra Connect di Microsoft Entra Connect. Dopo l'onboarding, gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password non possono reimpostare le password. |
Quando il writeback delle password è abilitato, il motore di sincronizzazione chiama la libreria di writeback per eseguire la configurazione, ovvero l'onboarding, comunicando con il servizio di onboarding cloud. Eventuali errori riscontrati durante l'onboarding o durante l'avvio dell'endpoint windows Communication Foundation (WCF) per il writeback delle password generano errori nel registro eventi nel computer Microsoft Entra Connect. Se è stato configurato il writeback, durante il riavvio del servizio Azure AD Sync (ADSync) viene avviato l'endpoint WCF. Tuttavia, se l'avvio dell'endpoint ha esito negativo, viene registrato l'evento 6800 e il servizio di sincronizzazione viene avviato. La presenza di questo evento indica che l'endpoint di writeback delle password non è stato avviato. I dettagli del log per questo evento 6800 insieme alle voci del log eventi generate dal componente PasswordResetService indicano i motivi per cui non è possibile avviare l'endpoint. Esaminare questi errori del registro eventi e provare a riavviare Microsoft Entra Connect se il writeback delle password non funziona ancora. Se il problema persiste, provare a disabilitare e quindi riabilitare il writeback delle password. |
Quando un utente prova a reimpostare una password o a sbloccare un account con il writeback delle password abilitato, l'operazione non riesce. Inoltre, viene visualizzato un evento nel registro eventi di Microsoft Entra Connect che contiene: "Motore di sincronizzazione ha restituito un errore hr=800700CE, message=Il nome file o l'estensione è troppo lungo" dopo l'operazione di sblocco. |
Trovare l'account Active Directory per Microsoft Entra Connect e reimpostare la password in modo che non contenga più di 256 caratteri. Aprire quindi il servizio di sincronizzazione dal menu Start. Passare a Connettori e trovare Active Directory Connector. Selezionare il connettore e quindi Proprietà. Passare alla pagina Credenziali e immettere la nuova password. Selezionare OK per chiudere la pagina. |
Nell'ultimo passaggio del processo di installazione di Microsoft Entra Connect viene visualizzato un errore che indica che non è stato possibile configurare il writeback delle password. Il registro eventi dell'applicazione Microsoft Entra Connect contiene l'errore 32009 con il testo "Errore durante il recupero del token di autenticazione". |
Questo errore si verifica nei due casi seguenti:
|
Il registro eventi del computer Microsoft Entra Connect contiene l'errore 32002 generato eseguendo PasswordResetService. Il messaggio indica "Errore durante la connessione a Bus di servizio. Il provider di token non è stato in grado di fornire un token di sicurezza”. |
L'ambiente locale non è in grado di connettersi all'endpoint del bus di servizio di Azure nel cloud. Questo errore è in genere causato da una regola del firewall che blocca la connessione in uscita a una porta o a un indirizzo Web specifico. Per altre informazioni, vedere i prerequisiti di connettività. Dopo aver aggiornato queste regole, riavviare il server Microsoft Entra Connect e il writeback delle password dovrebbe iniziare a funzionare di nuovo. |
Dopo un certo periodo di tempo, gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password non possono reimpostare le password. | In alcuni rari casi, il servizio di writeback delle password può non essere riavviato quando Microsoft Entra Connect è stato riavviato. In questi casi, controllare prima di tutto se il writeback delle password è abilitato in locale. È possibile controllare usando la procedura guidata Microsoft Entra Connect o PowerShell. Se la funzionalità sembra essere abilitata, provare ad abilitare o disabilitare nuovamente la funzionalità. Se questo passaggio di risoluzione dei problemi non funziona, provare una disinstallazione completa e reinstallare Microsoft Entra Connect. |
Gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password che cercano di reimpostare le password visualizzano un errore dopo l'invio della password. L'errore indica che si è verificato un problema del servizio. Oltre a questo problema, durante le operazioni di reimpostazione della password è possibile che venga visualizzato un errore di accesso negato per l'agente di gestione nei log eventi locali. |
Se nel log eventi sono presenti errori di questo tipo, verificare che l'account Active Directory Management Agent (ADMA) specificato nella procedura guidata al momento della configurazione abbia le autorizzazioni necessarie per il writeback delle password. Dopo aver concesso l'autorizzazione, la relativa propagazione tramite l'attività in background sdprop nel controller di dominio può richiedere fino a un'ora. Per il funzionamento della reimpostazione della password, è necessario che l'autorizzazione sia indicata nel descrittore di sicurezza dell'oggetto utente per il quale viene reimpostata la password. Finché l'autorizzazione non sarà indicata nell'oggetto utente, per la reimpostazione della password continuerà a verificarsi un errore con un messaggio di accesso negato. |
Gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password che cercano di reimpostare le password visualizzano un errore dopo l'invio della password. L'errore indica che si è verificato un problema del servizio. Oltre a questo problema, durante le operazioni di reimpostazione della password, è possibile che venga visualizzato un errore nei registri eventi del servizio Microsoft Entra Connect che indica un errore "Impossibile trovare l'oggetto". |
Questo errore indica in genere che il motore di sincronizzazione non è in grado di trovare l'oggetto utente nello spazio connettore Microsoft Entra o nell'oggetto spazio connettore MV (Metaverse) o Microsoft Entra Connector Space. Per risolvere questo problema, assicurarsi che l'utente sia effettivamente sincronizzato dall'ID locale a Microsoft Entra ID tramite l'istanza corrente di Microsoft Entra Connect e controllare lo stato degli oggetti negli spazi connettore ed MV. Verificare che l'oggetto Servizi certificati Active Directory sia connesso all'oggetto MV tramite la regola "Microsoft.InfromADUserAccountEnabled.xxx". |
Gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password che cercano di reimpostare le password visualizzano un errore dopo l'invio della password. L'errore indica che si è verificato un problema del servizio. Oltre a questo problema, durante le operazioni di reimpostazione della password, potrebbe essere visualizzato un errore nei registri eventi del servizio Microsoft Entra Connect che indica che si è verificato un errore "Più corrispondenze trovate". |
Ciò indica che il motore di sincronizzazione ha rilevato che l'oggetto MV è connesso a più oggetti Servizi certificati Active Directory tramite "Microsoft.InfromADUserAccountEnabled.xxx". Questo significa che l'utente dispone di un account abilitato in più foreste. Questo scenario non è supportato per il writeback delle password. |
Le operazioni con le password non riescono a causa di un errore di configurazione. Il registro eventi dell'applicazione contiene l'errore 6329 di Microsoft Entra Connect con il testo "0x8023061f (operazione non riuscita perché la sincronizzazione delle password non è abilitata in questo agente di gestione)". | Questo errore si verifica se la configurazione di Microsoft Entra Connect viene modificata per aggiungere una nuova foresta di Active Directory (o per rimuovere e leggere una foresta esistente) dopo che la funzionalità di writeback delle password è già stata abilitata. Le operazioni con le password per gli utenti in queste foreste aggiunte di recente hanno esito negativo. Per risolvere il problema, disabilitare e riabilitare la funzionalità di writeback delle password dopo avere completato le modifiche alla configurazione della foresta. |
SSPR_0029: Non è possibile reimpostare la password a causa di un errore nella configurazione locale. Contattare l'amministratore e chiedere di esaminare la situazione. | Problema: il writeback delle password è stato abilitato seguendo tutti i passaggi necessari, ma quando si tenta di modificare una password si riceve "SSPR_0029: L'organizzazione non ha configurato correttamente la configurazione locale per la reimpostazione della password". Il controllo dei registri eventi nel sistema Microsoft Entra Connect indica che le credenziali dell'agente di gestione sono state negate. Possibile soluzione: usare RSOP nel sistema Microsoft Entra Connect e i controller di dominio per verificare se il criterio "Accesso alla rete: Limitare i client autorizzati a effettuare chiamate remote a SAM" disponibile in Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza è abilitato. Modificare i criteri per includere l'account di gestione MSOL_XXXXXXX come utente consentito. Per altre informazioni, vedere Risolvere l'errore SSPR_0029: L'organizzazione non ha configurato correttamente la configurazione locale per la reimpostazione della password. |
Codici errore del registro eventi di writeback della password
Una procedura consigliata quando si risolvono i problemi relativi al writeback delle password consiste nell'esaminare il registro eventi dell'applicazione nel computer Microsoft Entra Connect. Questo registro eventi contiene eventi di due origini per il writeback delle password. L'origine PasswordResetService descrive le operazioni e i problemi correlati all'operazione di writeback delle password. L'origine ADSync descrive le operazioni e i problemi relativi all'impostazione delle password nell'ambiente di Servizi di dominio Active Directory.
Se l'origine dell'evento è ADSync
Codice | Nome o messaggio | Descrizione |
---|---|---|
6329 | BAIL: MMS(4924) 0x80230619 - Una restrizione impedisce la modifica della password in quella corrente specificata. | Questo evento si verifica quando il servizio di writeback delle password tenta di impostare una password nella directory locale che non soddisfa i requisiti di validità, cronologia, complessità o filtro delle password del dominio. Questo evento può verificarsi anche se non è possibile modificare una password per un utente. Se è prevista una validità minima della password e di recente la password è stata modificata in tale intervallo di tempo, non sarà possibile modificarla di nuovo finché non si raggiunge il periodo di validità specificato nel dominio. A scopo di test, è consigliabile impostare la validità minima su 0. Se sono abilitati i requisiti della cronologia delle password, è necessario selezionare una password che non è stata usata nelle ultime N volte, dove N è l'impostazione della cronologia delle password. Se si seleziona una password che è stata usata nelle ultime N volte, si verifica un errore. A scopo di test, è consigliabile impostare la cronologia delle password su 0. Se abilitati, tutti i requisiti di complessità della password vengono applicati quando l'utente tenta di modificare o reimpostare la password. Se sono abilitati filtri password e un utente seleziona una password che non soddisfa i criteri di filtro, l'operazione di reimpostazione o modifica non riesce. Se l'utente ha impostato il flag di proprietà PASSWD_CANT_CHANGE, la password non può essere sincronizzata. A scopo di test, rimuovere il flag di proprietà PASSWD_CANT_CHANGE. Per altre informazioni, vedere Descrizioni dei flag di proprietà. |
6329 | MMS(3040): admaexport.cpp(2837): il server non contiene il controllo dei criteri password LDAP. | Questo problema si verifica se il controllo LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) non è abilitato nei controller di dominio. Per usare la funzionalità di writeback delle password, è necessario abilitare il controllo. A tale scopo, i controller di dominio devono trovarsi in Windows Server 2016 o versione successiva. |
HR 8023042 | Il motore di sincronizzazione ha restituito un errore hr = 80230402, messaggio = Tentativo di ottenere un oggetto non riuscito. Sono presenti voci duplicate con lo stesso ancoraggio. | Questo errore si verifica quando lo stesso ID utente è abilitato in più domini. Ad esempio, se si esegue la sincronizzazione di foreste di risorse e account e lo stesso ID utente è presente e abilitato in ogni foresta. Questo errore può verificarsi anche se si usa un attributo di ancoraggio non univoco (come un alias o UPN) e due utenti condividono lo stesso attributo di ancoraggio. Per risolvere questo problema, assicurarsi che non ci siano utenti duplicati nei domini e di usare un attributo di ancoraggio univoco per ogni utente. |
Se l'origine dell'evento è PasswordResetService
Codice | Nome o messaggio | Descrizione |
---|---|---|
31001 | PasswordResetStart | Questo evento indica che il servizio locale ha rilevato una richiesta di reimpostazione della password per un utente federato, con autenticazione pass-through o con sincronizzazione dell'hash delle password originata dal cloud. Si tratta del primo evento di ogni operazione di writeback per la reimpostazione della password. |
31002 | PasswordResetSuccess | Questo evento indica che un utente ha selezionato una nuova password durante un'operazione di reimpostazione della password. È stato determinato che la password soddisfa i requisiti aziendali per le password. La password è stata scritta correttamente nell'ambiente Active Directory locale. |
31003 | PasswordResetFail | Questo evento indica che un utente ha selezionato una password che è pervenuta correttamente all'ambiente locale. Quando però è stato eseguito un tentativo di impostare la password nell'ambiente Active Directory locale, si è verificato un errore. Questo problema può verificarsi per diversi motivi:
|
31004 | OnboardingEventStart | Questo evento si verifica se si abilita il writeback delle password con Microsoft Entra Connect ed è stato avviato l'onboarding dell'organizzazione nel servizio Web di writeback delle password. |
31005 | OnboardingEventSuccess | Questo evento indica che il processo di onboarding è stato completato e che la funzionalità di writeback delle password è pronta per l'uso. |
31006 | ChangePasswordStart | Questo evento indica che il servizio locale ha rilevato una richiesta di modifica della password per un utente federato, con autenticazione pass-through o con sincronizzazione dell'hash delle password originata dal cloud. Si tratta del primo evento di ogni operazione di writeback per la modifica della password. |
31007 | ChangePasswordSuccess | Questo evento indica che un utente ha selezionato una nuova password durante un'operazione di modifica della password, è stato determinato che la password soddisfa i requisiti aziendali e la password è stata scritta correttamente nell'ambiente Active Directory locale. |
31008 | ChangePasswordFail | Questo evento indica che un utente ha selezionato una password che è pervenuta correttamente all'ambiente locale, ma quando si è cercato di impostare la password nell'ambiente Active Directory locale si è verificato un errore. Questo problema può verificarsi per diversi motivi:
|
31009 | ResetUserPasswordByAdminStart | Il servizio locale ha rilevato una richiesta di reimpostazione della password per un utente federato, con autenticazione pass-through o con sincronizzazione dell'hash delle password originata dall'amministratore per conto di un utente. Si tratta del primo evento di ogni operazione di writeback per la reimpostazione della password avviata da un amministratore. |
31010 | ResetUserPasswordByAdminSuccess | L'amministratore ha selezionato una nuova password durante un'operazione di reimpostazione della password avviata dall'amministratore. È stato determinato che la password soddisfa i requisiti aziendali per le password. La password è stata scritta correttamente nell'ambiente Active Directory locale. |
31011 | ResetUserPasswordByAdminFail | L'amministratore ha selezionato una password per conto dell'utente. La password è pervenuta correttamente all'ambiente locale. Quando però è stato eseguito un tentativo di impostare la password nell'ambiente Active Directory locale, si è verificato un errore. Questo problema può verificarsi per diversi motivi:
|
31012 | OffboardingEventStart | Questo evento si verifica se si disabilita il writeback delle password con Microsoft Entra Connect e indica che è stata avviata l'offboarding dell'organizzazione al servizio Web di writeback delle password. |
31013 | OffboardingEventSuccess | Questo evento indica che il processo di offboarding è stato completato e che la funzionalità di writeback delle password è stata disabilitata. |
31014 | OffboardingEventFail | Questo evento indica che il processo di offboarding non è riuscito. La causa può essere legata a un errore di autorizzazioni nel cloud oppure a un account amministratore locale specificato durante la configurazione. L'errore può verificarsi anche se si sta cercando di usare un amministratore globale cloud federato quando si disabilita il writeback delle password. Per risolvere il problema, controllare le autorizzazioni amministrative e verificare che non sia in uso un account federato durante la configurazione della funzionalità di writeback delle password. |
31015 | WriteBackServiceStarted | Questo evento indica che il servizio di writeback delle password è stato avviato correttamente. Il servizio è pronto ad accettare le richieste di gestione delle password dal cloud. |
31016 | WriteBackServiceStopped | Questo evento indica che il servizio di writeback delle password è stato arrestato. Tutte le richieste di gestione delle password dal cloud non saranno riuscite. |
31017 | AuthTokenSuccess | Questo evento indica che è stato recuperato correttamente un token di autorizzazione per l'amministratore globale specificato durante l'installazione di Microsoft Entra Connect per avviare il processo di offboarding o onboarding. |
31018 | KeyPairCreationSuccess | Questo evento indica che la chiave di crittografia delle password è stata creata correttamente. La chiave verrà usata per crittografare le password cloud da inviare all'ambiente locale. |
31019 | ServiceBusHeartBeat | Questo evento indica che è stata inviata correttamente una richiesta all'istanza del bus di servizio del tenant. |
31034 | ServiceBusListenerError | Questo evento indica che si è verificato un errore durante la connessione al listener del bus di servizio del tenant. Se il messaggio di errore include "Il certificato remoto non è valido", verificare che il server Microsoft Entra Connect disponga di tutte le ca radice necessarie, come descritto in Modifiche al certificato TLS di Azure. |
31044 | PasswordResetService | Questo evento indica che il writeback delle password non funziona. Il bus di servizio è in ascolto delle richieste su due inoltri separati per la ridondanza. Ogni connessione di inoltro viene gestita da un host del servizio univoco. Il client di writeback restituisce un errore se uno degli host del servizio non è in esecuzione. |
32000 | UnknownError | Questo evento indica che si è verificato un errore sconosciuto durante un'operazione di gestione delle password. Per altri dettagli, fare riferimento al testo dell'eccezione. In caso di problemi, provare a disabilitare e quindi riabilitare il writeback delle password. In caso contrario, includere una copia del registro eventi insieme all'ID di rilevamento specificato quando si apre una richiesta di supporto. |
32001 | ServiceError | Questo evento indica che si è verificato un errore di connessione al servizio cloud di reimpostazione delle password. L'errore si verifica in genere quando il servizio locale non è riuscito a connettersi al servizio Web di reimpostazione della password. |
32002 | ServiceBusError | Questo evento indica che si è verificato un errore di connessione all'istanza del bus di servizio del tenant. Ciò può verificarsi se le connessioni in uscita nell'ambiente locale sono bloccate. Verificare che nel firewall siano consentite le connessioni su TCP 443 e verso https://ssprdedicatedsbprodncu.servicebus.windows.net e riprovare. Se il problema persiste, provare a disabilitare e quindi riabilitare il writeback delle password. |
32003 | InPutValidationError | Questo evento indica che l'input passato all'API del servizio Web non è valido. Riprovare a eseguire l'operazione. |
32004 | DecryptionError | Questo evento indica che si è verificato un errore di decrittografia della password ricevuta dal cloud. La causa potrebbe essere una mancata corrispondenza della chiave di decrittografia tra il servizio cloud e l'ambiente locale. Per risolvere il problema, disabilitare e quindi riabilitare il writeback delle password nell'ambiente locale. |
32005 | ConfigurationError | Durante il caricamento, le informazioni specifiche del tenant vengono salvate in un file di configurazione nell'ambiente locale. Questo evento indica che si è verificato un errore durante il salvataggio del file o che durante l'avvio del servizio si è verificato un errore di lettura del file. Per risolvere il problema, provare a disabilitare e quindi riabilitare il writeback delle password per forzare la riscrittura del file di configurazione. |
32007 | OnBoardingConfigUpdateError | Durante l'onboarding vengono inviati dati dal cloud al servizio di reimpostazione della password locale. I dati vengono quindi scritti in un file in memoria prima di essere inviati al servizio di sincronizzazione per l'archiviazione sicura su disco. Questo evento indica che si è verificato un problema durante la scrittura o l'aggiornamento dei dati in memoria. Per risolvere il problema, provare a disabilitare e quindi riabilitare il writeback delle password per forzare la riscrittura del file di configurazione. |
32008 | ValidationError | Questo evento indica che è stata ricevuta una risposta non valida dal servizio Web di reimpostazione della password. Per risolvere il problema, provare a disabilitare e quindi riabilitare il writeback delle password. |
32009 | AuthTokenError | Questo evento indica che non è stato possibile ottenere un token di autorizzazione per l'account amministratore ibrido specificato durante l'installazione di Microsoft Entra Connect. Questo errore può essere causato da un nome utente o da una password non valida specificata per l'account amministratore ibrido. Questo errore può verificarsi anche se l'account amministratore ibrido specificato è federato. Per risolvere il problema, ripetere la configurazione con il nome utente e la password corretti e verificare che l'amministratore sia un account gestito, solo cloud o con sincronizzazione della password. |
32010 | CryptoError | Questo evento indica che si è verificato un errore durante la generazione della chiave di crittografia della password o durante la decrittografia di una password ricevuta dal servizio cloud. L'errore indica probabilmente un problema dell'ambiente. Per altre informazioni su come risolvere il problema, esaminare i dettagli del log eventi. È anche possibile provare a disabilitare e quindi riabilitare il servizio di writeback delle password. |
32011 | OnBoardingServiceError | Questo evento indica che il servizio locale non è stato in grado di comunicare correttamente con il servizio Web di reimpostazione della password per avviare il processo di onboarding. Ciò può verificarsi a causa di una regola del firewall o se si verifica un problema durante il recupero di un token di autenticazione per il tenant. Per risolvere il problema, verificare che le connessioni in uscita su TCP 443 e TCP 9350-9354 o verso https://ssprdedicatedsbprodncu.servicebus.windows.net non siano bloccate. Assicurarsi anche che l'account amministratore di Microsoft Entra usato per eseguire l'onboarding non sia federato. |
32013 | OffBoardingError | Questo evento indica che il servizio locale non è stato in grado di comunicare correttamente con il servizio Web di reimpostazione della password per avviare il processo di offboarding. Ciò può verificarsi in seguito a una regola del firewall o se si verifica un problema durante il recupero di un token di autorizzazione per il tenant. Per risolvere questo problema, assicurarsi di non bloccare le connessioni in uscita su 443 o a https://ssprdedicatedsbprodncu.servicebus.windows.net e che l'account amministratore di Microsoft Entra usato per l'offboarding non sia federato. |
32014 | ServiceBusWarning | Questo evento indica che è stato necessario ripetere il tentativo di connessione all'istanza del bus di servizio del tenant. In condizioni normali non dovrebbe essere un problema, ma se l'evento viene visualizzato più volte, è opportuno verificare la connessione di rete al bus di servizio, specialmente se si tratta di una connessione con larghezza di banda limitata o ad alta latenza. |
32015 | ReportServiceHealthError | Per monitorare l'integrità del servizio di writeback delle password, vengono inviati dati heartbeat al servizio Web di reimpostazione della password ogni cinque minuti. Questo evento indica che si è verificato un errore durante l'invio delle informazioni sull'integrità al servizio Web cloud. Queste informazioni sull'integrità non includono dati personali ed è puramente un heartbeat e statistiche di base del servizio, in modo da poter fornire informazioni sullo stato del servizio nel cloud. |
33001 | ADUnKnownError | Questo evento indica che si è verificato un errore sconosciuto restituito da Active Directory. Per altre informazioni, vedere il registro eventi del server Microsoft Entra Connect per gli eventi dell'origine ADSync. |
33002 | ADUserNotFoundError | Questo evento indica che l'utente che sta tentando di reimpostare o modificare una password non è stato trovato nella directory locale. L'errore può verificarsi quando l'utente è stato eliminato in locale ma non nel cloud. Questo errore può verificarsi anche in caso di problemi di sincronizzazione. Per altre informazioni, controllare i log di sincronizzazione e i dettagli relativi alle esecuzioni della sincronizzazione più recenti. |
33003 | ADMutliMatchError | Quando una richiesta di reimpostazione o modifica della password ha origine dal cloud, viene usato l'ancoraggio cloud specificato durante il processo di configurazione di Microsoft Entra Connect per determinare come collegare tale richiesta a un utente nell'ambiente locale. Questo evento indica che nella directory locale sono stati trovati due utenti con lo stesso attributo di ancoraggio cloud. Per altre informazioni, controllare i log di sincronizzazione e i dettagli relativi alle esecuzioni della sincronizzazione più recenti. |
33004 | ADPermissionsError | Questo evento indica che l'account del servizio Active Directory Management Agent (ADMA) non dispone delle autorizzazioni appropriate per l'account in questione per impostare una nuova password. Assicurarsi che l'account ADMA nella foresta dell'utente abbia le autorizzazioni di reimpostazione delle password per tutti gli oggetti nella foresta. Per altre informazioni su come impostare le autorizzazioni, vedere Passaggio 4: Impostare le autorizzazioni di Active Directory appropriate. Questo errore può verificarsi anche quando l'attributo AdminCount dell'utente è impostato su 1. |
33005 | ADUserAccountDisabled | Questo evento indica che è stato eseguito un tentativo di reimpostare o modificare una password per un account disabilitato in locale. Abilitare l'account e ripetere l'operazione. |
33006 | ADUserAccountLockedOut | Questo evento indica che è stato eseguito un tentativo di reimpostare o modificare una password per un account bloccato in locale. I blocchi possono verificarsi quando un utente ha tentato troppe volte di eseguire un'operazione di modifica o reimpostazione della password in un breve intervallo di tempo. Sbloccare l'account e ripetere l'operazione. |
33007 | ADUserIncorrectPassword | Questo evento indica che l'utente ha specificato una password corrente non corretta durante l'esecuzione di un'operazione di modifica della password. Specificare la password corrente corretta e riprovare. |
33008 | ADPasswordPolicyError | Questo evento si verifica quando il servizio di writeback delle password tenta di impostare una password nella directory locale che non soddisfa i requisiti di validità, cronologia, complessità o filtro delle password del dominio. Se è prevista una validità minima della password e di recente la password è stata modificata in tale intervallo di tempo, non sarà possibile modificarla di nuovo finché non si raggiunge il periodo di validità specificato nel dominio. A scopo di test, è consigliabile impostare la validità minima su 0. Se sono abilitati i requisiti per la cronologia delle password, sarà necessario selezionare una password che non sia stata usata nelle ultime N volte, dove N è l'impostazione relativa alla cronologia delle password. Se si seleziona una password che è stata usata nelle ultime N volte, si verifica un errore. A scopo di test, è consigliabile impostare la cronologia delle password su 0. Se abilitati, tutti i requisiti di complessità della password vengono applicati quando l'utente tenta di modificare o reimpostare la password. Se sono abilitati filtri password e un utente seleziona una password che non soddisfa i criteri di filtro, l'operazione di reimpostazione o modifica non riesce. |
33009 | ADConfigurationError | Questo evento indica che si è verificato un problema durante la scrittura di una password nella directory locale, a causa di un problema di configurazione con Active Directory. Per altre informazioni sull'errore verificatosi, controllare il registro eventi dell'applicazione del computer Microsoft Entra Connect per i messaggi provenienti dal servizio ADSync. |
Caratteri dell'unità organizzativa riservati dal writeback delle password
Nella tabella seguente sono elencati i caratteri riservati che impediscono il writeback delle password. Se questi caratteri vengono visualizzati nella struttura dell'unità organizzativa locale, il writeback delle password potrebbe non riuscire con l'ID evento 33001.
Carattere riservato | Descrizione | Valore hex |
---|---|---|
spazio o carattere # all'inizio di una stringa | ||
spazio alla fine di una stringa | ||
, | virgola | 0x2C |
+ | + (segno di addizione) | 0x2B |
" | virgolette doppie (") | 0x22 |
\ | barra rovesciata | 0x5C |
< | parentesi uncinata aperta | 0x3C |
> | parentesi uncinata chiusa | 0x3E |
; | punto e virgola (;) | 0x3B |
LF | avanzamento riga | 0x0A |
CR | ritorno a capo | 0x0D |
= | segno di uguale (=) | 0x3D |
/ | Barra | 0x2F |
Forum di Microsoft Entra
Per domande generali su Microsoft Entra ID e reimpostazione della password self-service, è possibile chiedere assistenza alla community nella pagina delle domande di Microsoft Q&A per Microsoft Entra ID. La community è composta da ingegneri, responsabili di prodotto, MVP e informatici.
Contattare il supporto tecnico Microsoft
Se non si riesce a trovare la risposta a un problema, i team di supporto Microsoft sono sempre disponibili per offrire maggiore assistenza.
Per garantire un supporto adeguato, verrà richiesto il maggior numero di dettagli possibile al momento dell'apertura di un caso. Questi dettagli includono quanto segue:
- Descrizione generale dell'errore: Qual è l'errore? il comportamento notato, e le modalità in cui è possibile riprodurre l'errore. Fornire il maggior numero di dettagli possibili.
- Pagina: Quale pagina era visualizzata quando si è verificato l'errore? Includere l'URL, se possibile, e uno screenshot della pagina.
- Codice di supporto: Qual è il codice di supporto generato quando è stato visualizzato l'errore?
Per trovare questo codice, riprodurre l'errore, quindi fare clic sul collegamento Codice di supporto nella parte inferiore della schermo e inviare al personale del supporto tecnico il GUID risultante.
Se è visualizzata una pagina senza un codice di supporto nella parte inferiore, premere F12 ed eseguire una ricerca di SID e CID, quindi inviare i due risultati al personale del supporto tecnico.
- Data, ora e fuso orario: includere la data e l'ora precisa con il fuso orario di quando si è verificato l'errore.
- ID utente: Quale utente ha visualizzato l'errore? Un esempio è user@contoso.com.
- Indicare se si tratta di un utente federato,
- Si tratta di un utente con autenticazione pass-through?
- Si tratta di un utente con sincronizzazione di hash della password?
- Si tratta di un utente solo cloud?
- Licenze: all'utente è assegnata una licenza Microsoft Entra ID?
- Registro eventi dell'applicazione: se si usa il writeback delle password e l'errore si trova nell'infrastruttura locale, includere una copia compressa del registro eventi dell'applicazione dal server Microsoft Entra Connect.
Passaggi successivi
Per altre informazioni sulla reimpostazione della password self-service, vedere Funzionamento: Reimpostazione della password self-service di Microsoft Entra o Funzionamento del writeback della reimpostazione della password self-service in Microsoft Entra ID?.