次の方法で共有

トラブルシューティング: オンプレミスの Microsoft Entra パスワード保護

  • [アーティクル]

Microsoft Entra Password Protection の展開後、トラブルシューティングが必要になる場合があります。 この記事では、いくつかの一般的なトラブルシューティング手順を理解するのに役立つ詳細について説明します。

DC エージェントがディレクトリ内のプロキシを見つけることができません

この問題の主な症状は、DC エージェント管理者イベント ログの 30,017 イベントです。

この問題の通常の原因は、プロキシが登録されていないことです。 プロキシが登録されている場合、特定の DC エージェントがそのプロキシを確認できるようになるまで、AD レプリケーションの待機時間が原因で多少の遅延が発生する可能性があります。

DC エージェントがプロキシと通信できない

この問題の主な症状は、DC エージェント管理者イベント ログの 30,018 イベントです。 この問題には、いくつかの原因が考えられます。

  • DC エージェントは、登録済みプロキシへのネットワーク接続を許可しないネットワークの分離された部分に配置されます。 この問題は、他の DC エージェントが Azure からパスワード ポリシーをダウンロードするためにプロキシと通信できる限り、無害である可能性があります。 ダウンロードされると、これらのポリシーは、sysvol 共有内のポリシー ファイルのレプリケーションを介して分離 DC によって取得されます。

  • プロキシ ホスト マシンが RPC エンドポイント マッパー エンドポイント (ポート 135) へのアクセスをブロックしている

    Microsoft Entra パスワード保護プロキシ インストーラーは、ポート 135 へのアクセスを許可する Windows ファイアウォール受信規則を自動的に作成します。 この規則が後で削除または無効になった場合、DC エージェントはプロキシ サービスと通信できません。 別のファイアウォール製品の代わりに組み込みの Windows ファイアウォールが無効になっている場合は、ポート 135 へのアクセスを許可するようにそのファイアウォールを構成する必要があります。

  • プロキシ ホスト マシンが、プロキシ サービスによってリッスンされている RPC エンドポイント (動的または静的) へのアクセスをブロックしている

    Microsoft Entra パスワード保護プロキシ インストーラーは、Microsoft Entra パスワード保護プロキシ サービスによってリッスンされる受信ポートへのアクセスを許可する Windows ファイアウォール受信規則を自動的に作成します。 この規則が後で削除または無効になった場合、DC エージェントはプロキシ サービスと通信できません。 別のファイアウォール製品の代わりに組み込みの Windows ファイアウォールが無効になっている場合は、Microsoft Entra パスワード保護プロキシ サービスによってリッスンされる受信ポートへのアクセスを許可するように、そのファイアウォールを構成する必要があります。 プロキシ サービスが (Set-AzureADPasswordProtectionProxyConfiguration コマンドレットを使用して) 特定の静的 RPC ポートでリッスンするように構成されている場合は、この構成をより具体的にすることができます。

  • ドメイン コントローラーがコンピューターにサインインできるようにプロキシ ホスト コンピューターが構成されていません。 この動作は、"ネットワークからこのコンピューターにアクセスする" ユーザー特権の割り当てによって制御されます。 フォレスト内のすべてのドメイン内のすべてのドメイン コントローラーに、この特権を付与する必要があります。 この設定は、多くの場合、大規模なネットワーク強化作業の一環として制約されます。

プロキシ サービスが Azure と通信できない

  1. プロキシ マシンが、展開要件に記載されているエンドポイントに接続されていることを確認します。

  2. フォレストとすべてのプロキシ サーバーが同じ Azure テナントに対して登録されていることを確認します。

    この要件を確認するには、Get-AzureADPasswordProtectionProxy コマンドレットおよび Get-AzureADPasswordProtectionDCAgent PowerShell コマンドレットを実行し、返された各アイテムの AzureTenant プロパティを比較します。 正しい操作を行うには、報告されるテナント名がすべての DC エージェントとプロキシ サーバーで同じである必要があります。

    Azure テナントの登録の不一致条件が存在する場合は、必要に応じて Register-AzureADPasswordProtectionProxy コマンドレットまたは Register-AzureADPasswordProtectionForest PowerShell コマンドレットを実行し、すべての登録に同じ Azure テナントの資格情報を使用することで、この問題を解決できます。

DC エージェントがパスワード ポリシー ファイルを暗号化または暗号化解除できない

Microsoft Entra Password Protection は、Microsoft キー配布サービスによって提供される暗号化と暗号化解除の機能に重大な依存関係があります。 暗号化または復号化の失敗は、さまざまな症状で現れ、いくつかの潜在的な原因を伴う可能性があります。

  • KDS サービスが有効になっており、ドメイン内のすべての Windows Server 2012 以降のドメイン コントローラーで機能していることを確認します。

    既定では、KDS サービスのサービス開始モードは手動 (トリガー開始) として構成されます。 この構成は、クライアントがサービスを初めて使用しようとしたときに、オンデマンドで開始されることを意味します。 この既定のサービス開始モードは、Microsoft Entra Password Protection が機能するために許容されます。

    KDS サービス開始モードが無効に構成されている場合は、Microsoft Entra パスワード保護が正常に機能する前に、この構成を修正する必要があります。

    この問題の簡単なテストは、サービス管理 MMC コンソールを使用するか、他の管理ツールを使用して KDS サービスを手動で開始することです (たとえば、コマンド プロンプト コンソールから "net start kdssvc" を実行します)。 KDS サービスは正常に開始され、実行を続ける必要があります。

    KDS サービスを開始できない最も一般的な根本原因は、Active Directory ドメイン コントローラー オブジェクトが既定のドメイン コントローラー OU の外部に配置されていることです。 この構成は KDS サービスでサポートされておらず、Microsoft Entra パスワード保護によって課される制限ではありません。 この条件の修正は、ドメイン コントローラー オブジェクトを既定のドメイン コントローラー OU の下の場所に移動することです。

  • 互換性のない KDS 暗号化バッファー形式が Windows Server 2012 R2 から Windows Server 2016 に変更される

    KDS で暗号化されたバッファーの形式を変更する KDS セキュリティ修正プログラムが Windows Server 2016 で導入されました。 これらのバッファーは、Windows Server 2012 および Windows Server 2012 R2 で復号化に失敗することがあります。 逆方向でも問題ありません。 Windows Server 2012 および Windows Server 2012 R2 で KDS で暗号化されたバッファーは、常に Windows Server 2016 以降で正常に暗号化解除されます。 Active Directory ドメイン内のドメイン コントローラーでこれらのオペレーティング システムの組み合わせが実行されている場合、Microsoft Entra Password Protection の復号化エラーが報告されることがあります。 セキュリティ修正プログラムの性質上、これらのエラーのタイミングや症状を正確に予測することはできません。 また、どのドメイン コントローラーの Microsoft Entra Password Protection DC エージェントが特定の時点でデータを暗号化するかは非決定的です。

    Active Directory ドメインでこれらの互換性のないオペレーティング システムを組み合わせて実行しない以外に、この問題の回避策はありません。 つまり、Windows Server 2012 および Windows Server 2012 R2 ドメイン コントローラーのみを実行するか、Windows Server 2016 以降のドメイン コントローラーのみを実行する必要があります。

DCのエージェントは、その森林が登録されていないと考えている

この問題の症状は、30,016 件のイベントが DC Agent\Admin チャネルに記録され、その一部が次のように表示されます。

The forest hasn't been registered with Azure. Password policies can't be downloaded from Azure unless this is corrected.

この問題には 2 つの原因が考えられます。

  • 森が登録されていません。 この問題を解決するには、のデプロイ要件に関するの説明に従って、Register-AzureADPasswordProtectionForest コマンドを実行します。
  • フォレストは登録されていますが、DC エージェントはフォレスト登録データの暗号化を解除できません。 このケースの根本原因は、DC エージェントがパスワード ポリシー ファイル暗号化または暗号化解除できない問題 2 と同じです。 この理論を確認する簡単な方法は、Windows Server 2012 または Windows Server 2012R2 ドメイン コントローラーで実行されている DC エージェントでのみこのエラーが表示されますが、Windows Server 2016 以降のドメイン コントローラーで実行されている DC エージェントは問題ありません。 回避策は同じです。すべてのドメイン コントローラーを Windows Server 2016 以降にアップグレードします。

脆弱なパスワードは受け入れられているが、受け入れてはならない

この問題には、いくつかの原因が考えられる場合があります。

  • DC エージェントが、期限切れのパブリック プレビュー ソフトウェア バージョンを実行している。 「パブリック プレビュー DC エージェント ソフトウェアの有効期限切れ」を参照してください。

  • DC エージェントがポリシーをダウンロードできないか、既存のポリシーの暗号化を解除できません。 前の記事で考えられる原因を確認します。

  • パスワード ポリシーの [強制] モードは引き続き [監査] に設定されています。 この構成が有効な場合は、Microsoft Entra パスワード保護ポータルを使用して適用するように再構成します。 詳細については「動作モード」を参照してください。

  • パスワード ポリシーが無効になっています。 この構成が有効な場合は、Microsoft Entra パスワード保護ポータルを使用して有効にするように再構成します。 詳細については、操作モードを参照してください。

  • ドメイン内のすべてのドメイン コントローラーに DC エージェント ソフトウェアをインストールしていません。 このような状況では、リモート Windows クライアントがパスワード変更操作中に特定のドメイン コントローラーをターゲットにすることを確認することは困難です。 DC エージェント ソフトウェアがインストールされている特定の DC を正常にターゲットにしたと思われる場合は、DC エージェント管理者イベント ログを再確認することで確認できます。結果に関係なく、パスワード検証の結果を文書化するイベントが少なくとも 1 つあります。 パスワードが変更されたユーザーにイベントが存在しない場合、パスワードの変更は別のドメイン コントローラーによって処理された可能性があります。

    別のテストとして、DC エージェント ソフトウェアがインストールされている DC に直接ログインしているときにパスワードを設定または変更してみてください。 この手法は、運用環境の Active Directory ドメインには推奨されません。

    DC エージェント ソフトウェアの増分展開は、これらの制限に従ってサポートされますが、できるだけ早く DC エージェント ソフトウェアをドメイン内のすべてのドメイン コントローラーにインストールすることを強くお勧めします。

  • パスワード検証アルゴリズムは、実際には想定どおりに動作している可能性があります。 パスワードの評価方法を参照してください。

弱い DSRM パスワードを設定できない Ntdsutil.exe

Active Directory は、新しい Directory Services 修復モードのパスワードを常に検証して、ドメインのパスワードの複雑さの要件を満たしていることを確認します。この検証では、Microsoft Entra Password Protection などのパスワード フィルター dll も呼び出されます。 新しい DSRM パスワードが拒否された場合、次のエラー メッセージが表示されます。

C:\>ntdsutil.exe
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server null
Please type password for DS Restore Mode Administrator Account: ********
Please confirm new password: ********
Setting password failed.
        WIN32 Error Code: 0xa91
        Error Message: Password doesn't meet the requirements of the filter dll's

Microsoft Entra Password Protection が Active Directory DSRM パスワードのパスワード検証イベント ログ イベントをログに記録する場合、イベント ログ メッセージにユーザー名が含まれないことが予想されます。 この動作は、DSRM アカウントが実際の Active Directory ドメインの一部ではないローカル アカウントであるために発生します。

DSRM パスワードが弱いため、ドメイン コントローラー レプリカの昇格が失敗する

DC 昇格プロセス中に、新しいディレクトリ サービス修復モードのパスワードが、検証のためにドメイン内の既存の DC に送信されます。 新しい DSRM パスワードが拒否された場合、次のエラー メッセージが表示されます。

Install-ADDSDomainController : Verification of prerequisites for Domain Controller promotion failed. The Directory Services Restore Mode password doesn't meet a requirement of the password filter(s). Supply a suitable password.

前の問題と同様に、Microsoft Entra Password Protection のパスワード検証結果イベントには、このシナリオの空のユーザー名が含まれます。

ローカル管理者パスワードが弱いため、ドメイン コントローラーの降格が失敗する

DC エージェント ソフトウェアをまだ実行しているドメイン コントローラーを降格することがサポートされています。 ただし、DC エージェント ソフトウェアは降格手順中に現在のパスワード ポリシーを引き続き適用することを管理者は認識する必要があります。 新しいローカル管理者アカウントのパスワード (降格操作の一部として指定) は、他のパスワードと同様に検証されます。 DC 降格手順の一環として、ローカル管理者アカウントに対してセキュリティで保護されたパスワードを選択することをお勧めします。

降格が成功し、ドメイン コントローラーが再起動され、通常のメンバー サーバーとして再び実行されると、DC エージェント ソフトウェアはパッシブ モードで実行に戻ります。 その後、いつでもアンインストールできます。

ディレクトリ サービス修復モードでの起動

ドメイン コントローラーがディレクトリ サービス修復モードで起動された場合、DC エージェントのパスワード フィルター dll はこの条件を検出し、現在アクティブなポリシー構成に関係なく、すべてのパスワード検証または強制アクティビティが無効になります。 DC エージェント パスワード フィルター dll は、管理者イベント ログに 10023 警告イベントをログに記録します。次に例を示します。

The password filter dll is loaded but the machine appears to be a domain controller that is booted into Directory Services Repair Mode. All password change and set requests are automatically approved. No further messages are logged until after the next reboot.

パブリック プレビュー DC エージェント ソフトウェアの有効期限が切れています

Microsoft Entra Password Protection パブリック プレビュー期間中、DC エージェント ソフトウェアは、次の日付にパスワード検証要求の処理を停止するようにハードコーディングされました。

  • バージョン 1.2.65.0 は、2019 年 9 月 1 日にパスワード検証要求の処理を停止しました。
  • バージョン 1.2.25.0 以前では、2019 年 7 月 1 日にパスワード検証要求の処理が停止されました。

期限が近づくと、時間制限付き DC エージェント のすべてのバージョンでは、起動時に次のような 10021 イベントが DC エージェント管理者イベント ログに出力されます。

The password filter dll has successfully loaded and initialized.

The allowable trial period is nearing expiration. Once the trial period has expired, the password filter dll no longer processes passwords. Please contact Microsoft for a newer supported version of the software.

Expiration date:  9/01/2019 0:00:00 AM

This message won't be repeated until the next reboot.

期限が過ぎると、時間制限付き DC エージェントのすべてのバージョンでは、起動時に DC エージェント管理者イベント ログに次のような 10022 イベントが出力されます。

The password filter dll is loaded but the allowable trial period has expired. All password change and set requests are automatically approved. Please contact Microsoft for a newer supported version of the software.

No further messages are logged until after the next reboot.

期限は初回起動時にのみチェックされるため、カレンダーの期限が過ぎるまでこれらのイベントが表示されない場合があります。 期限が認識されると、すべてのパスワード以外のドメイン コントローラーまたは大規模な環境への悪影響は自動的に承認されません。

重要

Microsoft では、期限切れのパブリック プレビュー DC エージェントを最新バージョンに直ちにアップグレードすることをお勧めします。

アップグレードが必要な環境内の DC エージェントを簡単に検出するには、Get-AzureADPasswordProtectionDCAgent コマンドレットを実行します。次に例を示します。

PS C:\> Get-AzureADPasswordProtectionDCAgent

ServerFQDN            : bpl1.bpl.com
SoftwareVersion       : 1.2.125.0
Domain                : bpl.com
Forest                : bpl.com
PasswordPolicyDateUTC : 8/1/2019 9:18:05 PM
HeartbeatUTC          : 8/1/2019 10:00:00 PM
AzureTenant           : bpltest.onmicrosoft.com

この記事では、SoftwareVersion フィールドは明らかに確認する重要なプロパティです。 PowerShell フィルターを使用して、必要なベースライン バージョン以上の DC エージェントをフィルターで除外することもできます。次に例を示します。

PS C:\> $LatestAzureADPasswordProtectionVersion = "1.2.125.0"
PS C:\> Get-AzureADPasswordProtectionDCAgent | Where-Object {$_.SoftwareVersion -lt $LatestAzureADPasswordProtectionVersion}

Microsoft Entra パスワード保護プロキシ ソフトウェアは、どのバージョンでも時間制限はありません。 MICROSOFT では、DC エージェントとプロキシ エージェントの両方を、リリース時に最新バージョンにアップグレードすることをお勧めします。 Get-AzureADPasswordProtectionProxy コマンドレットは、DC エージェントの上記の例と同様に、アップグレードを必要とするプロキシ エージェントを検索するために使用できます。

特定のアップグレード手順の詳細については、「DC エージェント のアップグレードとプロキシ サービス のアップグレードの 」を参照してください。

緊急修復

DC エージェント サービスが問題の原因となっている状況が発生した場合は、DC エージェント サービスが直ちにシャットダウンされる可能性があります。 DC エージェントのパスワード フィルター dll は、実行されていないサービスの呼び出しを試み、警告イベント (10012、10013) をログに記録しますが、その間にすべての受信パスワードが受け入れられます。 DC エージェント サービスは、必要に応じて、スタートアップの種類が "無効" の Windows サービス コントロール マネージャーを介して構成することもできます。

もう 1 つの修復方法は、Microsoft Entra パスワード保護ポータルで [有効] モードを [いいえ] に設定することです。 更新されたポリシーがダウンロードされると、各 DC エージェント サービスは休止モードに移行し、すべてのパスワードが as-is受け入れられます。 詳細については、「の操作モード」を参照してください。

削除

Microsoft Entra パスワード保護ソフトウェアをアンインストールし、ドメインとフォレストから関連するすべての状態をクリーンアップする場合は、次の手順を使用してこのタスクを実行できます。

重要

これらの手順を順番に実行することが重要です。 プロキシ サービスのインスタンスが実行したままになっている場合は、その serviceConnectionPoint オブジェクトを定期的に再作成します。 DC エージェント サービスのインスタンスが実行したままの場合は、serviceConnectionPoint オブジェクトと sysvol 状態が定期的に再作成されます。

  1. すべてのマシンからプロキシ ソフトウェアをアンインストールします。 この手順では、再起動する必要はありません

  2. すべてのドメイン コントローラーから DC エージェント ソフトウェアをアンインストールします。 手順 は再起動 が必要です。

  3. 各ドメインの名前付けコンテキスト内のすべてのプロキシ サービス接続ポイントを手動で削除します。 これらのオブジェクトの場所は、次の Active Directory PowerShell コマンドを使用して検出できます。

    $scp = "serviceConnectionPoint"
$keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    $keywords変数値の末尾にあるアスタリスク ("*") は省略しないでください。

    Get-ADObject コマンドで見つかったオブジェクトは、Remove-ADObjectにパイプ処理したり、手動で削除したりすることができます。

  4. 各ドメインの名前付けコンテキスト内のすべての DC エージェント接続ポイントを手動で削除します。 ソフトウェアの展開の広さに応じて、フォレスト内のドメイン コントローラーごとにこれらのオブジェクトが 1 つ存在する場合があります。 そのオブジェクトの場所は、次の Active Directory PowerShell コマンドを使用して検出できます。

    $scp = "serviceConnectionPoint"
$keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    Get-ADObject コマンドで得られたオブジェクトは、Remove-ADObjectに送ることができるか、手動で削除できます。

    $keywords変数値の末尾にあるアスタリスク ("*") は省略しないでください。

  5. フォレスト レベルの構成状態を手動で削除します。 フォレスト構成の状態は、Active Directory 構成の名前付けコンテキストのコンテナーで維持されます。 次のように検出および削除できます。

    $passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
Remove-ADObject -Recursive $passwordProtectionConfigContainer

  6. 次のフォルダーとそのすべての内容を手動で削除して、sysvol 関連のすべての状態を手動で削除します。

    \\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtection

    必要に応じて、このパスは特定のドメイン コントローラーでローカルにアクセスすることもできます。既定の場所は、次のパスのようになります。

    %windir%\sysvol\domain\Policies\AzureADPasswordProtection

    sysvol 共有が既定以外の場所に構成されている場合、このパスは異なります。

PowerShell コマンドレットを使用した正常性テスト

AzureADPasswordProtection PowerShell モジュールには、ソフトウェアがインストールされ動作していることを基本的に検証する 2 つの正常性関連のコマンドレットが含まれています。 新しいデプロイを設定した後、その後、問題が調査されている場合は、定期的にこれらのコマンドレットを実行することをお勧めします。

個々の正常性テストは、基本的な成功または失敗の結果に加えて、失敗した場合はオプションのメッセージを返します。 エラーの原因が明確でない場合は、エラーを説明する可能性のあるエラー イベント ログ メッセージを探します。 テキスト ログ メッセージを有効にすると、便利な場合もあります。 詳細については、「Microsoft Entra パスワード保護を監視する」を参照してください。

プロキシの正常性テスト

Test-AzureADPasswordProtectionProxyHealth コマンドレットは、個別に実行できる 2 つの正常性テストをサポートしています。 3 番目のモードでは、パラメーター入力を必要としないすべてのテストを実行できます。

プロキシ登録の検証

このテストでは、プロキシ エージェントが Azure に適切に登録され、Azure に対して認証できることを確認します。 成功した実行は次のようになります。

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Passed

エラーが検出された場合、テストは失敗した結果とオプションのエラー メッセージを返します。 考えられる 1 つのエラーの例を次に示します。

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Failed No proxy certificates were found - please run the Register-AzureADPasswordProtectionProxy cmdlet to register the proxy.

エンドツーエンドの Azure 接続のプロキシ検証

このテストは、-VerifyProxyRegistration テストのスーパーセットです。 プロキシ エージェントが Azure に適切に登録され、Azure に対して認証できる必要があります。最後に、メッセージを Azure に正常に送信できることを確認し、エンドツーエンドの完全な通信が機能していることを確認する必要があります。

成功した実行は次のようになります。

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyAzureConnectivity

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyAzureConnectivity Passed

すべてのテストのプロキシ検証

このモードでは、パラメーター入力を必要としないコマンドレットでサポートされているすべてのテストを一括実行できます。 成功した実行は次のようになります。

PS C:\> Test-AzureADPasswordProtectionProxyHealth -TestAll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyTLSConfiguration  Passed
VerifyProxyRegistration Passed
VerifyAzureConnectivity Passed

DC エージェントのヘルスチェック

Test-AzureADPasswordProtectionDCAgentHealth コマンドレットは、個別に実行できるいくつかの正常性テストをサポートしています。 3 番目のモードでは、パラメーター入力を必要としないすべてのテストを実行できます。

基本的な DC エージェントのヘルステスト

次のテストはすべて個別に実行でき、パラメーターは受け入れられません。 各テストの簡単な説明を次の表に示します。

DC エージェントの正常性テスト 説明
-VerifyPasswordFilterDll パスワード フィルター dll が現在読み込まれており、DC エージェント サービスを呼び出すことができることを確認します
-VerifyForestRegistration フォレストが現在登録されていることを確認します。
-VerifyEncryptionDecryption Microsoft KDS サービスを使用して、基本的な暗号化と暗号化解除が機能していることを確認します
-VerifyDomainIsUsingDFSR 現在のドメインが sysvol レプリケーションに DFSR を使用していることを確認します
-VerifyAzureConnectivity Azure とのエンドツーエンドの通信が、使用可能なプロキシを使用して動作していることを確認します

次に示すのは、-VerifyPasswordFilterDll テストの成功の例であり、他の成功したテストは次のようになります。

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyPasswordFilterDll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyPasswordFilterDll Passed

すべてのテストの DC エージェント検証

このモードでは、パラメーター入力を必要としないコマンドレットでサポートされているすべてのテストを一括実行できます。 成功した実行は次のようになります。

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -TestAll

DiagnosticName             Result AdditionalInfo
--------------             ------ --------------
VerifyPasswordFilterDll    Passed
VerifyForestRegistration   Passed
VerifyEncryptionDecryption Passed
VerifyDomainIsUsingDFSR    Passed
VerifyAzureConnectivity    Passed

特定のプロキシ サーバーを使用した接続テスト

多くのトラブルシューティングの状況では、DC エージェントとプロキシ間のネットワーク接続の調査が含まれます。 このような問題に特に焦点を当てるには、2 つの正常性テストを使用できます。 これらのテストでは、特定のプロキシ サーバーを指定する必要があります。

DC エージェントと特定のプロキシ間の接続の確認

このテストでは、DC エージェントからプロキシへの最初の通信区間での接続を検証します。 プロキシが呼び出しを受信することを確認しますが、Azure との通信は関係しません。 成功した実行は次のようになります。

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Passed

ターゲット サーバーで実行されているプロキシ サービスが停止するエラー状態の例を次に示します。

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Failed The RPC endpoint mapper on the specified proxy returned no results; please check that the proxy service is running on that server.

DC エージェントと Azure の間の接続の確認 (特定のプロキシを使用)

このテストでは、特定のプロキシを使用して、DC エージェントと Azure の間の完全なエンド ツー エンド接続を検証します。 成功した実行は次のようになります。

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyAzureConnectivityViaSpecificProxy bpl2.bpl.com

DiagnosticName                          Result AdditionalInfo
--------------                          ------ --------------
VerifyAzureConnectivityViaSpecificProxy Passed

次の手順

Microsoft Entra パスワード保護に関するよくある質問

グローバルおよびカスタムの禁止パスワード リストの詳細については、「無効なパスワードの禁止 記事を参照してください。