Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect-synchronisatie

Dit onderwerp bevat stappen voor het oplossen van problemen met wachtwoord-hashsynchronisatie. Als wachtwoorden niet worden gesynchroniseerd zoals verwacht, kan dit voor een subset van gebruikers of voor alle gebruikers zijn.

Voor implementatie van Microsoft Entra Connect met versie 1.1.614.0 of later gebruikt u de probleemoplossingstaak in de wizard om problemen met wachtwoord-hashsynchronisatie op te lossen:

• Als u een probleem ondervindt waarbij geen wachtwoorden worden gesynchroniseerd, raadpleegt u de sectie Geen wachtwoorden worden gesynchroniseerd: los problemen op met behulp van de sectie probleemoplossingstaak .

• Als u een probleem hebt met afzonderlijke objecten, raadpleegt u het one-object dat geen wachtwoorden synchroniseert: los problemen op met behulp van de sectie probleemoplossingstaak .

Voor implementatie met versie 1.1.524.0 of hoger is er een diagnostische cmdlet die u kunt gebruiken om synchronisatieproblemen met wachtwoord-hash op te lossen:

• Als u een probleem hebt waarbij geen wachtwoorden worden gesynchroniseerd, raadpleegt u de sectie Geen wachtwoorden worden gesynchroniseerd: los problemen op met behulp van de sectie met diagnostische cmdlets .

• Als u een probleem hebt met afzonderlijke objecten, raadpleegt u het one-object dat geen wachtwoorden synchroniseert: los problemen op met behulp van de sectie diagnostische cmdlet .

Voor oudere versies van Microsoft Entra Connect-implementatie:

• Als u een probleem ondervindt waarbij geen wachtwoorden worden gesynchroniseerd, raadpleegt u de sectie Geen wachtwoorden worden gesynchroniseerd: sectie met handmatige stappen voor probleemoplossing.

• Als u een probleem hebt met afzonderlijke objecten, raadpleegt u het one-object dat geen wachtwoorden synchroniseert: sectie met handmatige stappen voor probleemoplossing.

Er worden geen wachtwoorden gesynchroniseerd: het probleem oplossen met behulp van de probleemoplossingstaak

U kunt de probleemoplossingstaak gebruiken om erachter te komen waarom er geen wachtwoorden worden gesynchroniseerd.

Notitie

De probleemoplossingstaak is alleen beschikbaar voor Microsoft Entra Connect versie 1.1.614.0 of hoger.

De probleemoplossingstaak uitvoeren

Om problemen op te lossen waarbij geen wachtwoorden worden gesynchroniseerd:

1. Open een nieuwe Windows PowerShell-sessie op uw Microsoft Entra Connect-server met de optie Als administrator uitvoeren .

2. Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.

3. Start de wizard Microsoft Entra Connect.

4. Ga naar de pagina Aanvullende taken, selecteer Problemen oplossenen selecteer Volgende.

5. Selecteer op de pagina Probleemoplossing Start om het menu Probleemoplossing in PowerShell te starten.

6. Selecteer Problemen met wachtwoord-hashsynchronisatie oplossen in het hoofdmenu.

7. Selecteer in het submenu wachtwoord-hashsynchronisatie helemaal niet.

Inzicht in de resultaten van de probleemoplossingstaak

De probleemoplossingstaak voert de volgende controles uit:

• Valideert of de functie wachtwoord-hashsynchronisatie is ingeschakeld voor uw Microsoft Entra-tenant.

• Valideert dat de Microsoft Entra Connect-server zich niet in de faseringsmodus bevindt.

• Voor elke bestaande on-premises Active Directory-connector (die overeenkomt met een bestaand Active Directory-forest):

  • Hiermee wordt gecontroleerd of de functie voor wachtwoord-hashsynchronisatie is ingeschakeld.

  • Hiermee wordt gezocht naar heartbeat-gebeurtenissen voor wachtwoord-hashsynchronisatie in de windows-toepassingslogboeken.

  • Voor elk Active Directory-domein onder de on-premises Active Directory-connector:

    • Valideert of het domein bereikbaar is vanaf de Microsoft Entra Connect-server.

    • Valideert dat de Active Directory-domein Services-accounts (AD DS) die worden gebruikt door de on-premises Active Directory-connector, de juiste gebruikersnaam, wachtwoord en machtigingen heeft die zijn vereist voor wachtwoord-hashsynchronisatie.

In het volgende diagram ziet u de resultaten van de cmdlet voor een on-premises Active Directory-topologie met één domein:

In de rest van deze sectie worden specifieke resultaten beschreven die worden geretourneerd door de taak en de bijbehorende problemen.

De functie wachtwoord-hashsynchronisatie is niet ingeschakeld

Als u wachtwoord-hashsynchronisatie niet hebt ingeschakeld met behulp van de wizard Microsoft Entra Connect, wordt de volgende fout geretourneerd:

Microsoft Entra Connect-server bevindt zich in de faseringsmodus

Als de Microsoft Entra Connect-server zich in de faseringsmodus bevindt, wordt wachtwoord-hashsynchronisatie tijdelijk uitgeschakeld en wordt de volgende fout geretourneerd:

Geen heartbeat-gebeurtenissen voor wachtwoord-hashsynchronisatie

Elke on-premises Active Directory-connector heeft een eigen synchronisatiekanaal voor wachtwoord-hashs. Wanneer het synchronisatiekanaal voor wachtwoord-hashs tot stand is gebracht en er geen wachtwoordwijzigingen moeten worden gesynchroniseerd, wordt er elke 30 minuten een heartbeat-gebeurtenis (EventId 654) gegenereerd onder het Gebeurtenislogboek van de Windows-toepassing. Voor elke on-premises Active Directory-connector zoekt de cmdlet in de afgelopen drie uur naar bijbehorende heartbeatgebeurtenissen. Als er geen heartbeatgebeurtenis wordt gevonden, wordt de volgende fout geretourneerd:

AD DS-account heeft niet de juiste machtigingen

Als het AD DS-account dat wordt gebruikt door de on-premises Active Directory-connector voor het synchroniseren van wachtwoordhashes niet over de juiste machtigingen beschikt, wordt de volgende fout geretourneerd:

Onjuiste gebruikersnaam of wachtwoord voor AD DS-account

Als het AD DS-account dat wordt gebruikt door de on-premises Active Directory-connector voor het synchroniseren van wachtwoordhashes een onjuiste gebruikersnaam of wachtwoord heeft, wordt de volgende fout geretourneerd:

Eén object synchroniseert geen wachtwoorden: problemen oplossen met behulp van de taak voor probleemoplossing

U kunt de probleemoplossingstaak gebruiken om te bepalen waarom een object geen wachtwoorden synchroniseert.

Notitie

De probleemoplossingstaak is alleen beschikbaar voor Microsoft Entra Connect versie 1.1.614.0 of hoger.

De diagnostische cmdlet uitvoeren

Problemen voor een specifiek gebruikersobject oplossen:

1. Open een nieuwe Windows PowerShell-sessie op uw Microsoft Entra Connect-server met de optie Als administrator uitvoeren .

2. Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.

3. Start de wizard Microsoft Entra Connect.

4. Ga naar de pagina Aanvullende taken, selecteer Problemen oplossenen selecteer Volgende.

5. Selecteer op de pagina Probleemoplossing Start om het menu Probleemoplossing in PowerShell te starten.

6. Selecteer Problemen met wachtwoord-hashsynchronisatie oplossen in het hoofdmenu.

7. Selecteer in het submenu "Wachtwoord wordt niet gesynchroniseerd voor een specifiek gebruikersaccount".

Inzicht in de resultaten van de probleemoplossingstaak

De probleemoplossingstaak voert de volgende controles uit:

• Onderzoekt de status van het Active Directory-object in de Active Directory-connectorruimte, Metaverse en Microsoft Entra-connectorruimte.

• Valideert of er synchronisatieregels zijn waarvoor wachtwoord-hashsynchronisatie is ingeschakeld en toegepast op het Active Directory-object.

• Pogingen om de resultaten van de laatste poging om het wachtwoord voor het object te synchroniseren en weer te geven.

In het volgende diagram ziet u de resultaten van de cmdlet bij het oplossen van problemen met wachtwoord-hashsynchronisatie voor één object:

In de rest van deze sectie worden specifieke resultaten beschreven die worden geretourneerd door de cmdlet en de bijbehorende problemen.

Het Active Directory-object wordt niet geëxporteerd naar Microsoft Entra-id

Wachtwoord-hashsynchronisatie voor dit on-premises Active Directory-account mislukt omdat er geen corresponderend object in de Microsoft Entra-tenant is. De volgende fout wordt geretourneerd:

Gebruiker heeft een tijdelijk wachtwoord

Oudere versies van Microsoft Entra Connect bieden geen ondersteuning voor het synchroniseren van tijdelijke wachtwoorden met Microsoft Entra-id. Een wachtwoord wordt als tijdelijk beschouwd als de optie Wachtwoord wijzigen bij volgende aanmelding is ingesteld op de on-premises Active Directory-gebruiker. De volgende fout wordt geretourneerd met deze oudere versies:

Als u synchronisaties van tijdelijke wachtwoorden wilt inschakelen, moet Microsoft Entra Connect versie 2.0.3.0 of hoger zijn geïnstalleerd en moet de functie ForcePasswordChangeOnLogon- zijn ingeschakeld.

Resultaten van de laatste poging om het wachtwoord te synchroniseren zijn niet beschikbaar

Microsoft Entra Connect slaat standaard de resultaten op van wachtwoord-hashsynchronisatiepogingen gedurende zeven dagen. Als er geen resultaten beschikbaar zijn voor het geselecteerde Active Directory-object, wordt de volgende waarschuwing geretourneerd:

Er worden geen wachtwoorden gesynchroniseerd: het probleem oplossen met behulp van de cmdlet voor diagnose

U kunt de Invoke-ADSyncDiagnostics cmdlet gebruiken om erachter te komen waarom er geen wachtwoorden worden gesynchroniseerd.

Notitie

De Invoke-ADSyncDiagnostics cmdlet is alleen beschikbaar voor Microsoft Entra Connect versie 1.1.524.0 of hoger.

De diagnostische cmdlet uitvoeren

Om problemen op te lossen waarbij geen wachtwoorden worden gesynchroniseerd:

1. Open een nieuwe Windows PowerShell-sessie op uw Microsoft Entra Connect-server met de optie Als administrator uitvoeren .

2. Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.

3. Voer Import-Module ADSyncDiagnostics uit.

4. Voer Invoke-ADSyncDiagnostics -PasswordSync uit.

Eén object synchroniseert geen wachtwoorden: los problemen op met behulp van de diagnostische cmdlet

U kunt de cmdlet Invoke-ADSyncDiagnostics gebruiken om te bepalen waarom een object geen wachtwoorden synchroniseert.

Notitie

De Invoke-ADSyncDiagnostics cmdlet is alleen beschikbaar voor Microsoft Entra Connect versie 1.1.524.0 of hoger.

De diagnostische cmdlet uitvoeren

Problemen oplossen waarbij geen wachtwoorden worden gesynchroniseerd voor een gebruiker:

1. Open een nieuwe Windows PowerShell-sessie op uw Microsoft Entra Connect-server met de optie Als administrator uitvoeren .

2. Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.

3. Voer Import-Module ADSyncDiagnostics uit.

4. Voer de volgende cmdlet uit:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
   

   Voorbeeld:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
   

Er worden geen wachtwoorden gesynchroniseerd: handmatige stappen voor probleemoplossing

Volg deze stappen om te bepalen waarom er geen wachtwoorden worden gesynchroniseerd:

1. Bevindt de Connect-server zich in de faseringsmodus? Een server in de faseringsmodus synchroniseert geen wachtwoorden.

2. Voer het script uit in de sectie De status van de instellingen voor wachtwoordsynchronisatie ophalen . U krijgt een overzicht van de configuratie van wachtwoordsynchronisatie.

   

3. Als de functie niet is ingeschakeld in Microsoft Entra ID of als de status van het synchronisatiekanaal niet is ingeschakeld, voert u de wizard Verbinding maken uit. Selecteer Synchronisatieopties aanpassen en schakel wachtwoordsynchronisatie uit. Met deze wijziging wordt de functie tijdelijk uitgeschakeld. Voer vervolgens de wizard opnieuw uit en schakel wachtwoordsynchronisatie opnieuw in. Voer het script opnieuw uit om te controleren of de configuratie juist is.

4. Zoek in het gebeurtenislogboek naar fouten. Zoek naar de volgende gebeurtenissen, die duiden op een probleem:

   Bron: Adreslijstsynchronisatie
   Id: 0, 611, 652, 655

   Als u deze gebeurtenissen ziet, hebt u een verbindingsprobleem. Het gebeurtenislogboekbericht bevat forestgegevens waar u een probleem hebt.

5. Als u geen heartbeat ziet of als niets anders heeft gewerkt, voert u Trigger een volledige synchronisatie van alle wachtwoorden uit. Voer het script slechts één keer uit.

6. Zie de sectie Problemen met één object oplossen dat geen wachtwoorden synchroniseert.

Connectiviteitsproblemen

Hebt u verbinding met Microsoft Entra ID?

Heeft het account de vereiste machtigingen om de wachtwoordhashes in alle domeinen te lezen? Als u Verbinding maken hebt geïnstalleerd met behulp van Express-instellingen, moeten de machtigingen al juist zijn.

Als u aangepaste installatie hebt gebruikt, stelt u de machtigingen handmatig in door het volgende te doen:

1. Start Synchronization Service Manager om het account te vinden dat wordt gebruikt door de Active Directory-connector.

2. Ga naar Connectors en zoek vervolgens naar het on-premises Active Directory-forest dat u wilt oplossen.

3. Selecteer de connector en selecteer vervolgens Eigenschappen.

4. Ga naar Verbinding maken met Active Directory-forest.

   
   Noteer de gebruikersnaam en het domein waar het account zich bevindt.

5. Start Active Directory: gebruikers en computersen controleer vervolgens of het account dat u eerder hebt gevonden, de volgende machtigingen heeft ingesteld in de hoofdmap van alle domeinen in uw forest:

   • Directorywijzigingen repliceren
   • Alle directorywijzigingen repliceren

6. Zijn de domeincontrollers bereikbaar via Microsoft Entra Connect? Als de Connect-server geen verbinding kan maken met alle domeincontrollers, configureert u Alleen voorkeursdomeincontroller gebruiken.

   

7. Ga terug naar Synchronization Service Manager en configureer directorypartitie.

8. Selecteer uw domein bij Selecteer mappartities, vink het selectievakje Alleen voorkeursdomeincontrollers gebruiken aan, en selecteer vervolgens Configureren.

9. Voer in de lijst de domeincontrollers in die verbinding moeten gebruiken voor wachtwoordsynchronisatie. Dezelfde lijst wordt ook gebruikt voor importeren en exporteren. Voer deze stappen uit voor al uw domeinen.

Notitie

Als u deze wijzigingen wilt toepassen, start u de Microsoft Entra ID Sync-service (ADSync) opnieuw.

10. Als het script laat zien dat er geen heartbeat is, voert u het script uit in Een volledige synchronisatie van alle wachtwoorden activeren.

Eén object synchroniseert geen wachtwoorden: handmatige stappen voor probleemoplossing

U kunt eenvoudig problemen met wachtwoord-hashsynchronisatie oplossen door de status van een object te controleren.

1. Zoek in Active Directory naar de gebruiker en controleer vervolgens of het selectievakje Gebruiker het wachtwoord moet wijzigen bij volgende aanmelding uitgeschakeld.

   

   Als het selectievakje is ingeschakeld, vraagt u de gebruiker zich aan te melden en het wachtwoord te wijzigen. Tijdelijke wachtwoorden worden niet gesynchroniseerd met Microsoft Entra-id.

2. Als het wachtwoord er correct uitziet in Active Directory, volgt u de gebruiker in de synchronisatie-engine. Door de gebruiker van on-premises Active Directory naar Microsoft Entra-id te volgen, kunt u zien of er een beschrijvende fout is op het object.

   a. Start Synchronization Service Manager.

   b. Selecteer connectoren.

   c. Selecteer de Active Directory-connector waar de gebruiker zich bevindt.

   d. Selecteer de zoekconnectorruimte.

   e. Selecteer in het vak Bereik DN of Anker en voer vervolgens de volledige DN in van de gebruiker die u wilt oplossen.

   

   f. Zoek de gebruiker die u zoekt en selecteer vervolgens Eigenschappen om alle kenmerken weer te geven. Als de gebruiker zich niet in het zoekresultaat bevindt, controleer dan de filterregels en zorg ervoor dat u Toepassen uitvoert en de wijzigingen verifieert, zodat de gebruiker weergegeven wordt in Connect.

   g. Als u de details van de wachtwoordsynchronisatie van het object voor de afgelopen week wilt zien, selecteert u Log.

   

   Als het objectlogboek leeg is, kan Microsoft Entra Connect de wachtwoordhash niet lezen uit Active Directory. Ga verder met het oplossen van connectiviteitsfouten. Als u een andere waarde dan geslaagd ziet, raadpleegt u de tabel in het wachtwoordsynchronisatielogboek.

   h. Selecteer het tabblad Herkomst en zorg ervoor dat ten minste één synchronisatieregel in de kolom PasswordSync waar is. In de standaardconfiguratie is de naam van de synchronisatieregel in AD - User AccountEnabled.

   

   i. Selecteer Metaverse-objecteigenschappen om een lijst met gebruikerskenmerken weer te geven.

   

   Controleer of er geen cloudFiltered kenmerk aanwezig is. Zorg ervoor dat de domeinkenmerken (domainFQDN en domainNetBios) de verwachte waarden hebben.

   j. Selecteer het tabblad Connectors. Zorg ervoor dat u connectors ziet voor zowel on-premises Active Directory als Microsoft Entra-id.

   

   k. Selecteer de rij die Microsoft Entra-id vertegenwoordigt, selecteer Eigenschappenen selecteer vervolgens het tabblad Herkomst. Het verbindingsruimteobject moet een uitgaande regel bevatten in de kolom PasswordSync ingesteld op True. In de standaardconfiguratie is de naam van de synchronisatieregel out to Microsoft Entra ID - User Join.

   

Wachtwoordsynchronisatielogboek

De statuskolom kan de volgende waarden hebben:

-Status	Omschrijving
Voltooid	Het wachtwoord is gesynchroniseerd.
FilteredByTarget	Het wachtwoord is ingesteld op Gebruiker moet het wachtwoord wijzigen bij de volgende aanmelding. Het wachtwoord is niet gesynchroniseerd.
NoTargetConnection	Geen object in de metaverse of in de Microsoft Entra-connectorruimte.
SourceConnectorNotPresent	Er is geen object gevonden in de on-premises Active Directory-connectorruimte.
TargetNotExportedToDirectory	Het object in de Microsoft Entra-connectorruimte is nog niet geëxporteerd.
MigratedCheckDetailsForMoreInfo	Logboekvermelding is gemaakt vóór build 1.0.9125.0 en wordt weergegeven in de verouderde status.
Error	Service heeft een onbekende fout geretourneerd.
Onbekend	Er is een fout opgetreden tijdens het verwerken van een batch wachtwoordhashes.
MissingAttribute	Specifieke kenmerken (bijvoorbeeld Kerberos-hash) die vereist zijn voor Microsoft Entra Domain Services zijn niet beschikbaar.
RetryRequestedByTarget	Specifieke kenmerken (bijvoorbeeld Kerberos-hash) die vereist zijn voor Microsoft Entra Domain Services, waren eerder niet beschikbaar. Er wordt geprobeerd de wachtwoord-hash van de gebruiker opnieuw te synchroniseren.

Scripts om problemen op te lossen

De status van instellingen voor wachtwoordsynchronisatie ophalen

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Een volledige synchronisatie van alle wachtwoorden activeren

Notitie

Voer dit script slechts één keer uit. Als u het meer dan één keer wilt uitvoeren, is iets anders het probleem. Neem contact op met Microsoft Ondersteuning om het probleem op te lossen.

U kunt een volledige synchronisatie van alle wachtwoorden activeren met behulp van het volgende script:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Volgende stappen

• Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect Sync
• Microsoft Entra Connect Sync: synchronisatieopties aanpassen
• Uw on-premises identiteiten integreren met Microsoft Entra-id