Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą usługi synchronizacji programu Microsoft Entra Connect
Ten temat zawiera kroki rozwiązywania problemów z synchronizacją skrótów haseł. Jeśli hasła nie są synchronizowane zgodnie z oczekiwaniami, może to być zarówno dla podzbioru użytkowników, jak i dla wszystkich użytkowników.
W przypadku wdrożenia programu Microsoft Entra Connect w wersji 1.1.614.0 lub nowszej użyj zadania rozwiązywania problemów w kreatorze, aby rozwiązać problemy z synchronizacją skrótów haseł:
Jeśli masz problem polegający na tym, że żadne hasła nie są synchronizowane, zapoznaj się z sekcją Brak haseł: rozwiąż problemy, korzystając z sekcji zadania rozwiązywania problemów.
Jeśli masz problem z poszczególnymi obiektami, zapoznaj się z tematem One object is not synchronizing passwords( Rozwiązywanie problemów przy użyciu sekcji zadania rozwiązywania problemów).
Dla wdrożeń z wersją 1.1.524.0 lub nowszą dostępne jest diagnostyczne polecenie cmdlet, którego można użyć do rozwiązywania problemów z synchronizacją skrótów haseł:
Jeśli masz problem polegający na tym, że żadne hasła nie są synchronizowane, zapoznaj się z sekcją Brak haseł: rozwiąż problemy przy użyciu sekcji polecenia cmdlet diagnostyki.
Jeśli masz problem z poszczególnymi obiektami, zapoznaj się z tematem One object is not synchronizing passwords: troubleshoot by using the diagnostic cmdlet section (Rozwiązywanie problemów przy użyciu sekcji poleceń cmdlet diagnostycznych).
W przypadku starszych wersji wdrożenia programu Microsoft Entra Connect:
Jeśli masz problem polegający na tym, że żadne hasła nie są synchronizowane, zapoznaj się z sekcją Brak haseł: ręczne kroki rozwiązywania problemów.
Jeśli masz problem z poszczególnymi obiektami, zapoznaj się z sekcją One object is not synchronizing passwords(Jeden obiekt: ręczne kroki rozwiązywania problemów).
Hasła nie są synchronizowane: rozwiązywanie problemów przy użyciu zadania rozwiązywania problemów
Możesz użyć zadania rozwiązywania problemów, aby dowiedzieć się, dlaczego żadne hasła nie są synchronizowane.
Uwaga
Zadanie rozwiązywania problemów jest dostępne tylko dla programu Microsoft Entra Connect w wersji 1.1.614.0 lub nowszej.
Uruchamianie zadania rozwiązywania problemów
Aby rozwiązać problemy, gdy żadne hasła nie są synchronizowane:
Otwórz nową sesję programu Windows PowerShell na serwerze Microsoft Entra Connect z opcją Uruchom jako administrator .
Uruchom
Set-ExecutionPolicy RemoteSignedlubSet-ExecutionPolicy Unrestricted.Uruchom kreatora Microsoft Entra Connect.
Przejdź do strony Dodatkowe zadania, wybierz Rozwiązywanie problemówi wybierz Dalej.
Na stronie Rozwiązywanie problemów wybierz pozycję Uruchom, aby uruchomić menu rozwiązywania problemów w programie PowerShell.
W menu głównym wybierz pozycję Rozwiązywanie problemów z synchronizacją skrótów haseł.
W menu podrzędnym wybierz pozycję Synchronizacja skrótów haseł w ogóle nie działa.
Omówienie wyników zadania rozwiązywania problemów
Zadanie rozwiązywania problemów wykonuje następujące testy:
Sprawdza, czy funkcja synchronizacji skrótów haseł jest włączona dla dzierżawy firmy Microsoft Entra.
Sprawdza, czy serwer Microsoft Entra Connect nie jest w trybie przejściowym.
Dla każdego istniejącego łącznika lokalna usługa Active Directory (który odpowiada istniejącemu lasowi usługi Active Directory):
Sprawdza, czy funkcja synchronizacji skrótów haseł jest włączona.
Wyszukuje zdarzenia pulsu synchronizacji skrótów haseł w dziennikach zdarzeń aplikacji systemu Windows.
Dla każdej domeny usługi Active Directory w łączniku lokalna usługa Active Directory:
Sprawdza, czy domena jest osiągalna z serwera Microsoft Entra Connect.
Sprawdza, czy konta usług domena usługi Active Directory (AD DS) używane przez łącznik lokalna usługa Active Directory mają poprawną nazwę użytkownika, hasło i uprawnienia wymagane do synchronizacji skrótów haseł.
Na poniższym diagramie przedstawiono wyniki polecenia cmdlet dla jednej domeny, lokalna usługa Active Directory topologii:
W pozostałej części tej sekcji opisano konkretne wyniki zwracane przez zadanie i odpowiednie problemy.
Funkcja synchronizacji skrótów haseł nie jest włączona
Jeśli synchronizacja skrótów haseł nie została włączona przy użyciu kreatora Microsoft Entra Connect, zwracany jest następujący błąd:
Serwer Microsoft Entra Connect jest w trybie przejściowym
Jeśli serwer Microsoft Entra Connect jest w trybie przejściowym, synchronizacja skrótów haseł jest tymczasowo wyłączona, a zwracany jest następujący błąd:
Brak zdarzeń pulsu synchronizacji skrótów haseł
Każdy łącznik lokalna usługa Active Directory ma własny kanał synchronizacji skrótów haseł. Po ustanowieniu kanału synchronizacji skrótów haseł i nie ma żadnych zmian haseł do zsynchronizowania, zdarzenie pulsu (EventId 654) jest generowane raz na 30 minut w dzienniku zdarzeń aplikacji systemu Windows. Dla każdego łącznika lokalna usługa Active Directory polecenie cmdlet wyszukuje odpowiednie zdarzenia pulsu w ciągu ostatnich trzech godzin. Jeśli nie zostanie znalezione żadne zdarzenie pulsu, zostanie zwrócony następujący błąd:
Konto usług AD DS nie ma poprawnych uprawnień
Jeśli konto usług AD DS używane przez łącznik lokalna usługa Active Directory do synchronizowania skrótów haseł nie ma odpowiednich uprawnień, zwracany jest następujący błąd:
Nieprawidłowa nazwa użytkownika lub hasło konta usług AD DS
Jeśli konto usług AD DS używane przez łącznik lokalna usługa Active Directory do synchronizowania skrótów haseł ma nieprawidłową nazwę użytkownika lub hasło, zwracany jest następujący błąd:
Jeden obiekt nie synchronizuje haseł: rozwiązywanie problemów przy użyciu zadania rozwiązywania problemów
Za pomocą zadania rozwiązywania problemów można określić, dlaczego jeden obiekt nie synchronizuje haseł.
Uwaga
Zadanie rozwiązywania problemów jest dostępne tylko dla programu Microsoft Entra Connect w wersji 1.1.614.0 lub nowszej.
Uruchamianie polecenia cmdlet diagnostyki
Aby rozwiązać problemy dotyczące określonego obiektu użytkownika:
Otwórz nową sesję programu Windows PowerShell na serwerze Microsoft Entra Connect z opcją Uruchom jako administrator .
Uruchom
Set-ExecutionPolicy RemoteSignedlubSet-ExecutionPolicy Unrestricted.Uruchom kreatora Microsoft Entra Connect.
Przejdź do strony Dodatkowe zadania, wybierz Rozwiązywanie problemówi wybierz Dalej.
Na stronie Rozwiązywanie problemów wybierz pozycję Uruchom, aby uruchomić menu rozwiązywania problemów w programie PowerShell.
W menu głównym wybierz pozycję Rozwiązywanie problemów z synchronizacją skrótów haseł.
W menu podrzędnym wybierz pozycję Hasło nie jest synchronizowane dla określonego konta użytkownika.
Omówienie wyników zadania rozwiązywania problemów
Zadanie rozwiązywania problemów wykonuje następujące testy:
Sprawdza stan obiektu usługi Active Directory w przestrzeni łącznika usługi Active Directory, metaverse i przestrzeni łącznika Microsoft Entra.
Sprawdza, czy istnieją reguły synchronizacji z włączoną synchronizacją skrótów haseł i zastosowane do obiektu usługi Active Directory.
Próbuje pobrać i wyświetlić wyniki ostatniej próby zsynchronizowania hasła dla obiektu.
Na poniższym diagramie przedstawiono wyniki polecenia cmdlet podczas rozwiązywania problemów z synchronizacją skrótów haseł dla pojedynczego obiektu:
W pozostałej części tej sekcji opisano konkretne wyniki zwrócone przez polecenie cmdlet i odpowiednie problemy.
Obiekt usługi Active Directory nie jest eksportowany do identyfikatora Entra firmy Microsoft
Synchronizacja skrótów haseł dla tego lokalnego konta usługi Active Directory kończy się niepowodzeniem, ponieważ nie ma odpowiedniego obiektu w dzierżawie usługi Microsoft Entra. Zwracany jest następujący błąd:
Użytkownik ma hasło tymczasowe
Starsze wersje programu Microsoft Entra Connect nie obsługiwały synchronizowania haseł tymczasowych z identyfikatorem Entra firmy Microsoft. Hasło jest uznawane za tymczasowe, jeśli opcja Zmień hasło przy następnym logowaniu jest ustawiona na użytkownika lokalna usługa Active Directory. Zwracany jest następujący błąd z następującymi starszymi wersjami:
Aby włączyć synchronizacje haseł tymczasowych, musisz mieć zainstalowany program Microsoft Entra Connect w wersji 2.0.3.0 lub nowszej, a funkcja ForcePasswordChangeOnLogon musi być włączona.
Wyniki ostatniej próby zsynchronizowania hasła nie są dostępne
Domyślnie program Microsoft Entra Connect przechowuje wyniki prób synchronizacji skrótów haseł przez siedem dni. Jeśli nie ma dostępnych wyników dla wybranego obiektu usługi Active Directory, zwracane jest następujące ostrzeżenie:
Hasła nie są synchronizowane: rozwiązywanie problemów przy użyciu polecenia cmdlet diagnostyki
Możesz użyć Invoke-ADSyncDiagnostics polecenia cmdlet , aby dowiedzieć się, dlaczego żadne hasła nie są synchronizowane.
Uwaga
Polecenie Invoke-ADSyncDiagnostics cmdlet jest dostępne tylko dla programu Microsoft Entra Connect w wersji 1.1.524.0 lub nowszej.
Uruchamianie polecenia cmdlet diagnostyki
Aby rozwiązać problemy, gdy żadne hasła nie są synchronizowane:
Otwórz nową sesję programu Windows PowerShell na serwerze Microsoft Entra Connect z opcją Uruchom jako administrator .
Uruchom
Set-ExecutionPolicy RemoteSignedlubSet-ExecutionPolicy Unrestricted.Uruchom polecenie
Import-Module ADSyncDiagnostics.Uruchom polecenie
Invoke-ADSyncDiagnostics -PasswordSync.
Jeden obiekt nie synchronizuje haseł: rozwiąż problem, używając diagnostycznego polecenia cmdlet
Możesz użyć polecenia cmdlet Invoke-ADSyncDiagnostics, aby określić, dlaczego jeden obiekt nie synchronizuje haseł.
Uwaga
Polecenie Invoke-ADSyncDiagnostics cmdlet jest dostępne tylko dla programu Microsoft Entra Connect w wersji 1.1.524.0 lub nowszej.
Uruchamianie polecenia cmdlet diagnostyki
Aby rozwiązać problemy polegające na tym, że żadne hasła nie są synchronizowane dla użytkownika:
Otwórz nową sesję programu Windows PowerShell na serwerze Microsoft Entra Connect z opcją Uruchom jako administrator .
Uruchom
Set-ExecutionPolicy RemoteSignedlubSet-ExecutionPolicy Unrestricted.Uruchom polecenie
Import-Module ADSyncDiagnostics.Uruchom następujące polecenia cmdlet:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>Na przykład:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
Hasła nie są synchronizowane: kroki ręcznego rozwiązywania problemów
Wykonaj następujące kroki, aby określić, dlaczego żadne hasła nie są synchronizowane:
Czy serwer Connect jest w trybie przejściowym? Serwer w trybie przejściowym nie synchronizuje żadnych haseł.
Uruchom skrypt w sekcji Pobieranie stanu ustawień synchronizacji haseł. Zawiera on omówienie konfiguracji synchronizacji haseł.
Jeśli funkcja nie jest włączona w Microsoft Entra ID lub jeśli stan kanału synchronizacji nie jest włączony, uruchom kreatora instalacji Connect. Wybierz pozycję Dostosuj opcje synchronizacji i usuń zaznaczenie opcji synchronizacji haseł. Ta zmiana tymczasowo wyłącza funkcję. Następnie ponownie uruchom kreatora i ponownie włącz synchronizację haseł. Uruchom ponownie skrypt, aby sprawdzić, czy konfiguracja jest poprawna.
Poszukaj w dzienniku zdarzeń pod kątem błędów. Poszukaj następujących zdarzeń, które wskazują na problem:
Źródło: "Synchronizacja katalogów"
Identyfikator: 0, 611, 652, 655Jeśli widzisz te zdarzenia, masz problem z łącznością. Komunikat dziennika zdarzeń zawiera informacje o lesie, w których występuje problem.
Jeśli nie widzisz pulsu lub jeśli nic innego nie zadziałało, uruchom polecenie Wyzwól pełną synchronizację wszystkich haseł. Uruchom skrypt tylko raz.
Zobacz sekcję Rozwiązywanie problemów z jednym obiektem, który nie synchronizuje haseł.
Problemy z łącznością
Czy masz łączność z identyfikatorem Entra firmy Microsoft?
Czy konto ma wymagane uprawnienia do odczytywania skrótów haseł we wszystkich domenach? Jeśli program Connect został zainstalowany przy użyciu ustawień ekspresowych, uprawnienia powinny być już poprawne.
Jeśli użyto instalacji niestandardowej, ustaw uprawnienia ręcznie, wykonując następujące czynności:
Aby znaleźć konto używane przez łącznik usługi Active Directory, uruchom program Synchronization Service Manager.
Przejdź do obszaru Łączniki, a następnie wyszukaj las lokalna usługa Active Directory, który rozwiązujesz.
Wybierz łącznik, a następnie wybierz pozycję właściwości .
Przejdź do pozycji Połącz z lasem usługi Active Directory.
Zanotuj nazwę użytkownika i domenę, w której znajduje się konto.Uruchom użytkownicy i komputery usługi Active Directory, a następnie sprawdź, czy znalezione wcześniej konto ma następujące uprawnienia ustawione w katalogu głównym wszystkich domen w lesie:
- Replikacja zmian katalogów
- Replikacja wszystkich zmian katalogów
Czy kontrolery domeny są osiągalne przez program Microsoft Entra Connect? Jeśli serwer Connect nie może nawiązać połączenia ze wszystkimi kontrolerami domeny, skonfiguruj opcję Użyj tylko preferowanego kontrolera domeny.
Wróć do menedżera usług synchronizacji i skonfiguruj partycję katalogu.
Wybierz domenę w Wybierz partycje katalogów, zaznacz pole wyboru Użyj tylko preferowanych kontrolerów domeny, a następnie wybierz Konfiguruj.
Na liście wprowadź kontrolery domeny, których program Connect powinien używać do synchronizacji haseł. Ta sama lista jest również używana do importowania i eksportowania. Wykonaj te kroki dla wszystkich domen.
Uwaga
Aby zastosować te zmiany, uruchom ponownie usługę Microsoft Entra ID Sync (ADSync).
- Jeśli skrypt pokazuje, że nie ma pulsu, uruchom skrypt w Wyzwalaj pełną synchronizację wszystkich haseł.
Jeden obiekt nie synchronizuje haseł: kroki ręcznego rozwiązywania problemów
Możesz łatwo rozwiązywać problemy z synchronizacją skrótów haseł, przeglądając stan obiektu.
W Użytkownicy i komputery usługi Active Directory wyszukaj użytkownika, a następnie sprawdź, czy pole wyboru Użytkownik musi zmienić hasło przy następnym logowaniu.
Jeśli pole wyboru jest zaznaczone, poproś użytkownika o zalogowanie się i zmianę hasła. Hasła tymczasowe nie są synchronizowane z identyfikatorem Entra firmy Microsoft.
Jeśli hasło wygląda poprawnie w usłudze Active Directory, postępuj zgodnie z instrukcjami użytkownika w a aparatu synchronizacji. Postępując zgodnie z instrukcjami użytkownika z lokalnej usługi Active Directory do identyfikatora Entra firmy Microsoft, możesz sprawdzić, czy w obiekcie występuje błąd opisowy.
a. Uruchom program Synchronization Service Manager.
b. Wybierz łączniki .
c. Wybierz łącznik usługi Active Directory, w którym znajduje się użytkownik.
d. Wybierz pozycję Wyszukaj obszar łącznika.
e. W polu Zakres wybierz pozycję DN lub Anchor, a następnie wprowadź pełną nazwę wyróżniającą użytkownika, którego rozwiązujesz.
f. Znajdź szukanego użytkownika, a następnie wybierz pozycję właściwości , aby wyświetlić wszystkie atrybuty. Jeśli użytkownik nie znajduje się w wynikach wyszukiwania, zweryfikuj swoje reguły filtrowania i upewnij się, że uruchomisz polecenie Zastosuj i zweryfikuj zmiany, aby użytkownik pojawił się w Connect.
g. Aby wyświetlić szczegóły synchronizacji haseł obiektu w ciągu ostatniego tygodnia, wybierz pozycję Log.
Jeśli dziennik obiektów jest pusty, program Microsoft Entra Connect nie może odczytać skrótu hasła z usługi Active Directory. Kontynuuj rozwiązywanie problemów z błędami łączności. Jeśli widzisz inną wartość niż powodzenie, zapoznaj się z tabelą w dzienniku synchronizacji haseł.
h. Wybierz kartę pochodzenie i upewnij się, że co najmniej jedna reguła synchronizacji w kolumnie PasswordSync ma wartość True. W konfiguracji domyślnej nazwa reguły synchronizacji to In z usługi AD — User AccountEnabled.
i. Wybierz właściwości obiektu Metaverse, aby wyświetlić listę atrybutów użytkownika.
Sprawdź, czy nie ma atrybutu cloudFiltered. Upewnij się, że atrybuty domeny (domainFQDN i domainNetBios) mają oczekiwane wartości.
j. Wybierz kartę Łączniki. Upewnij się, że widzisz łączniki zarówno do lokalnego Active Directory, jak i Microsoft Entra ID.
k. Wybierz wiersz reprezentujący Microsoft Entra ID, wybierz Właściwości , a następnie wybierz kartę Śledzenie. Obiekt przestrzeni łącznika powinien mieć regułę wyjściową w kolumnie PasswordSync ustawioną na wartość True. W domyślnej konfiguracji nazwa reguły synchronizacji to Out to Microsoft Entra ID — User Join.
Dziennik synchronizacji haseł
Kolumna stanu może mieć następujące wartości:
| Stan | opis |
|---|---|
| Sukces | Hasło zostało pomyślnie zsynchronizowane. |
| FilteredByTarget | Hasło jest ustawione na Wartość Użytkownik musi zmienić hasło przy następnym logowaniu. Hasło nie zostało zsynchronizowane. |
| NoTargetConnection | Brak obiektu w metaverse ani w przestrzeni łącznika Microsoft Entra. |
| SourceConnectorNotPresent | Nie znaleziono obiektu w przestrzeni łącznika lokalna usługa Active Directory. |
| TargetNotExportedToDirectory | Obiekt w przestrzeni łącznika Microsoft Entra nie został jeszcze wyeksportowany. |
| MigratedCheckDetailsForMoreInfo | Wpis dziennika został utworzony przed kompilacją 1.0.9125.0 i jest wyświetlany w jego starszym stanie. |
| Błąd | Usługa zwróciła nieznany błąd. |
| Nieznane | Wystąpił błąd podczas próby przetworzenia partii skrótów haseł. |
| MissingAttribute | Określone atrybuty (na przykład skrót Kerberos) wymagane przez usługi Microsoft Entra Domain Services nie są dostępne. |
| RetryRequestedByTarget | Określone atrybuty (na przykład skrót Kerberos) wymagane przez usługi Microsoft Entra Domain Services nie były wcześniej dostępne. Podjęto próbę ponownego zsynchronizowania skrótu hasła użytkownika. |
Skrypty ułatwiające rozwiązywanie problemów
Pobieranie stanu ustawień synchronizacji haseł
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Wyzwalanie pełnej synchronizacji wszystkich haseł
Uwaga
Uruchom ten skrypt tylko raz. Jeśli musisz uruchomić go więcej niż raz, coś innego jest problemem. Aby rozwiązać ten problem, skontaktuj się z pomocą techniczną firmy Microsoft.
Pełną synchronizację wszystkich haseł można wyzwolić przy użyciu następującego skryptu:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true