Solucionar problemas de write-back de redefinição de senha de autoatendimento no Microsoft Entra ID
A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra permite que os usuários redefina suas senhas na nuvem. O write-back de senha é um recurso habilitado com o Microsoft Entra Connect ou sincronização na nuvem que permite que as alterações de senha na nuvem sejam gravadas de volta em um diretório local existente em tempo real.
Se você tiver problemas com o write-back SSPR, as seguintes etapas de solução de problemas e erros comuns podem ajudar. Se não conseguir encontrar a resposta para o seu problema, as nossas equipas de suporte estão sempre disponíveis para o ajudar.
Resolver problemas de conectividade
Se você tiver problemas com write-back de senha para o Microsoft Entra Connect, revise as etapas a seguir que podem ajudar a resolver o problema. Para recuperar o serviço, recomendamos que siga estes passos por ordem:
- Confirmar conectividade de rede
- Verifique o TLS 1.2
- Atualizar o Microsoft .NET 4.8
- Reinicie o serviço Microsoft Entra Connect Sync
- Desativar e reativar o recurso de write-back de senha
- Instale a versão mais recente do Microsoft Entra Connect
- Resolver problemas de repetição de escrita de palavras-passe
Confirmar conectividade de rede
O ponto mais comum de falha é que as portas de firewall ou proxy ou os tempos limite ociosos estão configurados incorretamente.
Para o Microsoft Entra Connect versão 1.1.443.0 e superior, o acesso HTTPS de saída é necessário para os seguintes endereços:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Pontos de extremidade do Azure para o governo dos EUA:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Pontos de extremidade do Azure China 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Se precisar de mais granularidade, consulte a lista de Intervalos de IP e Tags de Serviço do Microsoft Azure para Nuvem Pública.
Para o Azure para o Governo dos EUA, consulte a lista de Intervalos de IP e Etiquetas de Serviço do Microsoft Azure para o Azure para a Nuvem do Governo dos EUA.
Esses arquivos são atualizados semanalmente.
Para determinar se o acesso a uma URL e porta é restrito em um ambiente como a nuvem pública do Azure, siga estas etapas:
No servidor Entra connect, abra os logs do visualizador de eventos (logs do Windows, aplicativo) e localize uma destas IDs de evento: 31034 ou 31019.
A partir dessas IDs de Evento, identifique o nome do ouvinte do barramento de serviço:
Execute o seguinte cmdlet:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
Ou execute o seguinte:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
Substitua o <namespace> pelo mesmo que você extraiu das IDs de evento acima. Por exemplo, no caso anterior, o comando é:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Para obter mais informações, consulte os pré-requisitos de conectividade para o Microsoft Entra Connect.
Verifique se o TLS 1.2 está ativado
Uma etapa adicional de solução de problemas é verificar se o TLS 1.2 está habilitado corretamente no Servidor de Sincronização. Execute o Script do PowerShell para verificar o TLS 1.2 no Entra Connect Server. Certifique-se de executar o script no Modo de administração.
Saída do script de verificação que deve se parecer com a imagem a seguir (as colunas de caminho, nome e valor) para ser habilitada corretamente. Caso contrário, execute o Script do PowerShell para habilitar o TLS 1.2 no Entra Connect Server/ Em seguida, reinicie o servidor e execute o script para verificar o TLS 1.2 novamente.
Verifique se o Microsoft .NET Framework 4.8 ou superior está habilitado (Sync Server)
Verifique se o Microsoft .NET Framework 4.8 ou superior está habilitado no Servidor de Sincronização.
- Como verificar se o .NET já está instalado
- Consultar o registro usando o PowerShell
- Baixar .NET framework
Reinicie o serviço Microsoft Entra Connect Sync
Para resolver problemas de conectividade ou outros problemas transitórios com o serviço, conclua as seguintes etapas para reiniciar o serviço Microsoft Entra Connect Sync:
Como administrador no servidor que executa o Microsoft Entra Connect, selecione Iniciar.
Digite services.msc no campo de pesquisa e selecione Enter.
Procure a entrada Azure AD Sync .
Clique com o botão direito do mouse na entrada de serviço, selecione Reiniciar e aguarde a conclusão da operação.
Estas etapas restabelecem sua conexão com o Microsoft Entra ID e devem resolver seus problemas de conectividade.
Se reiniciar o serviço Microsoft Entra Connect Sync não resolver o problema, tente desativar e reativar o recurso de write-back de senha na próxima seção.
Desativar e reativar o recurso de write-back de senha
Para continuar a solucionar problemas, conclua as seguintes etapas para desabilitar e reativar o recurso de write-back de senha:
- Como administrador no servidor que executa o Microsoft Entra Connect, abra o assistente de Configuração do Microsoft Entra Connect.
- Em Conectar ao ID do Microsoft Entra, insira suas credenciais de Administrador Híbrido do Microsoft Entra.
- Em Ligar ao AD DS, introduza as suas credenciais de administrador dos Serviços de Domínio Ative Directory no local.
- Em Identificar exclusivamente seus usuários, selecione o botão Avançar .
- Em Recursos opcionais, desmarque a caixa de seleção Write-back de senha.
- Selecione Avançar nas páginas de diálogo restantes sem alterar nada até chegar à página Pronto para configurar .
- Verifique se a página Pronto para configurar mostra a opção Write-back de senha como desabilitada. Selecione o botão verde Configurar para confirmar as alterações.
- Em Concluído, desmarque a opção Sincronizar agora e selecione Concluir para fechar o assistente.
- Reabra o assistente de Configuração do Microsoft Entra Connect.
- Repita as etapas 2 a 8, desta vez selecionando a opção Write-back de senha na página Recursos opcionais para reativar o serviço.
Estas etapas restabelecem sua conexão com o Microsoft Entra ID e devem resolver seus problemas de conectividade.
Se desativar e reativar o recurso de write-back de senha não resolver o problema, reinstale o Microsoft Entra Connect na próxima seção.
Instale a versão mais recente do Microsoft Entra Connect
A reinstalação do Microsoft Entra Connect pode resolver problemas de configuração e conectividade entre o Microsoft Entra ID e o ambiente local dos Serviços de Domínio Ative Directory. Recomendamos que você execute esta etapa somente depois de tentar as etapas anteriores para verificar e solucionar problemas de conectividade.
Aviso
Se você personalizou as regras de sincronização prontas para uso, faça backup delas antes de prosseguir com a atualização e, em seguida, reimplante-as manualmente depois de terminar.
Transfira a versão mais recente do Microsoft Entra Connect a partir do Centro de Transferências da Microsoft.
Como você já instalou o Microsoft Entra Connect, execute uma atualização in-loco para atualizar sua instalação do Microsoft Entra Connect para a versão mais recente.
Execute o pacote baixado e siga as instruções na tela para atualizar o Microsoft Entra Connect.
Estas etapas devem restabelecer sua conexão com o Microsoft Entra ID e resolver seus problemas de conectividade.
Se a instalação da versão mais recente do servidor Microsoft Entra Connect não resolver o problema, tente desativar e reativar o write-back de senha como uma etapa final após instalar a versão mais recente.
Verifique se o Microsoft Entra Connect tem as permissões necessárias
O Microsoft Entra Connect requer a permissão de Redefinição de senha do AD DS para executar o write-back de senha. Para verificar se o Microsoft Entra Connect tem a permissão necessária para uma determinada conta de usuário do AD DS local, use o recurso Permissão Efetiva do Windows:
Entre no servidor Microsoft Entra Connect e inicie o Gerenciador de Serviço de Sincronização selecionando Iniciar>Serviço de Sincronização.
Na guia Conectores, selecione o conector local dos Serviços de Domínio Ative Directory e selecione Propriedades.
Na janela pop-up, selecione Conectar à Floresta do Ative Directory e anote a propriedade Nome de usuário . Esta propriedade é a conta do AD DS usada pelo Microsoft Entra Connect para executar a sincronização de diretórios.
Para que o Microsoft Entra Connect execute write-back de senha, a conta do AD DS deve ter permissão de redefinição de senha. Verifique as permissões nesta conta de usuário nas etapas a seguir.
Entre em um controlador de domínio local e inicie o aplicativo Usuários e Computadores do Ative Directory.
Selecione Exibir e verifique se a opção Recursos avançados está ativada.
Procure a conta de utilizador do AD DS que pretende verificar. Clique com o botão direito do mouse no nome da conta e selecione Propriedades.
Na janela pop-up, vá para a guia Segurança e selecione Avançado.
Na janela pop-up Configurações avançadas de segurança para administrador, vá para a guia Acesso efetivo.
Escolha Selecionar um usuário, selecione a conta do AD DS usada pelo Microsoft Entra Connect e selecione Exibir acesso efetivo.
Desloque-se para baixo e procure Repor palavra-passe. Se a entrada tiver uma marca de seleção, a conta do AD DS terá permissão para redefinir a senha da conta de usuário do Ative Directory selecionada.
Erros comuns de write-back de senha
Os seguintes problemas mais específicos podem ocorrer com write-back de senha. Se você tiver um desses erros, revise a solução proposta e verifique se o write-back de senha funciona corretamente.
Erro | Solução |
---|---|
O serviço de redefinição de senha não é iniciado localmente. O erro 6800 aparece no log de eventos do aplicativo da máquina Microsoft Entra Connect. Após a integração, os usuários federados, de autenticação de passagem ou sincronizados com hash de senha não podem redefinir suas senhas. |
Quando o write-back de senha está habilitado, o mecanismo de sincronização chama a biblioteca de write-back para executar a configuração (integração) comunicando-se com o serviço de integração na nuvem. Quaisquer erros encontrados durante a integração ou ao iniciar o ponto de extremidade do Windows Communication Foundation (WCF) para write-back de senha resultam em erros no log de eventos, em sua máquina Microsoft Entra Connect. Durante a reinicialização do serviço Azure AD Sync (ADSync), se o write-back foi configurado, o ponto de extremidade WCF é iniciado. Mas, se a inicialização do ponto de extremidade falhar, registramos o evento 6800 e deixamos o serviço de sincronização iniciar. A presença desse evento significa que o ponto de extremidade de write-back de senha não foi iniciado. Os detalhes do log de eventos para este evento 6800, juntamente com as entradas do log de eventos geradas pelo componente PasswordResetService, indicam por que você não pode iniciar o ponto de extremidade. Revise esses erros de log de eventos e tente reiniciar o Microsoft Entra Connect se o write-back de senha ainda não estiver funcionando. Se o problema persistir, tente desativar e reativar o write-back de senha. |
Quando um usuário tenta redefinir uma senha ou desbloquear uma conta com write-back de senha habilitado, a operação falha. Além disso, você verá um evento no log de eventos do Microsoft Entra Connect que contém: "O mecanismo de sincronização retornou um erro hr=800700CE, message=O nome do arquivo ou a extensão é muito longa" após a operação de desbloqueio. |
Localize a conta do Ative Directory para o Microsoft Entra Connect e redefina a senha para que ela não contenha mais de 256 caracteres. Em seguida, abra o Serviço de Sincronização no menu Iniciar . Navegue até Conectores e localize o Conector do Ative Directory. Selecione-o e, em seguida, selecione Propriedades. Navegue até a página Credenciais e digite a nova senha. Selecione OK para fechar a página. |
Na última etapa do processo de instalação do Microsoft Entra Connect, você verá um erro indicando que o write-back de senha não pôde ser configurado. O log de eventos do aplicativo Microsoft Entra Connect contém o erro 32009 com o texto "Erro ao obter token de autenticação". |
Este erro ocorre nos dois casos seguintes:
|
O log de eventos da máquina Microsoft Entra Connect contém o erro 32002 que é gerado pela execução de PasswordResetService. O erro diz: "Erro ao conectar-se ao ServiceBus. O provedor de token não conseguiu fornecer um token de segurança." |
Seu ambiente local não é capaz de se conectar ao ponto de extremidade do Barramento de Serviço do Azure na nuvem. Este erro é normalmente causado por uma regra de firewall que bloqueia uma ligação de saída a uma porta ou endereço Web específico. Consulte Pré-requisitos de conectividade para obter mais informações. Depois de atualizar essas regras, reinicie o servidor Microsoft Entra Connect e o write-back de senha deve começar a funcionar novamente. |
Depois de trabalhar por algum tempo, os usuários federados, de autenticação de passagem ou sincronizados com hash de senha não podem redefinir suas senhas. | Em alguns casos raros, o serviço de write-back de senha pode falhar ao reiniciar quando o Microsoft Entra Connect for reiniciado. Nesses casos, primeiro verifique se o write-back de senha está habilitado no local. Você pode verificar usando o assistente do Microsoft Entra Connect ou o PowerShell. Se o recurso parecer estar ativado, tente ativá-lo ou desativá-lo novamente. Se esta etapa de solução de problemas não funcionar, tente uma desinstalação completa e reinstalação do Microsoft Entra Connect. |
Os usuários federados, de autenticação de passagem ou sincronizados com hash de senha que tentam redefinir suas senhas veem um erro depois de tentar enviar sua senha. O erro indica que houve um problema de serviço. Além desse problema, durante as operações de redefinição de senha, você pode ver um erro informando que o agente de gerenciamento teve acesso negado em seus logs de eventos locais. |
Se você vir esses erros no log de eventos, confirme se a conta do Agente de Gerenciamento do Ative Directory (ADMA) especificada no assistente no momento da configuração tem as permissões necessárias para write-back de senha. Depois que essa permissão é dada, pode levar até uma hora para que as permissões cheguem através da sdprop tarefa em segundo plano no controlador de domínio (DC). Para que a redefinição de senha funcione, a permissão precisa ser carimbada no descritor de segurança do objeto de usuário cuja senha está sendo redefinida. Até que essa permissão apareça no objeto de usuário, a redefinição de senha continuará a falhar com uma mensagem de acesso negado. |
Os usuários federados, de autenticação de passagem ou sincronizados com hash de senha que tentam redefinir suas senhas, veem um erro depois de enviarem sua senha. O erro indica que houve um problema de serviço. Além desse problema, durante as operações de redefinição de senha, você pode ver um erro em seus logs de eventos do serviço Microsoft Entra Connect indicando um erro "Não foi possível encontrar o objeto". |
Esse erro geralmente indica que o mecanismo de sincronização não consegue encontrar o objeto de usuário no espaço do conector do Microsoft Entra ou no metaverso vinculado (MV) ou no objeto de espaço do conector do Microsoft Entra. Para solucionar esse problema, certifique-se de que o usuário está realmente sincronizado do local para o Microsoft Entra ID por meio da instância atual do Microsoft Entra Connect e inspecione o estado dos objetos nos espaços de conector e MV. Confirme se o objeto dos Serviços de Certificados do Ative Directory (AD CS) está conectado ao objeto MV por meio da regra "Microsoft.InfromADUserAccountEnabled.xxx". |
Os usuários federados, de autenticação de passagem ou sincronizados com hash de senha que tentam redefinir suas senhas veem um erro depois de enviarem sua senha. O erro indica que houve um problema de serviço. Além desse problema, durante as operações de redefinição de senha, você pode ver um erro em seus logs de eventos do serviço Microsoft Entra Connect que indica que há um erro "Várias correspondências encontradas". |
Isso indica que o mecanismo de sincronização detetou que o objeto MV está conectado a mais de um objeto AD CS por meio de "Microsoft.InfromADUserAccountEnabled.xxx". Isso significa que o usuário tem uma conta habilitada em mais de uma floresta. Este cenário não é suportado para write-back de senha. |
As operações de senha falham com um erro de configuração. O log de eventos do aplicativo contém o erro 6329 do Microsoft Entra Connect com o texto "0x8023061f (A operação falhou porque a sincronização de senha não está habilitada neste Agente de Gerenciamento)". | Este erro ocorre se a configuração do Microsoft Entra Connect for alterada para adicionar uma nova floresta do Ative Directory (ou para remover e ler uma floresta existente) depois que o recurso de write-back de senha já tiver sido habilitado. As operações de senha para usuários nessas florestas adicionadas recentemente falham. Para corrigir o problema, desative e reative o recurso de write-back de senha após a conclusão das alterações na configuração da floresta. |
SSPR_0029: Não é possível redefinir sua senha devido a um erro na configuração local. Entre em contato com seu administrador e peça-lhe para investigar. | Problema: O write-back de senha foi habilitado seguindo todas as etapas necessárias, mas ao tentar alterar uma senha, você recebe "SSPR_0029: sua organização não configurou corretamente a configuração local para redefinição de senha". A verificação dos logs de eventos no sistema Microsoft Entra Connect mostra que o acesso foi negado à credencial do agente de gerenciamento. Solução possível: Use RSOP no sistema Microsoft Entra Connect e seus controladores de domínio para ver se a política "Acesso à rede: Restringir clientes autorizados a fazer chamadas remotas para SAM" encontrada em Configuração do > Computador, Configurações > do Windows, Configurações de Segurança, Políticas > Locais > , Opções de Segurança está habilitada. Edite a política para incluir a conta de gerenciamento de MSOL_XXXXXXX como um usuário permitido. Para obter mais informações, consulte Solucionar problemas de SSPR_0029 de erro: sua organização não configurou corretamente a configuração local para redefinição de senha. |
Códigos de erro do registo de eventos da repetição de escrita de palavras-passe
Uma prática recomendada ao solucionar problemas com write-back de senha é inspecionar o log de eventos do aplicativo em sua máquina Microsoft Entra Connect. Este log de eventos contém eventos de duas fontes para write-back de senha. A fonte PasswordResetService descreve operações e problemas relacionados à operação de write-back de senha. A origem ADSync descreve operações e problemas relacionados à configuração de senhas em seu ambiente de Serviços de Domínio Ative Directory.
Se a origem do evento for ADSync
Código | Nome ou mensagem | Description |
---|---|---|
6329 | FIANÇA: MMS(4924) 0x80230619: "Uma restrição impede que a senha seja alterada para a atual especificada." | Esse evento ocorre quando o serviço de write-back de senha tenta definir uma senha no diretório local que não atende aos requisitos de idade, histórico, complexidade ou filtragem da senha do domínio. Esse evento também pode ocorrer se uma senha não puder ser alterada para um usuário. Se tiver uma idade mínima da palavra-passe e tiver alterado recentemente a palavra-passe dentro dessa janela de tempo, não poderá alterá-la novamente até que atinja a idade especificada no seu domínio. Para efeitos de testes, a idade mínima deve ser fixada em 0. Se você tiver os requisitos de histórico de senha habilitados, deverá selecionar uma senha que não tenha sido usada nas últimas N vezes, onde N é a configuração do histórico de senhas. Se você selecionar uma senha que foi usada nas últimas N vezes, verá uma falha neste caso. Para fins de teste, o histórico de senhas deve ser definido como 0. Se você tiver requisitos de complexidade de senha, todos eles serão aplicados quando o usuário tentar alterar ou redefinir uma senha. Se você tiver filtros de senha habilitados e um usuário selecionar uma senha que não atenda aos critérios de filtragem, a operação de redefinição ou alteração falhará. Se o usuário tiver o sinalizador de propriedade PASSWD_CANT_CHANGE definido, sua senha não poderá ser sincronizada. Para fins de teste, remova o sinalizador de propriedade PASSWD_CANT_CHANGE. Para obter mais informações, consulte Descrições do sinalizador de propriedade. |
6329 | MMS(3040): admaexport.cpp(2837): O servidor não contém o controle de política de senha LDAP. | Esse problema ocorre se LDAP_SERVER_POLICY_HINTS_OID controle (1.2.840.113556.1.4.2066) não estiver habilitado nos DCs. Para usar o recurso de write-back de senha, você deve habilitar o controle. Para fazer isso, os DCs devem estar no Windows Server 2016 ou posterior. |
RH 8023042 | O Mecanismo de Sincronização retornou um erro hr=80230402, message=Uma tentativa de obter um objeto falhou porque há entradas duplicadas com a mesma âncora. | Este erro ocorre quando o mesmo ID de utilizador está ativado em vários domínios. Um exemplo é se você estiver sincronizando florestas de contas e recursos e tiver o mesmo ID de usuário presente e habilitado em cada floresta. Esse erro também pode ocorrer se você usar um atributo de âncora não exclusivo, como um alias ou UPN, e dois usuários compartilharem esse mesmo atributo de âncora. Para resolver esse problema, certifique-se de que você não tem nenhum usuário duplicado em seus domínios e que você usa um atributo de âncora exclusivo para cada usuário. |
Se a origem do evento for PasswordResetService
Código | Nome ou mensagem | Description |
---|---|---|
31001 | PasswordResetStart | Esse evento indica que o serviço local detetou uma solicitação de redefinição de senha para um usuário federado, autenticação de passagem ou sincronização de hash de senha originada da nuvem. Esse evento é o primeiro evento em cada operação de write-back de redefinição de senha. |
31002 | PasswordResetSuccess | Esse evento indica que um usuário selecionou uma nova senha durante uma operação de redefinição de senha. Determinamos que essa senha atende aos requisitos de senha corporativa. A senha foi gravada com êxito no ambiente local do Ative Directory. |
31003 | PasswordResetFail | Esse evento indica que um usuário selecionou uma senha e a senha chegou com êxito ao ambiente local. Mas quando tentamos definir a senha no ambiente local do Ative Directory, ocorreu uma falha. Esta falha pode acontecer por várias razões:
|
31004 | IntegraçãoEventoInício | Esse evento ocorre se você habilitar o write-back de senha com o Microsoft Entra Connect e começarmos a integrar sua organização ao serviço Web de write-back de senha. |
31005 | IntegraçãoEventoSucesso | Esse evento indica que o processo de integração foi bem-sucedido e que o recurso de write-back de senha está pronto para uso. |
31006 | ChangePasswordStart | Esse evento indica que o serviço local detetou uma solicitação de alteração de senha para um usuário federado, autenticação de passagem ou sincronização com hash de senha originado da nuvem. Esse evento é o primeiro evento em cada operação de write-back de alteração de senha. |
31007 | ChangePasswordSuccess | Esse evento indica que um usuário selecionou uma nova senha durante uma operação de alteração de senha, determinamos que a senha atende aos requisitos de senha corporativa e que a senha foi gravada com êxito no ambiente local do Ative Directory. |
31008 | ChangePasswordFail | Esse evento indica que um usuário selecionou uma senha e que a senha chegou com êxito ao ambiente local, mas quando tentamos definir a senha no ambiente local do Ative Directory, ocorreu uma falha. Esta falha pode acontecer por várias razões:
|
31009 | ResetUserPasswordByAdminStart | O serviço local detetou uma solicitação de redefinição de senha para um usuário federado, autenticação de passagem ou sincronização de hash de senha originada do administrador em nome de um usuário. Esse evento é o primeiro evento em cada operação de write-back de redefinição de senha iniciada por um administrador. |
31010 | ResetUserPasswordByAdminSuccess | O administrador selecionou uma nova senha durante uma operação de redefinição de senha iniciada pelo administrador. Determinamos que essa senha atende aos requisitos de senha corporativa. A senha foi gravada com êxito no ambiente local do Ative Directory. |
31011 | ResetUserPasswordByAdminFail | O administrador selecionou uma senha em nome de um usuário. A senha chegou com êxito ao ambiente local. Mas quando tentamos definir a senha no ambiente local do Ative Directory, ocorreu uma falha. Esta falha pode acontecer por várias razões:
|
31012 | OffboardingEventStart | Esse evento ocorre se você desabilitar o write-back de senha com o Microsoft Entra Connect e indicar que começamos a desintegrar sua organização para o serviço Web de write-back de senha. |
31013 | OffboardingEventoSucesso | Esse evento indica que o processo de desembarque foi bem-sucedido e que o recurso de write-back de senha foi desativado com êxito. |
31014 | OffboardingEventFail | Esse evento indica que o processo de desembarque não foi bem-sucedido. Isso pode ser devido a um erro de permissões na nuvem ou na conta de administrador local especificada durante a configuração. O erro também pode ocorrer se você estiver tentando usar um Administrador Híbrido de nuvem federada ao desabilitar o write-back de senha. Para corrigir esse problema, verifique suas permissões administrativas e verifique se você não está usando uma conta federada ao configurar o recurso de write-back de senha. |
31015 | WriteBackServiceStarted | Esse evento indica que o serviço de write-back de senha foi iniciado com êxito. Ele está pronto para aceitar solicitações de gerenciamento de senhas da nuvem. |
31016 | WriteBackServiceStopped | Esse evento indica que o serviço de write-back de senha foi interrompido. Quaisquer solicitações de gerenciamento de senhas da nuvem não serão bem-sucedidas. |
31017 | AuthTokenSuccess | Esse evento indica que recuperamos com êxito um token de autorização para o Administrador Híbrido especificado durante a instalação do Microsoft Entra Connect para iniciar o processo de desembarque ou integração. |
31018 | KeyPairCriaçãoSucesso | Esse evento indica que criamos com êxito a chave de criptografia de senha. Essa chave é usada para criptografar senhas da nuvem a serem enviadas para seu ambiente local. |
31019 | ServiceBusHeartBeat | Esse evento indica que enviamos com êxito uma solicitação para a instância do Service Bus do seu locatário. |
31034 | ServiceBusListenerError | Esse evento indica que houve um erro ao se conectar ao ouvinte do Service Bus do seu locatário. Se a mensagem de erro incluir "O certificado remoto é inválido", verifique se o servidor Microsoft Entra Connect tem todas as CAs raiz necessárias, conforme descrito nas alterações de certificado TLS do Azure. |
31044 | PasswordResetService | Esse evento indica que o write-back de senha não está funcionando. O Service Bus escuta solicitações em dois relés separados para redundância. Cada conexão de retransmissão é gerenciada por um host de serviço exclusivo. O cliente de write-back retornará um erro se um dos Host de Serviço não estiver em execução. |
32000 | UnknownError | Esse evento indica que ocorreu um erro desconhecido durante uma operação de gerenciamento de senha. Observe o texto da exceção no evento para obter mais detalhes. Se estiver a ter problemas, tente desativar e, em seguida, reativar o write-back da palavra-passe. Se isso não ajudar, inclua uma cópia do seu log de eventos junto com o ID de acompanhamento especificado quando você abrir uma solicitação de suporte. |
32001 | Erro de serviço | Esse evento indica que houve um erro ao se conectar ao serviço de redefinição de senha na nuvem. Esse erro geralmente ocorre quando o serviço local não pôde se conectar ao serviço Web de redefinição de senha. |
32002 | ServiceBusError | Esse evento indica que houve um erro ao se conectar à instância do Service Bus do seu locatário. Isso pode acontecer se você estiver bloqueando conexões de saída em seu ambiente local. Verifique a firewall para se certificar de que permite ligações através de TCP 443 e para https://ssprdedicatedsbprodncu.servicebus.windows.neto , e tente novamente. Se continuar a ter problemas, tente desativar e, em seguida, reativar o write-back de palavra-passe. |
32003 | InPutValidationError | Esse evento indica que a entrada passada para nossa API de serviço Web era inválida. repita a operação. |
32004 | DecryptionError | Esse evento indica que houve um erro ao descriptografar a senha que chegou da nuvem. Isso pode ser devido a uma incompatibilidade de chave de descriptografia entre o serviço de nuvem e seu ambiente local. Para resolver esse problema, desative e reative o write-back de senha em seu ambiente local. |
32005 | ConfigurationError | Durante a integração, salvamos informações específicas do locatário em um arquivo de configuração em seu ambiente local. Esse evento indica que houve um erro ao salvar esse arquivo ou que, quando o serviço foi iniciado, houve um erro ao ler o arquivo. Para corrigir esse problema, tente desativar e reativar o write-back de senha para forçar uma regravação do arquivo de configuração. |
32007 | OnBoardingConfigUpdateError | Durante a integração, enviamos dados da nuvem para o serviço de redefinição de senha local. Esses dados são gravados em um arquivo na memória antes de serem enviados ao serviço de sincronização para serem armazenados com segurança no disco. Esse evento indica que há um problema com a gravação ou atualização desses dados na memória. Para corrigir esse problema, tente desativar e reativar o write-back de senha para forçar uma regravação desse arquivo de configuração. |
32008 | Erro de validação | Esse evento indica que recebemos uma resposta inválida do serviço Web de redefinição de senha. Para corrigir esse problema, tente desativar e reativar o write-back de senha. |
32009 | AuthTokenError | Esse evento indica que não foi possível obter um token de autorização para a conta de Administrador Híbrido especificada durante a instalação do Microsoft Entra Connect. Este erro pode ser causado por um nome de usuário ou senha incorretos especificados para a conta de Administrador Híbrido. Este erro também pode ocorrer se a conta de Administrador Híbrido especificada for federada. Para corrigir esse problema, execute novamente a configuração com o nome de usuário e senha corretos e verifique se o administrador é uma conta gerenciada (somente na nuvem ou sincronizada com senha). |
32010 | CryptoError | Esse evento indica que houve um erro ao gerar a chave de criptografia de senha ou descriptografar uma senha que chega do serviço de nuvem. Esse erro provavelmente indica um problema com seu ambiente. Consulte os detalhes do seu registo de eventos para saber mais sobre como resolver este problema. Você também pode tentar desativar e, em seguida, reativar o serviço de write-back de senha. |
32011 | OnBoardingServiceError | Esse evento indica que o serviço local não pôde se comunicar corretamente com o serviço Web de redefinição de senha para iniciar o processo de integração. Isso pode acontecer como resultado de uma regra de firewall ou se houver um problema ao obter um token de autenticação para seu locatário. Para corrigir este problema, certifique-se de que não está a bloquear ligações de saída através de TCP 443 e TCP 9350-9354 ou para https://ssprdedicatedsbprodncu.servicebus.windows.net. Certifique-se também de que a conta de administrador do Microsoft Entra que está a utilizar para integrar não está federada. |
32013 | OffBoardingErro | Esse evento indica que o serviço local não pôde se comunicar corretamente com o serviço Web de redefinição de senha para iniciar o processo de desintegração. Isso pode acontecer como resultado de uma regra de firewall ou se houver um problema ao obter um token de autorização para seu locatário. Para corrigir este problema, certifique-se de que não está a bloquear ligações de saída com mais de 443 ou para https://ssprdedicatedsbprodncu.servicebus.windows.neto , e que a conta de administrador do Microsoft Entra que está a utilizar para desligar não está federada. |
32014 | ServiceBusWarning | Esse evento indica que tivemos que tentar novamente nos conectar à instância do Service Bus do seu locatário. Em condições normais, isso não deve ser uma preocupação, mas se você vir esse evento muitas vezes, considere verificar sua conexão de rede com o Service Bus, especialmente se for uma conexão de alta latência ou baixa largura de banda. |
32015 | ReportServiceHealthError | Para monitorar a integridade do seu serviço de write-back de senha, enviamos dados de pulsação para nosso serviço Web de redefinição de senha a cada cinco minutos. Esse evento indica que houve um erro ao enviar essas informações de integridade de volta para o serviço Web em nuvem. Estas informações de saúde não incluem quaisquer dados pessoais e são puramente um pulso e estatísticas básicas de serviço para que possamos fornecer informações sobre o estado do serviço na nuvem. |
33001 | ADUnKnownError | Esse evento indica que houve um erro desconhecido retornado pelo Ative Directory. Verifique o log de eventos do servidor Microsoft Entra Connect para eventos da fonte ADSync para obter mais informações. |
33002 | ADUserNotFoundError | Esse evento indica que o usuário que está tentando redefinir ou alterar uma senha não foi encontrado no diretório local. Este erro pode ocorrer quando o usuário foi excluído localmente, mas não na nuvem. Este erro também pode ocorrer se houver um problema com a sincronização. Verifique os logs de sincronização e os últimos detalhes da execução de sincronização para obter mais informações. |
33003 | ADMutliMatchError | Quando uma solicitação de redefinição ou alteração de senha é originada da nuvem, usamos a âncora de nuvem especificada durante o processo de configuração do Microsoft Entra Connect para determinar como vincular essa solicitação de volta a um usuário em seu ambiente local. Esse evento indica que encontramos dois usuários em seu diretório local com o mesmo atributo de âncora de nuvem. Verifique os logs de sincronização e os últimos detalhes da execução de sincronização para obter mais informações. |
33004 | ADPermissionsError | Esse evento indica que a conta de serviço do Agente de Gerenciamento do Ative Directory (ADMA) não tem as permissões apropriadas na conta em questão para definir uma nova senha. Verifique se a conta ADMA na floresta do usuário tem permissões de redefinição de senha em todos os objetos na floresta. Para obter mais informações sobre como definir as permissões, consulte Etapa 4: configurar as permissões apropriadas do Ative Directory. Esse erro também pode ocorrer quando o atributo AdminCount do usuário está definido como 1. |
33005 | ADUserAccountDisabled | Esse evento indica que tentamos redefinir ou alterar uma senha para uma conta que foi desativada localmente. Habilite a conta e tente a operação novamente. |
33006 | ADUserAccountLockedOut | Esse evento indica que tentamos redefinir ou alterar uma senha para uma conta que foi bloqueada localmente. Os bloqueios podem ocorrer quando um usuário tentou uma operação de alteração ou redefinição de senha muitas vezes em um curto período. Desbloqueie a conta e tente a operação novamente. |
33007 | ADUserIncorrectPassword | Esse evento indica que o usuário especificou uma senha atual incorreta ao executar uma operação de alteração de senha. Especifique a senha atual correta e tente novamente. |
33008 | ADPasswordPolicyError | Esse evento ocorre quando o serviço de write-back de senha tenta definir uma senha no diretório local que não atende aos requisitos de idade, histórico, complexidade ou filtragem da senha do domínio. Se tiver uma idade mínima da palavra-passe e tiver alterado recentemente a palavra-passe dentro dessa janela de tempo, não poderá alterá-la novamente até que atinja a idade especificada no seu domínio. Para efeitos de testes, a idade mínima deve ser fixada em 0. Se você tiver os requisitos de histórico de senha habilitados, deverá selecionar uma senha que não tenha sido usada nas últimas N vezes, onde N é a configuração do histórico de senhas. Se você selecionar uma senha que foi usada nas últimas N vezes, verá uma falha neste caso. Para fins de teste, o histórico de senhas deve ser definido como 0. Se você tiver requisitos de complexidade de senha, todos eles serão aplicados quando o usuário tentar alterar ou redefinir uma senha. Se você tiver filtros de senha habilitados e um usuário selecionar uma senha que não atenda aos critérios de filtragem, a operação de redefinição ou alteração falhará. |
33009 | ADConfigurationError | Esse evento indica que houve um problema ao gravar uma senha de volta no diretório local devido a um problema de configuração com o Ative Directory. Verifique o log de eventos do aplicativo da máquina Microsoft Entra Connect para mensagens do serviço ADSync para obter mais informações sobre qual erro ocorreu. |
Caracteres da unidade organizacional reservados do write-back de senha
A tabela a seguir lista caracteres reservados que impedem o write-back de senha. Se esses caracteres aparecerem na estrutura da unidade organizacional (UO) local, o write-back de senha poderá falhar com a ID de evento 33001.
Caráter reservado | Description | Valor hexadecimal |
---|---|---|
espaço ou caractere # no início de uma cadeia de caracteres | ||
caractere de espaço no final de uma cadeia de caracteres | ||
, | vírgula | 0x2C |
+ | sinal de mais | 0x2B |
" | aspas | 0x22 |
\ | barra invertida | 0x5C |
< | colchete angular esquerdo | 0x3C |
> | colchete angular reto | 0x3E |
; | ponto e vírgula | 0x3B |
LF | alimentação de linha | 0x0A |
CR | Retorno de carro | 0x0D |
= | sinal de igual | 0x3D |
/ | barra para a frente | 0x2F |
Fóruns do Microsoft Entra
Se você tiver dúvidas gerais sobre o Microsoft Entra ID e a redefinição de senha de autoatendimento, peça ajuda à comunidade na página de perguntas e respostas da Microsoft para o Microsoft Entra ID. Os membros da comunidade incluem engenheiros, gerentes de produto, MVPs e colegas profissionais de TI.
Contacte o Suporte da Microsoft
Se não conseguir encontrar a resposta para um problema, as nossas equipas de suporte estão sempre disponíveis para o ajudar.
Para ajudá-lo adequadamente, pedimos que forneça o máximo de detalhes possível ao abrir um caso. Esses detalhes incluem o seguinte:
- Descrição geral do erro: Qual é o erro? Qual foi o comportamento que foi notado? Como reproduzir o erro? Indique o máximo de detalhes possível.
- Página: Em que página você estava quando percebeu o erro? Inclua o URL, se possível, e uma captura de tela da página.
- Código de suporte: Qual foi o código de suporte que foi gerado quando o usuário viu o erro?
Para encontrar esse código, reproduza o erro e, em seguida, selecione o link Código de suporte na parte inferior da tela e envie ao engenheiro de suporte o GUID resultante.
Se você estiver em uma página sem um código de suporte na parte inferior, selecione F12 e procure o SID e o CID e envie esses dois resultados para o engenheiro de suporte.
- Data, hora e fuso horário: inclua a data e a hora precisas com o fuso horário em que o erro ocorreu.
- ID de usuário: quem foi o usuário que viu o erro? Um exemplo é user@contoso.com.
- Trata-se de um utilizador federado?
- Este é um usuário de autenticação de passagem?
- Este é um usuário sincronizado com hash de senha?
- Trata-se de um utilizador apenas na nuvem?
- Licenciamento: O usuário tem uma licença do Microsoft Entra ID atribuída?
- Log de eventos do aplicativo: se você estiver usando write-back de senha e o erro estiver em sua infraestrutura local, inclua uma cópia compactada do log de eventos do aplicativo do servidor Microsoft Entra Connect.
Próximos passos
Para saber mais sobre SSPR, consulte Como funciona: redefinição de senha de autoatendimento do Microsoft Entra ou Como funciona o write-back de redefinição de senha de autoatendimento no Microsoft Entra ID?.