Partilhar via


Resolver problemas de sincronização de hash de palavras-passe com o Microsoft Entra Connect Sync

Este tópico indica os passos para resolver problemas com a sincronização do hash de palavras-passe. Se as senhas não estiverem sincronizando conforme o esperado, pode ser para um subconjunto de usuários ou para todos os usuários.

Para a configuração do Microsoft Entra Connect, na versão 1.1.614.0 ou posterior, use a ferramenta de resolução de problemas na interface do assistente para resolver problemas na sincronização do hash das senhas.

Para implantação com a versão 1.1.524.0 ou posterior, há um cmdlet de diagnóstico que você pode usar para solucionar problemas de sincronização de hash de senha:

Para versões mais antigas da implantação do Microsoft Entra Connect:

Nenhuma palavra-passe é sincronizada: para resolver o problema, utilize a tarefa de resolução de problemas

Você pode usar a tarefa de solução de problemas para descobrir por que nenhuma senha é sincronizada.

Nota

A tarefa de solução de problemas está disponível somente para o Microsoft Entra Connect versão 1.1.614.0 ou posterior.

Executar a tarefa de solução de problemas

Para resolver problemas em que nenhuma palavra-passe é sincronizada:

  1. Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .

  2. Executar Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.

  3. Inicie o assistente do Microsoft Entra Connect.

  4. Navegue até a página Tarefas Adicionais, selecione Solucionar problemase selecione Avançar.

  5. Na página Solução de problemas, selecione Iniciar para iniciar o menu de solução de problemas no PowerShell.

  6. No menu principal, selecione Resolver problemas com a sincronização do hash de palavras-passe.

  7. No submenu, selecione A sincronização do hash de palavras-passe não funciona.

Compreender os resultados da tarefa de solução de problemas

A tarefa de solução de problemas executa as seguintes verificações:

  • Valida se o recurso de sincronização de hash de senha está habilitado para seu locatário do Microsoft Entra.

  • Valida que o servidor Microsoft Entra Connect não está no modo de preparação.

  • Para cada conector do Ative Directory local existente (que corresponde a uma floresta existente do Ative Directory):

    • Valida que a função de sincronização do hash de palavras-passe está ativada.

    • Procura eventos de heartbeat de sincronização do hash de palavras-passe nos Registos de eventos da Aplicação Windows.

    • Para cada domínio do Ative Directory sob o conector do Ative Directory local:

      • Valida se o domínio pode ser acessado a partir do servidor Microsoft Entra Connect.

      • Valida que as contas dos Active Directory Domain Services (AD DS) utilizadas pelo conector do Active Directory no local têm os nomes de utilizador e as palavras-passe corretas, bem como as permissões necessárias para a sincronização de hash de palavras-passe.

O diagrama a seguir ilustra os resultados do cmdlet para uma topologia do Ative Directory local de domínio único:

Saída de diagnóstico para a sincronização de hash de palavras-passe

O restante desta seção descreve resultados específicos que são retornados pela tarefa e problemas correspondentes.

O recurso de sincronização de hash de senha não está habilitado

Se você não tiver habilitado a sincronização de hash de senha usando o assistente do Microsoft Entra Connect, o seguinte erro será retornado:

a sincronização do hash de palavras-passe não está ativada

O servidor Microsoft Entra Connect está no modo de preparo

Se o servidor Microsoft Entra Connect estiver no modo de preparação, a sincronização de hash de senha será temporariamente desabilitada e o seguinte erro será retornado:

O servidor Microsoft Entra Connect está no modo de preparo

Sem eventos de heartbeat da sincronização do hash de palavras-passe

Cada conector do Active Directory no local tem o seu próprio canal de sincronização de hash de palavras-passe. Quando o canal de sincronização do hash de palavras-passe está estabelecido e não existem palavras-passe alteradas para sincronizar, é gerado um evento de heartbeat (EventId 654) a cada 30 minutos no Registo de Eventos da Aplicação Windows. Para cada conector do Active Directory local, o cmdlet procura por eventos de pulsação correspondentes nas últimas três horas. Se nenhum evento de pulsação for encontrado, o seguinte erro será retornado:

Sem eventos de heartbeat da sincronização do hash de palavras-passe

A conta do AD DS não tem permissões corretas

Se a conta do AD DS utilizada pelo conector do Active Directory no local para sincronizar os hashes de palavras-passe não tiver as permissões corretas, será apresentado o seguinte erro:

Captura de tela que mostra o erro retornado quando a conta do AD DS tem um nome de usuário ou senha incorretos.

Nome de utilizador ou palavra-passe incorretos da conta AD DS

Se a conta do AD DS utilizada pelo conector do Active Directory no local para sincronizar os hashes de palavras-passe tiver um nome de utilizador ou palavra-passe incorretos, será apresentado o seguinte erro:

Credencial incorreta

Um objeto não está sincronizando senhas: solucionar problemas usando a tarefa de solução de problemas

Você pode usar a tarefa de solução de problemas para determinar por que um objeto não está sincronizando senhas.

Nota

A tarefa de solução de problemas está disponível somente para o Microsoft Entra Connect versão 1.1.614.0 ou posterior.

Execute o cmdlet de diagnóstico

Para solucionar problemas de um objeto de usuário específico:

  1. Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .

  2. Executar Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.

  3. Inicie o assistente do Microsoft Entra Connect.

  4. Navegue até a página Tarefas Adicionais, selecione Solucionar problemase selecione Avançar.

  5. Na página Solução de problemas, selecione Iniciar para iniciar o menu de solução de problemas no PowerShell.

  6. No menu principal, selecione Resolver problemas com a sincronização do hash de palavras-passe.

  7. No submenu, selecione Senha não está sincronizada para uma conta de usuário específica.

Compreender os resultados da tarefa de solução de problemas

A tarefa de solução de problemas executa as seguintes verificações:

  • Examina o estado do objeto do Ative Directory no espaço do conector do Ative Directory, no Metaverso e no espaço do conector do Microsoft Entra.

  • Valida a existência de regras de sincronização com a sincronização do hash de palavras-passe ativada e aplicada ao objeto do Active Directory.

  • Tenta recuperar e exibir os resultados da última tentativa de sincronizar a senha do objeto.

O seguinte diagrama ilustra os resultados do cmdlet durante a resolução de problemas de sincronização do hash de palavras-passe para um único objeto:

Saída de diagnóstico da sincronização do hash de palavras-passe – objeto único

O restante desta seção descreve os resultados específicos retornados pelo cmdlet e os problemas correspondentes.

O objeto do Ative Directory não é exportado para o Microsoft Entra ID

A sincronização de hash de senha para essa conta local do Active Directory falha porque não há nenhum objeto correspondente no arrendatário do Microsoft Entra. O seguinte erro é retornado:

O objeto Microsoft Entra está ausente

O usuário tem uma senha temporária

As versões mais antigas do Microsoft Entra Connect não suportavam a sincronização de palavras-passe temporárias com o Microsoft Entra ID. Uma senha é considerada temporária se a opção Alterar senha no próximo logon estiver definida no usuário do Ative Directory local. O seguinte erro é retornado com estas versões mais antigas:

A palavra-passe temporária não é exportada

Para habilitar sincronizações de senhas temporárias, você deve ter o Microsoft Entra Connect versão 2.0.3.0 ou superior instalado e o recurso ForcePasswordChangeOnLogon deve estar habilitado.

Os resultados da última tentativa de sincronizar a palavra-passe não estão disponíveis

Por padrão, o Microsoft Entra Connect armazena os resultados das tentativas de sincronização de hash de senha por sete dias. Se não houver resultados disponíveis para o objeto selecionado do Ative Directory, o seguinte aviso será retornado:

Saída de diagnóstico para um único objeto - sem histórico de sincronização de senha

Nenhuma palavra-passe é sincronizada: para resolver o problema, utilize o cmdlet de diagnóstico

Você pode usar o Invoke-ADSyncDiagnostics cmdlet para descobrir por que nenhuma senha é sincronizada.

Nota

O Invoke-ADSyncDiagnostics cmdlet está disponível apenas para o Microsoft Entra Connect versão 1.1.524.0 ou posterior.

Execute o cmdlet de diagnóstico

Para resolver problemas em que nenhuma palavra-passe é sincronizada:

  1. Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .

  2. Executar Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.

  3. Execute Import-Module ADSyncDiagnostics.

  4. Execute Invoke-ADSyncDiagnostics -PasswordSync.

Um objeto não está sincronizando senhas: solucionar problemas usando o cmdlet de diagnóstico

Você pode usar o cmdlet Invoke-ADSyncDiagnostics para determinar por que um objeto não está sincronizando senhas.

Nota

O Invoke-ADSyncDiagnostics cmdlet está disponível apenas para o Microsoft Entra Connect versão 1.1.524.0 ou posterior.

Execute o cmdlet de diagnóstico

Para solucionar problemas em que nenhuma senha é sincronizada para um usuário:

  1. Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .

  2. Executar Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.

  3. Execute Import-Module ADSyncDiagnostics.

  4. Execute o seguinte cmdlet:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    Por exemplo:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

Nenhuma palavra-passe é sincronizada: passos de resolução de problemas manual

Siga estas etapas para determinar por que nenhuma senha é sincronizada:

  1. O servidor Connect está no modo de preparação? Um servidor no modo de preparo não sincroniza nenhuma senha.

  2. Execute o script na seção Obter o status das configurações de sincronização de senha. Ele fornece uma visão geral da configuração de sincronização de senha.

    Saída de script do PowerShell das configurações de sincronização de senha

  3. Se o recurso não estiver habilitado no Microsoft Entra ID ou se o status do canal de sincronização não estiver habilitado, execute o assistente de instalação do Connect. Selecione Personalizar opções de sincronização e desmarque a sincronização de senha. Essa alteração desativa temporariamente o recurso. Em seguida, execute o assistente novamente e reative a sincronização de senha. Execute o script novamente para verificar se a configuração está correta.

  4. Procure erros no log de eventos. Procure os seguintes eventos, que indicariam um problema:

    Fonte: "Sincronização de diretórios"
    Identificação: 0, 611, 652, 655

    Se vir estes eventos, tém um problema de conectividade. A mensagem do log de eventos contém informações da floresta onde você tem um problema.

  5. Se você não vir nenhuma pulsação ou se nada mais funcionou, execute Acionar uma sincronização completa de todas as senhas. Execute o script apenas uma vez.

  6. Consulte a seção Solucionar problemas de um objeto que não está sincronizando senhas.

Problemas de conectividade

Você tem conectividade com o Microsoft Entra ID?

A conta tem as permissões necessárias para ler os hashes de palavras-passe em todos os domínios? Se você instalou o Connect usando as configurações Express, as permissões já devem estar corretas.

Se você usou a instalação personalizada, defina as permissões manualmente fazendo o seguinte:

  1. Para localizar a conta usada pelo conector do Ative Directory, inicie o Gerenciador de Serviço de Sincronização.

  2. Vá para Conectores e procure a floresta do Active Directory no local que está a solucionar.

  3. Selecione o conector e, em seguida, selecione Propriedades.

  4. Vá para Conectar-se à Floresta do Active Directory.

    Conta usada pelo conector do Ative Directory
    Observe o nome de usuário e o domínio onde a conta está localizada.

  5. Inicie Utilizadores e Computadores do Active Directory e verifique se a conta encontrada anteriormente tem as seguintes permissões definidas na raiz de todos os domínios na floresta:

    • Replicar Alterações do Diretório
    • Reproduzir Todas as Alterações no Diretório
  6. Os controladores de domínio podem ser acessados pelo Microsoft Entra Connect? Se o servidor Connect não puder se conectar a todos os controladores de domínio, configure Usar somente o controlador de domínio preferencial.

    Controlador de domínio usado pelo conector do Ative Directory

  7. Volte para o Gerenciador do Serviço de Sincronização e configurar a Partição de Diretório.

  8. Selecione o seu domínio em Selecionar partições de diretório, seleccione a caixa de seleção Usar apenas controladores de domínio preferenciais e depois clique em Configurar.

  9. Na lista, insira os controladores de domínio que o Connect deve usar para sincronização de senha. A mesma lista também é usada para importação e exportação. Siga estas etapas para todos os seus domínios.

Nota

Para aplicar essas alterações, reinicie o serviço Microsoft Entra ID Sync (ADSync).

  1. Se o script mostrar que não há pulsação, execute o script no Acionar uma sincronização completa de todas as senhas.

Um objeto não está sincronizando senhas: etapas manuais de solução de problemas

Pode facilmente resolver problemas de sincronização do hash de palavras-passe ao consultar o estado de um objeto.

  1. Em Utilizadores e Computadores do Active Directory, procure o utilizador e verifique se a caixa de seleção O utilizador deve alterar a senha na próxima sessão está desmarcada.

    Senhas produtivas do Ative Directory

    Se a caixa de seleção estiver marcada, peça ao usuário para entrar e alterar a senha. As senhas temporárias não são sincronizadas com o Microsoft Entra ID.

  2. Se a senha parecer correta no Ative Directory, siga o usuário no mecanismo de sincronização. Seguindo o usuário do Ative Directory local para o Microsoft Entra ID, você pode ver se há um erro descritivo no objeto.

    a. Inicie o Gerenciador de Serviço de Sincronização.

    b. Selecione Conectores.

    c. Selecione o Conector do Ative Directory onde o usuário está localizado.

    d. Selecione Pesquisar no Espaço do Conector.

    e. Na caixa Escopo, selecione DN ou Âncora e insira o DN completo do utilizador que está a solucionar.

    Procurar utilizador no espaço do conector com DN

    f. Localize o usuário que você está procurando e selecione Propriedades para ver todos os atributos. Se o utilizador não estiver no resultado da pesquisa, verifique as regras de filtragem e certifique-se de executar Aplicar e verificar as alterações para que o utilizador possa aparecer no Connect.

    g. Para ver os detalhes de sincronização de senha do objeto da semana passada, selecione Log.

    Detalhes do log de objetos

    Se o log de objetos estiver vazio, o Microsoft Entra Connect não conseguiu ler o hash de senha do Ative Directory. Continue a resolução de problemas com erros de conectividade. Se vir qualquer outro valor além de sucesso, consulte a tabela no Log de sincronização de senha.

    h. Selecione o separador origem e verifique se pelo menos uma regra de sincronização na coluna PasswordSync está como Verdadeiro. Na configuração padrão, o nome da regra de sincronização é In from AD - User AccountEnabled.

    Informações de linhagem sobre um usuário

    i. Selecione Propriedades do Objeto Metaverso para exibir uma lista de atributos do usuário.

    Captura de tela que mostra a lista de atributos de usuário para as Propriedades do objeto Metaverso.

    Verifique se não há nenhum atributo cloudFiltered presente. Certifique-se de que os atributos de domínio (domainFQDN e domainNetBios) têm os valores esperados.

    j. Selecione o separador Conectores. Certifique-se de que pode ver conectores tanto para o Active Directory local como para o Microsoft Entra ID.

    Informações sobre o metaverso

    k. Selecione a linha que representa Microsoft Entra ID, selecione Propriedadese, em seguida, selecione a guia Linhagem. O objeto de espaço do conector deve ter uma regra de saída na coluna PasswordSync definida como Verdadeiro. Na configuração padrão, o nome da regra de sincronização é out to Microsoft Entra ID - User Join.

    Caixa de diálogo Propriedades do objeto de espaço do conector

Registo de sincronização de palavras-passe

A coluna de status pode ter os seguintes valores:

Estado Descrição
Com êxito A palavra-passe foi sincronizada com êxito.
FiltradoPorAlvo A palavra-passe está definida como O utilizador tem de alterar a palavra-passe no início de sessão seguinte. A palavra-passe não foi sincronizada.
NoTargetConnection Nenhum objeto no metaverso ou no espaço do conector do Microsoft Entra.
ConetorDeOrigemNãoPresente Nenhum objeto encontrado no espaço do conector do Active Directory no local.
O Alvo Não Foi Exportado Para o Directório O objeto no espaço do conector do Microsoft Entra ainda não foi exportado.
Verifique os Detalhes Migrados Para Mais Informações A entrada de log foi criada antes da compilação 1.0.9125.0 e é mostrada em seu estado herdado.
Erro O serviço retornou um erro desconhecido.
Desconhecido Ocorreu um erro ao tentar processar um lote de hashes de palavras-passe.
Atributo em Falta Atributos específicos (por exemplo, hash Kerberos) exigidos pelos Serviços de Domínio Microsoft Entra não estão disponíveis.
RepetiçãoSolicitadaPeloDestino Atributos específicos (por exemplo, hash Kerberos) exigidos pelos Serviços de Domínio do Microsoft Entra não estavam disponíveis anteriormente. É feita uma tentativa para sincronizar novamente o hash de palavras-passe do utilizador.

Scripts para ajudar na solução de problemas

Obter o status das configurações de sincronização de senha

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Acionar uma sincronização completa de todas as senhas

Nota

Execute este script apenas uma vez. Caso necessite executá-lo mais de uma vez, o problema está em outro lugar. Para solucionar o problema, contate o suporte da Microsoft.

Você pode acionar uma sincronização completa de todas as senhas usando o seguinte script:

  1. Atribuir o valor local de $adConnector do Active Directory

    $adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"

  2. Atribuir o valor $aadConnector ao AzureAD

    $aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"

  3. Instalar o módulo de sincronização do AzureAD

    Import-Module adsync

  4. Criar um novo objeto de parâmetro de configuração Force Full Password Sync

    $c = Get-ADSyncConnector -Name $adConnector

  5. Atualize o conector existente com as novas configurações a seguir. Execute cada linha separadamente

    a. $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null

    b. $p.Value = 1

    c. $c.GlobalParameters.Remove($p.Name)

    d. $c.GlobalParameters.Add($p)

    e. $c = Add-ADSyncConnector -Connector $c

  6. Desativar o Entra ID Connect

    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false

  7. Habilite o Entra ID Connect para forçar a sincronização total de senha

    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Próximos passos