Dela via


Felsöka synkronisering av lösenordshash med Microsoft Entra ID Connect-synkronisering

Det här avsnittet innehåller steg för hur du felsöker problem med synkronisering av lösenordshash. Om lösenord inte synkroniseras som förväntat kan det antingen vara för en delmängd användare eller för alla användare.

För Microsoft Entra Connect-distribution med version 1.1.614.0 eller senare använder du felsökningsuppgiften i guiden för att felsöka problem med synkronisering av lösenordshash:

För distribution med version 1.1.524.0 eller senare finns det en diagnostisk cmdlet som du kan använda för att felsöka problem med synkronisering av lösenordshash:

För äldre versioner av Microsoft Entra Connect-distribution:

Inga lösenord synkroniseras: felsök med hjälp av felsökningsuppgiften

Du kan använda felsökningsaktiviteten för att ta reda på varför inga lösenord synkroniseras.

Kommentar

Felsökningsaktiviteten är endast tillgänglig för Microsoft Entra Connect version 1.1.614.0 eller senare.

Kör felsökningsuppgiften

Så här felsöker du problem där inga lösenord synkroniseras:

  1. Öppna en ny Windows PowerShell-session på Microsoft Entra Connect-servern med alternativet Kör som administratör .

  2. Kör Set-ExecutionPolicy RemoteSigned eller Set-ExecutionPolicy Unrestricted.

  3. Starta guiden Microsoft Entra Connect.

  4. Gå till sidan Ytterligare uppgifter , välj Felsök och klicka på Nästa.

  5. På sidan Felsökning klickar du på Starta för att starta felsökningsmenyn i PowerShell.

  6. I huvudmenyn väljer du Felsöka synkronisering av lösenordshash.

  7. I undermenyn väljer du Synkronisering av lösenordshash fungerar inte alls.

Förstå resultatet av felsökningsaktiviteten

Felsökningsaktiviteten utför följande kontroller:

  • Verifierar att synkroniseringsfunktionen för lösenordshash är aktiverad för din Microsoft Entra-klientorganisation.

  • Verifierar att Microsoft Entra Connect-servern inte är i mellanlagringsläge.

  • För varje befintlig lokal Active Directory anslutningsprogram (vilket motsvarar en befintlig Active Directory-skog):

    • Verifierar att synkroniseringsfunktionen för lösenordshash är aktiverad.

    • Söker efter pulsslagshändelser för lösenordshashsynkronisering i Händelseloggarna för Windows-program.

    • För varje Active Directory-domän under lokal Active Directory-anslutningsappen:

      • Verifierar att domänen kan nås från Microsoft Entra Connect-servern.

      • Verifierar att de Active Directory-domän Services-konton (AD DS) som används av lokal Active Directory-anslutningsappen har rätt användarnamn, lösenord och behörigheter som krävs för synkronisering av lösenordshash.

Följande diagram illustrerar resultatet av cmdleten för en endomän, lokal Active Directory topologi:

Diagnostikutdata för synkronisering av lösenordshash

Resten av det här avsnittet beskriver specifika resultat som returneras av uppgiften och motsvarande problem.

Synkroniseringsfunktionen för lösenordshash är inte aktiverad

Om du inte har aktiverat synkronisering av lösenordshash med hjälp av Microsoft Entra Connect-guiden returneras följande fel:

synkronisering av lösenordshash är inte aktiverat

Microsoft Entra Connect-servern är i mellanlagringsläge

Om Microsoft Entra Connect-servern är i mellanlagringsläge inaktiveras synkronisering av lösenordshash tillfälligt och följande fel returneras:

Microsoft Entra Connect-servern är i mellanlagringsläge

Inga pulsslagshändelser för synkronisering av lösenordshash

Varje lokal Active Directory-anslutningsprogram har en egen synkroniseringskanal för lösenordshash. När synkroniseringskanalen för lösenordshash upprättas och inga lösenordsändringar ska synkroniseras genereras en pulsslagshändelse (EventId 654) en gång var 30:e minut under Händelseloggen för Windows-program. För varje lokal Active Directory anslutningsapp söker cmdleten efter motsvarande pulsslagshändelser under de senaste tre timmarna. Om ingen pulsslagshändelse hittas returneras följande fel:

Ingen hjärtslagshändelse för lösenordshashsynkronisering

AD DS-kontot har inte rätt behörigheter

Om AD DS-kontot som används av lokal Active Directory-anslutningsappen för att synkronisera lösenordshashvärden inte har rätt behörigheter returneras följande fel:

Skärmbild som visar felet som returneras när AD DS-kontot har ett felaktigt användarnamn eller lösenord.

Felaktigt användarnamn eller lösenord för AD DS-konto

Om AD DS-kontot som används av lokal Active Directory-anslutningsappen för att synkronisera lösenordshashvärden har ett felaktigt användarnamn eller lösenord returneras följande fel:

Felaktiga autentiseringsuppgifter

Ett objekt synkroniserar inte lösenord: felsök med hjälp av felsökningsuppgiften

Du kan använda felsökningsaktiviteten för att avgöra varför ett objekt inte synkroniserar lösenord.

Kommentar

Felsökningsaktiviteten är endast tillgänglig för Microsoft Entra Connect version 1.1.614.0 eller senare.

Kör cmdleten diagnostik

Så här felsöker du problem för ett specifikt användarobjekt:

  1. Öppna en ny Windows PowerShell-session på Microsoft Entra Connect-servern med alternativet Kör som administratör .

  2. Kör Set-ExecutionPolicy RemoteSigned eller Set-ExecutionPolicy Unrestricted.

  3. Starta guiden Microsoft Entra Connect.

  4. Gå till sidan Ytterligare uppgifter , välj Felsök och klicka på Nästa.

  5. På sidan Felsökning klickar du på Starta för att starta felsökningsmenyn i PowerShell.

  6. I huvudmenyn väljer du Felsöka synkronisering av lösenordshash.

  7. I undermenyn väljer du Lösenord synkroniseras inte för ett specifikt användarkonto.

Förstå resultatet av felsökningsaktiviteten

Felsökningsaktiviteten utför följande kontroller:

  • Undersöker tillståndet för Active Directory-objektet i Active Directory-anslutningsutrymmet, Metaverse och Microsoft Entra-anslutningsutrymmet.

  • Verifierar att synkroniseringsregler med synkronisering av lösenordshash har aktiverats och tillämpats på Active Directory-objektet.

  • Försöker hämta och visa resultatet av det senaste försöket att synkronisera lösenordet för objektet.

Följande diagram illustrerar resultatet av cmdleten när du felsöker synkronisering av lösenordshash för ett enskilt objekt:

Diagnostikutdata för synkronisering av lösenordshash – enskilt objekt

I resten av det här avsnittet beskrivs specifika resultat som returneras av cmdleten och motsvarande problem.

Active Directory-objektet exporteras inte till Microsoft Entra-ID

synkronisering av lösenordshash för det här lokal Active Directory-kontot misslyckas eftersom det inte finns något motsvarande objekt i Microsoft Entra-klientorganisationen. Följande fel returneras:

Microsoft Entra-objekt saknas

Användaren har ett tillfälligt lösenord

Äldre versioner av Microsoft Entra Connect har inte stöd för synkronisering av tillfälliga lösenord med Microsoft Entra-ID. Ett lösenord anses vara tillfälligt om alternativet Ändra lösenord vid nästa inloggning har angetts för den lokal Active Directory användaren. Följande fel returneras med dessa äldre versioner:

Tillfälligt lösenord exporteras inte

Om du vill aktivera synkonisering av tillfälliga lösenord måste du ha Microsoft Entra Connect version 2.0.3.0 eller senare installerad och funktionen ForcePasswordChangeOnLogon måste vara aktiverad.

Resultat från det senaste försöket att synkronisera lösenord är inte tillgängliga

Som standard lagrar Microsoft Entra Connect resultatet av synkroniseringsförsök med lösenordshash i sju dagar. Om det inte finns några tillgängliga resultat för det valda Active Directory-objektet returneras följande varning:

Diagnostikutdata för ett enskilt objekt – ingen historik för lösenordssynkronisering

Inga lösenord synkroniseras: felsök med hjälp av cmdlet-diagnostiken

Du kan använda cmdleten Invoke-ADSyncDiagnostics för att ta reda på varför inga lösenord synkroniseras.

Kommentar

Cmdleten Invoke-ADSyncDiagnostics är endast tillgänglig för Microsoft Entra Connect version 1.1.524.0 eller senare.

Kör cmdleten diagnostik

Så här felsöker du problem där inga lösenord synkroniseras:

  1. Öppna en ny Windows PowerShell-session på Microsoft Entra Connect-servern med alternativet Kör som administratör .

  2. Kör Set-ExecutionPolicy RemoteSigned eller Set-ExecutionPolicy Unrestricted.

  3. Kör Import-Module ADSyncDiagnostics.

  4. Kör Invoke-ADSyncDiagnostics -PasswordSync.

Ett objekt synkroniserar inte lösenord: felsök med hjälp av cmdlet-diagnostiken

Du kan använda cmdleten Invoke-ADSyncDiagnostics för att avgöra varför ett objekt inte synkroniserar lösenord.

Kommentar

Cmdleten Invoke-ADSyncDiagnostics är endast tillgänglig för Microsoft Entra Connect version 1.1.524.0 eller senare.

Kör cmdleten diagnostik

Så här felsöker du problem där inga lösenord synkroniseras för en användare:

  1. Öppna en ny Windows PowerShell-session på Microsoft Entra Connect-servern med alternativet Kör som administratör .

  2. Kör Set-ExecutionPolicy RemoteSigned eller Set-ExecutionPolicy Unrestricted.

  3. Kör Import-Module ADSyncDiagnostics.

  4. Kör följande cmdlet:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    Till exempel:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

Inga lösenord synkroniseras: manuella felsökningssteg

Följ de här stegen för att avgöra varför inga lösenord synkroniseras:

  1. Är Connect-servern i mellanlagringsläge? En server i mellanlagringsläge synkroniserar inga lösenord.

  2. Kör skriptet i avsnittet Hämta status för inställningar för lösenordssynkronisering. Det ger dig en översikt över konfigurationen av lösenordssynkronisering.

    PowerShell-skriptutdata från inställningar för lösenordssynkronisering

  3. Om funktionen inte är aktiverad i Microsoft Entra-ID eller om synkroniseringskanalens status inte är aktiverad kör du installationsguiden Anslut. Välj Anpassa synkroniseringsalternativ och avmarkera lösenordssynkronisering. Den här ändringen inaktiverar tillfälligt funktionen. Kör sedan guiden igen och återaktivera lösenordssynkronisering. Kör skriptet igen för att kontrollera att konfigurationen är korrekt.

  4. Leta efter fel i händelseloggen. Leta efter följande händelser, vilket tyder på ett problem:

    Källa: "Katalogsynkronisering"
    ID: 0, 611, 652, 655

    Om du ser dessa händelser har du ett anslutningsproblem. Händelseloggmeddelandet innehåller skogsinformation där du har ett problem.

  5. Om du inte ser några pulsslag eller om inget annat fungerade kör du Utlösa en fullständig synkronisering av alla lösenord. Kör skriptet bara en gång.

  6. Se avsnittet Felsöka ett objekt som inte synkroniserar lösenord.

Anslutningsproblem

Har du anslutning med Microsoft Entra-ID?

Har kontot behörighet att läsa lösenordshasherna i alla domäner? Om du har installerat Anslut med hjälp av Express-inställningar bör behörigheterna redan vara korrekta.

Om du använde anpassad installation anger du behörigheterna manuellt genom att göra följande:

  1. Om du vill hitta det konto som används av Active Directory-anslutningsappen startar du Synkroniseringstjänsthanteraren.

  2. Gå till Anslutningsappar och sök sedan efter den lokal Active Directory skog som du felsöker.

  3. Välj anslutningsappen och klicka sedan på Egenskaper.

  4. Gå till Anslut till Active Directory-skog.

    Konto som används av Active Directory-anslutningsappen
    Observera användarnamnet och domänen där kontot finns.

  5. Starta Active Directory - användare och datorer och kontrollera sedan att kontot som du hittade tidigare har följande behörigheter angivna i roten för alla domäner i skogen:

    • Replikera katalogändringar
    • Replikera alla katalogändringar
  6. Kan domänkontrollanterna nås av Microsoft Entra Connect? Om Connect-servern inte kan ansluta till alla domänkontrollanter konfigurerar du Använd endast önskad domänkontrollant.

    Domänkontrollant som används av Active Directory-anslutningsprogrammet

  7. Gå tillbaka till Synkroniseringstjänsthanteraren och Konfigurera katalogpartition.

  8. Markera domänen i Markera katalogpartitioner, markera kryssrutan Använd endast önskade domänkontrollanter och klicka sedan på Konfigurera.

  9. I listan anger du de domänkontrollanter som Connect ska använda för lösenordssynkronisering. Samma lista används även för import och export. Utför de här stegen för alla dina domäner.

Kommentar

Om du vill tillämpa dessa ändringar startar du om tjänsten Microsoft Entra ID Sync (ADSync).

  1. Om skriptet visar att det inte finns några pulsslag kör du skriptet i Utlösa en fullständig synkronisering av alla lösenord.

Ett objekt synkroniserar inte lösenord: manuella felsökningssteg

Du kan enkelt felsöka problem med synkronisering av lösenordshash genom att granska statusen för ett objekt.

  1. I Active Directory - användare och datorer söker du efter användaren och kontrollerar sedan att kryssrutan Användaren måste ändra lösenordet vid nästa inloggning är avmarkerad.

    Active Directory-produktiva lösenord

    Om kryssrutan är markerad ber du användaren att logga in och ändra lösenordet. Tillfälliga lösenord synkroniseras inte med Microsoft Entra-ID.

  2. Om lösenordet ser korrekt ut i Active Directory följer du användaren i synkroniseringsmotorn. Genom att följa användaren från lokal Active Directory till Microsoft Entra-ID kan du se om det finns ett beskrivande fel på objektet.

    a. Starta Synkroniseringstjänsthanteraren.

    b. Klicka på Anslutningsappar.

    c. Välj active directory-anslutningsappen där användaren finns.

    d. Välj Sökanslutningsutrymme.

    e. I rutan Omfång väljer du DN eller Fästpunkt och anger sedan det fullständiga DN för den användare som du felsöker.

    Sök efter användare i anslutningsutrymme med DN

    f. Leta upp den användare du letar efter och klicka sedan på Egenskaper för att se alla attribut. Om användaren inte finns med i sökresultatet kontrollerar du filtreringsreglerna och ser till att du kör Tillämpa och verifierar ändringar för att användaren ska visas i Anslut.

    g. Om du vill se information om lösenordssynkronisering för objektet under den senaste veckan klickar du på Logga.

    Information om objektlogg

    Om objektloggen är tom har Microsoft Entra Connect inte kunnat läsa lösenordshash från Active Directory. Fortsätt felsökningen med anslutningsfel. Om du ser något annat värde än lyckat kan du läsa tabellen i Loggen för lösenordssynkronisering.

    h. Välj fliken Ursprung och kontrollera att minst en synkroniseringsregel i kolumnen PasswordSync är True. I standardkonfigurationen är namnet på synkroniseringsregeln In från AD – User AccountEnabled.

    Ursprungsinformation om en användare

    i. Klicka på Egenskaper för metaversumobjekt för att visa en lista över användarattribut.

    Skärmbild som visar listan över användarattribut för Objektegenskaper för metaversum.

    Kontrollera att det inte finns något cloudFiltered-attribut . Kontrollera att domänattributen (domainFQDN och domainNetBios) har de förväntade värdena.

    j. Klicka på fliken Anslutningsappar. Kontrollera att du ser kopplingar till både lokal Active Directory och Microsoft Entra-ID.

    Metaversuminformation

    k. Välj den rad som representerar Microsoft Entra-ID, klicka på Egenskaper och klicka sedan på fliken Ursprung . Anslutningsobjektet för utrymme ska ha en regel för utgående trafik i kolumnen PasswordSync inställd på Sant. I standardkonfigurationen är namnet på synkroniseringsregeln Ut till Microsoft Entra-ID – Användaranslutning.

    Dialogrutan Egenskaper för anslutningsutrymmesobjekt

Logg för lösenordssynkronisering

Statuskolumnen kan ha följande värden:

Status Description
Framgång Lösenordet har synkroniserats.
FilteredByTarget Lösenordet är inställt på Användaren måste ändra lösenordet vid nästa inloggning. Lösenordet har inte synkroniserats.
NoTargetConnection Inget objekt i metaversum eller i Microsoft Entra-anslutningsutrymmet.
SourceConnectorNotPresent Inget objekt hittades i det lokal Active Directory anslutningsutrymmet.
TargetNotExportedToDirectory Objektet i Microsoft Entra-anslutningsplatsen har ännu inte exporterats.
MigreradCheckDetailsForMoreInfo Loggposten skapades före version 1.0.9125.0 och visas i dess äldre tillstånd.
Fel Tjänsten returnerade ett okänt fel.
Okänt Ett fel uppstod när en batch med lösenordshashvärden skulle bearbetas.
MissingAttribute Specifika attribut (till exempel Kerberos-hash) som krävs av Microsoft Entra Domain Services är inte tillgängliga.
RetryRequestedByTarget Specifika attribut (till exempel Kerberos-hash) som krävs av Microsoft Entra Domain Services var inte tillgängliga tidigare. Ett försök att synkronisera om användarens lösenordshash görs.

Skript som hjälper dig att felsöka

Hämta status för inställningar för lösenordssynkronisering

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Utlös en fullständig synkronisering av alla lösenord

Kommentar

Kör det här skriptet bara en gång. Om du behöver köra den mer än en gång är det något annat som är problemet. Om du vill felsöka problemet kontaktar du Microsofts support.

Du kan utlösa en fullständig synkronisering av alla lösenord med hjälp av följande skript:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Nästa steg