Felsöka synkronisering av lösenordshash med Microsoft Entra ID Connect-synkronisering
Det här avsnittet innehåller steg för hur du felsöker problem med synkronisering av lösenordshash. Om lösenord inte synkroniseras som förväntat kan det antingen vara för en delmängd användare eller för alla användare.
För Microsoft Entra Connect-distribution med version 1.1.614.0 eller senare använder du felsökningsuppgiften i guiden för att felsöka problem med synkronisering av lösenordshash:
Om du har ett problem där inga lösenord synkroniseras läser du Avsnittet Inga lösenord synkroniseras: felsök med hjälp av felsökningsaktiviteten .
Om du har problem med enskilda objekt kan du läsa om att One-objektet inte synkroniserar lösenord: felsök med hjälp av felsökningsaktivitetsavsnittet .
För distribution med version 1.1.524.0 eller senare finns det en diagnostisk cmdlet som du kan använda för att felsöka problem med synkronisering av lösenordshash:
Om du har ett problem där inga lösenord synkroniseras kan du läsa avsnittet Inga lösenord synkroniseras: felsök med hjälp av avsnittet diagnostisk cmdlet .
Om du har problem med enskilda objekt kan du läsa om att One-objektet inte synkroniserar lösenord: felsök med hjälp av avsnittet diagnostisk cmdlet .
För äldre versioner av Microsoft Entra Connect-distribution:
Om du har ett problem där inga lösenord synkroniseras kan du läsa avsnittet Inga lösenord synkroniseras: manuella felsökningssteg .
Om du har problem med enskilda objekt kan du läsa avsnittet One object is not synchronizing passwords: manual troubleshooting steps (Ett objekt synkroniserar inte lösenord: manuell felsökningssteg ).
Inga lösenord synkroniseras: felsök med hjälp av felsökningsuppgiften
Du kan använda felsökningsaktiviteten för att ta reda på varför inga lösenord synkroniseras.
Kommentar
Felsökningsaktiviteten är endast tillgänglig för Microsoft Entra Connect version 1.1.614.0 eller senare.
Kör felsökningsuppgiften
Så här felsöker du problem där inga lösenord synkroniseras:
Öppna en ny Windows PowerShell-session på Microsoft Entra Connect-servern med alternativet Kör som administratör .
Kör
Set-ExecutionPolicy RemoteSigned
ellerSet-ExecutionPolicy Unrestricted
.Starta guiden Microsoft Entra Connect.
Gå till sidan Ytterligare uppgifter , välj Felsök och klicka på Nästa.
På sidan Felsökning klickar du på Starta för att starta felsökningsmenyn i PowerShell.
I huvudmenyn väljer du Felsöka synkronisering av lösenordshash.
I undermenyn väljer du Synkronisering av lösenordshash fungerar inte alls.
Förstå resultatet av felsökningsaktiviteten
Felsökningsaktiviteten utför följande kontroller:
Verifierar att synkroniseringsfunktionen för lösenordshash är aktiverad för din Microsoft Entra-klientorganisation.
Verifierar att Microsoft Entra Connect-servern inte är i mellanlagringsläge.
För varje befintlig lokal Active Directory anslutningsprogram (vilket motsvarar en befintlig Active Directory-skog):
Verifierar att synkroniseringsfunktionen för lösenordshash är aktiverad.
Söker efter pulsslagshändelser för lösenordshashsynkronisering i Händelseloggarna för Windows-program.
För varje Active Directory-domän under lokal Active Directory-anslutningsappen:
Verifierar att domänen kan nås från Microsoft Entra Connect-servern.
Verifierar att de Active Directory-domän Services-konton (AD DS) som används av lokal Active Directory-anslutningsappen har rätt användarnamn, lösenord och behörigheter som krävs för synkronisering av lösenordshash.
Följande diagram illustrerar resultatet av cmdleten för en endomän, lokal Active Directory topologi:
Resten av det här avsnittet beskriver specifika resultat som returneras av uppgiften och motsvarande problem.
Synkroniseringsfunktionen för lösenordshash är inte aktiverad
Om du inte har aktiverat synkronisering av lösenordshash med hjälp av Microsoft Entra Connect-guiden returneras följande fel:
Microsoft Entra Connect-servern är i mellanlagringsläge
Om Microsoft Entra Connect-servern är i mellanlagringsläge inaktiveras synkronisering av lösenordshash tillfälligt och följande fel returneras:
Inga pulsslagshändelser för synkronisering av lösenordshash
Varje lokal Active Directory-anslutningsprogram har en egen synkroniseringskanal för lösenordshash. När synkroniseringskanalen för lösenordshash upprättas och inga lösenordsändringar ska synkroniseras genereras en pulsslagshändelse (EventId 654) en gång var 30:e minut under Händelseloggen för Windows-program. För varje lokal Active Directory anslutningsapp söker cmdleten efter motsvarande pulsslagshändelser under de senaste tre timmarna. Om ingen pulsslagshändelse hittas returneras följande fel:
AD DS-kontot har inte rätt behörigheter
Om AD DS-kontot som används av lokal Active Directory-anslutningsappen för att synkronisera lösenordshashvärden inte har rätt behörigheter returneras följande fel:
Felaktigt användarnamn eller lösenord för AD DS-konto
Om AD DS-kontot som används av lokal Active Directory-anslutningsappen för att synkronisera lösenordshashvärden har ett felaktigt användarnamn eller lösenord returneras följande fel:
Ett objekt synkroniserar inte lösenord: felsök med hjälp av felsökningsuppgiften
Du kan använda felsökningsaktiviteten för att avgöra varför ett objekt inte synkroniserar lösenord.
Kommentar
Felsökningsaktiviteten är endast tillgänglig för Microsoft Entra Connect version 1.1.614.0 eller senare.
Kör cmdleten diagnostik
Så här felsöker du problem för ett specifikt användarobjekt:
Öppna en ny Windows PowerShell-session på Microsoft Entra Connect-servern med alternativet Kör som administratör .
Kör
Set-ExecutionPolicy RemoteSigned
ellerSet-ExecutionPolicy Unrestricted
.Starta guiden Microsoft Entra Connect.
Gå till sidan Ytterligare uppgifter , välj Felsök och klicka på Nästa.
På sidan Felsökning klickar du på Starta för att starta felsökningsmenyn i PowerShell.
I huvudmenyn väljer du Felsöka synkronisering av lösenordshash.
I undermenyn väljer du Lösenord synkroniseras inte för ett specifikt användarkonto.
Förstå resultatet av felsökningsaktiviteten
Felsökningsaktiviteten utför följande kontroller:
Undersöker tillståndet för Active Directory-objektet i Active Directory-anslutningsutrymmet, Metaverse och Microsoft Entra-anslutningsutrymmet.
Verifierar att synkroniseringsregler med synkronisering av lösenordshash har aktiverats och tillämpats på Active Directory-objektet.
Försöker hämta och visa resultatet av det senaste försöket att synkronisera lösenordet för objektet.
Följande diagram illustrerar resultatet av cmdleten när du felsöker synkronisering av lösenordshash för ett enskilt objekt:
I resten av det här avsnittet beskrivs specifika resultat som returneras av cmdleten och motsvarande problem.
Active Directory-objektet exporteras inte till Microsoft Entra-ID
synkronisering av lösenordshash för det här lokal Active Directory-kontot misslyckas eftersom det inte finns något motsvarande objekt i Microsoft Entra-klientorganisationen. Följande fel returneras:
Användaren har ett tillfälligt lösenord
Äldre versioner av Microsoft Entra Connect har inte stöd för synkronisering av tillfälliga lösenord med Microsoft Entra-ID. Ett lösenord anses vara tillfälligt om alternativet Ändra lösenord vid nästa inloggning har angetts för den lokal Active Directory användaren. Följande fel returneras med dessa äldre versioner:
Om du vill aktivera synkonisering av tillfälliga lösenord måste du ha Microsoft Entra Connect version 2.0.3.0 eller senare installerad och funktionen ForcePasswordChangeOnLogon måste vara aktiverad.
Resultat från det senaste försöket att synkronisera lösenord är inte tillgängliga
Som standard lagrar Microsoft Entra Connect resultatet av synkroniseringsförsök med lösenordshash i sju dagar. Om det inte finns några tillgängliga resultat för det valda Active Directory-objektet returneras följande varning:
Inga lösenord synkroniseras: felsök med hjälp av cmdlet-diagnostiken
Du kan använda cmdleten Invoke-ADSyncDiagnostics
för att ta reda på varför inga lösenord synkroniseras.
Kommentar
Cmdleten Invoke-ADSyncDiagnostics
är endast tillgänglig för Microsoft Entra Connect version 1.1.524.0 eller senare.
Kör cmdleten diagnostik
Så här felsöker du problem där inga lösenord synkroniseras:
Öppna en ny Windows PowerShell-session på Microsoft Entra Connect-servern med alternativet Kör som administratör .
Kör
Set-ExecutionPolicy RemoteSigned
ellerSet-ExecutionPolicy Unrestricted
.Kör
Import-Module ADSyncDiagnostics
.Kör
Invoke-ADSyncDiagnostics -PasswordSync
.
Ett objekt synkroniserar inte lösenord: felsök med hjälp av cmdlet-diagnostiken
Du kan använda cmdleten Invoke-ADSyncDiagnostics
för att avgöra varför ett objekt inte synkroniserar lösenord.
Kommentar
Cmdleten Invoke-ADSyncDiagnostics
är endast tillgänglig för Microsoft Entra Connect version 1.1.524.0 eller senare.
Kör cmdleten diagnostik
Så här felsöker du problem där inga lösenord synkroniseras för en användare:
Öppna en ny Windows PowerShell-session på Microsoft Entra Connect-servern med alternativet Kör som administratör .
Kör
Set-ExecutionPolicy RemoteSigned
ellerSet-ExecutionPolicy Unrestricted
.Kör
Import-Module ADSyncDiagnostics
.Kör följande cmdlet:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
Till exempel:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
Inga lösenord synkroniseras: manuella felsökningssteg
Följ de här stegen för att avgöra varför inga lösenord synkroniseras:
Är Connect-servern i mellanlagringsläge? En server i mellanlagringsläge synkroniserar inga lösenord.
Kör skriptet i avsnittet Hämta status för inställningar för lösenordssynkronisering. Det ger dig en översikt över konfigurationen av lösenordssynkronisering.
Om funktionen inte är aktiverad i Microsoft Entra-ID eller om synkroniseringskanalens status inte är aktiverad kör du installationsguiden Anslut. Välj Anpassa synkroniseringsalternativ och avmarkera lösenordssynkronisering. Den här ändringen inaktiverar tillfälligt funktionen. Kör sedan guiden igen och återaktivera lösenordssynkronisering. Kör skriptet igen för att kontrollera att konfigurationen är korrekt.
Leta efter fel i händelseloggen. Leta efter följande händelser, vilket tyder på ett problem:
Källa: "Katalogsynkronisering"
ID: 0, 611, 652, 655Om du ser dessa händelser har du ett anslutningsproblem. Händelseloggmeddelandet innehåller skogsinformation där du har ett problem.
Om du inte ser några pulsslag eller om inget annat fungerade kör du Utlösa en fullständig synkronisering av alla lösenord. Kör skriptet bara en gång.
Se avsnittet Felsöka ett objekt som inte synkroniserar lösenord.
Anslutningsproblem
Har du anslutning med Microsoft Entra-ID?
Har kontot behörighet att läsa lösenordshasherna i alla domäner? Om du har installerat Anslut med hjälp av Express-inställningar bör behörigheterna redan vara korrekta.
Om du använde anpassad installation anger du behörigheterna manuellt genom att göra följande:
Om du vill hitta det konto som används av Active Directory-anslutningsappen startar du Synkroniseringstjänsthanteraren.
Gå till Anslutningsappar och sök sedan efter den lokal Active Directory skog som du felsöker.
Välj anslutningsappen och klicka sedan på Egenskaper.
Gå till Anslut till Active Directory-skog.
Observera användarnamnet och domänen där kontot finns.Starta Active Directory - användare och datorer och kontrollera sedan att kontot som du hittade tidigare har följande behörigheter angivna i roten för alla domäner i skogen:
- Replikera katalogändringar
- Replikera alla katalogändringar
Kan domänkontrollanterna nås av Microsoft Entra Connect? Om Connect-servern inte kan ansluta till alla domänkontrollanter konfigurerar du Använd endast önskad domänkontrollant.
Gå tillbaka till Synkroniseringstjänsthanteraren och Konfigurera katalogpartition.
Markera domänen i Markera katalogpartitioner, markera kryssrutan Använd endast önskade domänkontrollanter och klicka sedan på Konfigurera.
I listan anger du de domänkontrollanter som Connect ska använda för lösenordssynkronisering. Samma lista används även för import och export. Utför de här stegen för alla dina domäner.
Kommentar
Om du vill tillämpa dessa ändringar startar du om tjänsten Microsoft Entra ID Sync (ADSync).
- Om skriptet visar att det inte finns några pulsslag kör du skriptet i Utlösa en fullständig synkronisering av alla lösenord.
Ett objekt synkroniserar inte lösenord: manuella felsökningssteg
Du kan enkelt felsöka problem med synkronisering av lösenordshash genom att granska statusen för ett objekt.
I Active Directory - användare och datorer söker du efter användaren och kontrollerar sedan att kryssrutan Användaren måste ändra lösenordet vid nästa inloggning är avmarkerad.
Om kryssrutan är markerad ber du användaren att logga in och ändra lösenordet. Tillfälliga lösenord synkroniseras inte med Microsoft Entra-ID.
Om lösenordet ser korrekt ut i Active Directory följer du användaren i synkroniseringsmotorn. Genom att följa användaren från lokal Active Directory till Microsoft Entra-ID kan du se om det finns ett beskrivande fel på objektet.
a. Starta Synkroniseringstjänsthanteraren.
b. Klicka på Anslutningsappar.
c. Välj active directory-anslutningsappen där användaren finns.
d. Välj Sökanslutningsutrymme.
e. I rutan Omfång väljer du DN eller Fästpunkt och anger sedan det fullständiga DN för den användare som du felsöker.
f. Leta upp den användare du letar efter och klicka sedan på Egenskaper för att se alla attribut. Om användaren inte finns med i sökresultatet kontrollerar du filtreringsreglerna och ser till att du kör Tillämpa och verifierar ändringar för att användaren ska visas i Anslut.
g. Om du vill se information om lösenordssynkronisering för objektet under den senaste veckan klickar du på Logga.
Om objektloggen är tom har Microsoft Entra Connect inte kunnat läsa lösenordshash från Active Directory. Fortsätt felsökningen med anslutningsfel. Om du ser något annat värde än lyckat kan du läsa tabellen i Loggen för lösenordssynkronisering.
h. Välj fliken Ursprung och kontrollera att minst en synkroniseringsregel i kolumnen PasswordSync är True. I standardkonfigurationen är namnet på synkroniseringsregeln In från AD – User AccountEnabled.
i. Klicka på Egenskaper för metaversumobjekt för att visa en lista över användarattribut.
Kontrollera att det inte finns något cloudFiltered-attribut . Kontrollera att domänattributen (domainFQDN och domainNetBios) har de förväntade värdena.
j. Klicka på fliken Anslutningsappar. Kontrollera att du ser kopplingar till både lokal Active Directory och Microsoft Entra-ID.
k. Välj den rad som representerar Microsoft Entra-ID, klicka på Egenskaper och klicka sedan på fliken Ursprung . Anslutningsobjektet för utrymme ska ha en regel för utgående trafik i kolumnen PasswordSync inställd på Sant. I standardkonfigurationen är namnet på synkroniseringsregeln Ut till Microsoft Entra-ID – Användaranslutning.
Logg för lösenordssynkronisering
Statuskolumnen kan ha följande värden:
Status | Description |
---|---|
Framgång | Lösenordet har synkroniserats. |
FilteredByTarget | Lösenordet är inställt på Användaren måste ändra lösenordet vid nästa inloggning. Lösenordet har inte synkroniserats. |
NoTargetConnection | Inget objekt i metaversum eller i Microsoft Entra-anslutningsutrymmet. |
SourceConnectorNotPresent | Inget objekt hittades i det lokal Active Directory anslutningsutrymmet. |
TargetNotExportedToDirectory | Objektet i Microsoft Entra-anslutningsplatsen har ännu inte exporterats. |
MigreradCheckDetailsForMoreInfo | Loggposten skapades före version 1.0.9125.0 och visas i dess äldre tillstånd. |
Fel | Tjänsten returnerade ett okänt fel. |
Okänt | Ett fel uppstod när en batch med lösenordshashvärden skulle bearbetas. |
MissingAttribute | Specifika attribut (till exempel Kerberos-hash) som krävs av Microsoft Entra Domain Services är inte tillgängliga. |
RetryRequestedByTarget | Specifika attribut (till exempel Kerberos-hash) som krävs av Microsoft Entra Domain Services var inte tillgängliga tidigare. Ett försök att synkronisera om användarens lösenordshash görs. |
Skript som hjälper dig att felsöka
Hämta status för inställningar för lösenordssynkronisering
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Utlös en fullständig synkronisering av alla lösenord
Kommentar
Kör det här skriptet bara en gång. Om du behöver köra den mer än en gång är det något annat som är problemet. Om du vill felsöka problemet kontaktar du Microsofts support.
Du kan utlösa en fullständig synkronisering av alla lösenord med hjälp av följande skript:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true