Řešení potíží se zpětným zápisem samoobslužného resetování hesla v Microsoft Entra ID
Samoobslužné resetování hesla Microsoft Entra (SSPR) umožňuje uživatelům resetovat hesla v cloudu. Zpětný zápis hesla je funkce povolená pomocí Microsoft Entra Připojení nebo cloudové synchronizace, která umožňuje zápis hesel do existujícího místního adresáře v reálném čase.
Pokud máte problémy se zpětným zápisem SSPR, můžou vám pomoct následující kroky při řešení potíží a běžné chyby. Pokud nemůžete najít odpověď na váš problém, jsou naše týmy podpory vždy k dispozici , aby vám pomohly dále.
Řešení potíží s připojením
Pokud máte problémy se zpětným zápisem hesla pro Microsoft Entra Připojení, projděte si následující kroky, které vám můžou pomoct problém vyřešit. Pokud chcete službu obnovit, doporučujeme postupovat podle těchto kroků:
- Potvrzení připojení k síti
- Restartujte službu Microsoft Entra Připojení Sync.
- Zakázání a opětovné povolení funkce zpětného zápisu hesla
- Instalace nejnovější verze Microsoft Entra Připojení
- Řešení potíží se zpětným zápisem hesla
Potvrzení připojení k síti
Nejběžnějším bodem selhání je nesprávná konfigurace brány firewall nebo proxy portů nebo vypršení časového limitu nečinnosti.
Pro Microsoft Entra Připojení verze 1.1.443.0 a vyšší je vyžadován odchozí přístup HTTPS na následující adresy:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Koncové body Azure pro státní správu USA:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Koncové body Azure China 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Pokud potřebujete podrobnější informace, podívejte se na seznam rozsahů IP adres a značek služeb Microsoft Azure pro veřejný cloud.
Informace o Azure for US Government najdete v seznamu rozsahů IP adres Microsoft Azure a značek služeb pro cloud Azure pro státní správu USA.
Tyto soubory se aktualizují každý týden.
Pokud chcete zjistit, jestli je přístup k adrese URL a portu omezený v prostředí, jako je veřejný cloud Azure, spusťte následující rutinu:
Test-NetConnection -ComputerName ssprdedicatedsbprodscu.servicebus.windows.net -Port 443
Nebo spusťte následující příkaz:
Invoke-WebRequest -Uri https://ssprdedicatedsbprodscu.servicebus.windows.net -Verbose
Další informace najdete v požadavcích na připojení pro microsoft Entra Připojení.
Restartujte službu Microsoft Entra Připojení Sync.
Pokud chcete vyřešit problémy s připojením nebo jiné přechodné problémy se službou, proveďte následující kroky a restartujte službu Microsoft Entra Připojení Sync:
Jako správce na serveru, na kterém běží Microsoft Entra Připojení, vyberte Spustit.
Do vyhledávacího pole zadejte services.msc a vyberte Enter.
Vyhledejte položku Synchronizace Azure AD.
Klikněte pravým tlačítkem myši na položku služby, vyberte Restartovat a počkejte, až se operace dokončí.
Tento postup znovu naváže připojení s ID Microsoft Entra a měl by vyřešit problémy s připojením.
Pokud restartování služby Microsoft Entra Připojení Sync váš problém nevyřeší, zkuste zakázat a znovu povolit funkci zpětného zápisu hesla v další části.
Zakázání a opětovné povolení funkce zpětného zápisu hesla
Pokud chcete dál řešit problémy, pomocí následujících kroků zakažte a znovu povolte funkci zpětného zápisu hesla:
- Jako správce na serveru, na kterém běží Microsoft Entra Připojení, otevřete průvodce konfigurací microsoft Entra Připojení.
- Do Připojení do Microsoft Entra ID zadejte své přihlašovací údaje microsoft Entra Global Správa istrator.
- Do Připojení služby AD DS zadejte svoje přihlašovací údaje správce místní Active Directory Domain Services.
- V jedinečné identifikaci uživatelů vyberte tlačítko Další .
- V volitelných funkcích zrušte zaškrtnutí políčka Zpětný zápis hesla.
- Výběr možnosti Další prostřednictvím zbývajících stránek dialogového okna beze změny čehokoli, dokud se nedostanete na stránku Připraveno ke konfiguraci .
- Zkontrolujte, že stránka Připraveno ke konfiguraci zobrazuje možnost zpětného zápisu hesla jako zakázaná. Výběrem zeleného tlačítka Konfigurovat potvrďte provedené změny.
- V části Dokončeno zrušte zaškrtnutí políčka Synchronizovat a potom výběrem možnosti Dokončit zavřete průvodce.
- Znovu otevřete průvodce konfigurací nástroje Microsoft Entra Připojení.
- Opakujte kroky 2 až 8, tentokrát výběrem možnosti Zpětné zápisu hesla na stránce Volitelné funkce službu znovu povolte.
Tento postup znovu naváže připojení s ID Microsoft Entra a měl by vyřešit problémy s připojením.
Pokud zakážete a znovu povolíte funkci zpětného zápisu hesla, nevyřeší váš problém, přeinstalujte Microsoft Entra Připojení v další části.
Instalace nejnovější verze Microsoft Entra Připojení
Přeinstalace microsoft Entra Připojení může vyřešit problémy s konfigurací a připojením mezi ID Microsoft Entra a místním prostředím služby Doména služby Active Directory Services. Tento krok doporučujeme provést až po pokusu o ověření připojení a řešení potíží s předchozími kroky.
Upozorňující
Pokud jste přizpůsobili předem hotová pravidla synchronizace, zálohujte je před pokračováním v upgradu a po dokončení je znovu nasaďte ručně.
Stáhněte si nejnovější verzi nástroje Microsoft Entra Připojení z webu Stažení softwaru společnosti Microsoft.
Vzhledem k tomu, že jste již nainstalovali Microsoft Entra Připojení, proveďte místní upgrade a aktualizujte instalaci microsoft Entra Připojení na nejnovější verzi.
Spusťte stažený balíček a postupujte podle pokynů na obrazovce a aktualizujte microsoft Entra Připojení.
Tyto kroky by měly znovu navázat spojení s ID Microsoft Entra a vyřešit problémy s připojením.
Pokud instalace nejnovější verze serveru Microsoft Entra Připojení nevyřeší váš problém, zkuste zakázat a znovu povolit zpětný zápis hesla jako poslední krok po instalaci nejnovější verze.
Ověřte, že Připojení Microsoft Entra má požadovaná oprávnění.
Microsoft Entra Připojení vyžaduje oprávnění k resetování hesla služby AD DS k provádění zpětného zápisu hesla. Pokud chcete zkontrolovat, jestli má Microsoft Entra Připojení požadovaná oprávnění pro daný místní uživatelský účet AD DS, použijte funkci Efektivní oprávnění systému Windows:
Přihlaste se k serveru Microsoft Entra Připojení a spusťte Správce synchronizační služby výběrem možnosti Spustit>synchronizační službu.
Na kartě Připojení orů vyberte místní konektor Doména služby Active Directory Services a pak vyberte Vlastnosti.
V automaticky otevíraných otevíraných oknech vyberte Připojení do doménové struktury služby Active Directory a poznamenejte si vlastnost Uživatelské jméno. Tato vlastnost je účet služby AD DS používaný microsoftem Entra Připojení k provádění synchronizace adresářů.
Aby mohl Microsoft Entra Připojení provádět zpětný zápis hesla, musí mít účet AD DS oprávnění k resetování hesla. Oprávnění k tomuto uživatelskému účtu zkontrolujete v následujících krocích.
Přihlaste se k místnímu řadiči domény a spusťte aplikaci Uživatelé a počítače služby Active Directory.
Vyberte Zobrazit a ujistěte se, že je povolená možnost Rozšířené funkce .
Vyhledejte uživatelský účet služby AD DS, který chcete ověřit. Klikněte pravým tlačítkem myši na název účtu a vyberte Vlastnosti.
V automaticky otevíraných otevíraných oknech přejděte na kartu Zabezpečení a vyberte Upřesnit.
V místní nabídce Advanced Security Nastavení pro Správa istrator přejděte na kartu Efektivní přístup.
Zvolte Vybrat uživatele, vyberte účet AD DS, který používá Microsoft Entra Připojení, a pak vyberte Zobrazit efektivní přístup.
Posuňte se dolů a vyhledejte resetování hesla. Pokud má položka značku zaškrtnutí, má účet služby AD DS oprávnění k resetování hesla vybraného uživatelského účtu služby Active Directory.
Běžné chyby zpětného zápisu hesla
K následujícím konkrétnějším problémům může dojít u zpětného zápisu hesla. Pokud máte některou z těchto chyb, zkontrolujte navrhované řešení a zkontrolujte, jestli zpětný zápis hesla funguje správně.
| Chyba | Řešení |
|---|---|
| Služba resetování hesla se nespustí místně. Chyba 6800 se zobrazí v protokolu událostí aplikace počítače Microsoft Entra Připojení. Po onboardingu, federované, předávací ověřování nebo synchronizaci hodnot hash hesel nemůžou uživatelé resetovat svá hesla. |
Pokud je povolený zpětný zápis hesla, synchronizační modul zavolá knihovnu zpětného zápisu, která provede konfiguraci (onboarding) tím, že komunikuje se službou onboardingu cloudu. Všechny chyby, ke kterým došlo při onboardingu nebo při spuštění koncového bodu WCF (Windows Communication Foundation) pro zpětný zápis hesla, způsobí chyby v protokolu událostí na vašem počítači Microsoft Entra Připojení. Pokud byl při restartování služby Azure AD Sync (ADSync) nakonfigurovaný zpětný zápis, spustí se koncový bod WCF. Pokud ale spuštění koncového bodu selže, zaznamenáme událost 6800 a necháme synchronizační službu spustit. Přítomnost této události znamená, že se koncový bod zpětného zápisu hesla nespustí. Podrobnosti protokolu událostí pro tuto událost 6800 spolu s položkami protokolu událostí vygenerovaným komponentou PasswordResetService označují, proč nemůžete koncový bod spustit. Zkontrolujte tyto chyby protokolu událostí a zkuste restartovat microsoft Entra Připojení, pokud zpětný zápis hesla stále nefunguje. Pokud problém přetrvává, zkuste zakázat a znovu povolit zpětný zápis hesla. |
| Když se uživatel pokusí resetovat heslo nebo odemknout účet s povoleným zpětným zápisem hesla, operace selže. Kromě toho se v protokolu událostí Microsoft Entra Připojení zobrazí událost, která obsahuje: "Synchronizační modul vrátil chybu hr=800700CE, message=Název souboru nebo rozšíření je příliš dlouhý" po dokončení operace odemknutí. |
Vyhledejte účet služby Active Directory pro Microsoft Entra Připojení a resetujte heslo tak, aby obsahoval maximálně 256 znaků. V dalším kroku otevřete synchronizační službu z nabídky Start . Vyhledejte Připojení or služby Active Directory a vyhledejte Připojení or služby Active Directory. Vyberte ho a pak vyberte Vlastnosti. Přejděte na stránku Přihlašovací údaje a zadejte nové heslo. Vyberte OK a stránku zavřete. |
| V posledním kroku procesu instalace microsoft Entra Připojení se zobrazí chyba označující, že se nepodařilo nakonfigurovat zpětný zápis hesla. Protokol událostí aplikace Microsoft Entra Připojení obsahuje chybu 32009 s textem Chyba při získávání ověřovacího tokenu. |
K této chybě dochází v následujících dvou případech:
|
| Protokol událostí počítače Microsoft Entra Připojení obsahuje chybu 32002, která se vyvolá spuštěním služby PasswordResetService. Tato chyba se přečte: Chyba Připojení do serviceBusu. Zprostředkovatel tokenu nemohl poskytnout token zabezpečení." |
Vaše místní prostředí se nemůže připojit ke koncovému bodu služby Azure Service Bus v cloudu. Tato chyba je obvykle způsobena pravidlem brány firewall, které blokuje odchozí připojení k určitému portu nebo webové adrese. Další informace najdete v požadavcích Připojení ivity. Po aktualizaci těchto pravidel restartujte server Microsoft Entra Připojení a zpětný zápis hesla by měl znovu fungovat. |
| Po určité době, federované, předávací ověřování nebo synchronizace hodnot hash hesel nemůžou uživatelé resetovat svá hesla. | V některých výjimečných případech může služba zpětného zápisu hesla se po restartování služby Microsoft Entra Připojení restartovat. V těchto případech nejprve zkontrolujte, jestli je povolený zpětný zápis hesla v místním prostředí. Kontrolu můžete provést pomocí průvodce Microsoft Entra Připojení nebo PowerShellu. Pokud se zdá, že je tato funkce povolená, zkuste ji znovu povolit nebo zakázat. Pokud tento krok řešení potíží nefunguje, zkuste úplnou odinstalaci a přeinstalaci nástroje Microsoft Entra Připojení. |
| Federované, předávací ověřování nebo hash hesla synchronizovaní uživatelé, kteří se pokusí resetovat svá hesla, se po pokusu o odeslání hesla zobrazí chyba. Tato chyba značí, že došlo k problému se službou. Kromě tohoto problému se během operací resetování hesla může zobrazit chyba, že agent pro správu byl odepřen přístup v protokolech místních událostí. |
Pokud se tyto chyby zobrazí v protokolu událostí, ověřte, že účet ADMA (Active Directory Management Agent) zadaný v průvodci v době konfigurace má potřebná oprávnění pro zpětný zápis hesla. Po udělení tohoto oprávnění může trvat až hodinu, než se oprávnění na řadiči domény zpomalí úlohou sdprop na pozadí. Aby resetování hesla fungovalo, musí být oprávnění označeno popisovačem zabezpečení objektu uživatele, jehož heslo se resetuje. Dokud se toto oprávnění nezobrazí u objektu uživatele, resetování hesla bude i nadále neúspěšné se zprávou o odepření přístupu. |
| Federované, předávací ověřování nebo uživatele synchronizované pomocí hodnoty hash hesel, kteří se pokusí resetovat svá hesla, se po odeslání hesla zobrazí chyba. Tato chyba značí, že došlo k problému se službou. Kromě tohoto problému může během operací resetování hesla dojít k chybě v protokolech událostí ze služby Microsoft Entra Připojení, která značí chybu "Objekt se nepodařilo najít". |
Tato chyba obvykle značí, že synchronizační modul nemůže najít buď objekt uživatele v prostoru konektoru Microsoft Entra, nebo propojený metaverse (MV) nebo objekt prostoru konektoru Microsoft Entra. Pokud chcete tento problém vyřešit, ujistěte se, že je uživatel skutečně synchronizovaný z místního prostředí do Microsoft Entra ID prostřednictvím aktuální instance Microsoft Entra Připojení a zkontrolujte stav objektů v prostorech konektoru a MV. Ověřte, že je objekt služby Ad CS (Active Directory Certificate Services) připojený k objektu MV prostřednictvím pravidla Microsoft.InfromADUserAccountEnabled.xxx. |
| Federované, předávací ověřování nebo hash hesla synchronizované uživatele, kteří se pokusí resetovat hesla, se po odeslání hesla zobrazí chyba. Tato chyba značí, že došlo k problému se službou. Kromě tohoto problému může během operací resetování hesla dojít k chybě v protokolech událostí ze služby Microsoft Entra Připojení, která značí, že došlo k chybě Více nalezených shod. |
To znamená, že synchronizační modul zjistil, že objekt MV je připojený k více než jednomu objektu AD CS prostřednictvím "Microsoft.InfromADUserAccountEnabled.xxx". To znamená, že uživatel má povolený účet ve více než jedné doménové struktuře. Tento scénář není podporovaný pro zpětný zápis hesla. |
| Operace s heslem selžou s chybou konfigurace. Protokol událostí aplikace obsahuje microsoft Entra Připojení chybu 6329 s textem "0x8023061f (Operace selhala, protože pro tohoto agenta pro správu není povolená synchronizace hesel)". | K této chybě dochází v případě, že se konfigurace Microsoft Entra Připojení změní tak, aby se přidala nová doménová struktura služby Active Directory (nebo aby se odebrala a přečetla existující doménová struktura) po povolení funkce zpětného zápisu hesla. Operace s heslem pro uživatele v těchto nedávno přidaných doménových strukturách selžou. Pokud chcete tento problém vyřešit, zakažte a znovu povolte funkci zpětného zápisu hesla po dokončení změn konfigurace doménové struktury. |
| SSPR_0029: Vaše heslo nemůžeme resetovat kvůli chybě v místní konfiguraci. Obraťte se na správce a požádejte ho, aby ho prošetřil. | Problém: Zpětný zápis hesla byl povolen po všech požadovaných krocích, ale při pokusu o změnu hesla se zobrazí "SSPR_0029: Vaše organizace nenastavila správně místní konfiguraci pro resetování hesla". Kontrola protokolů událostí v systému Microsoft Entra Připojení ukazuje, že přihlašovací údaje agenta pro správu byly odepřeny přístup. Možné řešení: Pomocí RSOP v systému Microsoft Entra Připojení a řadičích domény zjistěte, jestli je v části Konfigurace > počítače > Nastavení Nastavení > Možnosti zabezpečení místních zásad > povolená zásada Přístup k síti: Omezit klienty povolené vzdálené volání SAM. Upravte zásadu tak, aby zahrnovala účet pro správu MSOL_XXXXXXX jako povoleného uživatele. Další informace najdete v tématu Řešení chyb SSPR_0029: Vaše organizace nenastavila správně místní konfiguraci pro resetování hesla. |
Kódy chyb protokolu událostí pro zpětný zápis hesla
Osvědčeným postupem při řešení problémů se zpětným zápisem hesla je kontrola protokolu událostí aplikace na počítači Microsoft Entra Připojení. Tento protokol událostí obsahuje události ze dvou zdrojů pro zpětný zápis hesla. Zdroj PasswordResetService popisuje operace a problémy související s operací zpětného zápisu hesla. Zdroj ADSync popisuje operace a problémy související s nastavením hesel v prostředí služby Doména služby Active Directory Services.
Pokud je zdrojem události ADSync
| Kód | Jméno nebo zpráva | Popis |
|---|---|---|
| 6329 | KAUCE: MMS(4924) 0x80230619: "Omezení brání změně hesla na aktuální zadaný" | K této události dochází, když se služba zpětného zápisu hesla pokusí nastavit heslo v místním adresáři, který nesplňuje požadavky na stáří, historii, složitost nebo filtrování hesla domény. Pokud máte minimální věk hesla a nedávno jste změnili heslo v daném časovém intervalu, nebudete moct heslo znovu změnit, dokud nedosáhne zadaného věku ve vaší doméně. Pro účely testování by měl být minimální věk nastaven na 0. Pokud máte povolené požadavky na historii hesel, musíte vybrat heslo, které se v posledních N časech nepoužilo, kde N je nastavení historie hesel. Pokud vyberete heslo, které bylo použito v posledních N časech, zobrazí se v tomto případě chyba. Pro účely testování by měla být historie hesel nastavená na hodnotu 0. Pokud máte požadavky na složitost hesla, vynucují se všechny, když se uživatel pokusí změnit nebo resetovat heslo. Pokud máte povolené filtry hesel a uživatel vybere heslo, které nesplňuje kritéria filtrování, operace resetování nebo změny se nezdaří. |
| 6329 | MMS(3040): admaexport.cpp(2837): Server neobsahuje řízení zásad hesel LDAP. | K tomuto problému dochází, pokud není na řadičích domény povolen ovládací prvek LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066). Pokud chcete použít funkci zpětného zápisu hesla, musíte ovládací prvek povolit. Aby to bylo možné, musí být řadiče domény ve Windows Serveru 2016 nebo novějším. |
| HR 8023042 | Synchronizační modul vrátil chybu hr=80230402, message=Pokus o získání objektu selhal, protože existují duplicitní položky se stejným ukotveným ukotvení. | K této chybě dochází v případě, že je stejné ID uživatele povolené ve více doménách. Příkladem je, že synchronizujete doménové struktury účtů a prostředků a máte stejné ID uživatele, které je v každé doménové struktuře povolené a povolené. K této chybě může dojít také v případě, že použijete ne jedinečný atribut ukotvení, jako je alias nebo hlavní název uživatele (UPN) a dva uživatelé sdílejí stejný atribut ukotvení. Pokud chcete tento problém vyřešit, ujistěte se, že nemáte v doménách žádné duplicitní uživatele a že pro každého uživatele používáte jedinečný atribut ukotvení. |
Pokud zdrojem události je PasswordResetService
| Kód | Jméno nebo zpráva | Popis |
|---|---|---|
| 31001 | PasswordResetStart | Tato událost udává, že místní služba zjistila žádost o resetování hesla pro federované, předávací ověřování nebo uživatele synchronizovaného pomocí hodnoty hash hesla, který pochází z cloudu. Tato událost je první událostí při každé operaci zpětného zápisu resetování hesla. |
| 31002 | PasswordResetSuccess | Tato událost označuje, že uživatel během operace resetování hesla vybral nové heslo. Zjistili jsme, že toto heslo splňuje požadavky na firemní heslo. Heslo bylo úspěšně zapsáno zpět do místního prostředí služby Active Directory. |
| 31003 | PasswordResetFail | Tato událost označuje, že uživatel vybral heslo a heslo bylo úspěšně doručeno do místního prostředí. Ale když jsme se pokusili nastavit heslo v místním prostředí Active Directory, došlo k chybě. K tomuto selhání může dojít z několika důvodů:
|
| 31004 | OnboardingEventStart | K této události dochází v případě, že povolíte zpětný zápis hesla pomocí microsoft Entra Připojení a zahájili jsme registraci vaší organizace do webové služby zpětného zápisu hesla. |
| 31005 | OnboardingEventSuccess | Tato událost označuje, že proces onboardingu proběhl úspěšně a že funkce zpětného zápisu hesla je připravená k použití. |
| 31006 | ChangePasswordStart | Tato událost označuje, že místní služba zjistila žádost o změnu hesla pro federované, předávací ověřování nebo uživatele synchronizovaného pomocí hodnoty hash hesla, který pochází z cloudu. Tato událost je první událostí každé operace zpětného zápisu změn hesla. |
| 31007 | ChangePasswordSuccess | Tato událost označuje, že uživatel během operace změny hesla vybral nové heslo, zjistili jsme, že heslo splňuje požadavky podnikového hesla a že heslo bylo úspěšně zapsáno zpět do místního prostředí Active Directory. |
| 31008 | ChangePasswordFail | Tato událost označuje, že uživatel vybral heslo a že heslo bylo úspěšně doručeno do místního prostředí, ale když jsme se pokusili nastavit heslo v místním prostředí Active Directory, došlo k chybě. K tomuto selhání může dojít z několika důvodů:
|
| 31009 | ResetUserPasswordBy Správa Start | Místní služba zjistila žádost o resetování hesla pro federované, předávací ověřování nebo uživatele synchronizovaného pomocí hodnoty hash hesla pocházejícího od správce jménem uživatele. Tato událost je první událostí při každé operaci zpětného zápisu resetování hesla, kterou inicioval správce. |
| 31010 | ResetUserPasswordBy Správa Success | Správce během operace resetování hesla iniciované správcem vybral nové heslo. Zjistili jsme, že toto heslo splňuje požadavky na firemní heslo. Heslo bylo úspěšně zapsáno zpět do místního prostředí služby Active Directory. |
| 31011 | ResetUserPasswordBy Správa Fail | Správce vybral heslo jménem uživatele. Heslo bylo úspěšně doručeno do místního prostředí. Ale když jsme se pokusili nastavit heslo v místním prostředí Active Directory, došlo k chybě. K tomuto selhání může dojít z několika důvodů:
|
| 31012 | OffboardingEventStart | K této události dochází v případě, že zakážete zpětný zápis hesla pomocí microsoft Entra Připojení a indikuje, že jsme zahájili offboarding vaší organizace do webové služby zpětného zápisu hesla. |
| 31013 | OffboardingEventSuccess | Tato událost označuje, že proces offboardingu byl úspěšný a že funkce zpětného zápisu hesla byla úspěšně zakázána. |
| 31014 | OffboardingEventFail | Tato událost označuje, že proces odpojování nebyl úspěšný. Příčinou může být chyba oprávnění v cloudovém nebo místním účtu správce zadaném během konfigurace. K chybě může dojít také v případě, že se při zakazování zpětného zápisu hesla pokoušíte použít globálního správce federovaného cloudu. Pokud chcete tento problém vyřešit, zkontrolujte oprávnění správce a ujistěte se, že při konfiguraci funkce zpětného zápisu hesla nepoužíváte federovaný účet. |
| 31015 | WriteBackServiceStarted | Tato událost označuje, že služba zpětného zápisu hesla byla úspěšně spuštěna. Je připravený přijímat žádosti o správu hesel z cloudu. |
| 31016 | WriteBackServiceStopped | Tato událost označuje, že služba zpětného zápisu hesla byla zastavena. Všechny žádosti o správu hesel z cloudu nebudou úspěšné. |
| 31017 | AuthTokenSuccess | Tato událost udává, že jsme úspěšně načetli autorizační token globálního Správa istratoru zadaného během instalace microsoft Entra Připojení, aby se spustil proces odpojování nebo registrace. |
| 31018 | KeyPairCreationSuccess | Tato událost značí, že jsme úspěšně vytvořili šifrovací klíč hesla. Tento klíč slouží k šifrování hesel z cloudu, která se mají posílat do vašeho místního prostředí. |
| 31019 | ServiceBusHeartBeat | Tato událost značí, že jsme úspěšně odeslali požadavek na instanci služby Service Bus vašeho tenanta. |
| 31034 | ServiceBusListenerError | Tato událost označuje, že došlo k chybě při připojování k naslouchacímu procesu služby Service Bus vašeho tenanta. Pokud chybová zpráva obsahuje "Vzdálený certifikát je neplatný", ujistěte se, že váš server Microsoft Entra Připojení má všechny požadované kořenové certifikační autority, jak je popsáno v změnách certifikátu Azure TLS. |
| 31044 | PasswordResetService | Tato událost označuje, že zpětný zápis hesla nefunguje. Service Bus naslouchá požadavkům na dvou samostatných přenosech kvůli redundanci. Každé předávací připojení spravuje jedinečný hostitel služeb. Klient zpětného zápisu vrátí chybu, pokud některý z hostitelů služeb není spuštěný. |
| 32000 | Neznámá chyba | Tato událost značí, že během operace správy hesel došlo k neznámé chybě. Další podrobnosti najdete v textu výjimky v události. Pokud máte problémy, zkuste zakázat a znovu povolit zpětný zápis hesla. Pokud to nepomůže, zahrňte kopii protokolu událostí spolu s ID sledování, které jste zadali při otevření žádosti o podporu. |
| 32001 | Chyba služby | Tato událost značí, že došlo k chybě při připojování ke službě cloudového resetování hesla. K této chybě obvykle dochází v případě, že se místní služba nemohla připojit k webové službě pro resetování hesla. |
| 32002 | ServiceBusError | Tato událost značí, že došlo k chybě při připojování k instanci služby Service Bus vašeho tenanta. K tomu může dojít, pokud blokujete odchozí připojení ve vašem místním prostředí. Zkontrolujte bránu firewall a ujistěte se, že povolíte připojení přes protokol TCP 443 a pak https://ssprdedicatedsbprodncu.servicebus.windows.netto zkuste znovu. Pokud stále máte problémy, zkuste zakázat a znovu povolit zpětný zápis hesla. |
| 32003 | InPutValidationError | Tato událost označuje, že vstup předaný rozhraní API webové služby je neplatný. Zkuste operaci provést znovu. |
| 32004 | DecryptionError | Tato událost označuje, že došlo k chybě při dešifrování hesla, které přišlo z cloudu. Příčinou může být neshoda dešifrovacího klíče mezi cloudovou službou a místním prostředím. Pokud chcete tento problém vyřešit, zakažte a znovu povolte zpětný zápis hesla v místním prostředí. |
| 32005 | Chyba konfigurace | Během onboardingu ukládáme informace specifické pro tenanta do konfiguračního souboru ve vašem místním prostředí. Tato událost označuje, že při ukládání tohoto souboru došlo k chybě nebo že při spuštění služby došlo k chybě při čtení souboru. Pokud chcete tento problém vyřešit, zkuste zakázat a znovu povolit zpětný zápis hesla, aby se vynutil přepsání konfiguračního souboru. |
| 32007 | OnBoardingConfigUpdateError | Během onboardingu odesíláme data z cloudu do místní služby resetování hesla. Tato data se pak zapíšou do souboru v paměti, než se odešlou do synchronizační služby, aby byla bezpečně uložena na disku. Tato událost označuje, že došlo k potížím s zápisem nebo aktualizací těchto dat v paměti. Pokud chcete tento problém vyřešit, zkuste zakázat a znovu povolit zpětný zápis hesla, aby se vynutil přepsání tohoto konfiguračního souboru. |
| 32008 | Validationerror | Tato událost udává, že jsme dostali neplatnou odpověď z webové služby pro resetování hesla. Pokud chcete tento problém vyřešit, zkuste zakázat a znovu povolit zpětný zápis hesla. |
| 32009 | AuthTokenError | Tato událost značí, že se nám nepodařilo získat autorizační token pro účet globálního správce zadaný během instalace Microsoft Entra Připojení. Příčinou této chyby může být chybné uživatelské jméno nebo heslo zadané pro účet Globální Správa istrator. K této chybě může dojít také v případě, že je federovaný účet globálního Správa istratoru. Pokud chcete tento problém vyřešit, spusťte znovu konfiguraci se správným uživatelským jménem a heslem a ujistěte se, že je správce spravovaný (jenom cloudový nebo synchronizovaný) účet. |
| 32010 | CryptoError | Tato událost značí, že došlo k chybě při generování šifrovacího klíče hesla nebo dešifrování hesla, které přichází z cloudové služby. Tato chyba pravděpodobně značí problém s vaším prostředím. Další informace o řešení tohoto problému najdete v podrobnostech protokolu událostí. Můžete také zkusit zakázat a znovu povolit službu zpětného zápisu hesla. |
| 32011 | OnBoardingServiceError | Tato událost značí, že místní služba nemohla správně komunikovat s webovou službou pro resetování hesla, aby se zahájil proces onboardingu. K tomu může dojít v důsledku pravidla brány firewall nebo v případě problému se získáním ověřovacího tokenu pro vašeho tenanta. Chcete-li tento problém vyřešit, ujistěte se, že neblokujete odchozí připojení přes tcp 443 a TCP 9350-9354 nebo do https://ssprdedicatedsbprodncu.servicebus.windows.net. Ujistěte se také, že účet správce Microsoft Entra, který používáte k onboardingu, není federovaný. |
| 32013 | OffBoardingError | Tato událost udává, že místní služba nemohla správně komunikovat s webovou službou pro resetování hesla, aby se zahájil proces offboardingu. K tomu může dojít v důsledku pravidla brány firewall nebo v případě problému se získáním autorizačního tokenu pro vašeho tenanta. Pokud chcete tento problém vyřešit, ujistěte se, že neblokujete odchozí připojení přes 443 nebo do https://ssprdedicatedsbprodncu.servicebus.windows.neta že účet správce Microsoft Entra, který používáte k offboardingu, není federovaný. |
| 32014 | ServiceBusWarning | Tato událost značí, že jsme se museli zkusit znovu připojit k instanci služby Service Bus vašeho tenanta. Za normálních podmínek by to nemělo být problém, ale pokud se tato událost často zobrazuje, zvažte kontrolu síťového připojení ke službě Service Bus, zejména pokud se jedná o připojení s vysokou latencí nebo nízkou šířkou pásma. |
| 32015 | ReportServiceHealthError | Abychom mohli monitorovat stav služby zpětného zápisu hesla, odesíláme do webové služby resetování hesla každých pět minut data prezenčních signálů. Tato událost označuje, že při odesílání těchto informací o stavu zpět do cloudové webové služby došlo k chybě. Tyto informace o stavu nezahrnují žádné osobní údaje a jsou čistě prezenčních signálů a základní statistiky služeb, abychom mohli poskytovat informace o stavu služby v cloudu. |
| 33001 | ADUnKnownError | Tato událost označuje, že služba Active Directory vrátila neznámou chybu. Další informace najdete v protokolu událostí serveru Microsoft Entra Připojení ze zdroje ADSync. |
| 33002 | ADUserNotFoundError | Tato událost označuje, že uživatel, který se pokouší resetovat nebo změnit heslo, nebyl v místním adresáři nalezen. K této chybě může dojít v případě, že uživatel byl odstraněn místně, ale ne v cloudu. K této chybě může dojít také v případě, že dojde k potížím se synchronizací. Další informace najdete v protokolech synchronizace a v podrobnostech o posledním spuštění synchronizace. |
| 33003 | ADMutliMatchError | Když resetování hesla nebo žádost o změnu pochází z cloudu, použijeme cloudové ukotvení zadané během procesu nastavení microsoft Entra Připojení k určení, jak tuto žádost propojit zpět s uživatelem v místním prostředí. Tato událost označuje, že jsme našli dva uživatele ve vašem místním adresáři se stejným atributem cloudového ukotvení. Další informace najdete v protokolech synchronizace a v podrobnostech o posledním spuštění synchronizace. |
| 33004 | ADPermissionsError | Tato událost označuje, že účet služby Active Directory Management Agent (ADMA) nemá příslušná oprávnění k danému účtu pro nastavení nového hesla. Ujistěte se, že účet ADMA v doménové struktuře uživatele má oprávnění k resetování hesla pro všechny objekty v doménové struktuře. Další informace o nastavení oprávnění najdete v kroku 4: Nastavení příslušných oprávnění služby Active Directory. K této chybě může dojít také v případě, že atribut uživatele Správa Count je nastaven na hodnotu 1. |
| 33005 | ADUserAccountDisabled | Tato událost značí, že jsme se pokusili resetovat nebo změnit heslo pro účet, který byl místně zakázaný. Povolte účet a zkuste operaci zopakovat. |
| 33006 | ADUserAccountLockedOut | Tato událost značí, že jsme se pokusili resetovat nebo změnit heslo pro účet, který byl místně uzamčený. Uzamčení může nastat, když uživatel zkusil operaci změny nebo resetování hesla příliš mnohokrát za krátkou dobu. Odemkněte účet a zkuste operaci zopakovat. |
| 33007 | ADUserIncorrectPassword | Tato událost označuje, že uživatel při provádění operace změny hesla zadal nesprávné aktuální heslo. Zadejte správné aktuální heslo a zkuste to znovu. |
| 33008 | ADPasswordPolicyError | K této události dochází, když se služba zpětného zápisu hesla pokusí nastavit heslo v místním adresáři, který nesplňuje požadavky na stáří, historii, složitost nebo filtrování hesla domény. Pokud máte minimální věk hesla a nedávno jste změnili heslo v daném časovém intervalu, nebudete moct heslo znovu změnit, dokud nedosáhne zadaného věku ve vaší doméně. Pro účely testování by měl být minimální věk nastaven na 0. Pokud máte povolené požadavky na historii hesel, musíte vybrat heslo, které se v posledních N časech nepoužilo, kde N je nastavení historie hesel. Pokud vyberete heslo, které bylo použito v posledních N časech, zobrazí se v tomto případě chyba. Pro účely testování by měla být historie hesel nastavená na hodnotu 0. Pokud máte požadavky na složitost hesla, vynucují se všechny, když se uživatel pokusí změnit nebo resetovat heslo. Pokud máte povolené filtry hesel a uživatel vybere heslo, které nesplňuje kritéria filtrování, operace resetování nebo změny se nezdaří. |
| 33009 | AdConfigurationError | Tato událost značí, že došlo k potížím při zápisu hesla zpět do místního adresáře kvůli potížím s konfigurací služby Active Directory. Další informace o tom, ke které chybě došlo, najdete v protokolu událostí aplikace na počítači Microsoft Entra Připojení zprávy ze služby ADSync. |
Znaky organizační jednotky rezervované zpětným zápisem hesla
Následující tabulka uvádí rezervované znaky, které brání zpětnému zápisu hesla. Pokud se tyto znaky zobrazí ve vaší místní organizační jednotce (OU), může zpětný zápis hesla selhat s ID události 33001.
| Vyhrazený znak | Popis | Šestnáctkové hodnoty |
|---|---|---|
| mezera nebo znak # na začátku řetězce | ||
| znak mezery na konci řetězce | ||
| , | Čárka | 0x2C |
| + | znaménko plus | 0x2B |
| " | Uvozovky | 0x22 |
| \ | zpětné lomítko | 0x5C |
| < | levý úhel závorka | 0x3C |
| > | pravá závorka | 0x3E |
| ; | Středník | 0x3B |
| LF | odřádkování | 0x0A |
| CR | návrat na začátek řádku | 0x0D |
| = | rovnítko | 0x3D |
| / | Lomítko | 0x2F |
Fóra Microsoft Entra
Pokud máte obecné dotazy týkající se Microsoft Entra ID a samoobslužného resetování hesla, můžete komunitu požádat o pomoc na stránce otázek Microsoft Q&A pro Microsoft Entra ID. Mezi členy komunity patří inženýři, produktoví manažeři, MVP a kolegové IT specialisté.
Kontaktujte podporu Microsoftu.
Pokud nemůžete najít odpověď na problém, jsou naše týmy podpory vždy k dispozici, aby vám pomohly dál.
Abychom vám správně pomohli, žádáme vás, abyste při otevření případu zadali co nejvíce podrobností. Mezi tyto podrobnosti patří:
- Obecný popis chyby: Jaká je chyba? Jaké bylo chování, které bylo zaznamenáno? Jak můžeme chybu reprodukovat? Uveďte co nejvíce podrobností.
- Stránka: Na jaké stránce jste byli, když jste si všimli chyby? Pokud máte možnost a snímek obrazovky se stránkou, uveďte adresu URL.
- Kód podpory: Jaký byl kód podpory, který se vygeneroval, když se uživateli zobrazila chyba?
Pokud chcete tento kód najít, reprodukujte chybu, vyberte odkaz na kód podpory v dolní části obrazovky a odešlete technika podpory identifikátor GUID, který bude výsledkem.
Pokud jste na stránce bez kódu podpory dole, vyberte klávesu F12 a vyhledejte identifikátor SID a CID a odešlete tyto dva výsledky technikovi podpory.
- Datum, čas a časové pásmo: Uveďte přesné datum a čas s časovým pásmem , ke kterému došlo k chybě.
- ID uživatele: Kdo byl uživatel, který chybu viděl? Příklad: user@contoso.com.
- Jedná se o federovaného uživatele?
- Jedná se o předávacího uživatele ověřování?
- Je to uživatel synchronizovaný pomocí hodnoty hash hesla?
- Jedná se o výhradně cloudového uživatele?
- Licencování: Má uživatel přiřazenou licenci Microsoft Entra ID?
- Protokol událostí aplikace: Pokud používáte zpětný zápis hesla a chyba je ve vaší místní infrastruktuře, zahrňte zkomprimovanou kopii protokolu událostí aplikace ze serveru Microsoft Entra Připojení.
Další kroky
Další informace o samoobslužné resetování hesla najdete v tématu Jak to funguje: Samoobslužné resetování hesla Microsoft Entra nebo Jak funguje zpětný zápis samoobslužného resetování hesla v Microsoft Entra ID?.