Share via

Řešení potíží: Místní ochrana heslem Microsoft Entra

  • Článek

Po nasazení služby Microsoft Entra Password Protection může být potřeba řešit potíže. Tento článek podrobně popisuje některé běžné kroky pro řešení potíží.

Agent řadiče domény nemůže v adresáři najít proxy server.

Hlavním příznakem tohoto problému jsou události 30017 v agentu DC Správa protokolu událostí.

Obvyklou příčinou tohoto problému je, že proxy server ještě není zaregistrovaný. Pokud je proxy server zaregistrovaný, může dojít k určitému zpoždění kvůli latenci replikace SLUŽBY AD, dokud konkrétní agent řadiče domény neuvidí tento proxy server.

Agent řadiče domény nemůže komunikovat s proxy serverem.

Hlavním příznakem tohoto problému jsou události 30018 v agentu DC Správa protokolu událostí. Tento problém může mít několik možných příčin:

  1. Agent řadiče domény se nachází v izolované části sítě, která neumožňuje síťové připojení k registrovaným proxy serverům. Tento problém může být neškodný, pokud ostatní agenti řadiče domény můžou komunikovat s proxy servery za účelem stažení zásad hesel z Azure. Po stažení pak tyto zásady získá izolovaný řadič domény prostřednictvím replikace souborů zásad ve sdílené složce sysvol.

  2. Hostitelský počítač proxy serveru blokuje přístup ke koncovému bodu mapování rpc (port 135).

    Instalační program proxy služby Microsoft Entra Password Protection automaticky vytvoří příchozí pravidlo brány Windows Firewall, které umožňuje přístup k portu 135. Pokud se toto pravidlo později odstraní nebo zakáže, agenti řadiče domény nebudou moct komunikovat se službou Proxy. Pokud je integrovaná brána Windows Firewall zakázaná místo jiného produktu brány firewall, musíte tuto bránu firewall nakonfigurovat tak, aby umožňovala přístup k portu 135.

  3. Hostitelský počítač proxy serveru blokuje přístup ke koncovému bodu RPC (dynamický nebo statický) naslouchaný službou proxy serveru.

    Instalační program proxy serveru služby Microsoft Entra Password Protection automaticky vytvoří příchozí pravidlo brány Windows Firewall, které umožňuje přístup ke všem příchozím portům naslouchaným službou Proxy služby Microsoft Entra Password Protection. Pokud se toto pravidlo později odstraní nebo zakáže, agenti řadiče domény nebudou moct komunikovat se službou Proxy. Pokud je předdefinovaná brána Windows Firewall zakázaná místo jiného produktu brány firewall, musíte tuto bránu firewall nakonfigurovat tak, aby umožňovala přístup ke všem příchozím portům naslouchaným službou Proxy služby Microsoft Entra Password Protection. Tato konfigurace může být konkrétnější, pokud je služba proxy nakonfigurovaná tak, aby naslouchala na konkrétním statickém portu RPC (pomocí rutiny Set-AzureADPasswordProtectionProxyConfiguration ).

  4. Hostitelský počítač proxy serveru není nakonfigurovaný tak, aby řadičům domény umožňoval přihlášení k počítači. Toto chování se řídí přiřazením oprávnění uživatele Přístup k tomuto počítači ze sítě. Toto oprávnění musí mít udělené všechny řadiče domény ve všech doménách v doménové struktuře. Toto nastavení je často omezené v rámci rozsáhlejšího úsilí o posílení zabezpečení sítě.

Proxy služba nemůže komunikovat s Azure

  1. Ujistěte se, že má proxy počítač připojení ke koncovým bodům uvedeným v požadavcích nasazení.

  2. Ujistěte se, že doménová struktura a všechny proxy servery jsou zaregistrované ve stejném tenantovi Azure.

    Tento požadavek můžete zkontrolovat spuštěním Get-AzureADPasswordProtectionProxy rutin PowerShellu a Get-AzureADPasswordProtectionDCAgent následným porovnáním AzureTenant vlastnosti každé vrácené položky. Pro správnou operaci musí být název hlášeného tenanta stejný pro všechny agenty řadiče domény a proxy servery.

    Pokud existuje podmínka neshody registrace tenanta Azure, můžete tento problém vyřešit spuštěním rutin PowerShellu Register-AzureADPasswordProtectionProxy podle Register-AzureADPasswordProtectionForest potřeby. Ujistěte se, že pro všechny registrace používáte přihlašovací údaje ze stejného tenanta Azure.

Agent dc nemůže šifrovat nebo dešifrovat soubory zásad hesel

Ochrana heslem Microsoft Entra má důležitou závislost na funkci šifrování a dešifrování poskytované službou Distribuce klíčů Společnosti Microsoft. Selhání šifrování nebo dešifrování se můžou projevit různými příznaky a mohou mít několik potenciálních příčin.

  1. Ujistěte se, že je služba KDS povolená a funkční na všech řadičích domény s Windows Serverem 2012 a novějším v doméně.

    Ve výchozím nastavení je režim spuštění služby služby KDS nakonfigurovaný jako ruční (spuštění triggeru). Tato konfigurace znamená, že když se klient poprvé pokusí službu použít, spustí se na vyžádání. Tento výchozí režim spuštění služby je přijatelný pro fungování microsoft Entra Password Protection.

    Pokud je režim spuštění služby KDS nakonfigurovaný na zakázáno, je nutné tuto konfiguraci opravit, aby služba Microsoft Entra Password Protection správně fungovala.

    Jednoduchým testem tohoto problému je ruční spuštění služby KDS prostřednictvím konzoly MMC pro správu služeb nebo pomocí jiných nástrojů pro správu (například spuštění příkazu net start kdssvc z konzoly příkazového řádku). Očekává se, že se služba KDS úspěšně spustí a zůstane spuštěná.

    Nejběžnější hlavní příčinou nemožnosti spuštění služby KDS je to, že se objekt řadiče domény služby Active Directory nachází mimo výchozí organizační jednotku řadiče domény. Tato konfigurace není podporována službou KDS a není omezením, které microsoft Entra Password Protection ukládá. Oprava této podmínky spočívá v přesunutí objektu řadiče domény do umístění pod výchozí organizační jednotkou řadičů domény.

  2. Změna nekompatibilního formátu vyrovnávací paměti KDS z Windows Serveru 2012 R2 na Windows Server 2016

    Oprava zabezpečení KDS byla zavedena ve Windows Serveru 2016, která upravuje formát šifrovaných vyrovnávacích pamětí KDS; tyto vyrovnávací paměti se někdy nepodaří dešifrovat ve Windows Serveru 2012 a Windows Serveru 2012 R2. Opačný směr je v pořádku – vyrovnávací paměti, které jsou šifrované KDS ve Windows Serveru 2012 a Windows Serveru 2012 R2, budou vždy úspěšně dešifrovány ve Windows Serveru 2016 a novějším. Pokud řadiče domény ve vašich doménách služby Active Directory používají kombinaci těchto operačních systémů, může být hlášeno občas selhání dešifrování služby Microsoft Entra Password Protection. Vzhledem k povaze opravy zabezpečení není možné přesně předpovědět načasování nebo příznaky těchto selhání, a vzhledem k tomu, že není deterministické, na kterém řadiči domény bude v daném okamžiku šifrovat data agenta řadiče domény Microsoft Entra Password Protection DC.

    Neexistuje žádné alternativní řešení tohoto problému, než nespouštět kombinaci těchto nekompatibilních operačních systémů v doménách služby Active Directory. Jinými slovy, měli byste spouštět jenom řadiče domény s Windows Serverem 2012 a Windows Serverem 2012 R2 nebo byste měli používat jenom Windows Server 2016 a vyšší.

Agent DC si myslí, že doménová struktura není zaregistrovaná.

Příznakem tohoto problému jsou události 30016, které se protokolují v kanálu DC Agent\Správa, který částečně říká:

The forest has not been registered with Azure. Password policies cannot be downloaded from Azure unless this is corrected.

Tento problém může způsobovat dvě příčiny.

  1. Doménová struktura nebyla skutečně zaregistrována. Pokud chcete tento problém vyřešit, spusťte příkaz Register-AzureADPasswordProtectionForest, jak je popsáno v požadavcích nasazení.
  2. Doménová struktura je zaregistrovaná, ale agent řadiče domény nemůže dešifrovat data registrace doménové struktury. Tento případ má stejnou hlavní příčinu jako problém č. 2 uvedený výše v agentu dc nemůže zašifrovat nebo dešifrovat soubory zásad hesel. Jednoduchý způsob, jak tuto teorii potvrdit, je, že se tato chyba zobrazí pouze u agentů řadiče domény se systémem Windows Server 2012 nebo Windows Server 2012R2, zatímco agenti řadiče domény řadiče domény se systémem Windows Server 2016 a novější jsou v pořádku. Alternativní řešení je stejné: Upgradujte všechny řadiče domény na Windows Server 2016 nebo novější.

Slabá hesla se přijímají, ale neměla by být

Tento problém může mít několik příčin.

  1. Agenti řadiče domény používají verzi public preview softwaru, která vypršela. Viz Software agenta DC verze Public Preview vypršel.

  2. Agenti řadiče domény nemůžou stáhnout zásadu nebo nemůžou dešifrovat existující zásady. Zkontrolujte možné příčiny v předchozích tématech.

  3. Režim Vynucení zásad hesel je stále nastavený na Audit. Pokud je tato konfigurace platná, překonfigurujte ji tak, aby se vynucuje pomocí portálu Microsoft Entra Password Protection. Další informace naleznete v tématu Režimy operace.

  4. Zásady hesel byly zakázány. Pokud se tato konfigurace projeví, překonfigurujte ji tak, aby byla povolená pomocí portálu Microsoft Entra Password Protection. Další informace naleznete v tématu Režimy operace.

  5. Nenainstalovali jste software agenta řadiče domény na všechny řadiče domény v doméně. V této situaci je obtížné zajistit, aby vzdálení klienti Windows během operace změny hesla cílili na konkrétní řadič domény. Pokud si myslíte, že jste úspěšně cílili na konkrétní řadič domény, kde je nainstalovaný software agenta DC, můžete ověřit dvojitou kontrolou protokolu událostí správce agenta DC: bez ohledu na výsledek bude existovat alespoň jedna událost, která dokumentuje výsledek ověření hesla. Pokud neexistuje žádná událost pro uživatele, jehož heslo se změnilo, změna hesla byla pravděpodobně zpracována jiným řadičem domény.

    Jako alternativní test zkuste nastavit\změnit hesla při přihlášení přímo do řadiče domény, kde je nainstalovaný software agenta DC. Tato technika se nedoporučuje pro produkční domény služby Active Directory.

    I když se v souladu s těmito omezeními podporuje přírůstkové nasazení softwaru agenta DC, Microsoft důrazně doporučuje, aby se software agenta DC nainstaloval na všechny řadiče domény v doméně co nejdříve.

  6. Ověřovací algoritmus hesla může ve skutečnosti fungovat podle očekávání. Podívejte se, jak se vyhodnocují hesla.

Ntdsutil.exe se nepodaří nastavit slabé heslo DSRM

Služba Active Directory vždy ověří nové heslo režimu opravy adresářových služeb, aby se zajistilo, že splňuje požadavky na složitost hesla domény; toto ověření také volá knihovny DLL filtru hesel, jako je Microsoft Entra Password Protection. Pokud se nové heslo DSRM odmítne, zobrazí se následující chybová zpráva:

C:\>ntdsutil.exe
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server null
Please type password for DS Restore Mode Administrator Account: ********
Please confirm new password: ********
Setting password failed.
        WIN32 Error Code: 0xa91
        Error Message: Password doesn't meet the requirements of the filter dll's

Když Microsoft Entra Password Protection zaznamená události protokolu událostí ověření hesla pro heslo služby Active Directory DSRM, očekává se, že zprávy protokolu událostí nebudou obsahovat uživatelské jméno. K tomuto chování dochází, protože účet DSRM je místní účet, který není součástí skutečné domény služby Active Directory.

Povýšení repliky řadiče domény selže kvůli slabému heslu DSRM

Během procesu povýšení řadiče domény se nové heslo režimu opravy adresářových služeb odešle do existujícího řadiče domény v doméně k ověření. Pokud se nové heslo DSRM odmítne, zobrazí se následující chybová zpráva:

Install-ADDSDomainController : Verification of prerequisites for Domain Controller promotion failed. The Directory Services Restore Mode password does not meet a requirement of the password filter(s). Supply a suitable password.

Stejně jako v předchozím problému bude mít každá událost výsledku ověření hesla Microsoft Entra Password Protection prázdná uživatelská jména pro tento scénář.

Degradace řadiče domény se nezdaří kvůli slabému místnímu Správa istratoru

Podporuje se snížení úrovně řadiče domény, na kterém stále běží software agenta řadiče domény. Správa istrátory by však měli vědět, že software agenta DC nadále vynucuje aktuální zásady hesel během postupu degradace. Nové heslo účtu místního Správa istratoru (zadané jako součást operace degradace) se ověří stejně jako jakékoli jiné heslo. Microsoft doporučuje zvolit zabezpečená hesla pro místní účty Správa istrator jako součást postupu snížení úrovně řadiče domény.

Po úspěšném snížení úrovně a řadič domény se restartuje a znovu běží jako normální členský server, software agenta DC se vrátí do pasivního režimu. Potom se může kdykoli odinstalovat.

Spuštění do režimu opravy adresářových služeb

Pokud je řadič domény spuštěn do režimu opravy adresářových služeb, knihovna DLL filtru hesel agenta DC zjistí tuto podmínku a způsobí zakázání všech aktivit ověřování nebo vynucení hesla bez ohledu na aktuálně aktivní konfiguraci zásad. Knihovna DLL filtru hesel agenta DC zaznamená do protokolu událostí Správa upozornění 10023, například:

The password filter dll is loaded but the machine appears to be a domain controller that has been booted into Directory Services Repair Mode. All password change and set requests will be automatically approved. No further messages will be logged until after the next reboot.

Platnost softwaru agenta dc ve verzi Public Preview vypršela.

Během období veřejné verze Preview microsoft Entra Password Protection byl software agenta DC pevně zakódován tak, aby přestal zpracovávat žádosti o ověření hesla v následujících datech:

  • Verze 1.2.65.0 přestane zpracovávat žádosti o ověření hesla 1. září 2019.
  • Verze 1.2.25.0 a starší přestaly zpracovávat požadavky na ověření hesla 1. července 2019.

Jak se blíží konečný termín, všechny časově omezené verze agenta DC vygenerují událost 10021 v agentu DC Správa protokol událostí při spuštění, který vypadá takto:

The password filter dll has successfully loaded and initialized.

The allowable trial period is nearing expiration. Once the trial period has expired, the password filter dll will no longer process passwords. Please contact Microsoft for an newer supported version of the software.

Expiration date:  9/01/2019 0:00:00 AM

This message will not be repeated until the next reboot.

Po uplynutí konečného termínu budou všechny časově omezené verze agenta DC generovat událost 10022 v agentu DC Správa protokol událostí při spuštění, který vypadá takto:

The password filter dll is loaded but the allowable trial period has expired. All password change and set requests will be automatically approved. Please contact Microsoft for a newer supported version of the software.

No further messages will be logged until after the next reboot.

Vzhledem k tomu, že konečný termín je kontrolován pouze při počátečním spuštění, nemusí se tyto události zobrazovat, dokud nedosáhl dlouho po uplynutí konečného termínu kalendáře. Jakmile bude konečný termín rozpoznán, nebudou se automaticky schvalovat žádné negativní účinky na řadič domény nebo větší prostředí, než jsou všechna hesla.

Důležité

Microsoft doporučuje, aby agenti řadiče domény s vypršenou platností verze Public Preview okamžitě upgradovali na nejnovější verzi.

Snadný způsob, jak zjistit agenty řadiče domény ve vašem prostředí, které je potřeba upgradovat, je spuštěním rutiny Get-AzureADPasswordProtectionDCAgent , například:

PS C:\> Get-AzureADPasswordProtectionDCAgent

ServerFQDN            : bpl1.bpl.com
SoftwareVersion       : 1.2.125.0
Domain                : bpl.com
Forest                : bpl.com
PasswordPolicyDateUTC : 8/1/2019 9:18:05 PM
HeartbeatUTC          : 8/1/2019 10:00:00 PM
AzureTenant           : bpltest.onmicrosoft.com

V tomto tématu je pole SoftwareVersion zřejmě klíčovou vlastností, na kterou se chcete podívat. Filtrováním PowerShellu můžete také vyfiltrovat agenty řadiče domény, kteří už jsou na požadované základní verzi nebo vyšší, například:

PS C:\> $LatestAzureADPasswordProtectionVersion = "1.2.125.0"
PS C:\> Get-AzureADPasswordProtectionDCAgent | Where-Object {$_.SoftwareVersion -lt $LatestAzureADPasswordProtectionVersion}

Software Proxy ochrany heslem společnosti Microsoft Entra není v žádné verzi časově omezený. Microsoft stále doporučuje, aby agenti řadiče domény a proxy serveru upgradovali na nejnovější verze, jak jsou vydány. Rutina Get-AzureADPasswordProtectionProxy se může použít k vyhledání agentů proxy, kteří vyžadují upgrady, podobně jako v příkladu výše pro agenty řadiče domény.

Další podrobnosti o konkrétních postupech upgradu najdete v tématu Upgrade agenta řadiče domény a upgrade služby Proxy.

Náprava tísňového volání

Pokud dojde k situaci, kdy služba agenta řadiče domény způsobuje problémy, může být služba agenta řadiče domény okamžitě vypnuta. Knihovna DLL filtru hesel agenta DC se stále pokouší volat neběžnou službu a bude protokolovat události upozornění (10012, 10013), ale všechna příchozí hesla se během této doby přijímají. Službu agenta ŘADIČE domény je pak možné nakonfigurovat také prostřednictvím Správce řízení služeb systému Windows s typem spuštění Zakázáno podle potřeby.

Další mírou nápravy by bylo nastavení režimu povolit na portálu Microsoft Entra Password Protection na Hodnotu Ne. Jakmile se aktualizovaná zásada stáhne, každá služba agenta řadiče domény přejde do režimu nedostupného stavu, kde se všechna hesla přijímají tak, jak jsou. Další informace naleznete v tématu Režimy operace.

Odstranění

Pokud se rozhodnete odinstalovat software ochrany heslem Microsoft Entra a vyčistit veškerý související stav z domén a doménové struktury, můžete tuto úlohu provést pomocí následujícího postupu:

Důležité

Tyto kroky je důležité provést v pořadí. Pokud je nějaká instance proxy služby spuštěná, bude pravidelně znovu vytvářet její službu Připojení ionPoint objektu. Pokud je nějaká instance služby agenta řadiče domény spuštěná, bude pravidelně znovu vytvářet její službu Připojení ionPoint a stav sysvol.

  1. Odinstalujte proxy software ze všech počítačů. Tento krok nevyžaduje restartování.

  2. Odinstalujte software agenta řadiče domény ze všech řadičů domény. Tento krok vyžaduje restartování.

  3. Ručně odeberte všechny spojovací body služby Proxy v každém kontextu pojmenování domény. Umístění těchto objektů může být zjištěno pomocí následujícího příkazu PowerShellu služby Active Directory:

    $scp = "serviceConnectionPoint"
$keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    Na konci hodnoty proměnné $keywords nepoužívejte hvězdičku (*).

    Výsledné objekty nalezené příkazem Get-ADObject se pak dají předvést nebo Remove-ADObjectodstranit ručně.

  4. Ručně odeberte všechny spojovací body agenta řadiče domény v každém kontextu pojmenování domény. V závislosti na tom, jak široce byl software nasazený, může existovat jeden z těchto objektů na řadič domény v doménové struktuře. Umístění tohoto objektu může být zjištěno pomocí následujícího příkazu PowerShellu služby Active Directory:

    $scp = "serviceConnectionPoint"
$keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    Výsledné objekty nalezené příkazem Get-ADObject se pak dají předvést nebo Remove-ADObjectodstranit ručně.

    Na konci hodnoty proměnné $keywords nepoužívejte hvězdičku (*).

  5. Ručně odeberte stav konfigurace na úrovni doménové struktury. Stav konfigurace doménové struktury se udržuje v kontejneru v kontextu pojmenování konfigurace služby Active Directory. Lze ho zjistit a odstranit následujícím způsobem:

    $passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
Remove-ADObject -Recursive $passwordProtectionConfigContainer

  6. Ručně odeberte veškerý stav související se sysvol ručním odstraněním následující složky a veškerého jejího obsahu:

    \\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtection

    V případě potřeby je možné k této cestě přistupovat také místně na daném řadiči domény; Výchozí umístění by vypadalo přibližně takto:

    %windir%\sysvol\domain\Policies\AzureADPasswordProtection

    Tato cesta se liší, pokud je sdílená složka sysvol nakonfigurovaná v jiném než výchozím umístění.

Testování stavu pomocí rutin PowerShellu

Modul PowerShellu pro AzureADPasswordProtection obsahuje dvě rutiny související se stavem, které provádějí základní ověření, že je software nainstalovaný a funkční. Tyto rutiny je vhodné spustit po nastavení nového nasazení a pak je spouštět pravidelně a při prošetřování nějakého problému.

Každý jednotlivý test stavu vrátí základní úspěšný nebo neúspěšný výsledek a volitelnou zprávu o selhání. V případech, kdy příčina selhání není jasná, vyhledejte zprávy protokolu událostí chyb, které můžou chybu vysvětlit. Povolení zpráv v textovém protokolu může být také užitečné. Další podrobnosti najdete v tématu Monitorování ochrany heslem Microsoft Entra.

Testování stavu proxy serveru

Rutina Test-AzureADPasswordProtectionProxyHealth podporuje dva testy stavu, které je možné spouštět jednotlivě. Třetí režim umožňuje spouštění všech testů, které nevyžadují vstup parametrů.

Ověření registrace proxy serveru

Tento test ověří, že je agent proxy správně zaregistrovaný v Azure a že se může ověřit v Azure. Úspěšné spuštění bude vypadat takto:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Passed

Pokud se zjistí chyba, test vrátí neúspěšný výsledek a volitelnou chybovou zprávu. Tady je příklad jednoho možného selhání:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Failed No proxy certificates were found - please run the Register-AzureADPasswordProtectionProxy cmdlet to register the proxy.

Ověření kompletního připojení k Azure pomocí proxy serveru

Tento test je nadmnožinou testu -VerifyProxyRegistration. Vyžaduje, aby byl agent proxy serveru správně zaregistrovaný v Azure, mohl se ověřit v Azure a nakonec přidá kontrolu, že se zpráva může úspěšně odeslat do Azure, čímž ověří, že úplná kompletní komunikace funguje.

Úspěšné spuštění bude vypadat takto:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyAzureConnectivity

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyAzureConnectivity Passed

Ověření proxy serveru všech testů

Tento režim umožňuje hromadně spouštět všechny testy podporované rutinou, které nevyžadují vstup parametrů. Úspěšné spuštění bude vypadat takto:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -TestAll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyTLSConfiguration  Passed
VerifyProxyRegistration Passed
VerifyAzureConnectivity Passed

Testování stavu agenta DC

Rutina Test-AzureADPasswordProtectionDCAgentHealth podporuje několik testů stavu, které je možné spouštět jednotlivě. Třetí režim umožňuje spouštění všech testů, které nevyžadují vstup parametrů.

Základní testy stavu agenta řadiče domény

Všechny následující testy je možné spouštět jednotlivě a nepřijímají parametry. Stručný popis každého testu je uveden v následující tabulce.

Test stavu agenta DC Popis
-VerifyPasswordFilterDll Ověřuje, že je knihovna DLL filtru hesel aktuálně načtena a dokáže volat službu agenta řadiče domény.
-VerifyForestRegistration Ověřuje, že doménová struktura je aktuálně zaregistrovaná.
-VerifyEncryptionDecryption Ověřuje, že základní šifrování a dešifrování funguje pomocí služby Microsoft KDS.
-VerifyDomainIsUsingDFSR Ověřuje, že aktuální doména používá dfsr pro replikaci sysvol.
-VerifyAzure Připojení ivity Ověřuje, že kompletní komunikace s Azure funguje pomocí libovolného dostupného proxy serveru.

Tady je příklad úspěšného testu -VerifyPasswordFilterDll; ostatní testy budou vypadat podobně jako při úspěchu:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyPasswordFilterDll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyPasswordFilterDll Passed

Ověření agenta DC u všech testů

Tento režim umožňuje hromadně spouštět všechny testy podporované rutinou, které nevyžadují vstup parametrů. Úspěšné spuštění bude vypadat takto:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -TestAll

DiagnosticName             Result AdditionalInfo
--------------             ------ --------------
VerifyPasswordFilterDll    Passed
VerifyForestRegistration   Passed
VerifyEncryptionDecryption Passed
VerifyDomainIsUsingDFSR    Passed
VerifyAzureConnectivity    Passed

testování Připojení ivity s využitím konkrétních proxy serverů

Řada situací při řešení potíží zahrnuje zkoumání síťového připojení mezi agenty DC a proxy servery. K dispozici jsou dva testy stavu, na které se můžete zaměřit konkrétně na tyto problémy. Tyto testy vyžadují zadání konkrétního proxy serveru.

Ověření připojení mezi agentem řadiče domény a konkrétním proxy serverem

Tento test ověří připojení přes první komunikační nohu z agenta řadiče domény k proxy serveru. Ověřuje, že proxy server přijímá volání, ale není zapojena žádná komunikace s Azure. Úspěšné spuštění vypadá takto:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Passed

Tady je příklad stavu selhání, kdy byla zastavena služba proxy serveru spuštěná na cílovém serveru:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Failed The RPC endpoint mapper on the specified proxy returned no results; please check that the proxy service is running on that server.

Ověření připojení mezi agentem DC a Azure (pomocí konkrétního proxy serveru)

Tento test ověří úplné kompletní připojení mezi agentem DC a Azure pomocí konkrétního proxy serveru. Úspěšné spuštění vypadá takto:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyAzureConnectivityViaSpecificProxy bpl2.bpl.com

DiagnosticName                          Result AdditionalInfo
--------------                          ------ --------------
VerifyAzureConnectivityViaSpecificProxy Passed

Další kroky

Nejčastější dotazy k ochraně hesel Microsoft Entra

Další informace o globálních a vlastních zakázaných seznamech hesel najdete v článku Zákaz chybných hesel.