Problembehandlung für die Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung

Dieses Thema enthält Schritte zum Behandeln von Problemen mit der Kennworthashsynchronisierung. Wenn Kennwörter nicht wie erwartet synchronisiert werden, kann dies für eine Teilmenge von Benutzern oder für alle Benutzer der Fall sein.

Verwenden Sie für die Bereitstellung von Microsoft Entra Connect mit Version 1.1.614.0 oder höher die Problembehandlungsaufgabe im Assistenten, um Probleme bei der Kennworthashsynchronisierung zu behandeln:

• Wenn das Problem darin besteht, dass gar keine Kennwörter synchronisiert werden, lesen Sie den Abschnitt Kennwörter werden nicht synchronisiert: Problembehandlung mit der Problembehandlungsaufgabe.

• Wenn Sie ein Problem mit einzelnen Objekte haben, lesen Sie den Abschnitt Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit der Problembehandlungsaufgabe.

Für die Bereitstellung mit Version 1.1.524.0 oder höher gibt es nun ein Diagnose-Cmdlet, mit dem Sie Probleme bei der Kennworthashsynchronisierung behandeln können:

• Wenn das Problem darin besteht, dass gar keine Kennwörter synchronisiert werden, lesen Sie den Abschnitt Kennwörter werden nicht synchronisiert: Problembehandlung mit dem Diagnose-Cmdlet.

• Wenn Sie ein Problem mit einzelnen Objekte haben, lesen Sie den Abschnitt Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit dem Diagnose-Cmdlet.

Für ältere Versionen der Microsoft Entra Connect-Bereitstellung gilt:

• Wenn das Problem darin besteht, dass gar keine Kennwörter synchronisiert werden, lesen Sie den Abschnitt Kennwörter werden nicht synchronisiert: Schritte zur manuellen Problembehandlung.

• Wenn Sie ein Problem mit einzelnen Objekte haben, lesen Sie den Abschnitt Ein einzelnes Objekt synchronisiert keine Kennwörter: Schritte zur manuellen Problembehandlung.

Kennwörter werden nicht synchronisiert: Problembehandlung mit der Problembehandlungsaufgabe

Mithilfe der Problembehandlungsaufgabe können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Die Problembehandlungsaufgabe ist nur fürMicrosoft Entra Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen der Problembehandlungsaufgabe

So behandeln Sie Probleme für den Fall, dass keine Kennwörter synchronisiert werden:

1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

3. Starten Sie den Microsoft Entra Connect-Assistenten.

4. Navigieren Sie zur Seite Weitere Aufgaben, wählen Sie Problembehandlung, und klicken Sie auf Weiter.

5. Klicken Sie auf der Seite „Problembehandlung“ auf Starten, um das Menü zur Problembehandlung in PowerShell zu starten.

6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennworthashsynchronisierung.

7. Wählen Sie im Untermenü Die Kennworthashsynchronisierung funktioniert überhaupt nicht.

Grundlegendes zu den Ergebnissen der Problembehandlungsaufgabe

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

• Überprüft, ob die Kennworthashsynchronisierungsfunktion für Ihren Microsoft Entra-Mandanten aktiviert ist.

• Überprüft, ob sich der Microsoft Entra Connect-Server im Stagingmodus befindet.

• Bei jedem vorhandenen lokalen Active Directory-Connector (entsprechend einer vorhandenen Active Directory-Gesamtstruktur):

  • Überprüft, ob die Kennworthashsynchronisierungsfunktion aktiviert ist.

  • Sucht nach Kennworthashsynchronisierungs-Taktereignissen in den Windows-Anwendungsereignisprotokollen.

  • Bei jeder Active Directory-Domäne unter dem lokalen Active Directory-Connector:

    • Überprüft, ob die Domäne über den Microsoft Entra Connect-Server erreichbar ist.

    • Überprüft, ob der Benutzername, das Kennwort und die für die Kennworthashsynchronisierung erforderlichen Berechtigungen für die AD DS-Konten (Active Directory Domain Services), die vom lokalen Active Directory-Connector verwendet werden, korrekt sind.

Die folgende Abbildung zeigt die Ergebnisse des Cmdlets für eine einzelne Domäne in einer lokalen Active Directory-Topologie:

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die von der Aufgabe zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Kennwort-Hashsynchronisierungs-Feature ist nicht aktiviert

Wenn Sie die Kennworthashsynchronisierung mithilfe des Microsoft Entra Connect-Assistenten nicht aktiviert haben, wird folgende Fehlermeldung zurückgegeben:

Microsoft Entra Connect-Server befindet sich im Stagingmodus

Wenn sich der Microsoft Entra Connect-Server im Stagingmodus befindet, ist die Kennworthashsynchronisierung vorübergehend deaktiviert, und folgende Fehlermeldung wird zurückgegeben:

Keine Kennworthashsynchronisierungs-Taktereignisse

Jeder lokale Active Directory-Connector ist mit einem eigenen Kennworthashsynchronisierungskanal ausgestattet. Wenn der Kennworthashsynchronisierungs-Kanal eingerichtet ist und keine Kennwortänderungen synchronisiert werden, wird alle 30 Minuten ein Taktereignis (EventId 654) unter dem Windows-Anwendungsereignisprotokoll generiert. Bei jedem lokalen Active Directory-Connector sucht das Cmdlet für die letzten drei Stunden nach entsprechenden Taktereignissen. Wenn kein Taktereignis gefunden wird, wird folgende Fehlermeldung zurückgegeben:

AD DS-Konto weist nicht die richtigen Berechtigungen auf

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, nicht über die entsprechenden Berechtigungen verfügt, wird folgende Fehlermeldung zurückgegeben:

Falscher Benutzername oder falsches Kennwort für das AD DS-Konto

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, mit einem falschen Benutzernamen oder einem falschen Kennwort versehen ist, wird folgende Fehlermeldung zurückgegeben:

Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit der Problembehandlungsaufgabe

Mithilfe der Problembehandlungsaufgabe können Sie bestimmen, warum ein Objekt keine Kennwörter synchronisiert.

Hinweis

Die Problembehandlungsaufgabe ist nur fürMicrosoft Entra Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für ein bestimmtes Benutzerobjekt:

1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

3. Starten Sie den Microsoft Entra Connect-Assistenten.

4. Navigieren Sie zur Seite Weitere Aufgaben, wählen Sie Problembehandlung, und klicken Sie auf Weiter.

5. Klicken Sie auf der Seite „Problembehandlung“ auf Starten, um das Menü zur Problembehandlung in PowerShell zu starten.

6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennworthashsynchronisierung.

7. Wählen Sie im Untermenü Kennwort ist für ein bestimmtes Benutzerkonto nicht synchronisiert.

Grundlegendes zu den Ergebnissen der Problembehandlungsaufgabe

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

• Überprüft den Status des Active Directory-Objekts im Active Directory-Connectorbereich, in der Metaverse und im Microsoft Entra-Connectorbereich.

• Überprüft, ob Synchronisierungsregeln für die Kennworthashsynchronisierung aktiviert sind und auf das Active Directory-Objekt angewendet werden.

• Versucht, die Ergebnisse des letzten Versuchs abzurufen und anzuzeigen, bei dem das Kennwort für das Objekt synchronisiert wurde.

Die folgende Abbildung zeigt die Ergebnisse des Cmdlets bei der Behandlung von Problemen mit der Kennworthashsynchronisierung für ein einzelnes Objekt:

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die vom Cmdlet zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Active Directory-Objekt wird nicht nach Microsoft Entra ID exportiert

Bei der Kennworthashsynchronisierung für dieses lokale Active Directory-Konto ist ein Fehler aufgetreten, da kein entsprechendes Objekt im Microsoft Entra-Mandanten vorhanden ist. Der folgende Fehler wird zurückgegeben:

Benutzer besitzt ein temporäres Kennwort

Ältere Versionen von Microsoft Entra Connect unterstützten die Synchronisierung temporärer Kennwörter mit Microsoft Entra ID nicht. Ein Kennwort gilt als temporär, wenn die Option Kennwort bei der nächsten Anmeldung ändern für den lokalen Active Directory-Benutzer festgelegt wird. Bei diesen älteren Versionen wird der folgende Fehler zurückgegeben:

Um die Synchronisierung von temporären Kennwörtern zu aktivieren, müssen Sie Microsoft Entra Connect Version 2.0.3.0 oder höher installiert haben und das Feature ForcePasswordChangeOnLogon muss aktiviert sein.

Ergebnisse des letzten Versuchs, das Kennwort zu synchronisieren, sind nicht verfügbar

Standardmäßig speichert Microsoft Entra Connect sieben Tage lang die Ergebnisse der Kennworthashsynchronisierungs-Versuche. Wenn keine Ergebnisse für das ausgewählten Active Directory-Objekt verfügbar sind, wird die folgende Warnung zurückgegeben:

Kennwörter werden nicht synchronisiert: Problembehandlung mit dem Diagnose-Cmdlet

Mithilfe des Cmdlets Invoke-ADSyncDiagnostics können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Microsoft Entra Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für den Fall, dass keine Kennwörter synchronisiert werden:

1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

3. Führen Sie Import-Module ADSyncDiagnostics aus.

4. Führen Sie Invoke-ADSyncDiagnostics -PasswordSync aus.

Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit dem Diagnose-Cmdlet

Mithilfe des Cmdlets Invoke-ADSyncDiagnostics können Sie bestimmen, warum ein Objekt keine Kennwörter synchronisiert.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Microsoft Entra Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für den Fall, dass keine Kennwörter für einen Benutzer synchronisiert werden:

1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

3. Führen Sie Import-Module ADSyncDiagnostics aus.

4. Führen Sie das folgende Cmdlet aus:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
   

   Beispiel:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
   

Kennwörter werden nicht synchronisiert: Schritte zur manuellen Problembehandlung

Führen Sie folgende Schritte durch, um festzustellen, warum keine Kennwörter synchronisiert werden:

1. Ist der Connect-Server im Stagingmodus? Ein Server im Stagingmodus synchronisiert keine Kennwörter.

2. Führen Sie das Skript im Abschnitt Abrufen des Status der Kennwortsynchronisierungseinstellungen aus. Dadurch erhalten Sie eine Übersicht über die Konfiguration der Kennwortsynchronisierung.

   

3. Wenn die Funktion nicht in Microsoft Entra ID aktiviert ist oder der Synchronisierungskanalstatus nicht aktiviert ist, führen Sie den Assistenten zum Installieren von Connect aus. Wählen Sie Synchronisierungsoptionen anpassen aus, und deaktivieren Sie die Kennwortsynchronisierung. Durch diese Änderung wird das Feature vorübergehend deaktiviert. Führen Sie anschließend den Assistenten erneut aus, und aktivieren Sie die Kennwortsynchronisierung wieder. Führen Sie das Skript noch einmal aus, um sicherzustellen, dass die Konfiguration korrekt ist.

4. Suchen Sie im Ereignisprotokoll nach Fehlern. Suchen Sie nach den folgenden Ereignissen, die auf ein Problem hinweisen würden:

   Quelle: „Verzeichnissynchronisierung“
   ID: 0, 611, 652, 655

   Wenn diese Ereignisse angezeigt werden, liegt ein Konnektivitätsproblem vor. Die Ereignisprotokollmeldung enthält Gesamtstrukturinformationen, die ein Problem aufweisen.

5. Wenn kein Takt angezeigt wird oder nichts funktioniert hat, führen Sie das Skript unter Auslösen einer vollständigen Synchronisierung aller Kennwörter aus. Führen Sie das Skript nur einmal aus.

6. Lesen Sie den Abschnitt „Behandlung eines Problems mit einem einzelnen Objekt, das keine Kennwörter synchronisiert“.

Konnektivitätsprobleme

Ist eine Verbindung mit Microsoft Entra ID verfügbar?

Verfügt das Konto über die erforderlichen Berechtigungen zum Lesen des Kennworthashes in allen Domänen? Wenn Sie Connect mit Express-Einstellungen installiert haben, sollten die Berechtigungen bereits richtig sein.

Wenn Sie eine benutzerdefinierte Installation verwendet haben, legen Sie die Berechtigungen wie folgt manuell fest:

1. Um nach dem vom Active Directory-Connector verwendete Konto zu suchen, starten Sie den Synchronization Service Manager.

2. Navigieren Sie zu Connectors, und suchen Sie dann nach der lokalen Active Directory-Gesamtstruktur, für die Sie eine Problembehandlung durchführen.

3. Wählen Sie den Connector aus, und klicken Sie dann auf Eigenschaften.

4. Navigieren Sie zu Mit Active Directory-Gesamtstruktur verbinden.

   
   Notieren Sie sich den Benutzernamen und die Domäne, in der sich das Konto befindet.

5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob für das zuvor gesuchte Konto in der Gesamtstruktur auf der Stammebene aller Domänen die folgenden Berechtigungen festgelegt sind:

   • Verzeichnisänderungen replizieren
   • Verzeichnisänderungen replizieren: Alle

6. Sind die Domänencontroller durch Microsoft Entra Connect erreichbar? Wenn der Connect-Server mit keinem der Domänencontroller eine Verbindung herstellen kann, konfigurieren Sie Nur bevorzugten Domänencontroller verwenden.

   

7. Navigieren Sie zurück zum Synchronization Service Manager und Verzeichnispartition konfigurieren.

8. Wählen Sie unter Verzeichnispartitionen auswählen Ihre Domäne aus, aktivieren Sie das Kontrollkästchen Nur bevorzugten Domänencontroller verwenden, und klicken Sie auf Konfigurieren.

9. Geben Sie in der Liste die Domänencontroller ein, die Connect zur Kennwortsynchronisierung verwenden soll. Die gleiche Liste wird ebenfalls für den Import und Export verwendet. Führen Sie diese Schritte für alle Ihre Domänen aus.

Hinweis

Um diese Änderungen anzuwenden, starten Sie den Dienst Microsoft Entra ID Sync (ADSync) neu.

10. Wenn der Skriptausgabe zufolge kein Takt vorhanden ist, führen Sie das Skript unter Auslösen einer vollständigen Synchronisierung aller Kennwörter aus.

Ein einzelnes Objekt synchronisiert keine Kennwörter: Schritte zur manuellen Problembehandlung

Sie können Probleme mit der Kennworthashsynchronisierung einfach beheben, indem Sie den Status eines Objekts überprüfen.

1. Suchen Sie unter Active Directory-Benutzer und -Computer nach dem Benutzer, und überprüfen Sie dann, ob das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern deaktiviert ist.

   

   Falls das Kontrollkästchen aktiviert ist, fordern Sie den Benutzer auf, sich anzumelden und das Kennwort zu ändern. Temporäre Kennwörter werden nicht mit Microsoft Entra ID synchronisiert.

2. Wenn das Kennwort in Active Directory korrekt aussieht, folgen Sie dem Benutzer im Synchronisierungsmodul. Indem Sie dem Benutzer vom lokalen Active Directory nach Microsoft Entra ID folgen, können Sie feststellen, ob eine beschreibende Fehlermeldung für das Objekt vorhanden ist.

   a. Starten Sie den Synchronization Service Manager.

   b. Klicken Sie auf Connectors.

   c. Wählen Sie den Active Directory-Connector aus, in dem sich der Benutzer befindet.

   d. Wählen Sie Search Connector Space(Connectorbereich durchsuchen) aus.

   e. Wählen Sie im Feld Bereich die Option DN oder Anker aus, und geben Sie dann den vollständigen DN des Benutzers ein, für den Sie eine Problembehandlung durchführen.

   

   f. Machen Sie den gesuchten Benutzer ausfindig, und klicken Sie auf Eigenschaften, um alle Attribute zu sehen. Wenn der Benutzer nicht im Suchergebnis aufgeführt wird, dann überprüfen Sie Ihre Filterregeln, und stellen Sie sicher, dass Sie die Schritte unter Anwenden und Überprüfen von Änderungen für den Benutzer durchführen, der in Connect angezeigt werden soll.

   g. Klicken Sie auf Protokoll, um die Details zur Kennwortsynchronisierung der letzten Woche für das Objekt anzuzeigen.

   

   Wenn das Objektprotokoll leer ist, konnte Microsoft Entra Connect den Kennworthash aus Active Directory nicht lesen. Setzen Sie Ihre Problembehandlung mit Verbindungsfehlern fort. Wenn Sie einen anderen Wert als Erfolg sehen, dann schauen Sie in der Tabelle Kennwortsynchronisierungsprotokoll nach.

   h. Klicken Sie auf die Registerkarte Herkunft, und stellen Sie sicher, dass mindestens eine Synchronisierungsregel in der Spalte Kennwortsynchronisierung auf Wahr festgelegt ist. In der Standardkonfiguration lautet der Name der Synchronisierungsregel Eingehend von AD – Benutzerkonto aktiviert.

   

   i. Klicken Sie auf Metaverseobjekteigenschaften, um eine Liste von Benutzerattributen anzuzeigen.

   

   Stellen Sie sicher, dass kein cloudFiltered-Attribut vorhanden ist. Stellen Sie sicher, dass die Domänenattribute (domainFQDN und domainNetBios) über die erwarteten Werte verfügen.

   j. Klicken Sie auf die Registerkarte Connectors. Stellen Sie sicher, dass Connectors für lokale Active Directory und Microsoft Entra ID angezeigt werden.

   

   k. Wählen Sie die Zeile aus, die Microsoft Entra ID darstellt, und klicken Sie auf Eigenschaften und dann auf die Registerkarte Herkunft. Das Connectorbereichsobjekt sollte über eine Ausgangsregel verfügen, für die die Spalte Kennwortsynchronisierung auf Wahr festgelegt ist. In der Standardkonfiguration lautet der Name der Synchronisierungsregel Out to Microsoft Entra ID – User Join(Ausgehend an Microsoft Entra ID – Benutzerverknüpfung).

   

Kennwortsynchronisierungsprotokoll

Die Statusspalte kann die folgenden Werte enthalten:

Status	BESCHREIBUNG
Erfolg	Das Kennwort wurde erfolgreich synchronisiert.
FilteredByTarget	Das Kennwort wird auf Benutzer muss Kennwort bei der nächsten Anmeldung ändernfestgelegt. Das Kennwort wurde nicht synchronisiert.
NoTargetConnection	Im Metaverse oder im Microsoft Entra-Connectorbereich befindet sich kein Objekt.
SourceConnectorNotPresent	Im lokalen Active Directory Connector-Bereich wurde kein Objekt gefunden.
TargetNotExportedToDirectory	Das Objekt im Microsoft Entra-Connectorbereich wurde noch nicht exportiert.
MigratedCheckDetailsForMoreInfo	Der Protokolleintrag wurde vor Build 1.0.9125.0 erstellt und wird im Zustand der Vorversion angezeigt.
Fehler	Dienst hat einen unbekannten Fehler zurückgegeben.
Unknown	Fehler beim Versuch, einen Batch von Kennworthashes zu verarbeiten.
MissingAttribute	Bestimmte Attribute (z. B. Kerberos-Hash), die von Microsoft Entra Domain Services angefordert werden, sind nicht verfügbar.
RetryRequestedByTarget	Bestimmte Attribute (z. B. Kerberos-Hash), die von Microsoft Entra Domain Services angefordert werden, waren zuvor nicht verfügbar. Es wird versucht, den Kennworthash des Benutzers neu zu synchronisieren.

Hilfe zur Problembehandlung durch Skripts

Abrufen des Status der Kennwortsynchronisierungseinstellungen

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Auslösen einer vollständigen Synchronisierung aller Kennwörter

Hinweis

Führen Sie dieses Skript nur einmal aus. Wenn Sie es mehrere Male ausführen müssen, ist etwas anderes das Problem. Wenden Sie sich an den Microsoft-Support, um Hilfe bei der Problembehandlung zu erhalten.

Mit dem folgenden Skript können Sie eine vollständige Synchronisierung aller Kennwörter auslösen:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Nächste Schritte

• Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung
• Microsoft Entra Connect-Synchronisierung: Anpassen von Synchronisierungsoptionen
• Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID