Problembehandlung für die Kennwort-Hashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung

Dieses Thema enthält Schritte zum Behandeln von Problemen mit der Kennworthashsynchronisierung. Wenn Kennwörter nicht wie erwartet synchronisiert werden, kann es sich entweder um eine Teilmenge von Benutzern oder für alle Benutzer handelt.

Bei der Bereitstellung von Microsoft Entra Connect mit Version 1.1.614.0 oder höher verwenden Sie die Problembehandlung im Einrichtungsassistenten, um Probleme bei der Kennwort-Hash-Synchronisierung zu beheben.

• Wenn das Problem darin besteht, dass gar keine Kennwörter synchronisiert werden, lesen Sie den Abschnitt Kennwörter werden nicht synchronisiert: Problembehandlung mit der Problembehandlungsaufgabe.

• Wenn Sie ein Problem mit einzelnen Objekte haben, lesen Sie den Abschnitt Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit der Problembehandlungsaufgabe.

Für die Bereitstellung mit Version 1.1.524.0 oder höher gibt es nun ein Diagnose-Cmdlet, mit dem Sie Probleme bei der Kennwort-Hashsynchronisierung behandeln können:

• Wenn das Problem darin besteht, dass gar keine Kennwörter synchronisiert werden, lesen Sie den Abschnitt Kennwörter werden nicht synchronisiert: Problembehandlung mit dem Diagnose-Cmdlet.

• Wenn Sie ein Problem mit einzelnen Objekte haben, lesen Sie den Abschnitt Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit dem Diagnose-Cmdlet.

Für ältere Versionen der Microsoft Entra Connect-Bereitstellung gilt:

• Wenn das Problem darin besteht, dass gar keine Kennwörter synchronisiert werden, lesen Sie den Abschnitt Kennwörter werden nicht synchronisiert: Schritte zur manuellen Problembehandlung.

• Wenn Sie ein Problem mit einzelnen Objekte haben, lesen Sie den Abschnitt Ein einzelnes Objekt synchronisiert keine Kennwörter: Schritte zur manuellen Problembehandlung.

Passwörter werden nicht synchronisiert: Beheben Sie das Problem, indem Sie die Problembehandlungsaufgabe verwenden.

Mithilfe der Problembehandlungsaufgabe können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Die Problembehandlungsaufgabe ist nur fürMicrosoft Entra Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen der Problembehandlungsaufgabe

So beheben Sie Probleme, wenn keine Kennwörter synchronisiert werden:

1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

3. Starten Sie den Microsoft Entra Connect-Assistenten.

4. Navigieren Sie zur Seite Zusätzliche Aufgaben, wählen Sie Problembehandlung und wählen Sie Weiter aus.

5. Wählen Sie auf der Seite „Problembehandlung“ die Option Starten aus, um das Menü für die Problembehandlung in PowerShell zu starten.

6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennwort-Hashsynchronisierung.

7. Wählen Sie im Untermenü Die Kennworthashsynchronisierung funktioniert überhaupt nicht.

Verstehen Sie die Ergebnisse der Fehlerbehebung.

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

• Überprüft, ob das Feature für die Kennwort-Hashsynchronisierung für Ihren Microsoft Entra-Mandanten aktiviert ist.

• Überprüft, ob sich der Microsoft Entra Connect-Server nicht im Stagingmodus befindet.

• Für jeden vorhandenen lokalen Active Directory-Connector (der jeweils einer vorhandenen Active Directory-Gesamtstruktur entspricht):

  • Überprüft, ob das Feature für die Kennwort-Hashsynchronisierung aktiviert ist.

  • Sucht nach Taktereignissen der Kennwort-Hashsynchronisierung in den Windows-Anwendungsereignisprotokollen.

  • Bei jeder Active Directory-Domäne unter dem lokalen Active Directory-Connector:

    • Überprüft, ob die Domäne über den Microsoft Entra Connect-Server erreichbar ist.

    • Überprüft, ob die in Active Directory Domain Services (AD DS) verwendeten Konten durch den lokalen Active Directory-Connector den richtigen Benutzernamen, das Kennwort und die erforderlichen Berechtigungen für die Kennwort-Hash-Synchronisierung haben.

Die folgende Abbildung zeigt die Ergebnisse des Cmdlets für eine einzelne Domäne in einer lokalen Active Directory-Topologie:

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die von der Aufgabe zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Kennwort-Hashsynchronisierungs-Feature ist nicht aktiviert

Wenn Sie die Kennwort-Hash-Synchronisierung mithilfe des Microsoft Entra Connect-Assistenten nicht aktiviert haben, wird folgende Fehlermeldung angezeigt:

Microsoft Entra Connect-Server befindet sich im Stagingmodus

Wenn sich der Microsoft Entra Connect-Server im Staging-Modus befindet, ist die Kennworthashsynchronisierung temporär deaktiviert, und folgende Fehlermeldung wird zurückgegeben:

Keine Taktereignisse der Kennwort-Hashsynchronisierung

Jeder lokale Active Directory-Connector ist mit einem eigenen Kennworthashsynchronisierungskanal ausgestattet. Wenn der Kennworthashsynchronisierungs-Kanal eingerichtet ist und keine Kennwortänderungen synchronisiert werden, wird alle 30 Minuten ein Taktereignis (EventId 654) unter dem Windows-Anwendungsereignisprotokoll generiert. Bei jedem lokalen Active Directory-Connector sucht das Cmdlet für die letzten drei Stunden nach entsprechenden Taktereignissen. Wenn kein Taktereignis gefunden wird, wird folgende Fehlermeldung zurückgegeben:

AD DS-Konto weist nicht die richtigen Berechtigungen auf

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, nicht über die entsprechenden Berechtigungen verfügt, wird folgende Fehlermeldung zurückgegeben:

Falscher Benutzername oder falsches Kennwort für das AD DS-Konto

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, mit einem falschen Benutzernamen oder einem falschen Kennwort versehen ist, wird folgende Fehlermeldung zurückgegeben:

Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit der Problembehandlungsaufgabe

Mit der Problembehandlungsaufgabe können Sie ermitteln, warum ein Objekt kennwörter nicht synchronisiert.

Hinweis

Die Problembehandlungsaufgabe ist nur fürMicrosoft Entra Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für ein bestimmtes Benutzerobjekt:

1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

3. Starten Sie den Microsoft Entra Connect-Assistenten.

4. Navigieren Sie zur Seite Zusätzliche Aufgaben, wählen Sie Problembehandlung und wählen Sie Weiter aus.

5. Wählen Sie auf der Seite „Problembehandlung“ die Option Starten aus, um das Menü für die Problembehandlung in PowerShell zu starten.

6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennwort-Hashsynchronisierung.

7. Wählen Sie im Untermenü Kennwort ist für ein bestimmtes Benutzerkonto nicht synchronisiert aus.

Verstehen Sie die Ergebnisse der Fehlerbehebung.

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

• Überprüft den Status des Active Directory-Objekts im Active Directory-Connectorbereich, in der Metaverse und im Microsoft Entra-Connectorbereich.

• Validiert, ob Synchronisierungsregeln für die Kennwort-Hash-Synchronisierung aktiviert sind und auf das Active Directory-Objekt angewendet werden.

• Versucht, die Ergebnisse des letzten Versuchs abzurufen und anzuzeigen, bei dem das Kennwort für das Objekt synchronisiert wurde.

Das folgende Diagramm zeigt die Ergebnisse des Cmdlets bei der Behandlung von Problemen mit der Kennwort-Hashsynchronisierung für ein einzelnes Objekt:

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die vom Cmdlet zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Active Directory-Objekt wird nicht nach Microsoft Entra ID exportiert

Bei der Kennworthashsynchronisierung für dieses lokale Active Directory-Konto ist ein Fehler aufgetreten, da kein entsprechendes Objekt im Microsoft Entra-Mandanten vorhanden ist. Der folgende Fehler wird zurückgegeben:

Benutzer besitzt ein temporäres Kennwort

Ältere Versionen von Microsoft Entra Connect unterstützten die Synchronisierung temporärer Kennwörter mit Microsoft Entra ID nicht. Ein Kennwort gilt als temporär, wenn die Option Kennwort bei der nächsten Anmeldung ändern für den lokalen Active Directory-Benutzer festgelegt wird. Bei diesen älteren Versionen wird der folgende Fehler zurückgegeben:

Um die Synchronisierung temporärer Kennwörter zu aktivieren, müssen Microsoft Entra Connect, Version 2.0.3.0 oder höher, installiert sein, und das Feature ForcePasswordChangeOnLogon muss aktiviert sein.

Ergebnisse des letzten Versuchs, das Kennwort zu synchronisieren, sind nicht verfügbar

Standardmäßig speichert Microsoft Entra Connect die Ergebnisse der Kennwort-Hashsynchronisierungsversuche sieben Tage lang. Wenn keine Ergebnisse für das ausgewählten Active Directory-Objekt verfügbar sind, wird die folgende Warnung zurückgegeben:

Kennwörter werden nicht synchronisiert: Problembehandlung mit dem Diagnose-Cmdlet

Mithilfe des Cmdlets Invoke-ADSyncDiagnostics können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Microsoft Entra Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So beheben Sie Probleme, wenn keine Kennwörter synchronisiert werden:

1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

3. Führen Sie Import-Module ADSyncDiagnostics aus.

4. Führen Sie Invoke-ADSyncDiagnostics -PasswordSync aus.

Ein Objekt synchronisiert keine Kennwörter: Problembehandlung mithilfe des Diagnose-Cmdlets

Sie können das Cmdlet Invoke-ADSyncDiagnostics verwenden, um zu bestimmen, warum ein Objekt kennwörter nicht synchronisiert.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Microsoft Entra Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

Gehen Sie wie folgt vor, um Probleme zu beheben, wenn keine Kennwörter für einen Benutzer synchronisiert werden:

1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

3. Führen Sie Import-Module ADSyncDiagnostics aus.

4. Führen Sie das folgende Cmdlet aus:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
   

   Beispiel:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
   

Kennwörter werden nicht synchronisiert: Schritte zur manuellen Problembehandlung

Führen Sie folgende Schritte durch, um festzustellen, warum keine Kennwörter synchronisiert werden:

1. Ist der Connect-Server im Stagingmodus? Ein Server im Stagingmodus synchronisiert keine Kennwörter.

2. Führen Sie das Skript im Abschnitt Abrufen des Status der Kennwortsynchronisierungseinstellungen aus. Dadurch erhalten Sie eine Übersicht über die Konfiguration der Kennwortsynchronisierung.

   

3. Wenn das Feature in Microsoft Entra ID nicht aktiviert ist oder der Synchronisierungskanalstatus nicht aktiviert ist, führen Sie den Installations-Assistenten für „Verbinden“ aus. Wählen Sie Synchronisierungsoptionen anpassen aus, und deaktivieren Sie die Kennwortsynchronisierung. Durch diese Änderung wird das Feature vorübergehend deaktiviert. Führen Sie anschließend den Assistenten erneut aus, und aktivieren Sie die Kennwortsynchronisierung wieder. Führen Sie das Skript noch einmal aus, um sicherzustellen, dass die Konfiguration korrekt ist.

4. Suchen Sie im Ereignisprotokoll nach Fehlern. Suchen Sie nach den folgenden Ereignissen, die auf ein Problem hinweisen würden:

   Quelle: „Verzeichnissynchronisierung“
   ID: 0, 611, 652, 655

   Wenn diese Ereignisse angezeigt werden, liegt ein Konnektivitätsproblem vor. Die Ereignisprotokollmeldung enthält Gesamtstrukturinformationen, die ein Problem aufweisen.

5. Wenn kein Herzschlag angezeigt wird oder sonst nichts funktioniert hat, lösen Sie eine vollständige Synchronisierung aller Kennwörter aus. Führen Sie das Skript nur einmal aus.

6. Siehe den Abschnitt zur Problembehandlung eines Objekts, das keine Kennwörter synchronisiert.

Konnektivitätsprobleme

Ist eine Verbindung mit Microsoft Entra ID verfügbar?

Verfügt das Konto über die erforderlichen Berechtigungen, um in allen Domänen die Passworthashes zu lesen? Wenn Sie Connect mit Express-Einstellungen installiert haben, sollten die Berechtigungen bereits richtig sein.

Wenn Sie eine benutzerdefinierte Installation verwendet haben, legen Sie die Berechtigungen wie folgt manuell fest:

1. Um nach dem vom Active Directory-Connector verwendete Konto zu suchen, starten Sie den Synchronization Service Manager.

2. Navigieren Sie zu Connectors, und suchen Sie dann nach der lokalen Active Directory-Gesamtstruktur, für die Sie eine Problembehandlung durchführen.

3. Wählen Sie den Connector und dann Eigenschaften aus.

4. Navigieren Sie zu Mit Active Directory-Gesamtstruktur verbinden.

   
   Notieren Sie sich den Benutzernamen und die Domäne, in der sich das Konto befindet.

5. Starten Sie Active Directory-Benutzende und -Computer, und überprüfen Sie dann, ob für das zuvor gefundene Konto auf der Stammebene aller Domänen in Ihrer Gesamtstruktur die folgenden Berechtigungen festgelegt sind:

   • Verzeichnisänderungen replizieren
   • Alle Verzeichnisänderungen replizieren

6. Sind die Domänencontroller durch Microsoft Entra Connect erreichbar? Wenn der Connect-Server mit keinem der Domänencontroller eine Verbindung herstellen kann, konfigurieren Sie Nur bevorzugten Domänencontroller verwenden.

   

7. Navigieren Sie zurück zum Synchronization Service Manager und Verzeichnispartition konfigurieren.

8. Wählen Sie unter Verzeichnispartitionen auswählen Ihre Domäne aus, aktivieren Sie das Kontrollkästchen Nur bevorzugten Domänencontroller verwenden, und wählen Sie Konfigurieren aus.

9. Geben Sie in der Liste die Domänencontroller ein, die Connect zur Kennwortsynchronisierung verwenden soll. Die gleiche Liste wird ebenfalls für den Import und Export verwendet. Führen Sie diese Schritte für alle Ihre Domänen aus.

Hinweis

Um diese Änderungen anzuwenden, starten Sie den Dienst Microsoft Entra ID Sync (ADSync) neu.

10. Wenn das Skript zeigt, dass kein Takt vorhanden ist, führen Sie das Skript unter Auslösen einer vollständigen Synchronisierung aller Kennwörter aus.

Ein Objekt synchronisiert keine Kennwörter: Manuelle Schritte zur Problembehandlung

Sie können Probleme mit der Kennwort-Hashsynchronisierung einfach beheben, indem Sie den Status eines Objekts überprüfen.

1. Suchen Sie unter Active Directory-Benutzer und -Computer nach dem Benutzer, und überprüfen Sie dann, ob das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern deaktiviert ist.

   

   Falls das Kontrollkästchen aktiviert ist, fordern Sie den Benutzer auf, sich anzumelden und das Kennwort zu ändern. Temporäre Kennwörter werden nicht mit Microsoft Entra ID synchronisiert.

2. Wenn das Kennwort in Active Directory korrekt aussieht, folgen Sie dem Benutzer im Synchronisierungsmodul. Wenn Sie dem Benutzer vom lokalen Active Directory zu Microsoft Entra ID folgen, können Sie sehen, ob ein beschreibender Fehler am Objekt vorhanden ist.

   a) Starten Sie den Synchronization Service Manager.

   b. Wählen Sie Connectors aus.

   c. Wählen Sie den Active Directory-Connector aus, in dem sich der Benutzer befindet.

   d. Wählen Sie Connectorbereich durchsuchen aus.

   e. Wählen Sie im Feld Bereich die Option DN oder Anker aus, und geben Sie dann den vollständigen DN des Benutzers ein, für den Sie eine Problembehandlung durchführen.

   

   f. Suchen Sie den gesuchten Benutzer, und wählen Sie dann Eigenschaften aus, um alle Attribute anzuzeigen. Wenn die Benutzenden im Suchergebnis nicht aufgeführt werden, dann überprüfen Sie Ihre Filterregeln, und stellen Sie sicher, dass Sie die Schritte unter Anwenden und Überprüfen von Änderungen für die Benutzenden durchführen, die unter „Verbinden“ angezeigt werden.

   g. Wählen Sie Protokoll aus, um die Details der Kennwortsynchronisierung des Objekts in der vergangenen Woche anzuzeigen.

   

   Wenn das Objektprotokoll leer ist, konnte Microsoft Entra Connect den Hash des Kennworts nicht aus dem Active Directory lesen. Setzen Sie Ihre Problembehandlung mit „Verbindungsfehler“ fort. Wenn Sie einen anderen Wert als Erfolg sehen, dann schauen Sie in der Tabelle Kennwortsynchronisierungsprotokoll nach.

   h. Wählen Sie die Registerkarte Herkunft aus, und stellen Sie sicher, dass mindestens eine Synchronisierungsregel in der Spalte PasswordSync auf WAHR festgelegt ist. In der Standardkonfiguration lautet der Name der Synchronisierungsregel Von AD eingehend - Benutzerkonto aktiviert.

   

   i. Wählen Sie Metaverse-Objekteigenschaften aus, um eine Liste der Benutzerattribute anzuzeigen.

   

   Stellen Sie sicher, dass kein cloudFiltered-Attribut vorhanden ist. Stellen Sie sicher, dass die Domänenattribute (domainFQDN und domainNetBios) über die erwarteten Werte verfügen.

   j. Wählen Sie die Registerkarte Connectors aus. Stellen Sie sicher, dass Connectors sowohl für lokales Active Directory als auch Microsoft Entra ID angezeigt werden.

   

   k. Wählen Sie die Zeile aus, die Microsoft Entra ID darstellt, wählen Sie Eigenschaften und dann die Registerkarte Herkunft aus. Das Connectorbereichsobjekt sollte über eine ausgehende Regel verfügen, für die die Spalte PasswordSync auf Wahr festgelegt ist. In der Standardkonfiguration ist der Name der Synchronisierungsregel Out to Microsoft Entra ID – User Join.

   

Kennwortsynchronisierungsprotokoll

Die Statusspalte kann die folgenden Werte enthalten:

Der Status	BESCHREIBUNG
Erfolg	Das Kennwort wurde erfolgreich synchronisiert.
GefiltertNachZiel	Das Kennwort wird auf Benutzer muss Kennwort bei der nächsten Anmeldung ändernfestgelegt. Das Kennwort wurde nicht synchronisiert.
KeineZielverbindung	Im Metaverse oder im Microsoft Entra-Connectorbereich befindet sich kein Objekt.
SourceConnectorNotPresent	Im lokalen Active Directory Connector-Bereich wurde kein Objekt gefunden.
TargetNotExportedToDirectory	Das Objekt im Microsoft Entra-Connectorbereich wurde noch nicht exportiert.
MigratedCheckDetailsForMoreInfo	Der Protokolleintrag wurde vor Build 1.0.9125.0 erstellt und wird im Zustand der Vorversion angezeigt.
Fehler	Der Service hat einen unbekannten Fehler gemeldet.
Unbekannt	Beim Versuch, einen Stapel von Kennwort-Hashes zu verarbeiten, ist ein Fehler aufgetreten.
Fehlendes Attribut	Bestimmte Attribute (z. B. Kerberos-Hash), die von Microsoft Entra Domain Services benötigt werden, sind nicht verfügbar.
RetryRequestedByTarget	Bestimmte Attribute, wie beispielsweise der Kerberos-Hash, die von Microsoft Entra Domain Services benötigt werden, waren zuvor nicht verfügbar. Es wird versucht, den Passworthash des Benutzers neu zu synchronisieren.

Hilfe zur Problembehandlung durch Skripts

Abrufen des Status der Kennwortsynchronisierungseinstellungen

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Auslösen einer vollständigen Synchronisierung aller Kennwörter

Hinweis

Führen Sie dieses Skript nur einmal aus. Wenn Sie es mehrere Male ausführen müssen, ist etwas anderes das Problem. Wenden Sie sich an den Microsoft-Support, um Hilfe bei der Problembehandlung zu erhalten.

Mit dem folgenden Skript können Sie eine vollständige Synchronisierung aller Kennwörter auslösen:

1. Zuweisen des lokalen Active Directory-$adConnector-Werts

   $adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"

2. Weisen Sie den AzureAD-$aadConnector-Wert zu

   $aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"

3. Installieren des AzureAD-Synchronisierungsmoduls

   Import-Module adsync

4. Ein neues Konfigurationsparameterobjekt zur erzwungenen vollständigen Kennwortsynchronisierung erstellen

   $c = Get-ADSyncConnector -Name $adConnector

5. Aktualisieren Sie den vorhandenen Connector mit den folgenden neuen Konfigurationen. Jede Zeile separat ausführen

   a) $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null

   b. $p.Value = 1

   c. $c.GlobalParameters.Remove($p.Name)

   d. $c.GlobalParameters.Add($p)

   e. $c = Add-ADSyncConnector -Connector $c

6. Entra ID Connect deaktivieren

   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false

7. Aktivieren von Entra ID Connect, um die vollständige Kennwortsynchronisierung zu erzwingen

   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Nächste Schritte

• Umsetzung der Kennwort-Hash-Synchronisierung mit Microsoft Entra Connect Sync
• Microsoft Entra Connect-Synchronisierung: Anpassen von Synchronisierungsoptionen
• Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID