Freigeben über


Problembehandlung für die Kennwort-Hashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung

Dieses Thema enthält Schritte zum Behandeln von Problemen mit der Kennworthashsynchronisierung. Wenn Kennwörter nicht wie erwartet synchronisiert werden, kann es sich entweder um eine Teilmenge von Benutzern oder für alle Benutzer handelt.

Bei der Bereitstellung von Microsoft Entra Connect mit Version 1.1.614.0 oder höher verwenden Sie die Problembehandlung im Einrichtungsassistenten, um Probleme bei der Kennwort-Hash-Synchronisierung zu beheben.

Für die Bereitstellung mit Version 1.1.524.0 oder höher gibt es nun ein Diagnose-Cmdlet, mit dem Sie Probleme bei der Kennwort-Hashsynchronisierung behandeln können:

Für ältere Versionen der Microsoft Entra Connect-Bereitstellung gilt:

Passwörter werden nicht synchronisiert: Beheben Sie das Problem, indem Sie die Problembehandlungsaufgabe verwenden.

Mithilfe der Problembehandlungsaufgabe können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Die Problembehandlungsaufgabe ist nur fürMicrosoft Entra Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen der Problembehandlungsaufgabe

So beheben Sie Probleme, wenn keine Kennwörter synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Starten Sie den Microsoft Entra Connect-Assistenten.

  4. Navigieren Sie zur Seite Zusätzliche Aufgaben, wählen Sie Problembehandlung und wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite „Problembehandlung“ die Option Starten aus, um das Menü für die Problembehandlung in PowerShell zu starten.

  6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennwort-Hashsynchronisierung.

  7. Wählen Sie im Untermenü Die Kennworthashsynchronisierung funktioniert überhaupt nicht.

Verstehen Sie die Ergebnisse der Fehlerbehebung.

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

  • Überprüft, ob das Feature für die Kennwort-Hashsynchronisierung für Ihren Microsoft Entra-Mandanten aktiviert ist.

  • Überprüft, ob sich der Microsoft Entra Connect-Server nicht im Stagingmodus befindet.

  • Für jeden vorhandenen lokalen Active Directory-Connector (der jeweils einer vorhandenen Active Directory-Gesamtstruktur entspricht):

    • Überprüft, ob das Feature für die Kennwort-Hashsynchronisierung aktiviert ist.

    • Sucht nach Taktereignissen der Kennwort-Hashsynchronisierung in den Windows-Anwendungsereignisprotokollen.

    • Bei jeder Active Directory-Domäne unter dem lokalen Active Directory-Connector:

      • Überprüft, ob die Domäne über den Microsoft Entra Connect-Server erreichbar ist.

      • Überprüft, ob die in Active Directory Domain Services (AD DS) verwendeten Konten durch den lokalen Active Directory-Connector den richtigen Benutzernamen, das Kennwort und die erforderlichen Berechtigungen für die Kennwort-Hash-Synchronisierung haben.

Die folgende Abbildung zeigt die Ergebnisse des Cmdlets für eine einzelne Domäne in einer lokalen Active Directory-Topologie:

Diagnoseausgabe für die Kennwort-Hash-Synchronisierung

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die von der Aufgabe zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Kennwort-Hashsynchronisierungs-Feature ist nicht aktiviert

Wenn Sie die Kennwort-Hash-Synchronisierung mithilfe des Microsoft Entra Connect-Assistenten nicht aktiviert haben, wird folgende Fehlermeldung angezeigt:

Kennwort-Hash-Synchronisierung ist nicht aktiviert

Microsoft Entra Connect-Server befindet sich im Stagingmodus

Wenn sich der Microsoft Entra Connect-Server im Staging-Modus befindet, ist die Kennworthashsynchronisierung temporär deaktiviert, und folgende Fehlermeldung wird zurückgegeben:

Microsoft Entra Connect-Server befindet sich im Stagingmodus

Keine Taktereignisse der Kennwort-Hashsynchronisierung

Jeder lokale Active Directory-Connector ist mit einem eigenen Kennworthashsynchronisierungskanal ausgestattet. Wenn der Kennworthashsynchronisierungs-Kanal eingerichtet ist und keine Kennwortänderungen synchronisiert werden, wird alle 30 Minuten ein Taktereignis (EventId 654) unter dem Windows-Anwendungsereignisprotokoll generiert. Bei jedem lokalen Active Directory-Connector sucht das Cmdlet für die letzten drei Stunden nach entsprechenden Taktereignissen. Wenn kein Taktereignis gefunden wird, wird folgende Fehlermeldung zurückgegeben:

Kein Taktereignis der Kennwort-Hashsynchronisierung

AD DS-Konto weist nicht die richtigen Berechtigungen auf

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, nicht über die entsprechenden Berechtigungen verfügt, wird folgende Fehlermeldung zurückgegeben:

Screenshot mit dem Fehler, der zurückgegeben wird, wenn das AD DS-Konto einen falschen Benutzernamen oder ein falsches Kennwort aufweist

Falscher Benutzername oder falsches Kennwort für das AD DS-Konto

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, mit einem falschen Benutzernamen oder einem falschen Kennwort versehen ist, wird folgende Fehlermeldung zurückgegeben:

Falsche Anmeldeinformationen

Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit der Problembehandlungsaufgabe

Mit der Problembehandlungsaufgabe können Sie ermitteln, warum ein Objekt kennwörter nicht synchronisiert.

Hinweis

Die Problembehandlungsaufgabe ist nur fürMicrosoft Entra Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für ein bestimmtes Benutzerobjekt:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Starten Sie den Microsoft Entra Connect-Assistenten.

  4. Navigieren Sie zur Seite Zusätzliche Aufgaben, wählen Sie Problembehandlung und wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite „Problembehandlung“ die Option Starten aus, um das Menü für die Problembehandlung in PowerShell zu starten.

  6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennwort-Hashsynchronisierung.

  7. Wählen Sie im Untermenü Kennwort ist für ein bestimmtes Benutzerkonto nicht synchronisiert aus.

Verstehen Sie die Ergebnisse der Fehlerbehebung.

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

  • Überprüft den Status des Active Directory-Objekts im Active Directory-Connectorbereich, in der Metaverse und im Microsoft Entra-Connectorbereich.

  • Validiert, ob Synchronisierungsregeln für die Kennwort-Hash-Synchronisierung aktiviert sind und auf das Active Directory-Objekt angewendet werden.

  • Versucht, die Ergebnisse des letzten Versuchs abzurufen und anzuzeigen, bei dem das Kennwort für das Objekt synchronisiert wurde.

Das folgende Diagramm zeigt die Ergebnisse des Cmdlets bei der Behandlung von Problemen mit der Kennwort-Hashsynchronisierung für ein einzelnes Objekt:

Diagnosebericht für die Kennwort-Hash-Synchronisierung für ein einzelnes Objekt

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die vom Cmdlet zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Active Directory-Objekt wird nicht nach Microsoft Entra ID exportiert

Bei der Kennworthashsynchronisierung für dieses lokale Active Directory-Konto ist ein Fehler aufgetreten, da kein entsprechendes Objekt im Microsoft Entra-Mandanten vorhanden ist. Der folgende Fehler wird zurückgegeben:

Microsoft Entra-Objekt fehlt

Benutzer besitzt ein temporäres Kennwort

Ältere Versionen von Microsoft Entra Connect unterstützten die Synchronisierung temporärer Kennwörter mit Microsoft Entra ID nicht. Ein Kennwort gilt als temporär, wenn die Option Kennwort bei der nächsten Anmeldung ändern für den lokalen Active Directory-Benutzer festgelegt wird. Bei diesen älteren Versionen wird der folgende Fehler zurückgegeben:

Temporäres Kennwort wird nicht exportiert

Um die Synchronisierung temporärer Kennwörter zu aktivieren, müssen Microsoft Entra Connect, Version 2.0.3.0 oder höher, installiert sein, und das Feature ForcePasswordChangeOnLogon muss aktiviert sein.

Ergebnisse des letzten Versuchs, das Kennwort zu synchronisieren, sind nicht verfügbar

Standardmäßig speichert Microsoft Entra Connect die Ergebnisse der Kennwort-Hashsynchronisierungsversuche sieben Tage lang. Wenn keine Ergebnisse für das ausgewählten Active Directory-Objekt verfügbar sind, wird die folgende Warnung zurückgegeben:

Diagnoseausgabe für ein einzelnes Objekt – kein Kennwortsynchronisierungsverlauf

Kennwörter werden nicht synchronisiert: Problembehandlung mit dem Diagnose-Cmdlet

Mithilfe des Cmdlets Invoke-ADSyncDiagnostics können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Microsoft Entra Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So beheben Sie Probleme, wenn keine Kennwörter synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Führen Sie Import-Module ADSyncDiagnostics aus.

  4. Führen Sie Invoke-ADSyncDiagnostics -PasswordSync aus.

Ein Objekt synchronisiert keine Kennwörter: Problembehandlung mithilfe des Diagnose-Cmdlets

Sie können das Cmdlet Invoke-ADSyncDiagnostics verwenden, um zu bestimmen, warum ein Objekt kennwörter nicht synchronisiert.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Microsoft Entra Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

Gehen Sie wie folgt vor, um Probleme zu beheben, wenn keine Kennwörter für einen Benutzer synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Führen Sie Import-Module ADSyncDiagnostics aus.

  4. Führen Sie das folgende Cmdlet aus:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    Beispiel:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

Kennwörter werden nicht synchronisiert: Schritte zur manuellen Problembehandlung

Führen Sie folgende Schritte durch, um festzustellen, warum keine Kennwörter synchronisiert werden:

  1. Ist der Connect-Server im Stagingmodus? Ein Server im Stagingmodus synchronisiert keine Kennwörter.

  2. Führen Sie das Skript im Abschnitt Abrufen des Status der Kennwortsynchronisierungseinstellungen aus. Dadurch erhalten Sie eine Übersicht über die Konfiguration der Kennwortsynchronisierung.

    PowerShell-Skriptausgabe aus den Kennwortsynchronisierungseinstellungen

  3. Wenn das Feature in Microsoft Entra ID nicht aktiviert ist oder der Synchronisierungskanalstatus nicht aktiviert ist, führen Sie den Installations-Assistenten für „Verbinden“ aus. Wählen Sie Synchronisierungsoptionen anpassen aus, und deaktivieren Sie die Kennwortsynchronisierung. Durch diese Änderung wird das Feature vorübergehend deaktiviert. Führen Sie anschließend den Assistenten erneut aus, und aktivieren Sie die Kennwortsynchronisierung wieder. Führen Sie das Skript noch einmal aus, um sicherzustellen, dass die Konfiguration korrekt ist.

  4. Suchen Sie im Ereignisprotokoll nach Fehlern. Suchen Sie nach den folgenden Ereignissen, die auf ein Problem hinweisen würden:

    Quelle: „Verzeichnissynchronisierung“
    ID: 0, 611, 652, 655

    Wenn diese Ereignisse angezeigt werden, liegt ein Konnektivitätsproblem vor. Die Ereignisprotokollmeldung enthält Gesamtstrukturinformationen, die ein Problem aufweisen.

  5. Wenn kein Herzschlag angezeigt wird oder sonst nichts funktioniert hat, lösen Sie eine vollständige Synchronisierung aller Kennwörter aus. Führen Sie das Skript nur einmal aus.

  6. Siehe den Abschnitt zur Problembehandlung eines Objekts, das keine Kennwörter synchronisiert.

Konnektivitätsprobleme

Ist eine Verbindung mit Microsoft Entra ID verfügbar?

Verfügt das Konto über die erforderlichen Berechtigungen, um in allen Domänen die Passworthashes zu lesen? Wenn Sie Connect mit Express-Einstellungen installiert haben, sollten die Berechtigungen bereits richtig sein.

Wenn Sie eine benutzerdefinierte Installation verwendet haben, legen Sie die Berechtigungen wie folgt manuell fest:

  1. Um nach dem vom Active Directory-Connector verwendete Konto zu suchen, starten Sie den Synchronization Service Manager.

  2. Navigieren Sie zu Connectors, und suchen Sie dann nach der lokalen Active Directory-Gesamtstruktur, für die Sie eine Problembehandlung durchführen.

  3. Wählen Sie den Connector und dann Eigenschaften aus.

  4. Navigieren Sie zu Mit Active Directory-Gesamtstruktur verbinden.

    Vom Active Directory-Connector verwendetes Konto
    Notieren Sie sich den Benutzernamen und die Domäne, in der sich das Konto befindet.

  5. Starten Sie Active Directory-Benutzende und -Computer, und überprüfen Sie dann, ob für das zuvor gefundene Konto auf der Stammebene aller Domänen in Ihrer Gesamtstruktur die folgenden Berechtigungen festgelegt sind:

    • Verzeichnisänderungen replizieren
    • Alle Verzeichnisänderungen replizieren
  6. Sind die Domänencontroller durch Microsoft Entra Connect erreichbar? Wenn der Connect-Server mit keinem der Domänencontroller eine Verbindung herstellen kann, konfigurieren Sie Nur bevorzugten Domänencontroller verwenden.

    Vom Active Directory-Connector verwendeter Domänencontroller

  7. Navigieren Sie zurück zum Synchronization Service Manager und Verzeichnispartition konfigurieren.

  8. Wählen Sie unter Verzeichnispartitionen auswählen Ihre Domäne aus, aktivieren Sie das Kontrollkästchen Nur bevorzugten Domänencontroller verwenden, und wählen Sie Konfigurieren aus.

  9. Geben Sie in der Liste die Domänencontroller ein, die Connect zur Kennwortsynchronisierung verwenden soll. Die gleiche Liste wird ebenfalls für den Import und Export verwendet. Führen Sie diese Schritte für alle Ihre Domänen aus.

Hinweis

Um diese Änderungen anzuwenden, starten Sie den Dienst Microsoft Entra ID Sync (ADSync) neu.

  1. Wenn das Skript zeigt, dass kein Takt vorhanden ist, führen Sie das Skript unter Auslösen einer vollständigen Synchronisierung aller Kennwörter aus.

Ein Objekt synchronisiert keine Kennwörter: Manuelle Schritte zur Problembehandlung

Sie können Probleme mit der Kennwort-Hashsynchronisierung einfach beheben, indem Sie den Status eines Objekts überprüfen.

  1. Suchen Sie unter Active Directory-Benutzer und -Computer nach dem Benutzer, und überprüfen Sie dann, ob das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern deaktiviert ist.

    Produktive Active Directory-Kennwörter

    Falls das Kontrollkästchen aktiviert ist, fordern Sie den Benutzer auf, sich anzumelden und das Kennwort zu ändern. Temporäre Kennwörter werden nicht mit Microsoft Entra ID synchronisiert.

  2. Wenn das Kennwort in Active Directory korrekt aussieht, folgen Sie dem Benutzer im Synchronisierungsmodul. Wenn Sie dem Benutzer vom lokalen Active Directory zu Microsoft Entra ID folgen, können Sie sehen, ob ein beschreibender Fehler am Objekt vorhanden ist.

    a) Starten Sie den Synchronization Service Manager.

    b. Wählen Sie Connectors aus.

    c. Wählen Sie den Active Directory-Connector aus, in dem sich der Benutzer befindet.

    d. Wählen Sie Connectorbereich durchsuchen aus.

    e. Wählen Sie im Feld Bereich die Option DN oder Anker aus, und geben Sie dann den vollständigen DN des Benutzers ein, für den Sie eine Problembehandlung durchführen.

    Suchen nach dem Benutzenden im Connectorbereich anhand des DN

    f. Suchen Sie den gesuchten Benutzer, und wählen Sie dann Eigenschaften aus, um alle Attribute anzuzeigen. Wenn die Benutzenden im Suchergebnis nicht aufgeführt werden, dann überprüfen Sie Ihre Filterregeln, und stellen Sie sicher, dass Sie die Schritte unter Anwenden und Überprüfen von Änderungen für die Benutzenden durchführen, die unter „Verbinden“ angezeigt werden.

    g. Wählen Sie Protokoll aus, um die Details der Kennwortsynchronisierung des Objekts in der vergangenen Woche anzuzeigen.

    Objektprotokolldetails

    Wenn das Objektprotokoll leer ist, konnte Microsoft Entra Connect den Hash des Kennworts nicht aus dem Active Directory lesen. Setzen Sie Ihre Problembehandlung mit „Verbindungsfehler“ fort. Wenn Sie einen anderen Wert als Erfolg sehen, dann schauen Sie in der Tabelle Kennwortsynchronisierungsprotokoll nach.

    h. Wählen Sie die Registerkarte Herkunft aus, und stellen Sie sicher, dass mindestens eine Synchronisierungsregel in der Spalte PasswordSync auf WAHR festgelegt ist. In der Standardkonfiguration lautet der Name der Synchronisierungsregel Von AD eingehend - Benutzerkonto aktiviert.

    Herkunftsinformationen zu einem Benutzer

    i. Wählen Sie Metaverse-Objekteigenschaften aus, um eine Liste der Benutzerattribute anzuzeigen.

    Screenshot der Liste mit Benutzerattributen für die Metaverseobjekteigenschaften

    Stellen Sie sicher, dass kein cloudFiltered-Attribut vorhanden ist. Stellen Sie sicher, dass die Domänenattribute (domainFQDN und domainNetBios) über die erwarteten Werte verfügen.

    j. Wählen Sie die Registerkarte Connectors aus. Stellen Sie sicher, dass Connectors sowohl für lokales Active Directory als auch Microsoft Entra ID angezeigt werden.

    Metaverseinformationen

    k. Wählen Sie die Zeile aus, die Microsoft Entra ID darstellt, wählen Sie Eigenschaften und dann die Registerkarte Herkunft aus. Das Connectorbereichsobjekt sollte über eine ausgehende Regel verfügen, für die die Spalte PasswordSync auf Wahr festgelegt ist. In der Standardkonfiguration ist der Name der Synchronisierungsregel Out to Microsoft Entra ID – User Join.

    Dialogfeld „Eigenschaften von Connectorbereichsobjekten“

Kennwortsynchronisierungsprotokoll

Die Statusspalte kann die folgenden Werte enthalten:

Der Status BESCHREIBUNG
Erfolg Das Kennwort wurde erfolgreich synchronisiert.
GefiltertNachZiel Das Kennwort wird auf Benutzer muss Kennwort bei der nächsten Anmeldung ändernfestgelegt. Das Kennwort wurde nicht synchronisiert.
KeineZielverbindung Im Metaverse oder im Microsoft Entra-Connectorbereich befindet sich kein Objekt.
SourceConnectorNotPresent Im lokalen Active Directory Connector-Bereich wurde kein Objekt gefunden.
TargetNotExportedToDirectory Das Objekt im Microsoft Entra-Connectorbereich wurde noch nicht exportiert.
MigratedCheckDetailsForMoreInfo Der Protokolleintrag wurde vor Build 1.0.9125.0 erstellt und wird im Zustand der Vorversion angezeigt.
Fehler Der Service hat einen unbekannten Fehler gemeldet.
Unbekannt Beim Versuch, einen Stapel von Kennwort-Hashes zu verarbeiten, ist ein Fehler aufgetreten.
Fehlendes Attribut Bestimmte Attribute (z. B. Kerberos-Hash), die von Microsoft Entra Domain Services benötigt werden, sind nicht verfügbar.
RetryRequestedByTarget Bestimmte Attribute, wie beispielsweise der Kerberos-Hash, die von Microsoft Entra Domain Services benötigt werden, waren zuvor nicht verfügbar. Es wird versucht, den Passworthash des Benutzers neu zu synchronisieren.

Hilfe zur Problembehandlung durch Skripts

Abrufen des Status der Kennwortsynchronisierungseinstellungen

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Auslösen einer vollständigen Synchronisierung aller Kennwörter

Hinweis

Führen Sie dieses Skript nur einmal aus. Wenn Sie es mehrere Male ausführen müssen, ist etwas anderes das Problem. Wenden Sie sich an den Microsoft-Support, um Hilfe bei der Problembehandlung zu erhalten.

Mit dem folgenden Skript können Sie eine vollständige Synchronisierung aller Kennwörter auslösen:

  1. Zuweisen des lokalen Active Directory-$adConnector-Werts

    $adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"

  2. Weisen Sie den AzureAD-$aadConnector-Wert zu

    $aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"

  3. Installieren des AzureAD-Synchronisierungsmoduls

    Import-Module adsync

  4. Ein neues Konfigurationsparameterobjekt zur erzwungenen vollständigen Kennwortsynchronisierung erstellen

    $c = Get-ADSyncConnector -Name $adConnector

  5. Aktualisieren Sie den vorhandenen Connector mit den folgenden neuen Konfigurationen. Jede Zeile separat ausführen

    a) $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null

    b. $p.Value = 1

    c. $c.GlobalParameters.Remove($p.Name)

    d. $c.GlobalParameters.Add($p)

    e. $c = Add-ADSyncConnector -Connector $c

  6. Entra ID Connect deaktivieren

    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false

  7. Aktivieren von Entra ID Connect, um die vollständige Kennwortsynchronisierung zu erzwingen

    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Nächste Schritte