Freigeben über


Problembehandlung für die Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung

Dieses Thema enthält Schritte zum Behandeln von Problemen mit der Kennworthashsynchronisierung. Wenn Kennwörter nicht wie erwartet synchronisiert werden, kann dies für eine Teilmenge von Benutzern oder für alle Benutzer der Fall sein.

Verwenden Sie für die Bereitstellung von Microsoft Entra Connect mit Version 1.1.614.0 oder höher die Problembehandlungsaufgabe im Assistenten, um Probleme bei der Kennworthashsynchronisierung zu behandeln:

Für die Bereitstellung mit Version 1.1.524.0 oder höher gibt es nun ein Diagnose-Cmdlet, mit dem Sie Probleme bei der Kennworthashsynchronisierung behandeln können:

Für ältere Versionen der Microsoft Entra Connect-Bereitstellung gilt:

Kennwörter werden nicht synchronisiert: Problembehandlung mit der Problembehandlungsaufgabe

Mithilfe der Problembehandlungsaufgabe können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Die Problembehandlungsaufgabe ist nur fürMicrosoft Entra Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen der Problembehandlungsaufgabe

So behandeln Sie Probleme für den Fall, dass keine Kennwörter synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Starten Sie den Microsoft Entra Connect-Assistenten.

  4. Navigieren Sie zur Seite Weitere Aufgaben, wählen Sie Problembehandlung, und klicken Sie auf Weiter.

  5. Klicken Sie auf der Seite „Problembehandlung“ auf Starten, um das Menü zur Problembehandlung in PowerShell zu starten.

  6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennworthashsynchronisierung.

  7. Wählen Sie im Untermenü Die Kennworthashsynchronisierung funktioniert überhaupt nicht.

Grundlegendes zu den Ergebnissen der Problembehandlungsaufgabe

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

  • Überprüft, ob die Kennworthashsynchronisierungsfunktion für Ihren Microsoft Entra-Mandanten aktiviert ist.

  • Überprüft, ob sich der Microsoft Entra Connect-Server im Stagingmodus befindet.

  • Bei jedem vorhandenen lokalen Active Directory-Connector (entsprechend einer vorhandenen Active Directory-Gesamtstruktur):

    • Überprüft, ob die Kennworthashsynchronisierungsfunktion aktiviert ist.

    • Sucht nach Kennworthashsynchronisierungs-Taktereignissen in den Windows-Anwendungsereignisprotokollen.

    • Bei jeder Active Directory-Domäne unter dem lokalen Active Directory-Connector:

      • Überprüft, ob die Domäne über den Microsoft Entra Connect-Server erreichbar ist.

      • Überprüft, ob der Benutzername, das Kennwort und die für die Kennworthashsynchronisierung erforderlichen Berechtigungen für die AD DS-Konten (Active Directory Domain Services), die vom lokalen Active Directory-Connector verwendet werden, korrekt sind.

Die folgende Abbildung zeigt die Ergebnisse des Cmdlets für eine einzelne Domäne in einer lokalen Active Directory-Topologie:

Diagnoseausgabe für die Kennworthashsynchronisierung

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die von der Aufgabe zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Kennwort-Hashsynchronisierungs-Feature ist nicht aktiviert

Wenn Sie die Kennworthashsynchronisierung mithilfe des Microsoft Entra Connect-Assistenten nicht aktiviert haben, wird folgende Fehlermeldung zurückgegeben:

Kennworthashsynchronisierung ist nicht aktiviert

Microsoft Entra Connect-Server befindet sich im Stagingmodus

Wenn sich der Microsoft Entra Connect-Server im Stagingmodus befindet, ist die Kennworthashsynchronisierung vorübergehend deaktiviert, und folgende Fehlermeldung wird zurückgegeben:

Microsoft Entra Connect-Server befindet sich im Stagingmodus

Keine Kennworthashsynchronisierungs-Taktereignisse

Jeder lokale Active Directory-Connector ist mit einem eigenen Kennworthashsynchronisierungskanal ausgestattet. Wenn der Kennworthashsynchronisierungs-Kanal eingerichtet ist und keine Kennwortänderungen synchronisiert werden, wird alle 30 Minuten ein Taktereignis (EventId 654) unter dem Windows-Anwendungsereignisprotokoll generiert. Bei jedem lokalen Active Directory-Connector sucht das Cmdlet für die letzten drei Stunden nach entsprechenden Taktereignissen. Wenn kein Taktereignis gefunden wird, wird folgende Fehlermeldung zurückgegeben:

Kein Kennworthashsynchronisierungs-Taktereignis

AD DS-Konto weist nicht die richtigen Berechtigungen auf

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, nicht über die entsprechenden Berechtigungen verfügt, wird folgende Fehlermeldung zurückgegeben:

Screenshot mit dem Fehler, der zurückgegeben wird, wenn das AD DS-Konto einen falschen Benutzernamen oder ein falsches Kennwort aufweist

Falscher Benutzername oder falsches Kennwort für das AD DS-Konto

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, mit einem falschen Benutzernamen oder einem falschen Kennwort versehen ist, wird folgende Fehlermeldung zurückgegeben:

Falsche Anmeldeinformationen

Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit der Problembehandlungsaufgabe

Mithilfe der Problembehandlungsaufgabe können Sie bestimmen, warum ein Objekt keine Kennwörter synchronisiert.

Hinweis

Die Problembehandlungsaufgabe ist nur fürMicrosoft Entra Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für ein bestimmtes Benutzerobjekt:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Starten Sie den Microsoft Entra Connect-Assistenten.

  4. Navigieren Sie zur Seite Weitere Aufgaben, wählen Sie Problembehandlung, und klicken Sie auf Weiter.

  5. Klicken Sie auf der Seite „Problembehandlung“ auf Starten, um das Menü zur Problembehandlung in PowerShell zu starten.

  6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennworthashsynchronisierung.

  7. Wählen Sie im Untermenü Kennwort ist für ein bestimmtes Benutzerkonto nicht synchronisiert.

Grundlegendes zu den Ergebnissen der Problembehandlungsaufgabe

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

  • Überprüft den Status des Active Directory-Objekts im Active Directory-Connectorbereich, in der Metaverse und im Microsoft Entra-Connectorbereich.

  • Überprüft, ob Synchronisierungsregeln für die Kennworthashsynchronisierung aktiviert sind und auf das Active Directory-Objekt angewendet werden.

  • Versucht, die Ergebnisse des letzten Versuchs abzurufen und anzuzeigen, bei dem das Kennwort für das Objekt synchronisiert wurde.

Die folgende Abbildung zeigt die Ergebnisse des Cmdlets bei der Behandlung von Problemen mit der Kennworthashsynchronisierung für ein einzelnes Objekt:

Diagnoseausgabe für die Kennworthashsynchronisierung – einzelnes Objekt

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die vom Cmdlet zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Active Directory-Objekt wird nicht nach Microsoft Entra ID exportiert

Bei der Kennworthashsynchronisierung für dieses lokale Active Directory-Konto ist ein Fehler aufgetreten, da kein entsprechendes Objekt im Microsoft Entra-Mandanten vorhanden ist. Der folgende Fehler wird zurückgegeben:

Microsoft Entra-Objekt fehlt

Benutzer besitzt ein temporäres Kennwort

Ältere Versionen von Microsoft Entra Connect unterstützten die Synchronisierung temporärer Kennwörter mit Microsoft Entra ID nicht. Ein Kennwort gilt als temporär, wenn die Option Kennwort bei der nächsten Anmeldung ändern für den lokalen Active Directory-Benutzer festgelegt wird. Bei diesen älteren Versionen wird der folgende Fehler zurückgegeben:

Temporäres Kennwort wurde nicht exportiert

Um die Synchronisierung von temporären Kennwörtern zu aktivieren, müssen Sie Microsoft Entra Connect Version 2.0.3.0 oder höher installiert haben und das Feature ForcePasswordChangeOnLogon muss aktiviert sein.

Ergebnisse des letzten Versuchs, das Kennwort zu synchronisieren, sind nicht verfügbar

Standardmäßig speichert Microsoft Entra Connect sieben Tage lang die Ergebnisse der Kennworthashsynchronisierungs-Versuche. Wenn keine Ergebnisse für das ausgewählten Active Directory-Objekt verfügbar sind, wird die folgende Warnung zurückgegeben:

Diagnoseausgabe für ein einzelnes Objekt – kein Kennwortsynchronisierungsverlauf

Kennwörter werden nicht synchronisiert: Problembehandlung mit dem Diagnose-Cmdlet

Mithilfe des Cmdlets Invoke-ADSyncDiagnostics können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Microsoft Entra Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für den Fall, dass keine Kennwörter synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Führen Sie Import-Module ADSyncDiagnostics aus.

  4. Führen Sie Invoke-ADSyncDiagnostics -PasswordSync aus.

Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit dem Diagnose-Cmdlet

Mithilfe des Cmdlets Invoke-ADSyncDiagnostics können Sie bestimmen, warum ein Objekt keine Kennwörter synchronisiert.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Microsoft Entra Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für den Fall, dass keine Kennwörter für einen Benutzer synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Führen Sie Import-Module ADSyncDiagnostics aus.

  4. Führen Sie das folgende Cmdlet aus:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    Beispiel:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

Kennwörter werden nicht synchronisiert: Schritte zur manuellen Problembehandlung

Führen Sie folgende Schritte durch, um festzustellen, warum keine Kennwörter synchronisiert werden:

  1. Ist der Connect-Server im Stagingmodus? Ein Server im Stagingmodus synchronisiert keine Kennwörter.

  2. Führen Sie das Skript im Abschnitt Abrufen des Status der Kennwortsynchronisierungseinstellungen aus. Dadurch erhalten Sie eine Übersicht über die Konfiguration der Kennwortsynchronisierung.

    PowerShell-Skriptausgabe aus den Kennwortsynchronisierungseinstellungen

  3. Wenn die Funktion nicht in Microsoft Entra ID aktiviert ist oder der Synchronisierungskanalstatus nicht aktiviert ist, führen Sie den Assistenten zum Installieren von Connect aus. Wählen Sie Synchronisierungsoptionen anpassen aus, und deaktivieren Sie die Kennwortsynchronisierung. Durch diese Änderung wird das Feature vorübergehend deaktiviert. Führen Sie anschließend den Assistenten erneut aus, und aktivieren Sie die Kennwortsynchronisierung wieder. Führen Sie das Skript noch einmal aus, um sicherzustellen, dass die Konfiguration korrekt ist.

  4. Suchen Sie im Ereignisprotokoll nach Fehlern. Suchen Sie nach den folgenden Ereignissen, die auf ein Problem hinweisen würden:

    Quelle: „Verzeichnissynchronisierung“
    ID: 0, 611, 652, 655

    Wenn diese Ereignisse angezeigt werden, liegt ein Konnektivitätsproblem vor. Die Ereignisprotokollmeldung enthält Gesamtstrukturinformationen, die ein Problem aufweisen.

  5. Wenn kein Takt angezeigt wird oder nichts funktioniert hat, führen Sie das Skript unter Auslösen einer vollständigen Synchronisierung aller Kennwörter aus. Führen Sie das Skript nur einmal aus.

  6. Lesen Sie den Abschnitt „Behandlung eines Problems mit einem einzelnen Objekt, das keine Kennwörter synchronisiert“.

Konnektivitätsprobleme

Ist eine Verbindung mit Microsoft Entra ID verfügbar?

Verfügt das Konto über die erforderlichen Berechtigungen zum Lesen des Kennworthashes in allen Domänen? Wenn Sie Connect mit Express-Einstellungen installiert haben, sollten die Berechtigungen bereits richtig sein.

Wenn Sie eine benutzerdefinierte Installation verwendet haben, legen Sie die Berechtigungen wie folgt manuell fest:

  1. Um nach dem vom Active Directory-Connector verwendete Konto zu suchen, starten Sie den Synchronization Service Manager.

  2. Navigieren Sie zu Connectors, und suchen Sie dann nach der lokalen Active Directory-Gesamtstruktur, für die Sie eine Problembehandlung durchführen.

  3. Wählen Sie den Connector aus, und klicken Sie dann auf Eigenschaften.

  4. Navigieren Sie zu Mit Active Directory-Gesamtstruktur verbinden.

    Vom Active Directory-Connector verwendetes Konto
    Notieren Sie sich den Benutzernamen und die Domäne, in der sich das Konto befindet.

  5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob für das zuvor gesuchte Konto in der Gesamtstruktur auf der Stammebene aller Domänen die folgenden Berechtigungen festgelegt sind:

    • Verzeichnisänderungen replizieren
    • Verzeichnisänderungen replizieren: Alle
  6. Sind die Domänencontroller durch Microsoft Entra Connect erreichbar? Wenn der Connect-Server mit keinem der Domänencontroller eine Verbindung herstellen kann, konfigurieren Sie Nur bevorzugten Domänencontroller verwenden.

    Vom Active Directory-Connector verwendeter Domänencontroller

  7. Navigieren Sie zurück zum Synchronization Service Manager und Verzeichnispartition konfigurieren.

  8. Wählen Sie unter Verzeichnispartitionen auswählen Ihre Domäne aus, aktivieren Sie das Kontrollkästchen Nur bevorzugten Domänencontroller verwenden, und klicken Sie auf Konfigurieren.

  9. Geben Sie in der Liste die Domänencontroller ein, die Connect zur Kennwortsynchronisierung verwenden soll. Die gleiche Liste wird ebenfalls für den Import und Export verwendet. Führen Sie diese Schritte für alle Ihre Domänen aus.

Hinweis

Um diese Änderungen anzuwenden, starten Sie den Dienst Microsoft Entra ID Sync (ADSync) neu.

  1. Wenn der Skriptausgabe zufolge kein Takt vorhanden ist, führen Sie das Skript unter Auslösen einer vollständigen Synchronisierung aller Kennwörter aus.

Ein einzelnes Objekt synchronisiert keine Kennwörter: Schritte zur manuellen Problembehandlung

Sie können Probleme mit der Kennworthashsynchronisierung einfach beheben, indem Sie den Status eines Objekts überprüfen.

  1. Suchen Sie unter Active Directory-Benutzer und -Computer nach dem Benutzer, und überprüfen Sie dann, ob das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern deaktiviert ist.

    Produktive Active Directory-Kennwörter

    Falls das Kontrollkästchen aktiviert ist, fordern Sie den Benutzer auf, sich anzumelden und das Kennwort zu ändern. Temporäre Kennwörter werden nicht mit Microsoft Entra ID synchronisiert.

  2. Wenn das Kennwort in Active Directory korrekt aussieht, folgen Sie dem Benutzer im Synchronisierungsmodul. Indem Sie dem Benutzer vom lokalen Active Directory nach Microsoft Entra ID folgen, können Sie feststellen, ob eine beschreibende Fehlermeldung für das Objekt vorhanden ist.

    a. Starten Sie den Synchronization Service Manager.

    b. Klicken Sie auf Connectors.

    c. Wählen Sie den Active Directory-Connector aus, in dem sich der Benutzer befindet.

    d. Wählen Sie Search Connector Space(Connectorbereich durchsuchen) aus.

    e. Wählen Sie im Feld Bereich die Option DN oder Anker aus, und geben Sie dann den vollständigen DN des Benutzers ein, für den Sie eine Problembehandlung durchführen.

    Suchen nach dem Benutzer im Connectorbereich anhand des DN

    f. Machen Sie den gesuchten Benutzer ausfindig, und klicken Sie auf Eigenschaften, um alle Attribute zu sehen. Wenn der Benutzer nicht im Suchergebnis aufgeführt wird, dann überprüfen Sie Ihre Filterregeln, und stellen Sie sicher, dass Sie die Schritte unter Anwenden und Überprüfen von Änderungen für den Benutzer durchführen, der in Connect angezeigt werden soll.

    g. Klicken Sie auf Protokoll, um die Details zur Kennwortsynchronisierung der letzten Woche für das Objekt anzuzeigen.

    Objektprotokolldetails

    Wenn das Objektprotokoll leer ist, konnte Microsoft Entra Connect den Kennworthash aus Active Directory nicht lesen. Setzen Sie Ihre Problembehandlung mit Verbindungsfehlern fort. Wenn Sie einen anderen Wert als Erfolg sehen, dann schauen Sie in der Tabelle Kennwortsynchronisierungsprotokoll nach.

    h. Klicken Sie auf die Registerkarte Herkunft, und stellen Sie sicher, dass mindestens eine Synchronisierungsregel in der Spalte Kennwortsynchronisierung auf Wahr festgelegt ist. In der Standardkonfiguration lautet der Name der Synchronisierungsregel Eingehend von AD – Benutzerkonto aktiviert.

    Herkunftsinformationen zu einem Benutzer

    i. Klicken Sie auf Metaverseobjekteigenschaften, um eine Liste von Benutzerattributen anzuzeigen.

    Screenshot der Liste mit Benutzerattributen für die Metaverseobjekteigenschaften

    Stellen Sie sicher, dass kein cloudFiltered-Attribut vorhanden ist. Stellen Sie sicher, dass die Domänenattribute (domainFQDN und domainNetBios) über die erwarteten Werte verfügen.

    j. Klicken Sie auf die Registerkarte Connectors. Stellen Sie sicher, dass Connectors für lokale Active Directory und Microsoft Entra ID angezeigt werden.

    Metaverseinformationen

    k. Wählen Sie die Zeile aus, die Microsoft Entra ID darstellt, und klicken Sie auf Eigenschaften und dann auf die Registerkarte Herkunft. Das Connectorbereichsobjekt sollte über eine Ausgangsregel verfügen, für die die Spalte Kennwortsynchronisierung auf Wahr festgelegt ist. In der Standardkonfiguration lautet der Name der Synchronisierungsregel Out to Microsoft Entra ID – User Join(Ausgehend an Microsoft Entra ID – Benutzerverknüpfung).

    Dialogfeld „Eigenschaften von Connectorbereichsobjekten“

Kennwortsynchronisierungsprotokoll

Die Statusspalte kann die folgenden Werte enthalten:

Status BESCHREIBUNG
Erfolg Das Kennwort wurde erfolgreich synchronisiert.
FilteredByTarget Das Kennwort wird auf Benutzer muss Kennwort bei der nächsten Anmeldung ändernfestgelegt. Das Kennwort wurde nicht synchronisiert.
NoTargetConnection Im Metaverse oder im Microsoft Entra-Connectorbereich befindet sich kein Objekt.
SourceConnectorNotPresent Im lokalen Active Directory Connector-Bereich wurde kein Objekt gefunden.
TargetNotExportedToDirectory Das Objekt im Microsoft Entra-Connectorbereich wurde noch nicht exportiert.
MigratedCheckDetailsForMoreInfo Der Protokolleintrag wurde vor Build 1.0.9125.0 erstellt und wird im Zustand der Vorversion angezeigt.
Fehler Dienst hat einen unbekannten Fehler zurückgegeben.
Unknown Fehler beim Versuch, einen Batch von Kennworthashes zu verarbeiten.
MissingAttribute Bestimmte Attribute (z. B. Kerberos-Hash), die von Microsoft Entra Domain Services angefordert werden, sind nicht verfügbar.
RetryRequestedByTarget Bestimmte Attribute (z. B. Kerberos-Hash), die von Microsoft Entra Domain Services angefordert werden, waren zuvor nicht verfügbar. Es wird versucht, den Kennworthash des Benutzers neu zu synchronisieren.

Hilfe zur Problembehandlung durch Skripts

Abrufen des Status der Kennwortsynchronisierungseinstellungen

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Auslösen einer vollständigen Synchronisierung aller Kennwörter

Hinweis

Führen Sie dieses Skript nur einmal aus. Wenn Sie es mehrere Male ausführen müssen, ist etwas anderes das Problem. Wenden Sie sich an den Microsoft-Support, um Hilfe bei der Problembehandlung zu erhalten.

Mit dem folgenden Skript können Sie eine vollständige Synchronisierung aller Kennwörter auslösen:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Nächste Schritte