Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen bei der Behandlung häufig auftretender Probleme, die auftreten können, wenn Sie Kennwörter aus der lokalen Umgebung mit Microsoft Entra ID mithilfe von Microsoft Entra Connect synchronisieren.
Ursprüngliche Produktversion: Cloud-Dienste (Webrollen/Workerrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2855271
Hinweis
Waren diese Informationen hilfreich? Wir schätzen Ihr Feedback. Bitte verwenden Sie die Schaltfläche Feedback auf dieser Seite, um uns mitzuteilen, wie gut Ihnen dieser Artikel gefallen hat oder wie wir ihn verbessern können.
Bevor Sie mit der Problembehandlung beginnen
Bevor Sie die Schritte zur Problembehandlung ausführen, stellen Sie sicher, dass Sie die neueste Version von Microsoft Entra Connect installiert haben.
Stellen Sie außerdem sicher, dass sich die Verzeichnissynchronisierung in einem fehlerfreien Zustand befindet. Weitere Informationen finden Sie unter Behandeln von Problemen bei der Objektsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.
Einige Benutzer können sich nicht bei Microsoft 365, Microsoft Entra oder Microsoft Intune anmelden.
In diesem Szenario scheinen Kennwörter der meisten Benutzer synchronisiert zu werden. Es gibt jedoch einige Benutzer, deren Kennwörter nicht synchronisiert werden sollen. Es folgen Szenarien, in denen sich ein Benutzer nicht bei einem Microsoft-Clouddienst anmelden kann, z. B. Microsoft 365, Entra oder Intune.
Szenario 1: Das Kontrollkästchen "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" ist für das Konto des Benutzers aktiviert.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Führen Sie eine der folgenden Aktionen aus:
- Deaktivieren Sie in den Eigenschaften des Benutzerkontos in Active Directory-Benutzer und -Computer das Kennwort bei der nächsten Anmeldung.
- Lassen Sie den Benutzer sein lokales Benutzerkontokennwort ändern.
- Aktivieren Sie das Feature "ForcePasswordChangeOnLogOn " in der Microsoft Entra-ID.
Warten Sie einige Minuten, bis die Änderung zwischen den lokales Active Directory Domain Services (AD DS) und microsoft Entra ID synchronisiert wird.
Szenario 2: Der Benutzer hat sein Kennwort im Clouddienstportal geändert.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
- Lassen Sie den Benutzer sein lokales Benutzerkontokennwort ändern.
- Warten Sie einige Minuten, bis die Änderung zwischen der lokalen AD DS- und Microsoft Entra-ID synchronisiert wird.
Um das Kennwort im Clouddienst zu ändern und Microsoft Entra Connect das entsprechende lokale Benutzerkontokennwort zu aktualisieren, aktivieren Sie "Kennwortrückschreiben".
Szenario 3: Einige Benutzer scheinen nicht mit der Microsoft Entra-ID zu synchronisieren.
Mögliche Ursachen sind doppelte Benutzernamen oder E-Mail-Adressen.
Um dieses Problem zu beheben, verwenden Sie das IdFix DirSync Error Remediation Tool (IdFix), um potenzielle objektbezogene Probleme im lokalen AD DS zu identifizieren. Sie können IdFix auf der folgenden Microsoft-Website installieren: IdFix DirSync Error Remediation Tool
Weitere Informationen zum Beheben dieses Problems finden Sie unter Mindestens ein Objekt, das nicht synchronisiert wird, wenn das Azure Active Directory-Synchronisierungstool verwendet wird.
Szenario 4: Benutzer werden zwischen eingeschlossenen und ausgeschlossenen Synchronisierungsbereichen verschoben.
In diesem Szenario wird der Benutzer in einen Bereich verschoben, der es dem Benutzer jetzt ermöglicht, synchronisiert zu werden. Dies könnte der Zeitpunkt sein, wenn die Filterung für Domänen, Organisationseinheiten oder Attribute eingerichtet ist.
Informationen zum Beheben dieses Problems finden Sie im Abschnitt zum Ausführen eines ersten Synchronisierungsabschnitts .
Szenario 5: Benutzer können sich nicht mit einem neuen Kennwort anmelden, aber sie können sich mit ihrem alten Kennwort anmelden.
In diesem Szenario verwenden Sie Microsoft Entra Connect zusammen mit der Kennwortsynchronisierung. Nachdem Sie die Verzeichnissynchronisierung oder kennwortsynchronisierung deaktiviert haben, können sich Benutzer nicht mit einem neuen Kennwort anmelden. Ihr altes Kennwort funktioniert jedoch weiterhin.
Um dieses Problem zu beheben, aktivieren Sie die Verzeichnissynchronisierung und die Kennwortsynchronisierung erneut. Starten Sie dazu den Konfigurations-Assistenten von Microsoft Entra Connect, wählen Sie "Synchronisierungsoptionen konfigurieren und anpassen" aus, und fahren Sie dann mit den Bildschirmen fort, bis die Option zum Aktivieren der Kennwortsynchronisierung angezeigt wird.
Szenario 6: Benutzer können sich nicht mit ihrem Kennwort anmelden
In diesem Szenario wird der Kennworthash nicht erfolgreich mit der Microsoft Entra-ID synchronisiert. Wenn das Benutzerkonto in der lokalen AD DS-Version einer früheren Windows Server-Version als Windows Server 2003 erstellt wurde, verfügt das Konto nicht über einen Kennworthash.
Die Verzeichnissynchronisierung wird ausgeführt, aber Kennwörter aller Benutzer werden nicht synchronisiert.
In diesem Szenario werden Kennwörter aller Benutzer nicht synchronisiert. Es tritt in der Regel auf, wenn eine der folgenden Bedingungen zutrifft:
Das Kontrollkästchen zum Starten des Synchronisierungsprozesses nach Abschluss der Konfiguration wurde nicht aktiviert.
Entra Connect-Server befindet sich im Stagingmodus.
Die Kennwortsynchronisierung ist deaktiviert.
Eine vollständige Verzeichnissynchronisierung wurde noch nicht abgeschlossen.
Wichtig
Die Kennwortsynchronisierung wird erst gestartet, wenn eine vollständige Verzeichnissynchronisierung abgeschlossen ist.
Um dieses Problem zu beheben, stellen Sie zunächst sicher, dass Sie die Kennwortsynchronisierung aktivieren. Starten Sie dazu den Konfigurations-Assistenten von Microsoft Entra Connect, wählen Sie "Synchronisierungsoptionen konfigurieren und anpassen" aus, und fahren Sie dann mit den Bildschirmen fort, bis die Option zum Aktivieren der Kennwortsynchronisierung angezeigt wird.
Nachdem die Kennwortsynchronisierung aktiviert wurde, müssen Sie warten, bis eine vollständige Kennwortsynchronisierung abgeschlossen ist. Überprüfen Sie die Windows Ereignisanzeige-Protokolle, um den Kennwortsynchronisierungsprozess zu überwachen.
Problembehandlung für einen Benutzer, dessen Kennwort nicht synchronisiert ist
Informationen zur Problembehandlung finden Sie unter Problembehandlung bei der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync
Sie wechseln von einer SSO-Lösung (Single Sign On) zur Kennwortsynchronisierung
Informationen zum Beheben dieses Problems finden Sie unter Wechseln von einmaligem Anmelden zu Kennwortsynchronisierung.
Ereignis-ID-Nachrichten in Ereignisanzeige
In den folgenden Tabellen werden Ereignis-ID-Meldungen im Anwendungsprotokoll aufgeführt, die mit der Kennwortsynchronisierung zusammenhängen.
Informational (keine Aktion erforderlich)
| Ereigniskennung | Beschreibung | Ursache |
|---|---|---|
| 6:22 | Vollständige Kennworthashsynchronisierung für Domäne abgeschlossen: contoso.local | Der vollständige Kennwortsynchronisierungszyklus beendet das Abrufen der zuletzt verwendeten Kennwörter aus der lokalen AD DS-Domäne. |
| 6:23 | Vollständige Kennworthashsynchronisierung für gesamtstruktur: contoso.local | Der vollständige Kennwortsynchronisierungszyklus beendet das Abrufen der zuletzt verwendeten Kennwörter aus der lokalen AD DS-Gesamtstruktur. |
| 6:50 | Batchstart für Anmeldeinformationen. Anzahl: 1 | Die Kennwortsynchronisierung beginnt mit dem Abrufen aktualisierter Kennwörter aus dem lokalen AD DS. |
| 18:02:51 | Bereitstellen des Batchendes von Anmeldeinformationen. Anzahl: 1 | Die Kennwortsynchronisierung beendet das Abrufen aktualisierter Kennwörter aus dem lokalen AD DS. |
| 653 | Bereitstellen des Startmenüs für Anmeldeinformationen. | Mit der Kennwortsynchronisierung wird die Microsoft Entra-ID informiert, dass keine Kennwörter synchronisiert werden sollen. Es tritt alle 30 Minuten auf, wenn keine Kennwörter im lokalen AD DS aktualisiert wurden. |
| 18:02:54 | Bereitstellen des Pings von Anmeldeinformationen. | Die Kennwortsynchronisierung wird beendet, um Microsoft Entra-ID zu informieren, dass keine Kennwörter synchronisiert werden müssen. Es tritt alle 30 Minuten auf, wenn keine Kennwörter im lokalen AD DS aktualisiert wurden. |
| 656 | Kennwortänderungsanforderung - Anchor: H552hI9GwEykZwosf74JeOQ==, Dn: CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Änderungsdatum: 05/01/2013 16:34:08 | Die Kennwortsynchronisierung gibt an, dass eine Kennwortänderung erkannt wurde und versucht, sie mit der Microsoft Entra-ID zu synchronisieren. Er identifiziert den Benutzer oder die Benutzer, deren Kennwort geändert wurde und synchronisiert wird. Jeder Batch enthält mindestens einen Benutzer und höchstens 50 Benutzer. |
| 657 | Kennwortänderungsergebnis - Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn: CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result: Success. | Benutzer, deren Kennwort erfolgreich synchronisiert wurde. |
| 657 | Kennwortänderungsergebnis - Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn: CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result: Failed. | Benutzer, deren Kennwort nicht synchronisiert wurde. |
Informationen (kann eine Aktion erfordern)
| Ereigniskennung | Beschreibung | Ursache | Weitere Informationen |
|---|---|---|---|
| 0 | Die folgenden Kennwortänderungen konnten nicht synchronisiert werden und haben den Wiederholungsvorgang geplant. DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
Benutzer oder Benutzer, deren Kennwort nicht synchronisiert wurde |
Konfigurieren der Verzeichnissynchronisierung Mindestens ein Objekt wird nicht synchronisiert, wenn das Azure Active Directory-Synchronisierungstool verwendet wird |
| 1:15 | Der Zugriff auf Windows Azure Active Directory wurde verweigert. Wenden Sie sich an den technischen Support. | Microsoft Entra-Anmeldeinformationen wurden über Forefront Identity Manager (FIM) aktualisiert. | Führen Sie den Microsoft Entra-Konfigurations-Assistenten erneut aus. Siehe Kennworthashsynchronisierung funktioniert nicht mehr, nachdem Sie microsoft Entra-Anmeldeinformationen in FIM aktualisiert haben |
| 657 | Kennwortänderungsergebnis - Anchor: B0H+OD3LM0GEnYODwdPhpg==, Ergebnis: fehlgeschlagen, erweiterter Fehler: | Benutzer oder Benutzer, deren Kennwort nicht synchronisiert wurde |
Konfigurieren der Verzeichnissynchronisierung Mindestens ein Objekt wird nicht synchronisiert, wenn das Azure Active Directory-Synchronisierungstool verwendet wird |
Fehler (Aktion erforderlich)
| Ereigniskennung | Beschreibung | Ursache | Weitere Informationen |
|---|---|---|---|
| 0 | Der Benutzername oder das Kennwort ist falsch. Überprüfen Sie Ihren Benutzernamen, und geben Sie ihr Kennwort erneut ein. | Microsoft Entra-Anmeldeinformationen wurden über Forefront Identity Manager (FIM) aktualisiert. | Führen Sie den Microsoft Entra-Konfigurations-Assistenten erneut aus. Siehe Kennworthashsynchronisierung funktioniert nicht mehr, nachdem Sie microsoft Entra-Anmeldeinformationen in FIM aktualisiert haben |
| 6:11 | Fehler bei der Kennwortsynchronisierung für Domäne: Contoso.com.Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: Wiederherstellungsaufgabe fehlgeschlagen. >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC-Fehler 8439: Der für diesen Replikationsvorgang angegebene Distinguished Name ist ungültig. Fehler beim Aufrufen _IDL_DRSGetNCChanges. |
Windows Server 2003-Domänencontroller behandeln bestimmte Szenarien unerwartet. | Die Kennworthashsynchronisierung für Microsoft Entra ID funktioniert nicht mehr, und die Ereignis-ID 611 wird protokolliert. |
| 6:11 | Fehler bei der Kennwortsynchronisierung für Domäne: Contoso.com.Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC-Fehler 8593: Der Verzeichnisdienst kann den angeforderten Vorgang nicht ausführen, da die beteiligten Server unterschiedliche Replikationsepochen aufweisen (die in der Regel mit einer in Bearbeitung stehenden Domänenumbenennung zusammenhängen). |
Es war ein bekanntes Problem, das im Azure Active Directory-Synchronisierungstool Build 1.0.6455.0807 behoben wurde. | Um dieses Problem zu beheben, aktualisieren Sie auf die neueste Version des Azure Active Directory-Synchronisierungstools. |
| 6:11 | Fehler bei der Kennwortsynchronisierung für domäne: Contoso.comSystem.ArgumentOutOfRangeException: Keine gültige Win32 |
Es war ein bekanntes Problem, das im Azure Active Directory-Synchronisierungstool Build 1.0.6455.0807 behoben wurde. | Um dieses Problem zu beheben, aktualisieren Sie auf die neueste Version des Azure Active Directory-Synchronisierungstools. |
| 6:11 | Fehler bei der Kennwortsynchronisierung für Domäne: Contoso.com.System.ArgumentException: Ein Element mit demselben Schlüssel wurde bereits hinzugefügt. |
Es war ein bekanntes Problem, das im Azure Active Directory-Synchronisierungstool Build 1.0.6455.0807 behoben wurde. | Um dieses Problem zu beheben, aktualisieren Sie auf die neueste Version des Azure Active Directory-Synchronisierungstools. |
| 652 | Fehler bei der Bereitstellung von Anmeldeinformationen. Fehler: Microsoft.Online.Koexistenz.ProvisionException: Fehler. Fehlercode: 90. Fehlerbeschreibung: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. Tracking-ID: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 Servername: BL2GR1BBA003. >--- System.ServiceModel.FaultException1[Microsoft.Online.Koexistenz.Schema.AdminWebServiceFault]: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. (Fehlerdetail ist gleich Microsoft.Online.Koexistenz.Schema.AdminWebServiceFault). | Fehler bei der Kennwortsynchronisierung beim Abrufen aktualisierter Kennwörter aus dem lokalen AD DS. |
Konfigurieren der Verzeichnissynchronisierung Mindestens ein Objekt wird nicht synchronisiert, wenn das Azure Active Directory-Synchronisierungstool verwendet wird |
| 652 | Fehler bei der Bereitstellung von Anmeldeinformationen. Fehler: Microsoft.Online.Koexistenz. ProvisionRetryException: Fehler. Fehlercode: 81. Fehlerbeschreibung: Windows Azure Active Directory ist derzeit ausgelastet. Dieser Vorgang wird automatisch wiederholt. | Es war ein bekanntes Problem, das im Azure Active Directory-Synchronisierungstool Build 1.0.6455.0807 behoben wurde. | Um dieses Problem zu beheben, aktualisieren Sie auf die neueste Version des Azure Active Directory-Synchronisierungstools. |
| 655 | Fehler bei der Bereitstellung von Anmeldeinformationen. Fehler: Microsoft.Online.Koexistenz.ProvisionException: Fehler. Fehlercode: 90. Fehlerbeschreibung: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. Tracking-ID: 0744fa31-1d9b-453a-83d8-c2555d843802 Servername: BL2GR1BBA005. >--- System.ServiceModel.FaultException1[Microsoft.Online.Koexistenz.Schema.AdminWebServiceFault]: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. (Fehlerdetail ist gleich Microsoft.Online.Koexistenz.Schema.AdminWebServiceFault). | Fehler bei der Kennwortsynchronisierung beim Benachrichtigen der Microsoft Entra-ID, dass keine Kennwörter synchronisiert werden müssen. Es tritt alle 30 Minuten auf. |
Konfigurieren der Verzeichnissynchronisierung Mindestens ein Objekt wird bei Verwendung des Azure Active Directory-Synchronisierungstools nicht synchronisiert |
| 655 | Der Benutzername oder das Kennwort ist falsch. Überprüfen Sie Ihren Benutzernamen, und geben Sie ihr Kennwort erneut ein. | Microsoft Entra-Anmeldeinformationen wurden über FIM aktualisiert. | Führen Sie den Microsoft Entra-Konfigurations-Assistenten erneut aus. Lesen Sie den folgenden Microsoft Knowledge Base-Artikel: Kennworthashsynchronisierung funktioniert nach dem Aktualisieren von Microsoft Entra-Anmeldeinformationen in FIM nicht mehr |
| 6900 | Der Server hat einen unerwarteten Fehler beim Verarbeiten einer Benachrichtigung über eine Kennwortänderung erkannt: Der Benutzername oder das Kennwort ist falsch.“ Überprüfen Sie Ihren Benutzernamen, und geben Sie ihr Kennwort erneut ein. |
Microsoft Entra-Anmeldeinformationen wurden über FIM aktualisiert. | Führen Sie den Microsoft Entra-Konfigurations-Assistenten erneut aus. Lesen Sie den folgenden Microsoft Knowledge Base-Artikel: Kennworthashsynchronisierung funktioniert nach dem Aktualisieren von Microsoft Entra-Anmeldeinformationen in FIM nicht mehr |
| 6900 | Der Server hat einen unerwarteten Fehler beim Verarbeiten einer Benachrichtigung über eine Kennwortänderung erkannt: "Fehler. Fehlercode: 90. Fehlerbeschreibung: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. |
Die Kennwortsynchronisierung ist für die Organisation nicht aktiviert. | Lesen Sie den folgenden Microsoft Knowledge Base-Artikel: Benutzerkennwörter werden nicht synchronisiert, und der Fehler "Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert" wird in Ereignisanzeige |
Weitere Informationen
So führen Sie eine anfängliche Synchronisierung aus
Führen Sie die folgenden Schritte aus, um eine vollständige Synchronisierung auszuführen, je nach Bedarf in microsoft Entra Connect, die Sie verwenden.
- Öffnen Sie auf dem Server, auf dem Microsoft Entra Connect installiert ist, PowerShell, und importieren Sie dann das ADSync-Modul:
Import-Module ADSync
- Führen Sie die folgenden Befehle aus, um einen anfänglichen Synchronisierungszyklus zu starten:
Start-ADSyncSyncCycle -PolicyType Initial
So führen Sie eine vollständige Kennwortsynchronisierung aus
Führen Sie zum Ausführen einer vollständigen Kennwortsynchronisierung das Skript aus, das sich auf dieser Seite befindet: Azure AD-Synchronisierung: Verwenden von PowerShell zum Auslösen einer vollständigen Kennwortsynchronisierung
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.