A jelszóhash szinkronizációjának hibaelhárítása a Microsoft Entra Connect Sync segítségével
Ez a témakör a jelszókivonat-szinkronizálással kapcsolatos problémák elhárításának lépéseit ismerteti. Ha a jelszavak nem a várt módon szinkronizálódnak, az a felhasználók egy részhalmazára vagy az összes felhasználóra is érvényes lehet.
Microsoft Entra Csatlakozás 1.1.614.0-s vagy újabb verziójú üzembe helyezés esetén a varázsló hibaelhárítási feladatával háríthatja el a jelszókivonat-szinkronizálással kapcsolatos problémákat:
Ha olyan probléma merül fel, amely miatt a rendszer nem szinkronizálja a jelszavakat, tekintse meg a Nem szinkronizált jelszavak című témakört: hibaelhárítás a hibaelhárítási feladat szakasz használatával.
Ha az egyes objektumokkal kapcsolatos probléma merül fel, tekintse meg, hogy az Egy objektum nem szinkronizálja a jelszavakat: hibaelhárítás a hibaelhárítási feladat szakasz használatával.
Az 1.1.524.0-s vagy újabb verziójú üzembe helyezéshez létezik egy diagnosztikai parancsmag, amellyel elháríthatja a jelszókivonat-szinkronizálással kapcsolatos problémákat:
Ha problémát tapasztal, amely miatt nem szinkronizálja a jelszavakat, tekintse meg a Nem szinkronizált jelszavak című témakört: hibaelhárítás a diagnosztikai parancsmag szakasz használatával.
Ha problémát tapasztal az egyes objektumokkal kapcsolatban, tekintse meg, hogy az Egy objektum nem szinkronizálja a jelszavakat: hibaelhárítás a diagnosztikai parancsmag szakasz használatával.
A Microsoft Entra régebbi verzióihoz Csatlakozás üzembe helyezés:
Ha problémát tapasztal, amely miatt nem szinkronizálja a jelszavakat, tekintse meg a Nem szinkronizált jelszavak című szakaszt: manuális hibaelhárítási lépések szakasz.
Ha problémát tapasztal az egyes objektumokkal kapcsolatban, tekintse meg, hogy az Egy objektum nem szinkronizálja a jelszavakat: manuális hibaelhárítási lépések szakasz.
A jelszavak nincsenek szinkronizálva: hibaelhárítás a hibaelhárítási feladattal
A hibaelhárítási feladat segítségével megtudhatja, hogy miért nem szinkronizálódnak a jelszavak.
Megjegyzés:
A hibaelhárítási feladat csak a Microsoft Entra Csatlakozás 1.1.614.0-s vagy újabb verziójához érhető el.
A hibaelhárítási feladat futtatása
To troubleshoot issues where no passwords are synchronized:
Nyisson meg egy új Windows PowerShell-munkamenetet a Microsoft Entra Csatlakozás-kiszolgálón a Futtatás Rendszergazda istrator lehetőséggel.
Futtatás
Set-ExecutionPolicy RemoteSigned
vagySet-ExecutionPolicy Unrestricted
.Indítsa el a Microsoft Entra Csatlakozás varázslót.
Lépjen a További feladatok lapra, válassza a Hibaelhárítás lehetőséget, majd kattintson a Tovább gombra.
A Hibaelhárítás lapon kattintson a Launch (Indítás) gombra a hibaelhárítási menü elindításához a PowerShellben.
A főmenüben válassza a Jelszókivonat-szinkronizálás hibaelhárítása lehetőséget.
Az almenüben válassza a Jelszókivonat szinkronizálása egyáltalán nem működik.
A hibaelhárítási feladat eredményeinek megismerése
A hibaelhárítási feladat a következő ellenőrzéseket hajtja végre:
Ellenőrzi, hogy a jelszókivonat-szinkronizálási funkció engedélyezve van-e a Microsoft Entra-bérlő számára.
Ellenőrzi, hogy a Microsoft Entra Csatlakozás kiszolgáló nincs előkészítési módban.
Minden meglévő helyi Active Directory összekötő esetében (amely egy meglévő Active Directory-erdőnek felel meg):
Ellenőrzi, hogy engedélyezve van-e a jelszókivonat-szinkronizálási funkció.
A jelszókivonat-szinkronizálás szívverési eseményeit keresi a Windows-alkalmazás eseménynaplóiban.
Az helyi Active Directory-összekötő alatti minden Active Directory-tartomány esetében:
Ellenőrzi, hogy a tartomány elérhető-e a Microsoft Entra Csatlakozás-kiszolgálóról.
Ellenőrzi, hogy a helyi Active Directory-összekötő által használt Active Directory tartományi szolgáltatások -fiókok helyes felhasználónévvel, jelszóval és engedélyekkel rendelkeznek-e a jelszókivonat-szinkronizáláshoz.
Az alábbi ábra egy tartományra helyi Active Directory topológiára vonatkozó parancsmag eredményeit szemlélteti:
A szakasz további része a tevékenység által visszaadott konkrét eredményeket és a kapcsolódó problémákat ismerteti.
A jelszókivonat-szinkronizálási funkció nincs engedélyezve
Ha nem engedélyezte a jelszókivonat-szinkronizálást a Microsoft Entra Csatlakozás varázslóval, a következő hibaüzenet jelenik meg:
A Microsoft Entra Csatlakozás kiszolgáló átmeneti módban van
Ha a Microsoft Entra Csatlakozás kiszolgáló átmeneti üzemmódban van, a jelszókivonat-szinkronizálás átmenetileg le van tiltva, és a következő hibaüzenet jelenik meg:
Nincsenek jelszókivonat-szinkronizálási szívverési események
Minden helyi Active Directory összekötő saját jelszókivonat-szinkronizálási csatornával rendelkezik. Amikor létrejött a jelszókivonat-szinkronizálási csatorna, és nincsenek szinkronizálandó jelszómódosítások, a rendszer 30 percenként létrehoz egy szívverési eseményt (EventId 654) a Windows alkalmazás eseménynaplója alatt. Minden helyi Active Directory összekötő esetében a parancsmag az elmúlt három órában megkeresi a megfelelő szívverési eseményeket. Ha nem található szívverési esemény, a rendszer a következő hibát adja vissza:
Az AD DS-fiók nem rendelkezik megfelelő engedélyekkel
Ha a helyi Active Directory-összekötő által a jelszókivonatok szinkronizálásához használt AD DS-fiók nem rendelkezik a megfelelő engedélyekkel, a következő hibaüzenet jelenik meg:
Helytelen AD DS-fiók felhasználóneve vagy jelszava
Ha a helyi Active Directory összekötő által a jelszókivonatok szinkronizálásához használt AD DS-fiók helytelen felhasználónévvel vagy jelszóval rendelkezik, a következő hibaüzenet jelenik meg:
Egy objektum nem szinkronizál jelszavakat: hibaelhárítás a hibaelhárítási feladattal
A hibaelhárítási feladat segítségével megállapíthatja, hogy egy objektum miért nem szinkronizálja a jelszavakat.
Megjegyzés:
A hibaelhárítási feladat csak a Microsoft Entra Csatlakozás 1.1.614.0-s vagy újabb verziójához érhető el.
A diagnosztikai parancsmag futtatása
Egy adott felhasználói objektum hibáinak elhárítása:
Nyisson meg egy új Windows PowerShell-munkamenetet a Microsoft Entra Csatlakozás-kiszolgálón a Futtatás Rendszergazda istrator lehetőséggel.
Futtatás
Set-ExecutionPolicy RemoteSigned
vagySet-ExecutionPolicy Unrestricted
.Indítsa el a Microsoft Entra Csatlakozás varázslót.
Lépjen a További feladatok lapra, válassza a Hibaelhárítás lehetőséget, majd kattintson a Tovább gombra.
A Hibaelhárítás lapon kattintson a Launch (Indítás) gombra a hibaelhárítási menü elindításához a PowerShellben.
A főmenüben válassza a Jelszókivonat-szinkronizálás hibaelhárítása lehetőséget.
Az almenüben válassza a Jelszó nincs szinkronizálva egy adott felhasználói fiókhoz.
A hibaelhárítási feladat eredményeinek megismerése
A hibaelhárítási feladat a következő ellenőrzéseket hajtja végre:
Megvizsgálja az Active Directory-objektum állapotát az Active Directory-összekötőtérben, a Metaverse és a Microsoft Entra összekötőtérben.
Ellenőrzi, hogy vannak-e olyan szinkronizálási szabályok, amelyeken engedélyezve van a jelszókivonat-szinkronizálás, és alkalmazva vannak az Active Directory-objektumra.
Megkísérli lekérni és megjeleníteni az objektum jelszavának utolsó szinkronizálására tett kísérlet eredményeit.
Az alábbi ábra a parancsmag eredményeit mutatja be egyetlen objektum jelszókivonat-szinkronizálásának hibaelhárítása során:
A szakasz további része a parancsmag által visszaadott konkrét eredményeket és a kapcsolódó problémákat ismerteti.
Az Active Directory-objektum nincs exportálva a Microsoft Entra-azonosítóba
A helyi Active Directory fiók jelszókivonat-szinkronizálása meghiúsul, mert nincs megfelelő objektum a Microsoft Entra-bérlőben. A következő hibaüzenet jelenik meg:
A felhasználó ideiglenes jelszóval rendelkezik
A Microsoft Entra Csatlakozás régebbi verziói nem támogatták az ideiglenes jelszavak Microsoft Entra-azonosítóval való szinkronizálását. A jelszó akkor tekinthető ideiglenesnek, ha a jelszó módosítása a következő bejelentkezési beállításnál be van állítva a helyi Active Directory felhasználónál. A rendszer a következő hibát adja vissza a régebbi verzióknál:
Az ideiglenes jelszavak szinkronizálásának engedélyezéséhez telepítve kell lennie a Microsoft Entra Csatlakozás 2.0.3.0-s vagy újabb verziójának, és engedélyeznie kell a ForcePasswordChangeOnLogon funkciót.
Az utolsó jelszószinkronizálási kísérlet eredményei nem érhetők el
Alapértelmezés szerint a Microsoft Entra Csatlakozás hét napig tárolja a jelszókivonat-szinkronizálási kísérletek eredményeit. Ha nem érhetők el eredmények a kijelölt Active Directory-objektumhoz, a rendszer a következő figyelmeztetést adja vissza:
No passwords are synchronized: troubleshoot by using the diagnostic cmdlet
A parancsmaggal Invoke-ADSyncDiagnostics
megtudhatja, hogy miért nem szinkronizálódnak a jelszavak.
Megjegyzés:
A Invoke-ADSyncDiagnostics
parancsmag csak a Microsoft Entra Csatlakozás 1.1.524.0-s vagy újabb verziójához érhető el.
A diagnosztikai parancsmag futtatása
To troubleshoot issues where no passwords are synchronized:
Nyisson meg egy új Windows PowerShell-munkamenetet a Microsoft Entra Csatlakozás-kiszolgálón a Futtatás Rendszergazda istrator lehetőséggel.
Futtatás
Set-ExecutionPolicy RemoteSigned
vagySet-ExecutionPolicy Unrestricted
.Futtatja a
Import-Module ADSyncDiagnostics
parancsot.Futtatja a
Invoke-ADSyncDiagnostics -PasswordSync
parancsot.
One object is not synchronizing passwords: troubleshoot by using the diagnostic cmdlet
A parancsmaggal Invoke-ADSyncDiagnostics
meghatározhatja, hogy egy objektum miért nem szinkronizálja a jelszavakat.
Megjegyzés:
A Invoke-ADSyncDiagnostics
parancsmag csak a Microsoft Entra Csatlakozás 1.1.524.0-s vagy újabb verziójához érhető el.
A diagnosztikai parancsmag futtatása
Olyan problémák elhárítása, amelyek esetén a rendszer nem szinkronizálja a jelszavakat a felhasználó számára:
Nyisson meg egy új Windows PowerShell-munkamenetet a Microsoft Entra Csatlakozás-kiszolgálón a Futtatás Rendszergazda istrator lehetőséggel.
Futtatás
Set-ExecutionPolicy RemoteSigned
vagySet-ExecutionPolicy Unrestricted
.Run
Import-Module ADSyncDiagnostics
.Futtassa a következő parancsmagot:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
Például:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
No passwords are synchronized: manual troubleshooting steps
Kövesse az alábbi lépéseket annak megállapításához, hogy miért nem szinkronizálódnak a jelszavak:
A Csatlakozás kiszolgáló átmeneti módban van? Az átmeneti módban lévő kiszolgálók nem szinkronizálják a jelszavakat.
Futtassa a szkriptet a Jelszószinkronizálási beállítások állapotának lekérése szakaszban. Áttekintést nyújt a jelszószinkronizálás konfigurációjáról.
Ha a szolgáltatás nincs engedélyezve a Microsoft Entra-azonosítóban, vagy ha a szinkronizálási csatorna állapota nincs engedélyezve, futtassa a Csatlakozás telepítővarázslót. Válassza a Szinkronizálási beállítások testreszabása lehetőséget, és törölje a jelszószinkronizálás kijelölését. Ez a módosítás ideiglenesen letiltja a funkciót. Ezután futtassa újra a varázslót, és engedélyezze újra a jelszószinkronizálást. Futtassa újra a szkriptet a konfiguráció helyességének ellenőrzéséhez.
Keresse meg az eseménynaplóban a hibákat. Keresse meg a következő eseményeket, amelyek problémát jeleznek:
- Forrás: "Címtár-szinkronizálás" azonosító: 0, 611, 652, 655 Ha ezeket az eseményeket látja, csatlakozási probléma merül fel. Az eseménynapló üzenete erdőinformációkat tartalmaz, ahol probléma merült fel.
Ha nem lát szívverést, vagy semmi más nem működött, futtassa az eseményindítót az összes jelszó teljes szinkronizálásának futtatásával. Futtassa a szkriptet csak egyszer.
Tekintse meg a jelszószinkronizálást nem okozó objektum hibaelhárítását ismertető szakaszt.
Csatlakozás tivitási problémák
Van kapcsolata a Microsoft Entra-azonosítóval?
Rendelkezik a fiók szükséges engedélyekkel a jelszókivonatok olvasásához minden tartományban? Ha expressz beállításokkal telepítette Csatlakozás, az engedélyeknek már helyesnek kell lenniük.
Ha egyéni telepítést használt, állítsa be manuálisan az engedélyeket az alábbiak végrehajtásával:
Az Active Directory-összekötő által használt fiók megkereséséhez indítsa el a Szinkronizálási szolgáltatáskezelőt.
Nyissa meg a Csatlakozás orokat, majd keresse meg a hibaelhárításban használt helyi Active Directory erdőt.
Jelölje ki az összekötőt, majd kattintson a Tulajdonságok gombra.
Lépjen Csatlakozás az Active Directory-erdőbe.
Jegyezze fel a felhasználónevet és a tartományt, ahol a fiók található.Indítsa el Active Directory - felhasználók és számítógépek, majd ellenőrizze, hogy a korábban talált fiók rendelkezik-e a következő engedélyekkel az erdő összes tartományának gyökerénél:
- Replicate Directory Changes
- Replicate Directory Changes All
Elérhetőek a tartományvezérlők a Microsoft Entra Csatlakozás? Ha a Csatlakozás kiszolgáló nem tud csatlakozni az összes tartományvezérlőhöz, konfigurálja csak az előnyben részesített tartományvezérlőt.
Lépjen vissza a Szinkronizálási szolgáltatáskezelőbe, és konfigurálja a címtárpartíciót.
Jelölje ki a tartományt a Címtárpartíciók kiválasztása területen, jelölje be a Csak az előnyben részesített tartományvezérlők használata jelölőnégyzetet, majd kattintson a Konfigurálás gombra.
A listában adja meg azokat a tartományvezérlőket, amelyeket Csatlakozás használni a jelszószinkronizáláshoz. Ugyanez a lista importáláshoz és exportáláshoz is használható. Hajtsa végre ezeket a lépéseket az összes tartomány esetében.
Megjegyzés:
A módosítások alkalmazásához indítsa újra a Microsoft Entra ID Sync (ADSync) szolgáltatást.
- Ha a szkript azt mutatja, hogy nincs szívverés, futtassa a szkriptet az Eseményindítóban az összes jelszó teljes szinkronizálásával.
One object is not synchronizing passwords: manual troubleshooting steps
Az objektumok állapotának áttekintésével egyszerűen elháríthatja a jelszókivonat-szinkronizálással kapcsolatos problémákat.
A Active Directory - felhasználók és számítógépek keresse meg a felhasználót, majd ellenőrizze, hogy a felhasználónak módosítania kell-e a jelszót a következő bejelentkezéskor jelölőnégyzet bejelölése után.
Ha a jelölőnégyzet be van jelölve, kérje meg a felhasználót, hogy jelentkezzen be, és módosítsa a jelszót. Az ideiglenes jelszavak nincsenek szinkronizálva a Microsoft Entra-azonosítóval.
Ha a jelszó helyesnek tűnik az Active Directoryban, kövesse a felhasználót a szinkronizálási motorban. Ha követi a felhasználót a helyi Active Directory és a Microsoft Entra azonosító között, láthatja, hogy van-e leíró hiba az objektumon.
a. Indítsa el a Szinkronizálási szolgáltatáskezelőt.
b. Kattintson a Csatlakozás orok elemre.
c. Válassza ki azt az Active Directory-Csatlakozás ort, ahol a felhasználó található.
d. Válassza a Keresés Csatlakozás vagy szóköz lehetőséget.
e. A Hatókör mezőben válassza a DN vagy a Horgony lehetőséget, majd adja meg a hibaelhárítás alatt álló felhasználó teljes DN-ét.
f. Keresse meg a keresett felhasználót, majd kattintson a Tulajdonságok gombra az összes attribútum megtekintéséhez. Ha a felhasználó nem szerepel a keresési eredményben, ellenőrizze a szűrési szabályokat, és győződjön meg arról, hogy futtatja az Alkalmaz parancsot, és ellenőrzi, hogy a felhasználó megjelenjen-e a Csatlakozás.
g. Az objektum múlt heti jelszószinkronizálási adatainak megtekintéséhez kattintson a Napló gombra.
Ha az objektumnapló üres, a Microsoft Entra Csatlakozás nem tudta beolvasni a jelszókivonatot az Active Directoryból. Folytassa a hibaelhárítást Csatlakozás tivitási hibákkal. Ha a sikeren kívül más értéket is lát, tekintse meg a jelszószinkronizálási napló táblázatát.
h. Jelölje ki az életút lapot, és győződjön meg arról, hogy a PasswordSync oszlopban legalább egy szinkronizálási szabály igaz. Az alapértelmezett konfigurációban a szinkronizálási szabály neve in from AD – User AccountEnabled.
i. Kattintson a Metaverzum objektum tulajdonságai elemre a felhasználói attribútumok listájának megjelenítéséhez.
Ellenőrizze, hogy nincs-e cloudFiltered attribútum. Győződjön meg arról, hogy a tartományattribútumok (domainFQDN és domainNetBios) a várt értékekkel rendelkeznek.
j. Kattintson a Csatlakozás orok fülre. Győződjön meg arról, hogy a helyi Active Directory és a Microsoft Entra-azonosító összekötői is láthatók.
k. Jelölje ki a Microsoft Entra-azonosítót megjelenítő sort, kattintson a Tulajdonságok gombra, majd a Vonalas fülre. Az összekötőtér-objektumnak true (Igaz) értékű kimenő szabályt kell megadnia a PasswordSync oszlopban. Az alapértelmezett konfigurációban a szinkronizálási szabály neve Out to Microsoft Entra ID – User Join.
Jelszószinkronizálási napló
Az állapotoszlop a következő értékekkel rendelkezhet:
Állapot | Leírás |
---|---|
Sikeres művelet | A jelszó szinkronizálása sikeresen megtörtént. |
FilteredByTarget | A jelszó beállítása: A felhasználónak a következő bejelentkezéskor módosítania kell a jelszót. A jelszó nincs szinkronizálva. |
NoTarget Csatlakozás ion | Nincs objektum a metaversen vagy a Microsoft Entra összekötő területén. |
Forrás Csatlakozás orNotPresent | A helyi Active Directory összekötőtérben nem található objektum. |
TargetNotExportedToDirectory | A Microsoft Entra-összekötő területén lévő objektum még nem lett exportálva. |
MigratedCheckDetailsForMoreInfo | A naplóbejegyzés az 1.0.9125.0-s build előtt lett létrehozva, és az örökölt állapotában jelenik meg. |
Hiba | A szolgáltatás ismeretlen hibát adott vissza. |
Unknown | Hiba történt a jelszókivonatok kötegének feldolgozása közben. |
MissingAttribute | A Microsoft Entra Domain Services által igényelt konkrét attribútumok (például Kerberos-kivonat) nem érhetők el. |
RetryRequestedByTarget | A Microsoft Entra Domain Services által igényelt konkrét attribútumok (például Kerberos-kivonat) korábban nem voltak elérhetők. A rendszer megpróbálja újraszinkronizálni a felhasználó jelszókivonatát. |
Szkriptek a hibaelhárításhoz
Jelszószinkronizálási beállítások állapotának lekérése
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Az összes jelszó teljes szinkronizálásának aktiválása
Megjegyzés:
Ezt a szkriptet csak egyszer futtassa. Ha többször kell futtatnia, valami más a probléma. A probléma elhárításához forduljon a Microsoft ügyfélszolgálatához.
Az összes jelszó teljes szinkronizálását az alábbi szkripttel indíthatja el:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true