Memecahkan masalah sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect

  • Artikel

Topik ini menyediakan langkah-langkah tentang cara memecahkan masalah sinkronisasi hash kata sandi. Jika kata sandi tidak disinkronkan seperti yang diharapkan, kata sandi dapat berupa subkumpulan pengguna atau untuk semua pengguna.

Untuk penyebaran Microsoft Entra Koneksi dengan versi 1.1.614.0 atau setelahnya, gunakan tugas pemecahan masalah dalam wizard untuk memecahkan masalah sinkronisasi hash kata sandi:

Untuk penyebaran dengan versi 1.1.524.0 atau yang lebih baru, ada cmdlet diagnostik yang dapat Anda gunakan untuk memecahkan masalah sinkronisasi hash kata sandi:

Untuk versi penyebaran Microsoft Entra Koneksi yang lebih lama:

Tidak ada kata sandi yang disinkronkan: memecahkan masalah dengan menggunakan tugas pemecahan masalah

Anda bisa menggunakan tugas pemecahan masalah untuk mencari tahu mengapa tidak ada kata sandi yang disinkronkan.

Catatan

Tugas pemecahan masalah hanya tersedia untuk Microsoft Entra Koneksi versi 1.1.614.0 atau yang lebih baru.

Jalankan tugas pemecahan masalah

Untuk memecahkan masalah di mana tidak ada kata sandi yang disinkronkan:

  1. Buka sesi Windows PowerShell baru di server Microsoft Entra Koneksi Anda dengan opsi Jalankan sebagai Administrator.

  2. Jalankan Set-ExecutionPolicy RemoteSigned atau Set-ExecutionPolicy Unrestricted.

  3. Mulai wizard Microsoft Entra Koneksi.

  4. Navigasi ke halaman Tugas Tambahan, pilih Pemecahan Masalah, dan klik Berikutnya.

  5. Pada halaman Pemecahan Masalah, klik Luncurkan untuk memulai menu pemecahan masalah di PowerShell.

  6. Pada menu utama, pilih Pemecahan Masalah sinkronisasi hash kata sandi.

  7. Di sub menu, pilih Sinkronisasi hash Kata Sandi tidak berfungsi sama sekali.

Memahami hasil tugas pemecahan masalah

Tugas pemecahan masalah melakukan pemeriksaan berikut:

  • Memvalidasi bahwa fitur sinkronisasi hash kata sandi diaktifkan untuk penyewa Microsoft Entra Anda.

  • Memvalidasi bahwa server Microsoft Entra Koneksi tidak dalam mode penahapan.

  • Untuk setiap konektor Active Directory lokal yang ada (yang sesuai dengan hutan Active Directory yang ada):

    • Memvalidasi bahwa fitur sinkronisasi hash kata sandi diaktifkan.

    • Mencari kejadian detak jantung sinkronisasi hash kata sandi di log Windows Application Event.

    • Untuk setiap domain Active Directory di bawah konektor Active Directory lokal:

      • Memvalidasi bahwa domain dapat dijangkau dari server Microsoft Entra Koneksi.

      • Memvalidasi bahwa akun Active Directory Domain Services (AD DS) yang digunakan oleh konektor Active Directory lokal memiliki nama pengguna, kata sandi, dan izin yang benar yang diperlukan untuk sinkronisasi hash kata sandi.

Diagram berikut ini mengilustrasikan hasil cmdlet untuk topologi Active Directory satu domain lokal:

Diagnostic output for password hash synchronization

Bagian lainnya menjelaskan hasil spesifik yang dikembalikan oleh tugas dan masalah terkait.

Fitur sinkronisasi hash kata sandi tidak diaktifkan

Jika Anda belum mengaktifkan sinkronisasi hash kata sandi dengan menggunakan wizard Microsoft Entra Koneksi, kesalahan berikut dikembalikan:

password hash synchronization isn't enabled

Server Microsoft Entra Koneksi dalam mode penahapan

Jika server Microsoft Entra Koneksi dalam mode penahapan, sinkronisasi hash kata sandi untuk sementara dinonaktifkan, dan kesalahan berikut dikembalikan:

Microsoft Entra Connect server is in staging mode

Tidak ada kejadian detak jantung sinkronisasi hash kata sandi

Setiap konektor Active Directory di tempat memiliki saluran sinkronisasi hash kata sandinya sendiri. Ketika saluran sinkronisasi hash kata sandi dibuat dan tidak ada perubahan kata sandi yang akan disinkronkan, peristiwa detak jantung (EventId 654) dihasilkan setiap 30 menit sekali di bawah Log Kejadian Aplikasi Windows. Untuk setiap konektor Active Directory di tempat, cmdlet mencari peristiwa detak jantung yang sesuai dalam tiga jam terakhir. Jika tidak ada peristiwa detak jantung yang ditemukan, kesalahan berikut dikembalikan:

No password hash synchronization heart beat event

Akun AD DS tidak memiliki izin yang benar

Jika akun AD DS yang digunakan oleh konektor Active Directory lokal untuk menyinkronkan hash kata sandi tidak memiliki izin yang sesuai, kesalahan berikut dikembalikan:

Screenshot that shows the error that's returned when the AD DS account has an incorrect username or password.

Nama pengguna atau kata sandi akun AD DS yang salah

Jika akun AD DS yang digunakan oleh konektor Active Directory lokal untuk menyinkronkan hash kata sandi memiliki nama pengguna atau kata sandi yang salah, kesalahan berikut dikembalikan:

Incorrect credential

Satu objek tidak menyinkronkan kata sandi: memecahkan masalah dengan menggunakan tugas pemecahan masalah

Anda dapat menggunakan tugas pemecahan masalah untuk menentukan mengapa satu objek tidak menyinkronkan kata sandi.

Catatan

Tugas pemecahan masalah hanya tersedia untuk Microsoft Entra Koneksi versi 1.1.614.0 atau yang lebih baru.

Jalankan cmdlet diagnostik

Untuk memecahkan masalah untuk objek pengguna tertentu:

  1. Buka sesi Windows PowerShell baru di server Microsoft Entra Koneksi Anda dengan opsi Jalankan sebagai Administrator.

  2. Jalankan Set-ExecutionPolicy RemoteSigned atau Set-ExecutionPolicy Unrestricted.

  3. Mulai wizard Microsoft Entra Koneksi.

  4. Navigasi ke halaman Tugas Tambahan, pilih Pemecahan Masalah, dan klik Berikutnya.

  5. Pada halaman Pemecahan Masalah, klik Luncurkan untuk memulai menu pemecahan masalah di PowerShell.

  6. Pada menu utama, pilih Pemecahan Masalah sinkronisasi hash kata sandi.

  7. Di sub menu, pilih Kata sandi tidak disinkronkan untuk akun pengguna tertentu.

Memahami hasil tugas pemecahan masalah

Tugas pemecahan masalah melakukan pemeriksaan berikut:

  • Memeriksa status objek Direktori Aktif di ruang konektor Direktori Aktif, Metaverse, dan ruang konektor Microsoft Entra.

  • Memvalidasi bahwa ada aturan sinkronisasi dengan sinkronisasi hash kata sandi diaktifkan dan diterapkan ke objek Active Directory.

  • Mencoba untuk mengambil dan menampilkan hasil dari upaya terakhir untuk menyinkronkan kata sandi untuk objek.

Diagram berikut mengilustrasikan hasil cmdlet saat memecahkan masalah sinkronisasi hash kata sandi untuk satu objek:

Diagnostic output for password hash synchronization - single object

Bagian lain dari bagian ini menjelaskan hasil spesifik yang dikembalikan oleh cmdlet dan masalah yang sesuai.

Objek Direktori Aktif tidak diekspor ke ID Microsoft Entra

sinkronisasi hash kata sandi untuk akun Active Directory lokal ini gagal karena tidak ada objek yang sesuai di penyewa Microsoft Entra. Kesalahan berikut dikembalikan:

Microsoft Entra object is missing

Pengguna memiliki kata sandi sementara

Versi Lama Microsoft Entra Koneksi tidak mendukung sinkronisasi kata sandi sementara dengan ID Microsoft Entra. Kata sandi dianggap bersifat sementara jika opsi Ubah kata sandi pada log masuk berikutnya diatur pada pengguna Active Directory di tempat. Kesalahan berikut dikembalikan dengan versi lama ini:

Temporary password is not exported

Untuk mengaktifkan sinkronisasi kata sandi sementara, Anda harus menginstal Microsoft Entra Koneksi versi 2.0.3.0 atau yang lebih tinggi dan fitur ForcePasswordChangeOnLogon harus diaktifkan.

Hasil upaya terakhir untuk menyinkronkan kata sandi tidak tersedia

Secara default, Microsoft Entra Koneksi menyimpan hasil upaya sinkronisasi hash kata sandi selama tujuh hari. Jika tidak ada hasil yang tersedia untuk objek Active Directory yang dipilih, peringatan berikut dikembalikan:

Diagnostic output for single object - no password sync history

Tidak ada kata sandi yang disinkronkan: memecahkan masalah dengan menggunakan cmdlet diagnostik

Anda dapat menggunakan Invoke-ADSyncDiagnostics cmdlet untuk mencari tahu mengapa tidak ada kata sandi yang disinkronkan.

Catatan

Invoke-ADSyncDiagnostics Cmdlet hanya tersedia untuk Microsoft Entra Koneksi versi 1.1.524.0 atau yang lebih baru.

Jalankan cmdlet diagnostik

Untuk memecahkan masalah di mana tidak ada kata sandi yang disinkronkan:

  1. Buka sesi Windows PowerShell baru di server Microsoft Entra Koneksi Anda dengan opsi Jalankan sebagai Administrator.

  2. Jalankan Set-ExecutionPolicy RemoteSigned atau Set-ExecutionPolicy Unrestricted.

  3. Jalankan Import-Module ADSyncDiagnostics.

  4. Jalankan Invoke-ADSyncDiagnostics -PasswordSync.

Satu objek tidak menyinkronkan kata sandi: memecahkan masalah dengan menggunakan cmdlet diagnostik

Anda dapat menggunakan Invoke-ADSyncDiagnostics cmdlet untuk menentukan mengapa satu objek tidak menyinkronkan kata sandi.

Catatan

Invoke-ADSyncDiagnostics Cmdlet hanya tersedia untuk Microsoft Entra Koneksi versi 1.1.524.0 atau yang lebih baru.

Jalankan cmdlet diagnostik

Untuk memecahkan masalah di mana tidak ada kata sandi yang disinkronkan untuk pengguna:

  1. Buka sesi Windows PowerShell baru di server Microsoft Entra Koneksi Anda dengan opsi Jalankan sebagai Administrator.

  2. Jalankan Set-ExecutionPolicy RemoteSigned atau Set-ExecutionPolicy Unrestricted.

  3. Jalankan Import-Module ADSyncDiagnostics.

  4. Jalankan cmdlet berikut:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>

    Contohnya:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"

Tidak ada kata sandi yang disinkronkan: langkah-langkah pemecahan masalah manual

Ikuti langkah-langkah ini untuk menentukan mengapa tidak ada kata sandi yang disinkronkan:

  1. Apakah server Connect dalam mode staging? Server dalam mode staging tak menyinkronkan sandi apa pun.

  2. Jalankan skrip di bagian Dapatkan status pengaturan sinkronisasi kata sandi. Ini memberi Anda gambaran umum tentang konfigurasi sinkronisasi kata sandi.

    PowerShell script output from password sync settings

  3. Jika fitur tidak diaktifkan di MICROSOFT Entra ID atau jika status saluran sinkronisasi tidak diaktifkan, jalankan wizard penginstalan Koneksi. Pilih Sesuaikan opsi sinkronisasi, dan batal pilih sinkronisasi kata sandi. Perubahan ini menonaktifkan fitur untuk sementara. Lalu jalankan kembali wisaya tersebut dan fungsikan kembali sinkronisasi kata sandi. Jalankan skrip lagi untuk memverifikasi bahwa konfigurasi sudah benar.

  4. Lihat di log kejadian untuk kesalahan. Cari peristiwa berikut, yang akan menunjukkan masalah:

    • Sumber: ID "Sinkronisasi direktori": 0, 611, 652, 655 Jika Anda melihat peristiwa ini, Anda memiliki masalah konektivitas. Pesan log kejadian berisi informasi hutan di mana Anda mengalami masalah.

  5. Jika Anda tidak melihat detak jantung atau jika tidak ada yang berhasil lagi, jalankan Picu sinkronisasi penuh semua kata sandi. Jalankan skrip hanya sekali.

  6. Lihat bagian Memecahkan masalah satu objek yang tidak menyinkronkan kata sandi.

Masalah konektivitas

Apakah Anda memiliki konektivitas dengan ID Microsoft Entra?

Apakah akun telah memerlukan izin untuk membaca hash kata sandi di semua domain? Jika Anda menginstal Sambungkan dengan menggunakan pengaturan Express, izinnya harus sudah benar.

Jika Anda menggunakan penginstalan kustom, atur izin secara manual dengan melakukan hal berikut:

  1. Untuk menemukan akun yang digunakan oleh konektor Active Directory, mulai Synchronization Service Manager.

  2. Buka Konektor, lalu cari hutan Active Directory lokal yang sedang Anda pecahkan masalahnya.

  3. Pilih konektor, lalu klik Properti.

  4. Buka Menyambungkan ke Hutan Active Directory.

    Account used by Active Directory connector
    Perhatikan nama pengguna dan domain tempat akun berada.

  5. Mulai Pengguna Active Directory dan Komputer, lalu verifikasi bahwa akun yang Anda temukan sebelumnya memiliki izin ikuti yang ditetapkan di akar semua domain di hutan Anda:

    • Replikasi Perubahan Direktori
    • Replikasi Semua Perubahan Direktori

  6. Apakah pengendali domain dapat dijangkau oleh Microsoft Entra Koneksi? Jika server Connect tidak dapat tersambung ke semua pengontrol domain, konfigurasikan Hanya gunakan pengontrol domain pilihan.

    Domain controller used by Active Directory connector

  7. Kembali ke Synchronization Service Manager dan Configure Directory Partition.

  8. Pilih domain Anda di pilih partisi direktori, pilih kotak centang Hanya gunakan pengontrol domain pilihan, lalu klik Konfigurasikan.

  9. Dalam daftar, masukkan pengontrol domain yang harus digunakan Connect untuk sinkronisasi kata sandi. Daftar yang sama digunakan untuk impor dan ekspor juga. Lakukan langkah-langkah ini untuk semua domain Anda.

Catatan

Untuk menerapkan perubahan ini, mulai ulang layanan Microsoft Entra ID Sync (ADSync).

  1. Jika skrip menunjukkan bahwa tidak ada detak jantung, jalankan skrip di Trigger sinkronisasi penuh semua kata sandi.

Satu objek tidak menyinkronkan kata sandi: langkah-langkah pemecahan masalah manual

Anda dapat dengan mudah memecahkan masalah sinkronisasi hash kata sandi dengan meninjau status objek.

  1. Di Active Directory Users and Computers, cari pengguna, lalu verifikasi bahwa kotak centang Pengguna harus mengubah kata sandi pada masuk berikutnya dikosongkan.

    Active Directory productive passwords

    Jika kotak centang dipilih, minta pengguna untuk masuk dan mengubah kata sandi. Kata sandi sementara tidak disinkronkan dengan ID Microsoft Entra.

  2. Jika kata sandi terlihat benar di Active Directory, ikuti pengguna di mesin sinkronisasi. Dengan mengikuti pengguna dari Active Directory lokal ke ID Microsoft Entra, Anda dapat melihat apakah ada kesalahan deskriptif pada objek.

    a. Mulai Synchronization Service Manager.

    b. Klik Konektor.

    c. Pilih Active Directory Connector tempat pengguna berada.

    d. Pilih Cari Ruang Konektor.

    e. Dalam kotak Lingkup, pilih DN atau Jangkar, lalu masukkan DN lengkap pengguna yang Anda pemecahan masalah.

    Search for user in connector space with DN

    f. Temukan pengguna yang Anda cari, lalu klik Properti untuk melihat semua atribut. Jika pengguna tidak berada dalam hasil pencarian, verifikasi aturan pemfilteran Anda dan pastikan Anda menjalankan Terapkan dan verifikasi perubahan agar pengguna muncul di Sambungkan.

    g. Untuk melihat detail sinkronisasi kata sandi objek selama seminggu terakhir, klik Log.

    Object log details

    Jika log objek kosong, Microsoft Entra Koneksi tidak dapat membaca hash kata sandi dari Direktori Aktif. Lanjutkan pemecahan masalah Anda dengan Kesalahan Konektivitas. Jika Anda melihat nilai lain selain keberhasilan, lihat tabel di log Sinkronisasi kata sandi.

    h. Pilih tab garis keturunan, dan pastikan bahwa setidaknya satu aturan sinkronisasi di kolom PasswordSync adalah True. Dalam konfigurasi default, nama aturan sinkronisasi adalah Masuk dari AD - User AccountEnabled.

    Lineage information about a user

    i. Klik Metaverse Object Properties untuk menampilkan daftar atribut pengguna.

    Screenshot that shows the list of user attributes for the Metaverse Object Properties.

    Pastikan bahwa tidak ada atribut cloudFiltered yang ada. Pastikan bahwa atribut domain (domainFQDN dan domainNetBios) memiliki nilai yang diharapkan.

    j. Klik tab Koneksi or. Pastikan Anda melihat konektor ke Active Directory lokal dan ID Microsoft Entra.

    Metaverse information

    k. Pilih baris yang mewakili ID Microsoft Entra, klik Properti, lalu klik tab Silsilah. Objek ruang konektor harus memiliki aturan keluar di kolom PasswordSync yang diatur ke True. Dalam konfigurasi default, nama aturan sinkronisasi adalah Out to Microsoft Entra ID - User Join.

    Connector Space Object Properties dialog box

Log sinkronisasi kata sandi

Kolom status bisa memiliki nilai berikut:

Keadaan Deskripsi
Sukses Sandi berhasil disinkronkan.
FilteredByTarget Kata sandi diatur ke Pengguna harus mengubah kata sandi saat log masuk berikutnya. Sandi belum disinkronkan.
NoTargetConnection Tidak ada objek dalam metaverse atau di ruang konektor Microsoft Entra.
SourceConnectorNotPresent Tak ada obyek yang ditemukan di ruang konektor Active Directory lokal.
TargetNotExportedToDirectory Objek di ruang konektor Microsoft Entra belum diekspor.
MigratedCheckDetailsForMoreInfo Entri log dibuat sebelum membangun 1.0.9125.0 dan ditampilkan dalam keadaan warisannya.
Kesalahan Layanan mengembalikan kesalahan yang tidak diketahui.
Tidak dikenal Timbul kesalahan saat coba memproses kumpulan hash kata sandi.
MissingAttribute Atribut tertentu (misalnya, hash Kerberos) yang diperlukan oleh Microsoft Entra Domain Services tidak tersedia.
RetryRequestedByTarget Atribut tertentu (misalnya, hash Kerberos) yang diperlukan oleh Microsoft Entra Domain Services tidak tersedia sebelumnya. Upaya untuk menyinkronkan ulang hash kata sandi pengguna dilakukan.

Skrip untuk membantu pemecahan masalah

Dapatkan status pengaturan sinkronisasi kata sandi

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Memicu sinkronisasi penuh semua kata sandi

Catatan

Jalankan skrip ini hanya sekali. Jika Anda perlu menjalankannya lebih dari sekali, sesuatu yang lain adalah masalahnya. Untuk memecahkan masalah, hubungi dukungan Microsoft.

Anda dapat memicu sinkronisasi penuh semua kata sandi dengan menggunakan skrip berikut:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Langkah berikutnya