Memecahkan masalah tulis balik pengaturan ulang kata sandi mandiri di ID Microsoft Entra
Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra memungkinkan pengguna mengatur ulang kata sandi mereka di cloud. Tulis balik kata sandi adalah fitur yang diaktifkan dengan Microsoft Entra Koneksi atau sinkronisasi cloud yang memungkinkan perubahan kata sandi di cloud ditulis kembali ke direktori lokal yang ada secara real time.
Jika Anda memiliki masalah pada penulisan kembali SSPR, langkah-langkah pemecahan masalah dan kesalahan umum berikut dapat membantu. Jika Anda tidak dapat menemukan jawaban atas masalah Anda, tim dukungan kami selalu tersedia untuk membantu Anda lebih lanjut.
Memecahkan masalah konektivitas
Jika Anda mengalami masalah dengan tulis balik kata sandi untuk Microsoft Entra Koneksi, tinjau langkah-langkah berikut yang dapat membantu mengatasi masalah tersebut. Untuk memulihkan layanan, sebaiknya Anda mengikuti langkah-langkah ini secara berurutan:
- Mengonfirmasi konektivitas jaringan
- Memulai ulang layanan Microsoft Entra Koneksi Sync
- Menonaktifkan dan mengaktifkan kembali fitur tulis balik kata sandi
- Menginstal rilis Microsoft Entra Koneksi terbaru
- Memecahkan masalah tulis balik kata sandi
Mengonfirmasi konektivitas jaringan
Titik kegagalan yang paling umum adalah bahwa port firewall atau proksi, atau batas waktu menganggur dikonfigurasi dengan benar.
Untuk Microsoft Entra Koneksi versi 1.1.443.0 ke atas, akses HTTPS keluar diperlukan ke alamat berikut:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Titik akhir Azure untuk Pemerintah AS:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Titik akhir Azure Tiongkok 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Jika Anda memerlukan lebih banyak granularitas, lihat daftar Rentang IP Microsoft Azure dan Tag Layanan untuk Cloud Publik.
Untuk Azure untuk Pemerintah AS, lihat daftar Rentang IP Microsoft Azure dan Tag Layanan untuk Azure untuk Cloud Pemerintah AS.
File-file ini diperbarui setiap minggu.
Untuk menentukan apakah akses ke URL dan port dibatasi di lingkungan seperti cloud Azure publik, jalankan cmdlet berikut:
Test-NetConnection -ComputerName ssprdedicatedsbprodscu.servicebus.windows.net -Port 443
Atau, jalankan yang berikut:
Invoke-WebRequest -Uri https://ssprdedicatedsbprodscu.servicebus.windows.net -Verbose
Untuk informasi selengkapnya, lihat prasyarat konektivitas untuk Microsoft Entra Koneksi.
Memulai ulang layanan Microsoft Entra Koneksi Sync
Untuk mengatasi masalah konektivitas atau masalah sementara lainnya dengan layanan, selesaikan langkah-langkah berikut untuk memulai ulang layanan Microsoft Entra Koneksi Sync:
Sebagai administrator di server yang menjalankan Microsoft Entra Koneksi, pilih Mulai.
Masukkan services.msc di bidang pencarian dan pilih Masukkan.
Cari entri Sinkronisasi Azure AD.
Klik kanan entri layanan, pilih Mulai ulang, dan tunggu hingga operasi selesai.
Langkah-langkah ini membangun kembali koneksi Anda dengan ID Microsoft Entra dan harus mengatasi masalah konektivitas Anda.
Jika memulai ulang layanan Microsoft Entra Koneksi Sync tidak mengatasi masalah Anda, coba nonaktifkan lalu aktifkan kembali fitur tulis balik kata sandi di bagian berikutnya.
Menonaktifkan dan mengaktifkan kembali fitur tulis balik kata sandi
Untuk terus memecahkan masalah, selesaikan langkah-langkah berikut untuk menonaktifkan lalu aktifkan kembali fitur tulis balik kata sandi:
- Sebagai administrator di server yang menjalankan Microsoft Entra Koneksi, buka wizard Microsoft Entra Koneksi Configuration.
- Di Koneksi ke ID Microsoft Entra, masukkan kredensial Administrator Global Microsoft Entra Anda.
- Di Sambungkan ke AD DS, masukkan kredensial admin Active Directory Domain Services lokal.
- Di Mengidentifikasi pengguna secara unik, pilih tombol Berikutnya.
- Di Fitur opsional, kosongkan kotak centang Tulis balik kata sandi.
- Pilih Berikutnya melalui halaman dialog yang tersisa tanpa mengubah apa pun hingga Anda masuk ke halaman Siap dikonfigurasi.
- Periksa apakah halaman Siap dikonfigurasi memperlihatkan opsi Tulis balik kata sandi sebagai dinonaktifkan. Pilih tombol Konfigurasikan hijau untuk menerapkan perubahan.
- Di Selesai, kosongkan opsi Sinkronkan sekarang, lalu pilih Selesai untuk menutup wizard.
- Buka kembali wizard Konfigurasi Microsoft Entra Koneksi.
- Ulangi langkah 2-8, kali ini dengan memilih opsi Tulis balik kata sandi di halaman Fitur opsional untuk mengaktifkan kembali layanan.
Langkah-langkah ini membangun kembali koneksi Anda dengan ID Microsoft Entra dan harus mengatasi masalah konektivitas Anda.
Jika menonaktifkan lalu mengaktifkan kembali fitur tulis balik kata sandi tidak mengatasi masalah Anda, instal ulang Microsoft Entra Koneksi di bagian berikutnya.
Menginstal rilis Microsoft Entra Koneksi terbaru
Menginstal ulang Microsoft Entra Koneksi dapat mengatasi masalah konfigurasi dan konektivitas antara ID Microsoft Entra dan lingkungan Active Directory Domain Services lokal Anda. Sebaiknya Anda melakukan langkah ini hanya setelah mencoba langkah-langkah sebelumnya untuk memverifikasi dan memecahkan masalah konektivitas.
Peringatan
Jika Anda telah menyesuaikan aturan sinkronisasi siap pakai, cadangkan sebelum melanjutkan peningkatan, lalu selesaikan secara manual setelah Anda selesai.
Unduh versi terbaru Microsoft Entra Koneksi dari Pusat Unduhan Microsoft.
Karena Anda telah menginstal Microsoft Entra Koneksi, lakukan peningkatan di tempat untuk memperbarui penginstalan Microsoft Entra Koneksi ke versi terbaru.
Jalankan paket yang diunduh dan ikuti instruksi di layar untuk memperbarui Microsoft Entra Koneksi.
Langkah-langkah ini harus membangun kembali koneksi Anda dengan ID Microsoft Entra dan mengatasi masalah konektivitas Anda.
Jika menginstal versi terbaru server Microsoft Entra Koneksi tidak mengatasi masalah Anda, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi sebagai langkah terakhir setelah Anda menginstal rilis terbaru.
Verifikasi bahwa Microsoft Entra Koneksi memiliki izin yang diperlukan
Microsoft Entra Koneksi memerlukan izin Atur Ulang kata sandi AD DS untuk melakukan tulis balik kata sandi. Untuk memeriksa apakah Microsoft Entra Koneksi memiliki izin yang diperlukan untuk akun pengguna AD DS lokal tertentu, gunakan fitur Izin Efektif Windows:
Masuk ke server Microsoft Entra Koneksi dan mulai Synchronization Service Manager dengan memilih Mulai>Layanan Sinkronisasi.
Di bagian tab Konektor, pilih konektor Layanan Domain Active Directory lokal, lalu pilih Properti.
Di jendela pop-up, pilih Sambungkan ke Forest Active Directory dan catat properti Nama pengguna. Properti ini adalah akun AD DS yang digunakan oleh Microsoft Entra Koneksi untuk melakukan sinkronisasi direktori.
Agar Microsoft Entra Koneksi melakukan tulis balik kata sandi, akun AD DS harus memiliki izin mengatur ulang kata sandi. Anda memeriksa izin di akun pengguna ini dalam langkah-langkah berikut.
Masuk ke pengontrol domain lokal dan mulai aplikasi Pengguna dan Komputer Active Directory.
Pilih Tampilkan dan pastikan opsi Fitur Tingkat Lanjut diaktifkan.
Cari akun pengguna AD DS yang ingin Anda verifikasi. Klik kanan nama akun dan pilih Properti.
Di jendela pop-up, masuk ke tab Keamanan dan pilih Tingkat Lanjut.
Di jendela pop-up Pengaturan Keamanan Tingkat Lanjut untuk Administrator, masuk ke tab Akses Efektif.
Pilih Pilih pengguna, pilih akun AD DS yang digunakan oleh Microsoft Entra Koneksi, lalu pilih Tampilkan akses yang efektif.
Gulir ke bawah dan cari Atur ulang kata sandi. Jika entri memiliki tanda centang, akun AD DS memiliki izin untuk mengatur ulang kata sandi akun pengguna Active Directory yang dipilih.
Kesalahan tulis balik kata sandi umum
Masalah yang lebih spesifik berikut dapat terjadi pada tulis balik kata sandi. Jika Anda mengalami salah satu kesalahan ini, tinjau solusi yang diusulkan dan periksa apakah tulis balik kata sandi kemudian bekerja dengan benar.
| Kesalahan | Solusi |
|---|---|
| Layanan atur ulang kata sandi tidak dimulai di lokal. Kesalahan 6800 muncul di log peristiwa aplikasi komputer Microsoft Entra Koneksi. Setelah onboarding, pengguna gabungan, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi tidak dapat mengatur ulang kata sandi mereka. |
Ketika tulis balik kata sandi diaktifkan, mesin sinkronisasi memanggil perpustakaan tulis balik untuk melakukan konfigurasi (onboarding) dengan berkomunikasi ke layanan onboarding cloud. Kesalahan apa pun yang ditemui selama onboarding atau saat memulai titik akhir Windows Communication Foundation (WCF) untuk tulis balik kata sandi mengakibatkan kesalahan dalam log peristiwa, pada komputer Microsoft Entra Koneksi Anda. Selama mulai ulang layanan Sinkronisasi Azure AD (ADSync), jika tulis balik dikonfigurasi, titik akhir WCF dimulai. Tetapi, jika pengaktifan titik akhir gagal, kami mencatat peristiwa 6800 dan membiarkan layanan sinkronisasi dimulai. Kehadiran peristiwa ini berarti bahwa titik akhir tulis balik kata sandi tidak dimulai. Detail log peristiwa untuk peristiwa 6800 ini, bersama dengan entri log peristiwa yang dihasilkan oleh komponen PasswordResetService, menunjukkan penyebab Anda tidak dapat memulai titik akhir. Tinjau kesalahan log peristiwa ini dan coba mulai ulang Microsoft Entra Koneksi jika tulis balik kata sandi masih tidak berfungsi. Jika masalah berlanjut, coba nonaktifkan lalu aktifkan kembali sandi tulis balik. |
| Ketika pengguna mencoba mengatur ulang kata sandi atau membuka kunci akun dengan tulis balik kata sandi yang aktif, operasi gagal. Selain itu, Anda melihat peristiwa di log peristiwa Microsoft Entra Koneksi yang berisi: "Mesin Sinkronisasi mengembalikan kesalahan hr=800700CE, message=Nama file atau ekstensi terlalu panjang" setelah operasi buka kunci terjadi. |
Temukan akun Direktori Aktif untuk Microsoft Entra Koneksi dan atur ulang kata sandi sehingga berisi tidak lebih dari 256 karakter. Selanjutnya, buka Layanan Sinkronisasi dari menu Mulai. Telusuri ke Konektor dan temukan Konektor Active Directory. Pilih konektor lalu pilih Properti. Telusuri ke halaman Kredensial dan masukkan kata sandi baru. Pilih OK untuk menutup halaman. |
| Pada langkah terakhir proses penginstalan Microsoft Entra Koneksi, Anda melihat kesalahan yang menunjukkan bahwa tulis balik kata sandi tidak dapat dikonfigurasi. Log peristiwa aplikasi Microsoft Entra Koneksi berisi kesalahan 32009 dengan teks "Kesalahan mendapatkan token autentikasi." |
Kesalahan ini terjadi dalam dua kasus berikut:
|
| Log peristiwa komputer Microsoft Entra Koneksi berisi kesalahan 32002 yang dilemparkan dengan menjalankan PasswordResetService. Kesalahan tersebut berbunyi: "Kesalahan Saat Menyambungkan ke ServiceBus. Penyedia token tidak dapat memberikan token keamanan." |
Lingkungan lokal tidak dapat tersambung ke titik akhir Azure Service Bus di cloud. Kesalahan ini biasanya disebabkan oleh aturan firewall yang memblokir sambungan keluar ke port atau alamat web tertentu. Lihat Prasyarat konektivitas untuk informasi selengkapnya. Setelah Anda memperbarui aturan ini, hidupkan ulang server Microsoft Entra Koneksi dan tulis balik kata sandi akan mulai berfungsi lagi. |
| Setelah bekerja selama beberapa waktu, pengguna gabungan, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi tidak dapat mengatur ulang kata sandi mereka. | Dalam beberapa kasus yang jarang terjadi, layanan tulis balik kata sandi dapat gagal dimulai ulang ketika Microsoft Entra Koneksi telah dimulai ulang. Dalam kasus ini, pertama-tama periksa apakah tulis balik kata sandi diaktifkan di lokal. Anda dapat memeriksa dengan menggunakan wizard Microsoft Entra Koneksi atau PowerShell. Jika fitur tersebut tampaknya aktif, coba aktifkan atau nonaktifkan lagi fitur tersebut. Jika langkah pemecahan masalah ini tidak berhasil, coba hapus instalan lengkap dan instal ulang Microsoft Entra Koneksi. |
| Pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang mencoba mengatur ulang kata sandi mereka melihat kesalahan setelah mencoba mengirimkan kata sandi mereka. Kesalahan menunjukkan bahwa ada masalah layanan. Selain masalah ini, selama operasi pengaturan ulang kata sandi, Anda mungkin melihat kesalahan bahwa agen manajemen ditolak aksesnya di log peristiwa lokal. |
Jika Anda melihat kesalahan ini di log peristiwa, konfirmasikan bahwa akun Active Directory Management Agent (ADMA) yang ditentukan dalam wizard pada saat konfigurasi memiliki izin yang diperlukan untuk tulis balik kata sandi. Setelah izin ini diberikan, diperlukan waktu hingga satu jam agar izin mengalir melalui sdproptugas latar belakang di pengontrol domain (DC). Agar pengaturan ulang kata sandi berfungsi, izin perlu dicap di deskriptor keamanan objek pengguna yang kata sandinya sedang diatur ulang. Hingga izin ini muncul pada obyek pengguna, pengaturan ulang kata sandi akan terus gagal dengan pesan yang ditolak akses. |
| Pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang mencoba mengatur ulang kata sandi mereka, melihat kesalahan setelah mengirimkan kata sandi mereka. Kesalahan menunjukkan bahwa ada masalah layanan. Selain masalah ini, selama operasi reset kata sandi, Anda mungkin melihat kesalahan dalam log peristiwa Anda dari layanan Microsoft Entra Koneksi yang menunjukkan kesalahan "Objek tidak dapat ditemukan". |
Kesalahan ini biasanya menunjukkan bahwa mesin sinkronisasi tidak dapat menemukan objek pengguna di ruang konektor Microsoft Entra atau metaverse tertaut (MV) atau objek ruang konektor Microsoft Entra. Untuk memecahkan masalah ini, pastikan bahwa pengguna memang disinkronkan dari lokal ke ID Microsoft Entra melalui instans Microsoft Entra Koneksi saat ini dan periksa status objek di ruang konektor dan MV. Pastikan objek Active Directory Certificate Services (AD CS) tersambung ke objek MV melalui aturan "Microsoft.InfromADUserAccountEnabled.xxx". |
| Pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang mencoba mengatur ulang kata sandi mereka melihat kesalahan setelah mengirimkan kata sandi mereka. Kesalahan menunjukkan bahwa ada masalah layanan. Selain masalah ini, selama operasi reset kata sandi, Anda mungkin melihat kesalahan dalam log peristiwa Anda dari layanan Microsoft Entra Koneksi yang menunjukkan bahwa ada kesalahan "Beberapa kecocokan ditemukan". |
Hal ini menunjukkan bahwa mesin sinkronisasi mendeteksi bahwa objek MV terhubung ke lebih dari satu objek AD CS melalui "Microsoft.InfromADUserAccountEnabled.xxx". Hal ini berarti bahwa pengguna memiliki akun yang diaktifkan di lebih dari satu forest. Skenario ini tidak didukung untuk tulis balik kata sandi. |
| Operasi kata sandi gagal dengan kesalahan konfigurasi. Log peristiwa aplikasi berisi kesalahan Microsoft Entra Koneksi 6329 dengan teks "0x8023061f (Operasi gagal karena sinkronisasi kata sandi tidak diaktifkan pada Agen Manajemen ini)". | Kesalahan ini terjadi jika konfigurasi Microsoft Entra Koneksi diubah untuk menambahkan forest Direktori Aktif baru (atau untuk menghapus dan membaca forest yang ada) setelah fitur tulis balik kata sandi diaktifkan. Operasi kata sandi untuk pengguna di forest yang baru-baru ini ditambahkan ini gagal. Untuk memperbaiki masalah tersebut, nonaktifkan lalu aktifkan kembali fitur tulis balik kata sandi setelah perubahan konfigurasi forest selesai. |
| SSPR_0029: Kami tidak dapat mereset kata sandi Anda karena kesalahan dalam konfigurasi lokal Anda. Harap hubungi admin Anda dan minta mereka untuk menyelidiki. | Masalah: Tulis balik kata sandi telah diaktifkan mengikuti semua langkah yang diperlukan, tetapi saat mencoba mengubah kata sandi yang Anda terima "SSPR_0029: Organisasi Anda belum menyiapkan konfigurasi lokal dengan benar untuk reset kata sandi." Memeriksa log peristiwa pada sistem Microsoft Entra Koneksi menunjukkan bahwa kredensial agen manajemen ditolak aksesnya. Kemungkinan Solusi: Gunakan RSOP pada sistem Microsoft Entra Koneksi dan pengontrol domain Anda untuk melihat apakah kebijakan "Akses jaringan: Membatasi klien yang diizinkan untuk melakukan panggilan jarak jauh ke SAM" yang ditemukan di bawah Konfigurasi > Komputer Windows Pengaturan > Keamanan Pengaturan > Opsi Keamanan Kebijakan > Lokal diaktifkan. Edit kebijakan untuk menyertakan akun manajemen MSOL_XXXXXXX sebagai pengguna yang diizinkan. Untuk informasi selengkapnya, lihat Memecahkan masalah kesalahan SSPR_0029: Organisasi Anda belum menyiapkan konfigurasi lokal dengan benar untuk reset kata sandi. |
Kode kesalahan log peristiwa tulis balik kata sandi
Praktik terbaik saat Anda memecahkan masalah dengan tulis balik kata sandi adalah memeriksa log peristiwa aplikasi, di komputer Microsoft Entra Koneksi Anda. Log peristiwa ini memuat kejadian dari dua sumber untuk tulis balik kata sandi. Sumber PasswordResetService menjelaskan operasi dan masalah yang terkait dengan pengoperasian tulis balik kata sandi. Sumber ADSync menjelaskan operasi dan masalah yang terkait dengan pengaturan kata sandi di lingkungan Layanan Domain Active Directory.
Jika sumber acara adalah ADSync
| Kode | Nama atau pesan | Deskripsi |
|---|---|---|
| 6329 | BAIL: MMS(4924) 0x80230619: "Pembatasan mencegah kata sandi diubah ke yang ditentukan saat ini." | Peristiwa ini terjadi ketika layanan tulis balik kata sandi mencoba mengatur kata sandi di direktori lokal yang tidak memenuhi persyaratan usia kata sandi, riwayat, kompleksitas, atau pemfilteran domain. Jika Anda memiliki usia kata sandi minimum dan baru saja mengubah kata sandi dalam jangka waktu tersebut, Anda tidak dapat mengubah kata sandi lagi hingga mencapai usia yang ditentukan di domain. Untuk tujuan pengujian, usia minimum harus diatur ke 0. Jika Anda mengaktifkan persyaratan riwayat kata sandi, Anda harus memilih kata sandi yang belum digunakan dalam N kali terakhir di mana N adalah pengaturan riwayat kata sandi. Jika Anda memilih kata sandi yang telah digunakan dalam N kali terakhir, Anda akan mengalami kegagalan dalam kasus ini. Untuk tujuan pengujian, riwayat kata sandi harus diatur ke 0. Jika Anda memiliki persyaratan kompleksitas kata sandi, semuanya diberlakukan saat pengguna mencoba mengubah atau mengatur ulang kata sandi. Jika Anda mengaktifkan filter kata sandi dan pengguna memilih kata sandi yang tidak memenuhi kriteria pemfilteran, operasi pengaturan ulang atau perubahan gagal. |
| 6329 | MMS(3040): admaexport.cpp(2837): Server tidak berisi kontrol kebijakan kata sandi LDAP. | Masalah ini terjadi jika kontrol LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) tidak diaktifkan di DC. Untuk menggunakan fitur tulis balik kata sandi, Anda harus mengaktifkan kontrol. Untuk melakukannya, DC harus ada di Windows Server 2016 atau yang lebih baru. |
| HR 8023042 | Mesin Sinkronisasi mengembalikan kesalahan hr=80230402, pesan=Upaya untuk mendapatkan objek gagal karena ada entri duplikat dengan jangkar yang sama. | Kesalahan ini terjadi ketika ID pengguna yang sama diaktifkan di beberapa domain. Contohnya adalah jika Anda menyinkronkan akun dan forest sumber daya dan memiliki ID pengguna yang sama dan diaktifkan di setiap forest. Kesalahan ini juga dapat terjadi jika Anda menggunakan atribut jangkar yang tidak unik, seperti alias atau UPN, dan dua pengguna berbagi atribut jangkar yang sama. Untuk mengatasi masalah ini, pastikan Anda tidak memiliki pengguna duplikat dalam domain dan Anda menggunakan atribut jangkar unik untuk setiap pengguna. |
Jika sumber peristiwa adalah PasswordResetService
| Kode | Nama atau pesan | Deskripsi |
|---|---|---|
| 31001 | PasswordResetStart | Peristiwa ini menunjukkan bahwa layanan lokal mendeteksi permintaan pengaturan ulang kata sandi untuk pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang berasal dari cloud. Peristiwa ini adalah peristiwa pertama dalam setiap operasi tulis balik kata sandi. |
| 31002 | PasswordResetSuccess | Peristiwa ini menunjukkan bahwa pengguna memilih kata sandi baru selama operasi pengaturan ulang kata sandi. Kami memutuskan bahwa kata sandi ini memenuhi persyaratan kata sandi perusahaan. Kata sandi berhasil ditulis kembali ke lingkungan Active Directory setempat. |
| 31003 | PasswordResetFail | Peristiwa ini menunjukkan bahwa pengguna memilih kata sandi dan kata sandi berhasil sampai ke lingkungan lokal. Tetapi ketika kami mencoba untuk mengatur kata sandi di lingkungan Active Directory setempat, kegagalan terjadi. Kegagalan ini dapat terjadi karena beberapa alasan:
|
| 31004 | OnboardingEventStart | Kejadian ini terjadi jika Anda mengaktifkan tulis balik kata sandi dengan Microsoft Entra Koneksi dan kami telah mulai onboarding organisasi Anda ke layanan web tulis balik kata sandi. |
| 31005 | OnboardingEventSuccess | Peristiwa ini menunjukkan bahwa proses onboarding berhasil dan kemampuan tulis balik kata sandi siap digunakan. |
| 31006 | ChangePasswordStart | Peristiwa ini menunjukkan bahwa layanan lokal mendeteksi permintaan perubahan kata sandi untuk pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang berasal dari cloud. Peristiwa ini peristiwa pertama dalam setiap operasi tulis balik perubahan kata sandi. |
| 31007 | ChangePasswordSuccess | Peristiwa ini menunjukkan bahwa pengguna memilih kata sandi baru selama operasi perubahan kata sandi, kami memutuskan bahwa kata sandi memenuhi persyaratan kata sandi perusahaan, dan bahwa kata sandi telah berhasil ditulis kembali ke lingkungan Active Directory setempat. |
| 31008 | ChangePasswordFail | Peristiwa ini menunjukkan bahwa pengguna memilih kata sandi dan kata sandi berhasil sampai ke lingkungan lokal, tetapi ketika kami mencoba untuk mengatur kata sandi di lingkungan Active Directory setempat, kegagalan terjadi. Kegagalan ini dapat terjadi karena beberapa alasan:
|
| 31009 | ResetUserPasswordByAdminStart | Layanan lokal mendeteksi permintaan pengaturan ulang kata sandi untuk pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang berasal dari administrator atas nama pengguna. Peristiwa ini peristiwa pertama dalam setiap operasi tulis balik kata sandi yang dimulai oleh administrator. |
| 31010 | ResetUserPasswordByAdminSuccess | Admin memilih kata sandi baru selama operasi pengaturan ulang kata sandi yang dimulai admin. Kami memutuskan bahwa kata sandi ini memenuhi persyaratan kata sandi perusahaan. Kata sandi berhasil ditulis kembali ke lingkungan Active Directory setempat. |
| 31011 | ResetUserPasswordByAdminFail | Admin memilih kata sandi atas nama pengguna. Kata sandi berhasil sampai ke lingkungan lokal. Tetapi ketika kami mencoba untuk mengatur kata sandi di lingkungan Active Directory setempat, kegagalan terjadi. Kegagalan ini dapat terjadi karena beberapa alasan:
|
| 31012 | OffboardingEventStart | Kejadian ini terjadi jika Anda menonaktifkan tulis balik kata sandi dengan Microsoft Entra Koneksi dan menunjukkan bahwa kami mulai melakukan offboarding organisasi Anda ke layanan web tulis balik kata sandi. |
| 31013 | OffboardingEventSuccess | Peristiwa ini menunjukkan bahwa proses offboarding berhasil dan kemampuan tulis balik kata sandi berhasil dinonaktifkan. |
| 31014 | OffboardingEventFail | Peristiwa ini menunjukkan bahwa proses offboarding tidak berhasil. Hal ini mungkin disebabkan oleh kesalahan izin di cloud atau akun administrator lokal yang ditentukan selama konfigurasi. Kesalahan juga dapat terjadi jika Anda mencoba menggunakan administrator global cloud gabungan saat menonaktifkan tulis balik kata sandi. Untuk memperbaiki masalah ini, periksa izin administratif dan pastikan Anda tidak menggunakan akun gabungan saat mengonfigurasi kemampuan tulis balik kata sandi. |
| 31015 | WriteBackServiceStarted | Peristiwa ini menunjukkan bahwa layanan tulis balik kata sandi berhasil dimulai. Siap menerima permintaan manajemen kata sandi dari cloud. |
| 31016 | WriteBackServiceStopped | Peristiwa ini menunjukkan bahwa layanan tulis balik kata sandi berhenti. Setiap permintaan manajemen kata sandi dari cloud tidak akan berhasil. |
| 31017 | AuthTokenSuccess | Kejadian ini menunjukkan bahwa kami berhasil mengambil token otorisasi untuk Administrator Global yang ditentukan selama penyiapan Microsoft Entra Koneksi untuk memulai proses offboarding atau onboarding. |
| 31018 | KeyPairCreationSuccess | Peristiwa ini menunjukkan bahwa kami berhasil membuat kunci enkripsi kata sandi. Kunci ini digunakan untuk mengenkripsi kata sandi dari cloud untuk dikirim ke lingkungan lokal. |
| 31019 | ServiceBusHeartBeat | Kejadian ini menunjukkan bahwa kami berhasil mengirim permintaan ke instans Bus Layanan penyewa Anda. |
| 31034 | ServiceBusListenerError | Kejadian ini menunjukkan bahwa ada kesalahan saat menyambungkan ke pendengar Bus Layanan penyewa. Jika pesan kesalahan menyertakan "Sertifikat jarak jauh tidak valid", periksa untuk memastikan bahwa server Microsoft Entra Koneksi Anda memiliki semua CA Akar yang diperlukan seperti yang dijelaskan dalam perubahan sertifikat Azure TLS. |
| 31044 | PasswordResetService | Peristiwa ini menunjukkan bahwa write-back kata sandi tidak berfungsi. Azure Service Bus mendengarkan permintaan pada dua relay terpisah untuk redundansi. Setiap koneksi relay dikelola oleh Host Layanan yang unik. Klien write-back menampilkan kesalahan jika salah satu Host Layanan tidak berjalan. |
| 32000 | UnknownError | Kejadian ini menunjukkan kesalahan tidak diketahui terjadi selama operasi manajemen kata sandi. Lihat teks pengecualian dalam peristiwa untuk detail selengkapnya. Jika Anda mengalami masalah, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi. Jika ini tidak membantu, sertakan salinan log peristiwa bersama dengan ID pelacakan yang ditentukan saat Anda membuka permintaan dukungan. |
| 32001 | ServiceError | Peristiwa ini menunjukkan ada kesalahan saat menyambungkan ke layanan pengaturan ulang kata sandi cloud. Kesalahan ini umumnya terjadi ketika layanan lokal tidak dapat tersambung ke layanan web pengaturan ulang kata sandi. |
| 32002 | ServiceBusError | Peristiwa ini menunjukkan bahwa ada kesalahan saat menyambungkan ke instans Bus Layanan penyewa. Hal ini dapat terjadi jika Anda memblokir koneksi keluar di lingkungan lokal. Periksa firewall untuk memastikan bahwa Anda memperbolehkan koneksi melalui TCP 443 dan ke https://ssprdedicatedsbprodncu.servicebus.windows.net, lalu coba lagi. Jika Anda mengalami masalah, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi. |
| 32003 | InPutValidationError | Peristiwa ini menunjukkan bahwa input yang diteruskan ke API layanan web kami tidak valid. Coba operasi lagi. |
| 32004 | DecryptionError | Peristiwa ini menunjukkan bahwa ada kesalahan mendekripsi kata sandi yang tiba dari cloud. Ini mungkin karena ketidakcocokan kunci dekripsi antara layanan cloud dan lingkungan lokal. Untuk mengatasi masalah ini, nonaktifkan lalu aktifkan kembali tulis balik kata sandi di lingkungan lokal. |
| 32005 | ConfigurationError | Selama orientasi, kami menyimpan informasi khusus penyewa dalam file konfigurasi di lingkungan lokal. Peristiwa ini menunjukkan bahwa ada kesalahan saat menyimpan file ini atau ketika layanan dimulai, ada kesalahan saat membaca file tersebut. Untuk memperbaiki masalah ini, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi untuk memaksa penulisan ulang file konfigurasi. |
| 32007 | OnBoardingConfigUpdateError | Selama onboarding, kami mengirim data dari cloud ke layanan pengaturan ulang kata sandi di lokal. Data tersebut kemudian ditulis ke file dalam memori sebelum dikirim ke layanan sinkronisasi untuk disimpan dengan aman di disk. Peristiwa ini menunjukkan bahwa ada masalah pada menulis atau memperbarui data tersebut dalam memori. Untuk memperbaiki masalah ini, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi untuk memaksa penulisan ulang file konfigurasi. |
| 32008 | ValidationError | Peristiwa ini menunjukkan kami menerima respons yang tidak valid dari layanan web pengaturan ulang kata sandi. Untuk memperbaiki masalah ini, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi. |
| 32009 | AuthTokenError | Kejadian ini menunjukkan bahwa kami tidak bisa mendapatkan token otorisasi untuk akun administrator global yang ditentukan selama penyiapan Microsoft Entra Koneksi. Kesalahan ini dapat disebabkan oleh nama pengguna atau kata sandi yang buruk yang ditentukan untuk akun Administrator Global. Kesalahan ini juga dapat terjadi jika akun Administrator Global yang ditentukan digabungkan. Untuk memperbaiki masalah ini, jalankan ulang konfigurasi dengan nama pengguna dan kata sandi yang benar dan pastikan administrator adalah akun yang dikelola (khusus cloud atau sinkronisasi kata sandi). |
| 32010 | CryptoError | Peristiwa ini menunjukkan ada kesalahan dalam menghasilkan kunci enkripsi kata sandi atau mendekripsi kata sandi yang berasal dari layanan cloud. Kesalahan ini kemungkinan menunjukkan masalah pada lingkungan. Lihat detail log peristiwa untuk mempelajari selengkapnya tentang cara mengatasi masalah ini. Anda juga dapat mencoba menonaktifkan dan mengaktifkan kembali layanan tulis balik kata sandi di Azure AD Connect. |
| 32011 | OnBoardingServiceError | Peristiwa ini menunjukkan bahwa layanan lokal tidak dapat berkomunikasi dengan benar dengan layanan web pengaturan ulang kata sandi untuk memulai proses onboarding. Hal ini dapat terjadi sebagai akibat dari aturan firewall atau jika ada masalah saat mendapatkan token autentikasi untuk penyewa. Untuk memperbaiki masalah ini, pastikan Anda tidak memblokir koneksi keluar melalui TCP 443 dan TCP 9350-9354 atau ke https://ssprdedicatedsbprodncu.servicebus.windows.net. Pastikan juga bahwa akun admin Microsoft Entra yang Anda gunakan untuk onboarding tidak digabungkan. |
| 32013 | OffBoardingError | Peristiwa ini menunjukkan bahwa layanan lokal tidak dapat berkomunikasi dengan benar dengan layanan web pengaturan ulang kata sandi untuk memulai proses offboarding. Hal ini dapat terjadi karena aturan firewall atau jika terdapat masalah saat mendapatkan token otorisasi untuk penyewa. Untuk memperbaiki masalah ini, pastikan Anda tidak memblokir koneksi keluar lebih dari 443 atau ke https://ssprdedicatedsbprodncu.servicebus.windows.net, dan bahwa akun admin Microsoft Entra yang Anda gunakan untuk offboard tidak digabungkan. |
| 32014 | ServiceBusWarning | Peristiwa ini menunjukkan bahwa kami harus mencoba kembali untuk terhubung ke instans Bus Layanan penyewa. Dalam kondisi normal, ini seharusnya tidak menjadi perhatian, tetapi jika Anda melihat peristiwa ini berkali-kali, sebaiknya periksa koneksi jaringan ke Bus Layanan, terutama jika itu koneksi latensi tinggi atau bandwidth rendah. |
| 32015 | ReportServiceHealthError | Untuk memantau kesehatan layanan tulis balik kata sandi, kami mengirim data detak jantung ke layanan web pengaturan ulang kata sandi kami setiap lima menit. Peristiwa ini menunjukkan bahwa ada kesalahan saat mengirim informasi kesehatan ini kembali ke layanan web cloud. Informasi kesehatan ini tidak menyertakan data pribadi apa pun, dan murni detak jantung dan statistik layanan dasar sehingga kami dapat memberikan informasi status layanan di cloud. |
| 33001 | ADUnKnownError | Peristiwa ini mengindikasikan bahwa ada kesalahan tidak diketahui yang dikembalikan oleh Active Directory. Periksa log peristiwa server Microsoft Entra Koneksi untuk peristiwa dari sumber Sinkronisasi AAD untuk informasi selengkapnya. |
| 33002 | ADUserNotFoundError | Peristiwa ini menunjukkan bahwa pengguna yang mencoba mengatur ulang atau mengubah kata sandi tidak ditemukan di direktori lokal. Kesalahan ini dapat terjadi ketika pengguna telah dihapus di lokal tetapi tidak di cloud. Kesalahan ini juga dapat terjadi jika ada masalah pada sinkronisasi. Periksa log sinkronisasi dan beberapa detail sinkronisasi terakhir untuk informasi selengkapnya. |
| 33003 | ADMutliMatchError | Saat reset kata sandi atau permintaan perubahan berasal dari cloud, kami menggunakan jangkar cloud yang ditentukan selama proses penyiapan Microsoft Entra Koneksi untuk menentukan cara menautkan permintaan tersebut kembali ke pengguna di lingkungan lokal Anda. Peristiwa ini menunjukkan bahwa kami menemukan dua pengguna di direktori lokal dengan atribut cloud jangkar yang sama. Periksa log sinkronisasi dan beberapa detail sinkronisasi terakhir untuk informasi selengkapnya. |
| 33004 | ADPermissionsError | Peristiwa ini menunjukkan bahwa akun layanan Active Directory Management Agent (ADMA) tidak memiliki izin yang sesuai di akun yang dimaksud untuk mengatur kata sandi baru. Pastikan bahwa akun ADMA di forest pengguna memiliki izin pengaturan ulang kata sandi pada semua forest di forest. Untuk informasi selengkapnya tentang cara mengatur izin, lihat Langkah 4: Menyiapkan izin Active Directory yang sesuai. Kesalahan ini juga dapat terjadi ketika atribut pengguna AdminCount diatur ke 1. |
| 33005 | ADUserAccountDisabled | Peristiwa ini menunjukkan bahwa kami mencoba mengatur ulang atau mengubah kata sandi untuk akun yang dinonaktifkan di lokal. Aktifkan akun tersebut, lalu coba kembali operasi ini. |
| 33006 | ADUserAccountLockedOut | Peristiwa ini menunjukkan bahwa kami mencoba mengatur ulang atau mengubah kata sandi untuk akun yang dikunci di lokal. Penguncian dapat terjadi ketika pengguna telah mencoba operasi perubahan atau mengatur ulang kata sandi terlalu banyak kali dalam waktu singkat. Buka kunci akun tersebut, lalu coba kembali operasi tersebut. |
| 33007 | ADUserIncorrectPassword | Peristiwa ini menunjukkan bahwa pengguna menentukan kata sandi saat ini yang salah saat melakukan operasi perubahan kata sandi. Tentukan kata sandi yang benar saat ini, lalu coba kembali. |
| 33008 | ADPasswordPolicyError | Peristiwa ini terjadi ketika layanan tulis balik kata sandi mencoba mengatur kata sandi di direktori lokal yang tidak memenuhi persyaratan usia kata sandi, riwayat, kompleksitas, atau pemfilteran domain. Jika Anda memiliki usia kata sandi minimum dan baru saja mengubah kata sandi dalam jangka waktu tersebut, Anda tidak dapat mengubah kata sandi lagi hingga mencapai usia yang ditentukan di domain. Untuk tujuan pengujian, usia minimum harus diatur ke 0. Jika Anda mengaktifkan persyaratan riwayat kata sandi, Anda harus memilih kata sandi yang belum digunakan dalam N kali terakhir di mana N adalah pengaturan riwayat kata sandi. Jika Anda memilih kata sandi yang telah digunakan dalam N kali terakhir, Anda akan mengalami kegagalan dalam kasus ini. Untuk tujuan pengujian, riwayat kata sandi harus diatur ke 0. Jika Anda memiliki persyaratan kompleksitas kata sandi, semuanya diberlakukan saat pengguna mencoba mengubah atau mengatur ulang kata sandi. Jika Anda mengaktifkan filter kata sandi dan pengguna memilih kata sandi yang tidak memenuhi kriteria pemfilteran, operasi pengaturan ulang atau perubahan gagal. |
| 33009 | ADConfigurationError | Peristiwa ini menunjukkan ada masalah saat menulis kata sandi kembali ke direktori lokal karena masalah konfigurasi di Active Directory. Periksa log peristiwa aplikasi komputer Microsoft Entra Koneksi untuk pesan dari layanan Sinkronisasi AAD untuk informasi selengkapnya tentang kesalahan yang terjadi. |
Forum Microsoft Entra
Jika Anda memiliki pertanyaan umum tentang ID Microsoft Entra dan pengaturan ulang kata sandi mandiri, Anda dapat meminta bantuan komunitas di halaman pertanyaan Tanya Jawab Microsoft untuk ID Microsoft Entra. Anggota komunitas termasuk teknisi, manajer produk, MVP, dan sesama profesional IT.
Hubungi dukungan Microsoft
Jika Anda tidak dapat menemukan jawaban atas masalah, tim dukungan kami selalu tersedia untuk membantu Anda lebih lanjut.
Untuk membantu Anda dengan benar, kami meminta Anda memberikan detail sebanyak mungkin saat membuka kasus. Detail ini mencakup hal berikut:
- Deskripsi umum kesalahan: Apa kesalahannya? Apa perilaku yang terlihat? Bagaimana kami dapat mereka ulang kesalahan? Berikan detail sebanyak mungkin.
- Halaman: Di halaman berapa Anda saat Anda melihat kesalahan? Sertakan URL jika Anda dapat mengambil cuplikan layar halaman.
- Kode dukungan: Apa kode dukungan yang dihasilkan saat pengguna melihat kesalahan?
Untuk menemukan kode ini, reka ulang kesalahan, lalu pilih tautan Kode dukungan di bagian bawah layar dan kirimkan GUID yang dihasilkan ke teknisi dukungan.
Jika Anda berada di halaman tanpa kode dukungan di bagian bawah, pilih F12 dan cari SID dan CID lalu kirimkan dua hasil tersebut ke teknisi dukungan.
- Tanggal, waktu, dan zona waktu: Sertakan tanggal dan waktu yang tepat dengan zona waktu terjadinya kesalahan.
- User ID: Siapa pengguna yang melihat kesalahan? Contohnya user@contoso.com.
- Apakah ini pengguna federasi?
- Apakah ini pengguna autentikasi pass-through?
- Apakah ini pengguna yang disinkronkan dengan hash kata sandi?
- Apakah ini pengguna khusus cloud?
- Lisensi: Apakah pengguna memiliki lisensi ID Microsoft Entra yang ditetapkan?
- Log peristiwa aplikasi: Jika Anda menggunakan tulis balik kata sandi dan kesalahan ada di infrastruktur lokal Anda, sertakan salinan zip log peristiwa aplikasi Anda dari server Microsoft Entra Koneksi.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang SSPR, lihat Cara kerjanya: Pengaturan ulang kata sandi mandiri Microsoft Entra atau Bagaimana cara kerja penulisan ulang kata sandi mandiri di ID Microsoft Entra?.