Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra memungkinkan pengguna mengatur ulang kata sandi mereka di cloud. Tulis balik kata sandi adalah fitur yang diaktifkan dengan Microsoft Entra Connect atau sinkronisasi cloud yang memungkinkan perubahan kata sandi di cloud ditulis kembali ke direktori lokal yang ada secara real time.
Jika Anda memiliki masalah pada penulisan kembali SSPR, langkah-langkah pemecahan masalah dan kesalahan umum berikut dapat membantu. Jika Anda tidak dapat menemukan jawaban atas masalah Anda, tim dukungan kami selalu tersedia untuk membantu Anda lebih lanjut.
Memecahkan masalah konektivitas
Jika Anda mengalami masalah dengan tulis balik kata sandi untuk Microsoft Entra Connect, tinjau langkah-langkah berikut yang dapat membantu mengatasi masalah tersebut. Untuk memulihkan layanan, sebaiknya Anda mengikuti langkah-langkah ini secara berurutan:
- Mengonfirmasi konektivitas jaringan
- Periksa TLS 1.2
- Memperbarui Microsoft .NET 4.8
- Menghidupkan ulang layanan Sinkronisasi Microsoft Entra Connect
- Nonaktifkan dan aktifkan kembali fitur tulis balik kata sandi
- Menginstal rilis Microsoft Entra Connect terbaru
- Memecahkan masalah tulis balik kata sandi
Mengonfirmasi konektivitas jaringan
Titik kegagalan yang paling umum adalah konfigurasi yang salah pada firewall, port proksi, atau waktu henti.
Untuk Microsoft Entra Connect versi 1.1.443.0 dan yang lebih tinggi, akses HTTPS keluar diperlukan ke alamat berikut:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Titik akhir Azure untuk Pemerintah AS:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Titik akhir Azure Tiongkok 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Jika Anda memerlukan lebih banyak granularitas, lihat daftar Rentang IP Microsoft Azure dan Tag Layanan untuk Cloud Publik.
Untuk Azure untuk Pemerintah AS, lihat daftar Rentang IP Microsoft Azure dan Tag Layanan untuk Azure untuk Cloud Pemerintah AS.
File-file ini diperbarui setiap minggu.
Untuk menentukan apakah akses ke URL dan port dibatasi di lingkungan seperti cloud Azure global, ikuti langkah-langkah berikut:
Di server Entra connect, buka log penampil peristiwa (log Windows, aplikasi) dan temukan salah satu ID peristiwa ini: 31034 atau 31019.
Dari ID Peristiwa ini, identifikasi nama pendengar bus layanan:
Jalankan cmdlet berikut:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443Atau, jalankan yang berikut:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose<Ganti namespace> dengan yang sama yang Anda ekstrak dari ID peristiwa sebelumnya. Misalnya, dalam kasus sebelumnya, perintahnya adalah:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Untuk informasi selengkapnya, lihat prasyarat konektivitas untuk Microsoft Entra Connect.
Periksa apakah TLS 1.2 diaktifkan
Langkah pemecahan masalah tambahan adalah memeriksa apakah TLS 1.2 diaktifkan dengan benar di Server Sinkronisasi. Jalankan Skrip PowerShell untuk memeriksa TLS 1.2 di Server Entra Connect. Pastikan untuk menjalankan skrip dalam Mode Admin.
Output dari skrip pemeriksaan yang harus terlihat seperti gambar berikut (jalur, nama, dan kolom nilai) untuk diaktifkan dengan benar. Jika tidak, jalankan Skrip PowerShell untuk mengaktifkan TLS 1.2 di Server Entra Connect/ Kemudian boot ulang server, dan jalankan skrip untuk memeriksa TLS 1.2 lagi.
Pastikan Microsoft .NET Framework 4.8 atau yang lebih tinggi diaktifkan (Server Sinkronisasi)
Pastikan Microsoft .NET Framework 4.8 atau yang lebih tinggi diaktifkan di Server Sinkronisasi.
- Cara memeriksa apakah .NET sudah diinstal
- Mengkueri registri menggunakan PowerShell
- Unduh .NET framework
Menghidupkan ulang layanan Sinkronisasi Microsoft Entra Connect
Untuk mengatasi masalah konektivitas atau masalah sementara lainnya dengan layanan, selesaikan langkah-langkah berikut untuk memulai ulang layanan Sinkronisasi Microsoft Entra Connect:
Sebagai administrator di server yang menjalankan Microsoft Entra Connect, pilih Mulai.
Masukkan services.msc di bidang pencarian dan pilih Enter.
Cari entri Sinkronisasi Azure AD .
Klik kanan entri layanan, pilih Mulai Ulang, dan tunggu hingga operasi selesai.
Langkah-langkah ini membangun kembali koneksi Anda dengan ID Microsoft Entra dan harus mengatasi masalah konektivitas Anda.
Jika memulai ulang layanan Sinkronisasi Microsoft Entra Connect tidak mengatasi masalah Anda, coba nonaktifkan lalu aktifkan kembali fitur tulis balik kata sandi di bagian berikutnya.
Menonaktifkan dan mengaktifkan kembali fitur tulis balik kata sandi
Untuk terus memecahkan masalah, selesaikan langkah-langkah berikut untuk menonaktifkan lalu aktifkan kembali fitur tulis balik kata sandi:
- Sebagai administrator di server yang menjalankan Microsoft Entra Connect, buka wizard Konfigurasi Microsoft Entra Connect.
- Di Sambungkan ke ID Microsoft Entra, masukkan kredensial Administrator Hibrid Microsoft Entra Anda.
- Di Sambungkan ke AD DS, masukkan kredensial admin Active Directory Domain Services lokal Anda.
- Di Mengidentifikasi pengguna Anda secara unik, pilih tombol Berikutnya .
- Di Fitur opsional, kosongkan kotak centang Tulis balik kata sandi .
- Pilih Berikutnya melalui halaman dialog yang tersisa tanpa mengubah apa pun hingga Anda masuk ke halaman Siap dikonfigurasi .
- Periksa apakah halaman Siap dikonfigurasi memperlihatkan opsi Tulis balik kata sandi sebagai dinonaktifkan. Pilih tombol Konfigurasi hijau untuk menerapkan perubahan Anda.
- Di Selesai, kosongkan opsi Sinkronkan sekarang , lalu pilih Selesai untuk menutup wizard.
- Buka kembali wizard Konfigurasi Microsoft Entra Connect.
- Ulangi langkah 2-8, kali ini memilih opsi Tulis balik Kata Sandi pada halaman Fitur opsional untuk mengaktifkan kembali layanan.
Langkah-langkah ini membangun kembali koneksi Anda dengan ID Microsoft Entra dan harus mengatasi masalah konektivitas Anda.
Jika menonaktifkan lalu mengaktifkan kembali fitur tulis balik kata sandi tidak mengatasi masalah Anda, instal ulang Microsoft Entra Connect di bagian berikutnya.
Menginstal rilis Microsoft Entra Connect terbaru
Menginstal ulang Microsoft Entra Connect dapat mengatasi masalah konfigurasi dan konektivitas antara ID Microsoft Entra dan lingkungan Active Directory Domain Services lokal Anda. Sebaiknya Anda melakukan langkah ini hanya setelah mencoba langkah-langkah sebelumnya untuk memverifikasi dan memecahkan masalah konektivitas.
Peringatan
Jika Anda menyesuaikan aturan sinkronisasi bawaan, cadangkan aturan tersebut sebelum Anda melanjutkan peningkatan, kemudian sebarkan ulang secara manual setelah selesai.
Unduh versi terbaru Microsoft Entra Connect dari Pusat Unduhan Microsoft.
Karena Anda sudah menginstal Microsoft Entra Connect, lakukan peningkatan di tempat untuk memperbarui penginstalan Microsoft Entra Connect Anda ke versi terbaru.
Jalankan paket yang diunduh dan ikuti instruksi di layar untuk memperbarui Microsoft Entra Connect.
Langkah-langkah ini harus membangun kembali koneksi Anda dengan ID Microsoft Entra dan mengatasi masalah konektivitas Anda.
Jika menginstal versi terbaru server Microsoft Entra Connect tidak mengatasi masalah Anda, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi sebagai langkah terakhir setelah Anda menginstal rilis terbaru.
Verifikasi bahwa Microsoft Entra Connect memiliki izin yang diperlukan
Microsoft Entra Connect memerlukan izin Atur Ulang kata sandi AD DS untuk melakukan tulis balik kata sandi. Untuk memeriksa apakah Microsoft Entra Connect memiliki izin yang diperlukan untuk akun pengguna AD DS lokal tertentu, gunakan fitur Izin Efektif Windows :
Masuk ke server Microsoft Entra Connect dan mulai Synchronization Service Manager dengan memilih Mulai>Layanan Sinkronisasi.
Di bawah tab Konektor , pilih konektor Active Directory Domain Services lokal, lalu pilih Properti.
Di jendela pop-up, pilih Sambungkan ke Hutan Direktori Aktif dan catat properti Nama Pengguna. Properti ini adalah akun AD DS yang digunakan oleh Microsoft Entra Connect untuk melakukan sinkronisasi direktori.
Agar Microsoft Entra Connect melakukan tulis balik kata sandi, akun AD DS harus memiliki izin reset kata sandi. Anda memeriksa izin di akun pengguna ini dalam langkah-langkah berikut.
Masuk ke pengontrol domain di lokasi dan mulai aplikasi Active Directory Users and Computers.
Pilih Tampilkan dan pastikan opsi Fitur Tingkat Lanjut diaktifkan.
Cari akun pengguna AD DS yang ingin Anda verifikasi. Klik kanan nama akun dan pilih Properti.
Di jendela pop-up, buka tab Keamanan dan pilih Tingkat Lanjut.
Di jendela pop-up Pengaturan Keamanan Tingkat Lanjut untuk Administrator , buka tab Akses Efektif .
Pilih Pilih pengguna, pilih akun AD DS yang digunakan oleh Microsoft Entra Connect, lalu pilih Tampilkan akses yang efektif.
Gulir ke bawah dan cari Atur ulang kata sandi. Jika entri memiliki tanda centang, akun AD DS memiliki izin untuk mengatur ulang kata sandi akun pengguna Active Directory yang dipilih.
Kesalahan tulis balik kata sandi umum
Masalah yang lebih spesifik berikut dapat terjadi pada tulis balik kata sandi. Jika Anda mengalami salah satu kesalahan ini, tinjau solusi yang diusulkan dan periksa apakah tulis balik kata sandi kemudian bekerja dengan benar.
| Kesalahan | Solusi |
|---|---|
| Layanan atur ulang kata sandi tidak dimulai di lokal. Kesalahan 6800 muncul di log peristiwa Aplikasi komputer Microsoft Entra Connect. Setelah onboarding, pengguna gabungan, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi tidak dapat mengatur ulang kata sandi mereka. |
Ketika tulis balik kata sandi diaktifkan, mesin sinkronisasi memanggil perpustakaan tulis balik untuk melakukan konfigurasi (onboarding) dengan berkomunikasi ke layanan onboarding cloud. Kesalahan apa pun yang ditemui selama onboarding atau saat memulai titik akhir Windows Communication Foundation (WCF) untuk tulis balik kata sandi mengakibatkan kesalahan di log peristiwa, pada komputer Microsoft Entra Connect Anda. Selama mulai ulang layanan Sinkronisasi Azure AD (ADSync), jika tulis balik dikonfigurasi, titik akhir WCF dimulai. Tetapi, jika pengaktifan titik akhir gagal, kami mencatat peristiwa 6800 dan membiarkan layanan sinkronisasi dimulai. Kehadiran peristiwa ini berarti bahwa titik akhir tulis balik kata sandi tidak dimulai. Detail log peristiwa untuk peristiwa 6800 ini, bersama dengan entri log peristiwa yang dihasilkan oleh komponen PasswordResetService, menunjukkan penyebab Anda tidak dapat memulai titik akhir. Tinjau kesalahan log peristiwa ini dan coba mulai ulang Microsoft Entra Connect jika tulis balik kata sandi masih tidak berfungsi. Jika masalah berlanjut, coba nonaktifkan lalu aktifkan kembali sandi tulis balik. |
| Ketika pengguna mencoba mengatur ulang kata sandi atau membuka kunci akun dengan tulis balik kata sandi yang aktif, operasi gagal. Selain itu, Anda melihat peristiwa di log peristiwa Microsoft Entra Connect yang berisi: "Mesin Sinkronisasi mengembalikan kesalahan hr=800700CE, message=Nama file atau ekstensi terlalu panjang" setelah operasi buka kunci terjadi. |
Temukan akun Direktori Aktif untuk Microsoft Entra Connect dan atur ulang kata sandi sehingga berisi tidak lebih dari 256 karakter. Selanjutnya, buka Layanan Sinkronisasi dari menu Mulai . Jelajahi ke Konektor dan temukan Konektor Direktori Aktif. Pilih item tersebut, lalu pilih Properti. Telusuri ke halaman Kredensial dan masukkan kata sandi baru. Pilih OK untuk menutup halaman. |
| Pada langkah terakhir proses penginstalan Microsoft Entra Connect, Anda melihat kesalahan yang menunjukkan bahwa tulis balik kata sandi tidak dapat dikonfigurasi. Log peristiwa Aplikasi Microsoft Entra Connect berisi kesalahan 32009 dengan teks "Kesalahan mendapatkan token autentikasi." |
Kesalahan ini terjadi dalam dua kasus berikut:
|
| Log peristiwa komputer Microsoft Entra Connect berisi kesalahan 32002 yang dilemparkan dengan menjalankan PasswordResetService. Kesalahan tersebut berbunyi: "Kesalahan Saat Menyambungkan ke ServiceBus. Penyedia token tidak dapat memberikan token keamanan." |
Lingkungan lokal tidak dapat tersambung ke titik akhir Azure Service Bus di cloud. Aturan firewall yang memblokir koneksi keluar ke port atau alamat web tertentu biasanya menyebabkan kesalahan ini. Lihat Prasyarat konektivitas untuk informasi selengkapnya. Setelah Anda memperbarui aturan ini, hidupkan ulang server Microsoft Entra Connect dan tulis balik kata sandi akan mulai berfungsi lagi. |
| Setelah bekerja selama beberapa waktu, pengguna gabungan, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi tidak dapat mengatur ulang kata sandi mereka. | Dalam beberapa kasus yang jarang terjadi, layanan tulis balik kata sandi dapat gagal dimulai ulang ketika Microsoft Entra Connect telah dimulai ulang. Dalam kasus ini, pertama-tama periksa apakah tulis balik kata sandi diaktifkan di lokal. Anda dapat memeriksa dengan menggunakan wizard Microsoft Entra Connect atau PowerShell. Jika fitur tersebut tampaknya aktif, coba aktifkan atau nonaktifkan lagi fitur tersebut. Jika langkah pemecahan masalah ini tidak berhasil, coba hapus instalan lengkap dan instal ulang Microsoft Entra Connect. |
| Pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang mencoba mengatur ulang kata sandi mereka melihat kesalahan setelah mencoba mengirimkan kata sandi mereka. Kesalahan menunjukkan bahwa ada masalah layanan. Selain masalah ini, selama operasi pengaturan ulang kata sandi, Anda mungkin melihat kesalahan bahwa agen manajemen ditolak aksesnya di log peristiwa lokal. |
Jika Anda melihat kesalahan ini di log peristiwa Anda, periksa apakah akun Active Directory Management Agent (ADMA) yang ditentukan selama konfigurasi memiliki izin yang diperlukan untuk tulis balik kata sandi. Setelah izin ini diberikan, diperlukan waktu hingga satu jam agar izin mengalir melalui sdproptugas latar belakang di pengontrol domain (DC). Agar pengaturan ulang kata sandi berfungsi, izin perlu dicap di deskriptor keamanan objek pengguna yang kata sandinya sedang diatur ulang. Hingga izin ini muncul pada obyek pengguna, pengaturan ulang kata sandi akan terus gagal dengan pesan yang ditolak akses. |
| Pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang mencoba mengatur ulang kata sandi mereka, melihat kesalahan setelah mengirimkan kata sandi mereka. Kesalahan menunjukkan bahwa ada masalah layanan. Selain masalah ini, selama operasi reset kata sandi, Anda mungkin melihat kesalahan dalam log peristiwa Anda dari layanan Microsoft Entra Connect yang menunjukkan kesalahan "Objek tidak dapat ditemukan". |
Kesalahan ini biasanya menunjukkan bahwa mesin sinkronisasi tidak dapat menemukan objek pengguna di ruang konektor Microsoft Entra atau metaverse tertaut (MV) atau objek ruang konektor Microsoft Entra. Untuk memecahkan masalah ini, pastikan bahwa pengguna memang disinkronkan dari lokal ke ID Microsoft Entra melalui instans Microsoft Entra Connect saat ini dan periksa status objek di ruang konektor dan MV. Pastikan objek Active Directory Certificate Services (AD CS) tersambung ke objek MV melalui aturan "Microsoft.InfromADUserAccountEnabled.xxx". |
| Pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang mencoba mengatur ulang kata sandi mereka melihat kesalahan setelah mengirimkan kata sandi mereka. Kesalahan menunjukkan bahwa ada masalah layanan. Selain masalah ini, selama operasi reset kata sandi, Anda mungkin melihat kesalahan dalam log peristiwa Anda dari layanan Microsoft Entra Connect yang menunjukkan bahwa ada kesalahan "Beberapa kecocokan ditemukan". |
Hal ini menunjukkan bahwa mesin sinkronisasi mendeteksi bahwa objek MV terhubung ke lebih dari satu objek AD CS melalui "Microsoft.InfromADUserAccountEnabled.xxx". Hal ini berarti bahwa pengguna memiliki akun yang diaktifkan di lebih dari satu forest. Skenario ini tidak didukung untuk tulis balik kata sandi. |
| Operasi kata sandi gagal dengan kesalahan konfigurasi. Log peristiwa Aplikasi berisi kesalahan Microsoft Entra Connect 6329 dengan teks "0x8023061f (Operasi gagal karena sinkronisasi kata sandi tidak diaktifkan pada Agen Manajemen ini)". | Kesalahan ini terjadi jika konfigurasi Microsoft Entra Connect diubah untuk menambahkan forest Direktori Aktif baru (atau untuk menghapus dan membaca forest yang ada) setelah fitur tulis balik kata sandi telah diaktifkan. Operasi kata sandi untuk pengguna di forest yang baru-baru ini ditambahkan ini gagal. Untuk memperbaiki masalah, nonaktifkan lalu aktifkan kembali fitur tulis balik kata sandi setelah perubahan konfigurasi forest selesai. |
| SSPR_0029: Kami tidak dapat mereset kata sandi Anda karena kesalahan dalam konfigurasi lokal Anda. Harap hubungi admin Anda dan minta mereka untuk menyelidiki. | Masalah: Tulis balik kata sandi diaktifkan mengikuti semua langkah yang diperlukan, tetapi saat mencoba mengubah kata sandi yang Anda terima "SSPR_0029: Organisasi Anda belum menyiapkan konfigurasi lokal dengan benar untuk pengaturan ulang kata sandi." Memeriksa log peristiwa pada sistem Microsoft Entra Connect menunjukkan bahwa kredensial agen manajemen ditolak aksesnya. Solusi yang Mungkin: Gunakan RSOP pada sistem Microsoft Entra Connect dan pengendali domain Anda untuk melihat apakah kebijakan "Akses jaringan: Batasi klien yang diizinkan untuk melakukan panggilan jarak jauh ke SAM" yang ditemukan di bawah Konfigurasi Komputer > Pengaturan Keamanan Windows Pengaturan >> Keamanan Opsi Keamanan Lokal > diaktifkan. Edit kebijakan untuk menyertakan akun manajemen MSOL_XXXXXXX sebagai pengguna yang diizinkan. Untuk informasi selengkapnya, lihat Memecahkan masalah kesalahan SSPR_0029: Organisasi Anda belum menyiapkan konfigurasi lokal dengan benar untuk pengaturan ulang kata sandi. |
Kode kesalahan log peristiwa tulis balik kata sandi
Praktik terbaik saat Anda memecahkan masalah dengan tulis balik kata sandi adalah memeriksa log peristiwa Aplikasi, di komputer Microsoft Entra Connect Anda. Log peristiwa ini memuat kejadian dari dua sumber untuk tulis balik kata sandi. Sumber PasswordResetService menjelaskan operasi dan masalah yang terkait dengan operasi tulis balik kata sandi. Sumber ADSync menjelaskan operasi dan masalah yang terkait dengan pembuatan kata sandi di lingkungan Layanan Domain Direktori Aktif Anda.
Jika sumber acara adalah ADSync
| Kode | Nama atau pesan | Deskripsi |
|---|---|---|
| 6329 | BAIL: MMS(4924) 0x80230619: "Pembatasan mencegah kata sandi diubah ke yang ditentukan saat ini." | Peristiwa ini terjadi ketika layanan tulis balik kata sandi mencoba mengatur kata sandi di direktori lokal yang tidak memenuhi persyaratan usia kata sandi, riwayat, kompleksitas, atau pemfilteran domain. Kejadian ini juga dapat terjadi jika kata sandi tidak dapat diubah untuk pengguna. Jika Anda memiliki usia kata sandi minimum dan baru saja mengubah kata sandi dalam jangka waktu tersebut, Anda tidak dapat mengubah kata sandi lagi hingga mencapai usia yang ditentukan di domain. Untuk tujuan pengujian, usia minimum harus diatur ke 0. Jika Anda mengaktifkan persyaratan riwayat kata sandi, maka Anda harus memilih kata sandi yang belum digunakan dalam N kali terakhir, di mana N adalah pengaturan riwayat kata sandi. Jika Anda memilih kata sandi yang digunakan dalam N kali terakhir, maka Anda akan melihat kegagalan dalam kasus ini. Untuk tujuan pengujian, riwayat kata sandi harus diatur ke 0. Jika Anda memiliki persyaratan kompleksitas kata sandi, semuanya diberlakukan saat pengguna mencoba mengubah atau mengatur ulang kata sandi. Jika Anda mengaktifkan filter kata sandi dan pengguna memilih kata sandi yang tidak memenuhi kriteria pemfilteran, operasi pengaturan ulang atau perubahan gagal. Jika pengguna memiliki set bendera properti PASSWD_CANT_CHANGE, kata sandi mereka tidak dapat disinkronkan. Untuk tujuan pengujian, hapus bendera properti PASSWD_CANT_CHANGE. Untuk informasi selengkapnya, lihat Deskripsi bendera properti. |
| 6329 | MMS(3040): admaexport.cpp(2837): Server tidak berisi kontrol kebijakan kata sandi LDAP. | Masalah ini terjadi jika kontrol LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) tidak diaktifkan di DC. Untuk menggunakan fitur tulis balik kata sandi, Anda harus mengaktifkan kontrol. Untuk melakukannya, DC harus ada di Windows Server 2016 atau yang lebih baru. |
| Sumber Daya Manusia 8023042 | Mesin Sinkronisasi mengembalikan kesalahan hr=80230402, pesan=Upaya untuk mendapatkan objek gagal karena ada entri duplikat dengan jangkar yang sama. | Kesalahan ini terjadi ketika ID pengguna yang sama diaktifkan di beberapa domain. Contohnya adalah jika Anda menyinkronkan akun dan forest sumber daya dan memiliki ID pengguna yang sama dan diaktifkan di setiap forest. Kesalahan ini juga dapat terjadi jika Anda menggunakan atribut jangkar yang tidak unik, seperti alias atau UPN, dan dua pengguna berbagi atribut jangkar yang sama. Untuk mengatasi masalah ini, pastikan Anda tidak memiliki pengguna duplikat dalam domain dan Anda menggunakan atribut jangkar unik untuk setiap pengguna. |
Jika sumber peristiwa adalah PasswordResetService
| Kode | Nama atau pesan | Deskripsi |
|---|---|---|
| 31001 | MulaiResetKataSandi | Peristiwa ini menunjukkan bahwa layanan lokal mendeteksi permintaan pengaturan ulang kata sandi untuk pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang berasal dari cloud. Peristiwa ini adalah peristiwa pertama dalam setiap operasi tulis balik kata sandi. |
| 31002 | Berhasil Menyetel Ulang Kata Sandi | Peristiwa ini menunjukkan bahwa pengguna memilih kata sandi baru selama operasi pengaturan ulang kata sandi. Kami memutuskan bahwa kata sandi ini memenuhi persyaratan kata sandi perusahaan. Kata sandi berhasil ditulis kembali ke lingkungan Direktori Aktif lokal. |
| 31003 | Gagal Reset Kata Sandi | Peristiwa ini menunjukkan bahwa pengguna memilih kata sandi dan kata sandi berhasil sampai ke lingkungan lokal. Tetapi ketika kami mencoba untuk mengatur kata sandi di lingkungan Active Directory setempat, kegagalan terjadi. Kegagalan ini dapat terjadi karena beberapa alasan:
|
| 31004 | MulaiAcaraOrientasi | Kejadian ini terjadi jika Anda mengaktifkan tulis balik kata sandi dengan Microsoft Entra Connect dan kami telah mulai melakukan onboarding organisasi Anda ke layanan web tulis balik kata sandi. |
| 31005 | KeberhasilanAcaraPenerimaan | Peristiwa ini menunjukkan bahwa proses onboarding berhasil dan kemampuan tulis balik kata sandi siap digunakan. |
| 31006 | Ubah Kata SandiMulai | Peristiwa ini menunjukkan bahwa layanan lokal mendeteksi permintaan perubahan kata sandi untuk pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang berasal dari cloud. Peristiwa ini peristiwa pertama dalam setiap operasi tulis balik perubahan kata sandi. |
| 31007 | SuksesMengubahKataSandi | Kejadian ini menunjukkan bahwa pengguna memilih kata sandi baru selama operasi perubahan kata sandi, kami menentukan bahwa kata sandi memenuhi persyaratan kata sandi perusahaan, dan bahwa kata sandi berhasil ditulis kembali ke lingkungan Direktori Aktif lokal. |
| 31008 | Ubah Kata SandiGagal | Peristiwa ini menunjukkan bahwa pengguna memilih kata sandi dan kata sandi berhasil sampai ke lingkungan lokal, tetapi ketika kami mencoba untuk mengatur kata sandi di lingkungan Active Directory setempat, kegagalan terjadi. Kegagalan ini dapat terjadi karena beberapa alasan:
|
| 31009 | MulaiSetelUlangKataSandiPenggunaOlehAdmin | Layanan lokal mendeteksi permintaan pengaturan ulang kata sandi untuk pengguna federasi, autentikasi pass-through, atau yang disinkronkan dengan hash kata sandi yang berasal dari administrator atas nama pengguna. Peristiwa ini peristiwa pertama dalam setiap operasi tulis balik kata sandi yang dimulai oleh administrator. |
| 31010 | BerhasilMengaturUlangKataSandiPenggunaOlehAdmin | Admin memilih kata sandi baru selama operasi pengaturan ulang kata sandi yang dimulai admin. Kami memutuskan bahwa kata sandi ini memenuhi persyaratan kata sandi perusahaan. Kata sandi berhasil ditulis kembali ke lingkungan Direktori Aktif lokal. |
| 31011 | GagalResetPasswordPenggunaOlehAdmin | Admin memilih kata sandi atas nama pengguna. Kata sandi berhasil sampai ke lingkungan lokal. Tetapi ketika kami mencoba untuk mengatur kata sandi di lingkungan Active Directory setempat, kegagalan terjadi. Kegagalan ini dapat terjadi karena beberapa alasan:
|
| 31012 | MulaiAcaraPemberhentian | Kejadian ini terjadi jika Anda menonaktifkan tulis balik kata sandi dengan Microsoft Entra Connect dan menunjukkan bahwa kami mulai melakukan offboarding organisasi Anda ke layanan web tulis balik kata sandi. |
| 31013 | Keberhasilan Acara Penyelesaian | Kejadian ini menunjukkan bahwa proses offboarding berhasil dan kemampuan tulis balik kata sandi berhasil dinonaktifkan. |
| 31014 | OffboardingEventFail | Peristiwa ini menunjukkan bahwa proses offboarding tidak berhasil. Hal ini mungkin disebabkan oleh kesalahan izin di cloud atau akun administrator lokal yang ditentukan selama konfigurasi. Kesalahan juga dapat terjadi jika Anda mencoba menggunakan Administrator Hibrid cloud federasi saat menonaktifkan tulis balik kata sandi. Untuk memperbaiki masalah ini, periksa izin administratif dan pastikan Anda tidak menggunakan akun gabungan saat mengonfigurasi kemampuan tulis balik kata sandi. |
| 31015 | LayananPengembalianTelahDimulai | Kejadian ini menunjukkan bahwa layanan tulis balik kata sandi berhasil dimulai. Siap menerima permintaan manajemen kata sandi dari cloud. |
| 31016 | LayananWriteBackDihentikan | Kejadian ini menunjukkan bahwa layanan tulis balik kata sandi berhenti. Setiap permintaan manajemen kata sandi dari cloud tidak akan berhasil. |
| 31017 | TokenOtorisasiBerhasil | Kejadian ini menunjukkan bahwa kami berhasil mengambil token otorisasi untuk Administrator Hibrid yang ditentukan selama penyiapan Microsoft Entra Connect untuk memulai proses offboarding atau onboarding. |
| 31018 | KeberhasilanPembuatanPasanganKunci | Peristiwa ini menunjukkan bahwa kami berhasil membuat kunci enkripsi kata sandi. Kunci ini digunakan untuk mengenkripsi kata sandi dari cloud untuk dikirim ke lingkungan lokal. |
| 31019 | ServiceBusHeartBeat | Kejadian ini menunjukkan bahwa kami berhasil mengirim permintaan ke instans Bus Layanan penyewa Anda. |
| 31034 | ServiceBusListenerError | Kejadian ini menunjukkan bahwa ada kesalahan saat menyambungkan ke pendengar Bus Layanan penyewa. Jika pesan kesalahan menyertakan "Sertifikat jarak jauh tidak valid", periksa untuk memastikan bahwa server Microsoft Entra Connect Anda memiliki semua CA Akar yang diperlukan seperti yang dijelaskan dalam perubahan sertifikat Azure TLS. |
| 31044 | Layanan Pengaturan Ulang Kata Sandi | Kejadian ini menunjukkan bahwa tulis balik kata sandi tidak berfungsi. Azure Service Bus mendengarkan permintaan pada dua relay terpisah untuk redundansi. Setiap koneksi relay dikelola oleh Host Layanan yang unik. Klien writeback mengembalikan kesalahan jika Salah satu Host Layanan tidak berjalan. |
| 32.000 | KesalahanTidakDiketahui | Kejadian ini menunjukkan kesalahan tidak diketahui terjadi selama operasi manajemen kata sandi. Lihat teks pengecualian dalam peristiwa untuk detail selengkapnya. Jika Anda mengalami masalah, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi. Jika ini tidak membantu, sertakan salinan log peristiwa bersama dengan ID pelacakan yang ditentukan saat Anda membuka permintaan dukungan. |
| 32001 | Kesalahan Layanan | Peristiwa ini menunjukkan ada kesalahan saat menyambungkan ke layanan pengaturan ulang kata sandi cloud. Kesalahan ini umumnya terjadi ketika layanan lokal tidak dapat tersambung ke layanan web pengaturan ulang kata sandi. |
| 32002 | ServiceBusError | Peristiwa ini menunjukkan bahwa ada kesalahan saat menyambungkan ke instans Bus Layanan penyewa. Hal ini dapat terjadi jika Anda memblokir koneksi keluar di lingkungan lokal. Periksa firewall untuk memastikan bahwa Anda memperbolehkan koneksi melalui TCP 443 dan ke https://ssprdedicatedsbprodncu.servicebus.windows.net, lalu coba lagi. Jika Anda mengalami masalah, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi. |
| 32003 | InPutValidationError (Kesalahan Validasi Input) | Peristiwa ini menunjukkan bahwa input yang diteruskan ke API layanan web kami tidak valid. Coba operasi lagi. |
| 32004 | DekripsiKesalahan | Peristiwa ini menunjukkan bahwa ada kesalahan mendekripsi kata sandi yang tiba dari cloud. Ini mungkin karena ketidakcocokan kunci dekripsi antara layanan cloud dan lingkungan lokal. Untuk mengatasi masalah ini, nonaktifkan lalu aktifkan kembali tulis balik kata sandi di lingkungan lokal. |
| 32005 | Kesalahan Konfigurasi | Selama orientasi, kami menyimpan informasi khusus penyewa dalam file konfigurasi di lingkungan lokal. Peristiwa ini menunjukkan bahwa ada kesalahan saat menyimpan file ini atau ketika layanan dimulai, ada kesalahan saat membaca file tersebut. Untuk memperbaiki masalah ini, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi untuk memaksa penulisan ulang file konfigurasi. |
| 32007 | KesalahanPembaruanKonfigurasiOnBoarding | Selama onboarding, kami mengirim data dari cloud ke layanan pengaturan ulang kata sandi di lokal. Data tersebut kemudian ditulis ke file dalam memori sebelum dikirim ke layanan sinkronisasi untuk disimpan dengan aman pada disk. Peristiwa ini menunjukkan bahwa ada masalah pada menulis atau memperbarui data tersebut dalam memori. Untuk memperbaiki masalah ini, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi untuk memaksa penulisan ulang file konfigurasi. |
| 32008 | ValidationError | Peristiwa ini menunjukkan kami menerima respons yang tidak valid dari layanan web pengaturan ulang kata sandi. Untuk memperbaiki masalah ini, coba nonaktifkan lalu aktifkan kembali tulis balik kata sandi. |
| 32009 | Kesalahan Token Autentikasi (AuthTokenError) | Kejadian ini menunjukkan bahwa kami tidak bisa mendapatkan token otorisasi untuk akun Administrator Hibrid yang ditentukan selama penyiapan Microsoft Entra Connect. Kesalahan ini dapat disebabkan oleh nama pengguna atau kata sandi yang buruk yang ditentukan untuk akun Administrator Hibrid. Kesalahan ini juga dapat terjadi jika akun Administrator Hibrid yang ditentukan digabungkan. Untuk memperbaiki masalah ini, jalankan ulang konfigurasi dengan nama pengguna dan kata sandi yang benar dan pastikan administrator adalah akun yang dikelola (khusus cloud atau sinkronisasi kata sandi). |
| 32010 | Kesalahan Kripto | Peristiwa ini menunjukkan ada kesalahan dalam menghasilkan kunci enkripsi kata sandi atau mendekripsi kata sandi yang berasal dari layanan cloud. Kesalahan ini kemungkinan menunjukkan masalah pada lingkungan. Lihat detail log peristiwa untuk mempelajari selengkapnya tentang cara mengatasi masalah ini. Anda juga dapat mencoba menonaktifkan dan mengaktifkan kembali layanan tulis balik kata sandi di Azure AD Connect. |
| 32011 | OnBoardingServiceError | Peristiwa ini menunjukkan bahwa layanan lokal tidak dapat berkomunikasi dengan benar dengan layanan web pengaturan ulang kata sandi untuk memulai proses onboarding. Hal ini dapat terjadi sebagai akibat dari aturan firewall atau jika ada masalah saat mendapatkan token autentikasi untuk penyewa. Untuk memperbaiki masalah ini, pastikan Anda tidak memblokir koneksi keluar melalui TCP 443 dan TCP 9350-9354 atau ke https://ssprdedicatedsbprodncu.servicebus.windows.net. Pastikan juga bahwa akun admin Microsoft Entra yang Anda gunakan untuk onboarding tidak digabungkan. |
| 32013 | Kesalahan OffBoarding | Peristiwa ini menunjukkan bahwa layanan lokal tidak dapat berkomunikasi dengan benar dengan layanan web pengaturan ulang kata sandi untuk memulai proses offboarding. Hal ini dapat terjadi karena aturan firewall atau jika terdapat masalah saat mendapatkan token otorisasi untuk penyewa. Untuk memperbaiki masalah ini, pastikan Anda tidak memblokir koneksi keluar lebih dari 443 atau ke https://ssprdedicatedsbprodncu.servicebus.windows.net, dan bahwa akun admin Microsoft Entra yang Anda gunakan untuk offboard tidak digabungkan. |
| 32014 | ServiceBusPeringatan | Peristiwa ini menunjukkan bahwa kami harus mencoba kembali untuk terhubung ke instans Bus Layanan penyewa. Dalam kondisi normal, ini seharusnya tidak menjadi perhatian, tetapi jika Anda melihat peristiwa ini berkali-kali, pertimbangkan untuk memeriksa koneksi jaringan Anda ke Service Bus, terutama jika itu adalah koneksi latensi tinggi atau bandwidth rendah. |
| 32015 | LaporkanServiceHealthError | Untuk memantau kesehatan layanan tulis balik kata sandi, kami mengirim data detak jantung ke layanan web pengaturan ulang kata sandi kami setiap lima menit. Peristiwa ini menunjukkan bahwa ada kesalahan saat mengirim informasi kesehatan ini kembali ke layanan web cloud. Informasi kesehatan ini tidak menyertakan data pribadi apa pun, dan murni detak jantung dan statistik layanan dasar sehingga kami dapat memberikan informasi status layanan di cloud. |
| 33001 | Kesalahan Tidak Diketahui AD | Peristiwa ini mengindikasikan bahwa ada kesalahan tidak diketahui yang dikembalikan oleh Active Directory. Periksa log peristiwa server Microsoft Entra Connect untuk peristiwa dari sumber Sinkronisasi AAD untuk informasi selengkapnya. |
| 33002 | ADUserNotFoundError | Kejadian ini menunjukkan bahwa pengguna yang mencoba mereset atau mengubah kata sandi tidak ditemukan di direktori lokal. Kesalahan ini dapat terjadi ketika pengguna dihapus secara lokal tetapi tidak di cloud. Kesalahan ini juga dapat terjadi jika ada masalah pada sinkronisasi. Periksa log sinkronisasi dan beberapa detail sinkronisasi terakhir untuk informasi selengkapnya. |
| 33003 | ADMultiMatchError | Saat reset kata sandi atau permintaan perubahan berasal dari cloud, kami menggunakan jangkar cloud yang ditentukan selama proses penyiapan Microsoft Entra Connect untuk menentukan cara menautkan permintaan tersebut kembali ke pengguna di lingkungan lokal Anda. Peristiwa ini menunjukkan bahwa kami menemukan dua pengguna di direktori lokal dengan atribut cloud jangkar yang sama. Periksa log sinkronisasi dan beberapa detail sinkronisasi terakhir untuk informasi selengkapnya. |
| 33004 | ADPermissionsError | Peristiwa ini menunjukkan bahwa akun layanan Active Directory Management Agent (ADMA) tidak memiliki izin yang sesuai di akun yang dimaksud untuk mengatur kata sandi baru. Pastikan bahwa akun ADMA di forest pengguna memiliki izin pengaturan ulang kata sandi pada semua forest di forest. Untuk informasi selengkapnya tentang cara mengatur izin, lihat Langkah 4: Menyiapkan izin Active Directory yang sesuai. Kesalahan ini juga dapat terjadi ketika atribut pengguna AdminCount diatur ke 1. |
| 33005 | Akun Pengguna AD Dinonaktifkan | Peristiwa ini menunjukkan bahwa kami mencoba mengatur ulang atau mengubah kata sandi untuk akun yang dinonaktifkan di lokal. Aktifkan akun tersebut, lalu coba kembali operasi ini. |
| 33006 | AkunPenggunaADTerkunci | Peristiwa ini menunjukkan bahwa kami mencoba mengatur ulang atau mengubah kata sandi untuk akun yang dikunci di lokal. Penguncian dapat terjadi ketika pengguna mencoba mengubah atau mengatur ulang operasi kata sandi terlalu banyak dalam waktu singkat. Buka kunci akun tersebut, lalu coba kembali operasi tersebut. |
| 33007 | Pengguna AD Kata Sandi Salah | Peristiwa ini menunjukkan bahwa pengguna menentukan kata sandi saat ini yang salah saat melakukan operasi perubahan kata sandi. Tentukan kata sandi yang benar saat ini, lalu coba kembali. |
| 33008 | ADPasswordPolicyError | Peristiwa ini terjadi ketika layanan tulis balik kata sandi mencoba mengatur kata sandi di direktori lokal yang tidak memenuhi persyaratan usia kata sandi, riwayat, kompleksitas, atau pemfilteran domain. Jika Anda memiliki usia kata sandi minimum dan baru saja mengubah kata sandi dalam jangka waktu tersebut, Anda tidak dapat mengubah kata sandi lagi hingga mencapai usia yang ditentukan di domain. Untuk tujuan pengujian, usia minimum harus diatur ke 0. Jika Anda mengaktifkan persyaratan riwayat kata sandi, maka Anda harus memilih kata sandi yang belum digunakan dalam N kali terakhir, di mana N adalah pengaturan riwayat kata sandi. Jika Anda memilih kata sandi yang digunakan dalam N kali terakhir, maka Anda akan melihat kegagalan dalam kasus ini. Untuk tujuan pengujian, riwayat kata sandi harus diatur ke 0. Jika Anda memiliki persyaratan kompleksitas kata sandi, semuanya diberlakukan saat pengguna mencoba mengubah atau mengatur ulang kata sandi. Jika Anda mengaktifkan filter kata sandi dan pengguna memilih kata sandi yang tidak memenuhi kriteria pemfilteran, operasi pengaturan ulang atau perubahan gagal. |
| 33009 | KesalahanKonfigurasiAD | Peristiwa ini menunjukkan ada masalah saat menulis kata sandi kembali ke direktori lokal karena masalah konfigurasi di Active Directory. Periksa log peristiwa Aplikasi pada mesin Microsoft Entra Connect untuk pesan dari layanan ADSync untuk informasi lebih lanjut tentang kesalahan yang terjadi. |
Karakter unit organisasi yang dicadangkan dari tulis balik kata sandi
Tabel berikut mencantumkan karakter yang dipesan yang mencegah tulis balik kata sandi. Jika karakter ini muncul di struktur unit organisasi (OU) lokal Anda, tulis balik kata sandi mungkin gagal dengan ID peristiwa 33001.
| Karakter khusus | Deskripsi | Nilai heks |
|---|---|---|
| spasi atau karakter # di awal string | ||
| karakter spasi di akhir string | ||
| , | koma | 0x2C |
| + | tanda plus | 0x2B |
| " | tanda kutip | 0x22 |
| \ | Backslash | 0x5C |
| < | tanda kurung sudut kiri | 0x3C |
| > | kurung sudut kanan | 0x3E |
| ; | titik koma | 0x3B |
| LF | umpan baris | 0x0A |
| CR | Kembali ke awal | 0x0D |
| = | tanda sama dengan | 0x3D |
| / | garis miring | 0x2F |
Forum Microsoft Entra
Jika Anda memiliki pertanyaan umum tentang ID Microsoft Entra dan pengaturan ulang kata sandi mandiri, Anda dapat meminta bantuan komunitas di halaman pertanyaan Tanya Jawab Microsoft untuk ID Microsoft Entra. Anggota komunitas termasuk teknisi, manajer produk, MVP, dan sesama profesional IT.
Hubungi dukungan Microsoft
Jika Anda tidak dapat menemukan jawaban atas masalah, tim dukungan kami selalu tersedia untuk membantu Anda lebih lanjut.
Untuk membantu Anda dengan benar, kami meminta Anda memberikan detail sebanyak mungkin saat membuka kasus. Detail ini mencakup hal berikut:
- Deskripsi umum kesalahan: Apa kesalahannya? Apa perilaku yang terlihat? Bagaimana kami dapat mereka ulang kesalahan? Berikan detail sebanyak mungkin.
- Halaman: Halaman apa yang Anda baca saat Anda melihat kesalahan? Sertakan URL jika Anda dapat mengambil cuplikan layar halaman.
-
Kode dukungan: Apa kode dukungan yang dihasilkan saat pengguna melihat kesalahan?
Untuk menemukan kode ini, hasilkan kembali kesalahan, lalu pilih tautan Kode dukungan di bagian bawah layar dan kirim teknisi dukungan GUID yang muncul.
Jika Anda berada di halaman tanpa kode dukungan di bagian bawah, pilih F12 dan cari SID dan CID lalu kirimkan dua hasil tersebut ke teknisi dukungan.
- Tanggal, waktu, dan zona waktu: Sertakan tanggal dan waktu yang tepat dengan zona waktu yang terjadi kesalahan.
-
ID Pengguna: Siapa pengguna yang melihat kesalahan? Contohnya user@contoso.com.
- Apakah ini pengguna federasi?
- Apakah ini pengguna autentikasi pass-through?
- Apakah ini pengguna yang disinkronkan dengan hash kata sandi?
- Apakah ini pengguna khusus cloud?
- Lisensi: Apakah pengguna memiliki lisensi ID Microsoft Entra yang ditetapkan?
- Log peristiwa aplikasi: Jika Anda menggunakan pemulihan kata sandi dan kesalahan ada di infrastruktur lokal Anda, sertakan salinan zip log peristiwa aplikasi dari server Microsoft Entra Connect.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang SSPR, lihat Cara kerjanya: Pengaturan ulang kata sandi mandiri Microsoft Entra atau Bagaimana cara kerja penulisan ulang kata sandi mandiri di ID Microsoft Entra?.