Memecahkan masalah sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect
Topik ini menyediakan langkah-langkah tentang cara memecahkan masalah sinkronisasi hash kata sandi. Jika kata sandi tidak disinkronkan seperti yang diharapkan, kata sandi dapat berupa subkumpulan pengguna atau untuk semua pengguna.
Untuk penyebaran Microsoft Entra Koneksi dengan versi 1.1.614.0 atau setelahnya, gunakan tugas pemecahan masalah dalam wizard untuk memecahkan masalah sinkronisasi hash kata sandi:
Jika Anda mengalami masalah saat tidak ada kata sandi yang disinkronkan, lihat bagian Tidak ada kata sandi yang disinkronkan: memecahkan masalah dengan menggunakan bagian tugas pemecahan masalah.
Jika Anda mengalami masalah dengan objek individual, lihat satu objek tidak menyinkronkan kata sandi: memecahkan masalah dengan menggunakan bagian tugas pemecahan masalah.
Untuk penyebaran dengan versi 1.1.524.0 atau yang lebih baru, ada cmdlet diagnostik yang dapat Anda gunakan untuk memecahkan masalah sinkronisasi hash kata sandi:
Jika Anda memiliki masalah di mana tidak ada kata sandi yang disinkronkan, lihat tidak ada kata sandi yang disinkronkan: memecahkan masalah dengan menggunakan bagian cmdlet diagnostik.
Jika Anda memiliki masalah dengan objek individual, lihat satu objek tidak menyinkronkan kata sandi: memecahkan masalah dengan menggunakan bagian cmdlet diagnostik.
Untuk versi penyebaran Microsoft Entra Koneksi yang lebih lama:
Jika Anda memiliki masalah di mana tidak ada kata sandi yang disinkronkan, lihat bagian Tidak ada kata sandi yang disinkronkan: langkah pemecahan masalah manual.
Jika Anda mengalami masalah dengan objek individual, lihat bagian Satu objek tidak menyinkronkan kata sandi: langkah pemecahan masalah manual.
Tidak ada kata sandi yang disinkronkan: memecahkan masalah dengan menggunakan tugas pemecahan masalah
Anda bisa menggunakan tugas pemecahan masalah untuk mencari tahu mengapa tidak ada kata sandi yang disinkronkan.
Catatan
Tugas pemecahan masalah hanya tersedia untuk Microsoft Entra Koneksi versi 1.1.614.0 atau yang lebih baru.
Jalankan tugas pemecahan masalah
Untuk memecahkan masalah di mana tidak ada kata sandi yang disinkronkan:
Buka sesi Windows PowerShell baru di server Microsoft Entra Koneksi Anda dengan opsi Jalankan sebagai Administrator.
Jalankan
Set-ExecutionPolicy RemoteSigned
atauSet-ExecutionPolicy Unrestricted
.Mulai wizard Microsoft Entra Koneksi.
Navigasi ke halaman Tugas Tambahan, pilih Pemecahan Masalah, dan klik Berikutnya.
Pada halaman Pemecahan Masalah, klik Luncurkan untuk memulai menu pemecahan masalah di PowerShell.
Pada menu utama, pilih Pemecahan Masalah sinkronisasi hash kata sandi.
Di sub menu, pilih Sinkronisasi hash Kata Sandi tidak berfungsi sama sekali.
Memahami hasil tugas pemecahan masalah
Tugas pemecahan masalah melakukan pemeriksaan berikut:
Memvalidasi bahwa fitur sinkronisasi hash kata sandi diaktifkan untuk penyewa Microsoft Entra Anda.
Memvalidasi bahwa server Microsoft Entra Koneksi tidak dalam mode penahapan.
Untuk setiap konektor Active Directory lokal yang ada (yang sesuai dengan hutan Active Directory yang ada):
Memvalidasi bahwa fitur sinkronisasi hash kata sandi diaktifkan.
Mencari kejadian detak jantung sinkronisasi hash kata sandi di log Windows Application Event.
Untuk setiap domain Active Directory di bawah konektor Active Directory lokal:
Memvalidasi bahwa domain dapat dijangkau dari server Microsoft Entra Koneksi.
Memvalidasi bahwa akun Active Directory Domain Services (AD DS) yang digunakan oleh konektor Active Directory lokal memiliki nama pengguna, kata sandi, dan izin yang benar yang diperlukan untuk sinkronisasi hash kata sandi.
Diagram berikut ini mengilustrasikan hasil cmdlet untuk topologi Active Directory satu domain lokal:
Bagian lainnya menjelaskan hasil spesifik yang dikembalikan oleh tugas dan masalah terkait.
Fitur sinkronisasi hash kata sandi tidak diaktifkan
Jika Anda belum mengaktifkan sinkronisasi hash kata sandi dengan menggunakan wizard Microsoft Entra Koneksi, kesalahan berikut dikembalikan:
Server Microsoft Entra Koneksi dalam mode penahapan
Jika server Microsoft Entra Koneksi dalam mode penahapan, sinkronisasi hash kata sandi untuk sementara dinonaktifkan, dan kesalahan berikut dikembalikan:
Tidak ada kejadian detak jantung sinkronisasi hash kata sandi
Setiap konektor Active Directory di tempat memiliki saluran sinkronisasi hash kata sandinya sendiri. Ketika saluran sinkronisasi hash kata sandi dibuat dan tidak ada perubahan kata sandi yang akan disinkronkan, peristiwa detak jantung (EventId 654) dihasilkan setiap 30 menit sekali di bawah Log Kejadian Aplikasi Windows. Untuk setiap konektor Active Directory di tempat, cmdlet mencari peristiwa detak jantung yang sesuai dalam tiga jam terakhir. Jika tidak ada peristiwa detak jantung yang ditemukan, kesalahan berikut dikembalikan:
Akun AD DS tidak memiliki izin yang benar
Jika akun AD DS yang digunakan oleh konektor Active Directory lokal untuk menyinkronkan hash kata sandi tidak memiliki izin yang sesuai, kesalahan berikut dikembalikan:
Nama pengguna atau kata sandi akun AD DS yang salah
Jika akun AD DS yang digunakan oleh konektor Active Directory lokal untuk menyinkronkan hash kata sandi memiliki nama pengguna atau kata sandi yang salah, kesalahan berikut dikembalikan:
Satu objek tidak menyinkronkan kata sandi: memecahkan masalah dengan menggunakan tugas pemecahan masalah
Anda dapat menggunakan tugas pemecahan masalah untuk menentukan mengapa satu objek tidak menyinkronkan kata sandi.
Catatan
Tugas pemecahan masalah hanya tersedia untuk Microsoft Entra Koneksi versi 1.1.614.0 atau yang lebih baru.
Jalankan cmdlet diagnostik
Untuk memecahkan masalah untuk objek pengguna tertentu:
Buka sesi Windows PowerShell baru di server Microsoft Entra Koneksi Anda dengan opsi Jalankan sebagai Administrator.
Jalankan
Set-ExecutionPolicy RemoteSigned
atauSet-ExecutionPolicy Unrestricted
.Mulai wizard Microsoft Entra Koneksi.
Navigasi ke halaman Tugas Tambahan, pilih Pemecahan Masalah, dan klik Berikutnya.
Pada halaman Pemecahan Masalah, klik Luncurkan untuk memulai menu pemecahan masalah di PowerShell.
Pada menu utama, pilih Pemecahan Masalah sinkronisasi hash kata sandi.
Di sub menu, pilih Kata sandi tidak disinkronkan untuk akun pengguna tertentu.
Memahami hasil tugas pemecahan masalah
Tugas pemecahan masalah melakukan pemeriksaan berikut:
Memeriksa status objek Direktori Aktif di ruang konektor Direktori Aktif, Metaverse, dan ruang konektor Microsoft Entra.
Memvalidasi bahwa ada aturan sinkronisasi dengan sinkronisasi hash kata sandi diaktifkan dan diterapkan ke objek Active Directory.
Mencoba untuk mengambil dan menampilkan hasil dari upaya terakhir untuk menyinkronkan kata sandi untuk objek.
Diagram berikut mengilustrasikan hasil cmdlet saat memecahkan masalah sinkronisasi hash kata sandi untuk satu objek:
Bagian lain dari bagian ini menjelaskan hasil spesifik yang dikembalikan oleh cmdlet dan masalah yang sesuai.
Objek Direktori Aktif tidak diekspor ke ID Microsoft Entra
sinkronisasi hash kata sandi untuk akun Active Directory lokal ini gagal karena tidak ada objek yang sesuai di penyewa Microsoft Entra. Kesalahan berikut dikembalikan:
Pengguna memiliki kata sandi sementara
Versi Lama Microsoft Entra Koneksi tidak mendukung sinkronisasi kata sandi sementara dengan ID Microsoft Entra. Kata sandi dianggap bersifat sementara jika opsi Ubah kata sandi pada log masuk berikutnya diatur pada pengguna Active Directory di tempat. Kesalahan berikut dikembalikan dengan versi lama ini:
Untuk mengaktifkan sinkronisasi kata sandi sementara, Anda harus menginstal Microsoft Entra Koneksi versi 2.0.3.0 atau yang lebih tinggi dan fitur ForcePasswordChangeOnLogon harus diaktifkan.
Hasil upaya terakhir untuk menyinkronkan kata sandi tidak tersedia
Secara default, Microsoft Entra Koneksi menyimpan hasil upaya sinkronisasi hash kata sandi selama tujuh hari. Jika tidak ada hasil yang tersedia untuk objek Active Directory yang dipilih, peringatan berikut dikembalikan:
Tidak ada kata sandi yang disinkronkan: memecahkan masalah dengan menggunakan cmdlet diagnostik
Anda dapat menggunakan Invoke-ADSyncDiagnostics
cmdlet untuk mencari tahu mengapa tidak ada kata sandi yang disinkronkan.
Catatan
Invoke-ADSyncDiagnostics
Cmdlet hanya tersedia untuk Microsoft Entra Koneksi versi 1.1.524.0 atau yang lebih baru.
Jalankan cmdlet diagnostik
Untuk memecahkan masalah di mana tidak ada kata sandi yang disinkronkan:
Buka sesi Windows PowerShell baru di server Microsoft Entra Koneksi Anda dengan opsi Jalankan sebagai Administrator.
Jalankan
Set-ExecutionPolicy RemoteSigned
atauSet-ExecutionPolicy Unrestricted
.Jalankan
Import-Module ADSyncDiagnostics
.Jalankan
Invoke-ADSyncDiagnostics -PasswordSync
.
Satu objek tidak menyinkronkan kata sandi: memecahkan masalah dengan menggunakan cmdlet diagnostik
Anda dapat menggunakan Invoke-ADSyncDiagnostics
cmdlet untuk menentukan mengapa satu objek tidak menyinkronkan kata sandi.
Catatan
Invoke-ADSyncDiagnostics
Cmdlet hanya tersedia untuk Microsoft Entra Koneksi versi 1.1.524.0 atau yang lebih baru.
Jalankan cmdlet diagnostik
Untuk memecahkan masalah di mana tidak ada kata sandi yang disinkronkan untuk pengguna:
Buka sesi Windows PowerShell baru di server Microsoft Entra Koneksi Anda dengan opsi Jalankan sebagai Administrator.
Jalankan
Set-ExecutionPolicy RemoteSigned
atauSet-ExecutionPolicy Unrestricted
.Jalankan
Import-Module ADSyncDiagnostics
.Jalankan cmdlet berikut:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
Contohnya:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
Tidak ada kata sandi yang disinkronkan: langkah-langkah pemecahan masalah manual
Ikuti langkah-langkah ini untuk menentukan mengapa tidak ada kata sandi yang disinkronkan:
Apakah server Connect dalam mode staging? Server dalam mode staging tak menyinkronkan sandi apa pun.
Jalankan skrip di bagian Dapatkan status pengaturan sinkronisasi kata sandi. Ini memberi Anda gambaran umum tentang konfigurasi sinkronisasi kata sandi.
Jika fitur tidak diaktifkan di MICROSOFT Entra ID atau jika status saluran sinkronisasi tidak diaktifkan, jalankan wizard penginstalan Koneksi. Pilih Sesuaikan opsi sinkronisasi, dan batal pilih sinkronisasi kata sandi. Perubahan ini menonaktifkan fitur untuk sementara. Lalu jalankan kembali wisaya tersebut dan fungsikan kembali sinkronisasi kata sandi. Jalankan skrip lagi untuk memverifikasi bahwa konfigurasi sudah benar.
Lihat di log kejadian untuk kesalahan. Cari peristiwa berikut, yang akan menunjukkan masalah:
Sumber: "Sinkronisasi direktori"
ID: 0, 611, 652, 655Jika Anda melihat peristiwa ini, Anda memiliki masalah konektivitas. Pesan log kejadian berisi informasi hutan di mana Anda mengalami masalah.
Jika Anda tidak melihat detak jantung atau jika tidak ada yang berhasil lagi, jalankan Picu sinkronisasi penuh semua kata sandi. Jalankan skrip hanya sekali.
Lihat bagian Memecahkan masalah satu objek yang tidak menyinkronkan kata sandi.
Masalah konektivitas
Apakah Anda memiliki konektivitas dengan ID Microsoft Entra?
Apakah akun telah memerlukan izin untuk membaca hash kata sandi di semua domain? Jika Anda menginstal Sambungkan dengan menggunakan pengaturan Express, izinnya harus sudah benar.
Jika Anda menggunakan penginstalan kustom, atur izin secara manual dengan melakukan hal berikut:
Untuk menemukan akun yang digunakan oleh konektor Active Directory, mulai Synchronization Service Manager.
Buka Konektor, lalu cari hutan Active Directory lokal yang sedang Anda pecahkan masalahnya.
Pilih konektor, lalu klik Properti.
Buka Menyambungkan ke Hutan Active Directory.
Perhatikan nama pengguna dan domain tempat akun berada.Mulai Pengguna Active Directory dan Komputer, lalu verifikasi bahwa akun yang Anda temukan sebelumnya memiliki izin ikuti yang ditetapkan di akar semua domain di hutan Anda:
- Replikasi Perubahan Direktori
- Replikasi Semua Perubahan Direktori
Apakah pengendali domain dapat dijangkau oleh Microsoft Entra Koneksi? Jika server Connect tidak dapat tersambung ke semua pengontrol domain, konfigurasikan Hanya gunakan pengontrol domain pilihan.
Kembali ke Synchronization Service Manager dan Configure Directory Partition.
Pilih domain Anda di pilih partisi direktori, pilih kotak centang Hanya gunakan pengontrol domain pilihan, lalu klik Konfigurasikan.
Dalam daftar, masukkan pengontrol domain yang harus digunakan Connect untuk sinkronisasi kata sandi. Daftar yang sama digunakan untuk impor dan ekspor juga. Lakukan langkah-langkah ini untuk semua domain Anda.
Catatan
Untuk menerapkan perubahan ini, mulai ulang layanan Microsoft Entra ID Sync (ADSync).
- Jika skrip menunjukkan bahwa tidak ada detak jantung, jalankan skrip di Trigger sinkronisasi penuh semua kata sandi.
Satu objek tidak menyinkronkan kata sandi: langkah-langkah pemecahan masalah manual
Anda dapat dengan mudah memecahkan masalah sinkronisasi hash kata sandi dengan meninjau status objek.
Di Active Directory Users and Computers, cari pengguna, lalu verifikasi bahwa kotak centang Pengguna harus mengubah kata sandi pada masuk berikutnya dikosongkan.
Jika kotak centang dipilih, minta pengguna untuk masuk dan mengubah kata sandi. Kata sandi sementara tidak disinkronkan dengan ID Microsoft Entra.
Jika kata sandi terlihat benar di Active Directory, ikuti pengguna di mesin sinkronisasi. Dengan mengikuti pengguna dari Active Directory lokal ke ID Microsoft Entra, Anda dapat melihat apakah ada kesalahan deskriptif pada objek.
a. Mulai Synchronization Service Manager.
b. Klik Konektor.
c. Pilih Active Directory Connector tempat pengguna berada.
d. Pilih Cari Ruang Konektor.
e. Dalam kotak Lingkup, pilih DN atau Jangkar, lalu masukkan DN lengkap pengguna yang Anda pemecahan masalah.
f. Temukan pengguna yang Anda cari, lalu klik Properti untuk melihat semua atribut. Jika pengguna tidak berada dalam hasil pencarian, verifikasi aturan pemfilteran Anda dan pastikan Anda menjalankan Terapkan dan verifikasi perubahan agar pengguna muncul di Sambungkan.
g. Untuk melihat detail sinkronisasi kata sandi objek selama seminggu terakhir, klik Log.
Jika log objek kosong, Microsoft Entra Koneksi tidak dapat membaca hash kata sandi dari Direktori Aktif. Lanjutkan pemecahan masalah Anda dengan Kesalahan Konektivitas. Jika Anda melihat nilai lain selain keberhasilan, lihat tabel di log Sinkronisasi kata sandi.
h. Pilih tab garis keturunan, dan pastikan bahwa setidaknya satu aturan sinkronisasi di kolom PasswordSync adalah True. Dalam konfigurasi default, nama aturan sinkronisasi adalah Masuk dari AD - User AccountEnabled.
i. Klik Metaverse Object Properties untuk menampilkan daftar atribut pengguna.
Pastikan bahwa tidak ada atribut cloudFiltered yang ada. Pastikan bahwa atribut domain (domainFQDN dan domainNetBios) memiliki nilai yang diharapkan.
j. Klik tab Koneksi or. Pastikan Anda melihat konektor ke Active Directory lokal dan ID Microsoft Entra.
k. Pilih baris yang mewakili ID Microsoft Entra, klik Properti, lalu klik tab Silsilah. Objek ruang konektor harus memiliki aturan keluar di kolom PasswordSync yang diatur ke True. Dalam konfigurasi default, nama aturan sinkronisasi adalah Out to Microsoft Entra ID - User Join.
Log sinkronisasi kata sandi
Kolom status bisa memiliki nilai berikut:
Keadaan | Deskripsi |
---|---|
Berhasil | Sandi berhasil disinkronkan. |
FilteredByTarget | Kata sandi diatur ke Pengguna harus mengubah kata sandi saat log masuk berikutnya. Sandi belum disinkronkan. |
NoTargetConnection | Tidak ada objek dalam metaverse atau di ruang konektor Microsoft Entra. |
SourceConnectorNotPresent | Tak ada obyek yang ditemukan di ruang konektor Active Directory lokal. |
TargetNotExportedToDirectory | Objek di ruang konektor Microsoft Entra belum diekspor. |
MigratedCheckDetailsForMoreInfo | Entri log dibuat sebelum membangun 1.0.9125.0 dan ditampilkan dalam keadaan warisannya. |
Kesalahan | Layanan mengembalikan kesalahan yang tidak diketahui. |
Tidak dikenal | Timbul kesalahan saat coba memproses kumpulan hash kata sandi. |
MissingAttribute | Atribut tertentu (misalnya, hash Kerberos) yang diperlukan oleh Microsoft Entra Domain Services tidak tersedia. |
RetryRequestedByTarget | Atribut tertentu (misalnya, hash Kerberos) yang diperlukan oleh Microsoft Entra Domain Services tidak tersedia sebelumnya. Upaya untuk menyinkronkan ulang hash kata sandi pengguna dilakukan. |
Skrip untuk membantu pemecahan masalah
Dapatkan status pengaturan sinkronisasi kata sandi
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Memicu sinkronisasi penuh semua kata sandi
Catatan
Jalankan skrip ini hanya sekali. Jika Anda perlu menjalankannya lebih dari sekali, sesuatu yang lain adalah masalahnya. Untuk memecahkan masalah, hubungi dukungan Microsoft.
Anda dapat memicu sinkronisasi penuh semua kata sandi dengan menggunakan skrip berikut:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true
Langkah berikutnya
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk