Risolvere i problemi di writeback della reimpostazione della password self-service in Microsoft Entra ID
Microsoft Entra self-service password reset (SSPR) consente agli utenti di reimpostare le password nel cloud. Il writeback delle password è una funzionalità abilitata con Microsoft Entra Connessione o sincronizzazione cloud che consente il writeback delle modifiche delle password nel cloud in una directory locale esistente in tempo reale.
Se si verificano problemi con il writeback della reimpostazione della password self-service, la procedura di risoluzione dei problemi e gli errori comuni seguenti possono risultare utili. Se non si riesce a trovare la risposta al problema, i team di supporto sono sempre disponibili per assistervi ulteriormente.
Risolvere i problemi di connettività
Se si verificano problemi con il writeback delle password per Microsoft Entra Connessione, esaminare i passaggi seguenti che potrebbero aiutare a risolvere il problema. Per ripristinare il servizio, è consigliabile seguire questa procedura nell'ordine seguente:
- Verificare la connettività della rete
- Riavviare il servizio Microsoft Entra Connessione Sync
- Disabilitare e riabilitare la funzionalità di writeback delle password
- Installare la versione più recente di Microsoft Entra Connessione
- Risolvere un problema relativo al writeback delle password
Verificare la connettività della rete
Il punto di errore più comune è che le porte del firewall o del proxy o i timeout di inattività non sono configurati correttamente.
Per Microsoft Entra Connessione versione 1.1.443.0 e successive, è necessario l'accesso HTTPS in uscita agli indirizzi seguenti:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Azure per gli endpoint del governo degli Stati Uniti:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Endpoint di Azure China 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Se è necessaria una maggiore granularità, vedere l'elenco di intervalli IP e tag di servizio di Microsoft Azure per il cloud pubblico.
Per Azure per il governo degli Stati Uniti, vedere l'elenco di intervalli IP e tag di servizio di Microsoft Azure per Azure per il cloud per il governo degli Stati Uniti.
Questi file vengono aggiornati settimanalmente.
Per determinare se l'accesso a un URL e una porta sono limitati in un ambiente come il cloud di Azure pubblico, eseguire il cmdlet seguente:
Test-NetConnection -ComputerName ssprdedicatedsbprodscu.servicebus.windows.net -Port 443
In alternativa, eseguire quanto segue:
Invoke-WebRequest -Uri https://ssprdedicatedsbprodscu.servicebus.windows.net -Verbose
Per altre informazioni, vedere i prerequisiti di connettività per Microsoft Entra Connessione.
Riavviare il servizio Microsoft Entra Connessione Sync
Per risolvere i problemi di connettività o altri problemi temporanei con il servizio, completare la procedura seguente per riavviare il servizio Microsoft Entra Connessione Sync:
In qualità di amministratore del server che esegue Microsoft Entra Connessione, selezionare Avvia.
Immettere services.msc nel campo di ricerca e premere INVIO.
Cercare la voce azure AD Sync .
Fare clic con il pulsante destro del mouse sulla voce del servizio, selezionare Riavvia e attendere il completamento dell'operazione.
Questi passaggi consentono di ristabilire la connessione con Microsoft Entra ID e risolvere i problemi di connettività.
Se il riavvio del servizio Microsoft Entra Connessione Sync non risolve il problema, provare a disabilitare e quindi riabilitare la funzionalità di writeback delle password nella sezione successiva.
Disabilitare e riabilitare la funzionalità di writeback delle password
Per continuare a risolvere i problemi, completare i passaggi seguenti per disabilitare e quindi riabilitare la funzionalità di writeback delle password:
- In qualità di amministratore del server che esegue Microsoft Entra Connessione, aprire la configurazione guidata di Microsoft Entra Connessione.
- In Connessione a Microsoft Entra ID immettere le credenziali di Microsoft Entra Global Amministrazione istrator.
- In Connessione ad Active Directory Domain Services immettere le credenziali di amministratore di Active Directory locale Domain Services.
- In Identificazione univoca per gli utenti fare clic su Avanti.
- In Funzionalità facoltative deselezionare la casella di controllo Writeback password.
- Fare clic su Avanti nelle pagine rimanenti senza apportare alcuna modifica fino a quando non viene visualizzata la pagina Pronto per la configurazione.
- Verificare che nella pagina Pronto per la configurazione sia visualizzata l'opzione Writeback delle password come disabilitata. Selezionare il pulsante verde Configura per eseguire il commit delle modifiche.
- In Operazione completata deselezionare l'opzione Sincronizza adesso e quindi fare clic su Fine per chiudere la procedura guidata.
- Riaprire la configurazione guidata di Microsoft Entra Connessione.
- Ripetere i passaggi da 2 a 8, questa volta selezionando l'opzione Writeback password nella pagina Funzionalità facoltative per riabilitare il servizio.
Questi passaggi consentono di ristabilire la connessione con Microsoft Entra ID e risolvere i problemi di connettività.
Se si disabilita e quindi si riabilita la funzionalità di writeback delle password non risolve il problema, reinstallare Microsoft Entra Connessione nella sezione successiva.
Installare la versione più recente di Microsoft Entra Connessione
La reinstallazione di Microsoft Entra Connessione può risolvere i problemi di configurazione e connettività tra Microsoft Entra ID e l'ambiente dei servizi di Dominio di Active Directory locale. È consigliabile eseguire questo passaggio solo dopo aver tentato i passaggi precedenti per verificare e risolvere i problemi di connettività.
Avviso
Se sono state personalizzate le regole di sincronizzazione predefinite, eseguirne il backup prima di procedere con l'aggiornamento, ridistribuirle manualmente al termine.
Scaricare la versione più recente di Microsoft Entra Connessione dall'Area download Microsoft.
Dopo aver già installato Microsoft Entra Connessione, eseguire un aggiornamento sul posto per aggiornare l'installazione di Microsoft Entra Connessione alla versione più recente.
Eseguire il pacchetto scaricato e seguire le istruzioni visualizzate per aggiornare Microsoft Entra Connessione.
Questi passaggi devono ristabilire la connessione con Microsoft Entra ID e risolvere i problemi di connettività.
Se l'installazione della versione più recente del server Microsoft Entra Connessione non risolve il problema, provare a disabilitare e quindi riabilitare il writeback delle password come passaggio finale dopo aver installato la versione più recente.
Verificare che Microsoft Entra Connessione disponga delle autorizzazioni necessarie
Microsoft Entra Connessione richiede l'autorizzazione per la reimpostazione della password di Active Directory Domain Services per eseguire il writeback delle password. Per verificare se Microsoft Entra Connessione dispone dell'autorizzazione necessaria per un determinato account utente di Active Directory Domain Services locale, usare la funzionalità Autorizzazione valida di Windows:
Accedere al server microsoft Entra Connessione e avviare Synchronization Service Manager selezionando Avvia>servizio di sincronizzazione.
Nella scheda Connettori selezionare il connettore Active Directory Domain Services locale e quindi selezionare Proprietà.
Nella finestra popup selezionare Connetti a foresta Active Directory e annotare la proprietà Nome utente. Questa proprietà è l'account di Active Directory Domain Services utilizzato da Microsoft Entra Connessione per eseguire la sincronizzazione della directory.
Per consentire a Microsoft Entra Connessione di eseguire il writeback delle password, l'account di Active Directory Domain Services deve disporre dell'autorizzazione di reimpostazione della password. Controllare le autorizzazioni per questo account utente nei passaggi seguenti.
Accedere a un controller di dominio locale e avviare l'applicazione Utenti e computer di Active Directory.
Selezionare Visualizza e verificare che l'opzione Funzionalità avanzate sia abilitata.
Cercare l'account utente di Active Directory Domain Services che si vuole verificare. Fare clic con il pulsante destro del mouse sull'account e scegliere Proprietà.
Nella finestra popup passare alla scheda Sicurezza e selezionare Avanzate.
Nella finestra popup Advanced Security Settings for Administrator (Impostazioni di sicurezza avanzate per l'amministratore) passare alla scheda Accesso valido.
Scegliere Seleziona un utente, selezionare l'account di Active Directory Domain Services usato da Microsoft Entra Connessione e quindi selezionare Visualizza accesso effettivo.
Scorrere verso il basso e cercare Reimposta password. Se la voce è selezionata, significa che l'account di Active Directory Domain Services ha l'autorizzazione per reimpostare la password dell'account utente di Active Directory selezionato.
Errori comuni di writeback delle password
I problemi più specifici seguenti possono verificarsi con il writeback delle password. Se si verifica uno di questi errori, esaminare la soluzione proposta e verificare se il writeback delle password funziona correttamente.
| Errore | Soluzione |
|---|---|
| Il servizio di reimpostazione della password non viene avviato in locale. L'errore 6800 viene visualizzato nel registro eventi dell'applicazione di Microsoft Entra Connessione computer. Dopo l'onboarding, gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password non possono reimpostare le password. |
Quando il writeback delle password è abilitato, il motore di sincronizzazione chiama la libreria di writeback per eseguire la configurazione, ovvero l'onboarding, comunicando con il servizio di onboarding cloud. Eventuali errori riscontrati durante l'onboarding o durante l'avvio dell'endpoint di Windows Communication Foundation (WCF) per il writeback delle password generano errori nel registro eventi, nel computer microsoft Entra Connessione. Se è stato configurato il writeback, durante il riavvio del servizio Azure AD Sync (ADSync) viene avviato l'endpoint WCF. Tuttavia, se l'avvio dell'endpoint ha esito negativo, viene registrato l'evento 6800 e il servizio di sincronizzazione viene avviato. La presenza di questo evento indica che l'endpoint di writeback delle password non è stato avviato. I dettagli del log per questo evento 6800 insieme alle voci del log eventi generate dal componente PasswordResetService indicano i motivi per cui non è possibile avviare l'endpoint. Esaminare questi errori del registro eventi e provare a riavviare il Connessione Microsoft Entra se il writeback delle password non funziona ancora. Se il problema persiste, provare a disabilitare e quindi riabilitare il writeback delle password. |
| Quando un utente prova a reimpostare una password o a sbloccare un account con il writeback delle password abilitato, l'operazione non riesce. Inoltre, viene visualizzato un evento nel registro eventi di Microsoft Entra Connessione che contiene: "Motore di sincronizzazione ha restituito un errore hr=800700CE, message=Il nome file o l'estensione è troppo lungo" dopo l'operazione di sblocco. |
Trovare l'account Active Directory per Microsoft Entra Connessione e reimpostare la password in modo che non contenga più di 256 caratteri. Aprire quindi il servizio di sincronizzazione dal menu Start . Passare a Connettori e trovare Active Directory Connector. Selezionare il connettore e quindi Proprietà. Passare alla pagina Credenziali e immettere la nuova password. Selezionare OK per chiudere la pagina. |
| Nell'ultimo passaggio del processo di installazione di Microsoft Entra Connessione viene visualizzato un errore che indica che non è stato possibile configurare il writeback delle password. Il registro eventi dell'applicazione Microsoft Entra Connessione contiene l'errore 32009 con il testo "Errore durante il recupero del token di autenticazione". |
Questo errore si verifica nei due casi seguenti:
|
| Il registro eventi di Microsoft Entra Connessione computer contiene l'errore 32002 generato eseguendo PasswordResetService. L'errore viene letto: "Errore Connessione ing to ServiceBus. Il provider di token non è riuscito a fornire un token di sicurezza." |
L'ambiente locale non è in grado di connettersi all'endpoint del bus di servizio di Azure nel cloud. Questo errore è in genere causato da una regola del firewall che blocca la connessione in uscita a una porta o a un indirizzo Web specifico. Per altre informazioni, vedere i prerequisiti di connettività. Dopo aver aggiornato queste regole, riavviare il server Microsoft Entra Connessione e il writeback delle password dovrebbe ricominciare a funzionare. |
| Dopo un certo periodo di tempo, gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password non possono reimpostare le password. | In alcuni casi rari, il servizio di writeback delle password può non essere riavviato quando Microsoft Entra Connessione è stato riavviato. In questi casi, controllare prima di tutto se il writeback delle password è abilitato in locale. È possibile controllare usando la procedura guidata di Microsoft Entra Connessione o PowerShell. Se la funzionalità sembra essere abilitata, provare ad abilitare o disabilitare nuovamente la funzionalità. Se questo passaggio di risoluzione dei problemi non funziona, provare a disinstallare e reinstallare Microsoft Entra Connessione. |
| Gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password che cercano di reimpostare le password visualizzano un errore dopo l'invio della password. L'errore indica che si è verificato un problema del servizio. Oltre a questo problema, durante le operazioni di reimpostazione della password è possibile che venga visualizzato un errore di accesso negato per l'agente di gestione nei log eventi locali. |
Se nel log eventi sono presenti errori di questo tipo, verificare che l'account Active Directory Management Agent (ADMA) specificato nella procedura guidata al momento della configurazione abbia le autorizzazioni necessarie per il writeback delle password. Dopo aver concesso l'autorizzazione, la relativa propagazione tramite l'attività in background sdprop nel controller di dominio può richiedere fino a un'ora. Per il funzionamento della reimpostazione della password, è necessario che l'autorizzazione sia indicata nel descrittore di sicurezza dell'oggetto utente per il quale viene reimpostata la password. Finché l'autorizzazione non sarà indicata nell'oggetto utente, per la reimpostazione della password continuerà a verificarsi un errore con un messaggio di accesso negato. |
| Gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password che cercano di reimpostare le password visualizzano un errore dopo l'invio della password. L'errore indica che si è verificato un problema del servizio. Oltre a questo problema, durante le operazioni di reimpostazione della password, è possibile che venga visualizzato un errore nei registri eventi del servizio Microsoft Entra Connessione che indica un errore "Impossibile trovare l'oggetto". |
Questo errore indica in genere che il motore di sincronizzazione non è in grado di trovare l'oggetto utente nello spazio connettore Microsoft Entra o nell'oggetto spazio connettore MV (Linked Metaverse) o Microsoft Entra Connector Space. Per risolvere questo problema, assicurarsi che l'utente sia effettivamente sincronizzato da locale a Microsoft Entra ID tramite l'istanza corrente di Microsoft Entra Connessione e controllare lo stato degli oggetti negli spazi connettore e MV. Verificare che l'oggetto Servizi certificati Active Directory sia connesso all'oggetto MV tramite la regola "Microsoft.InfromADUserAccountEnabled.xxx". |
| Gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password che cercano di reimpostare le password visualizzano un errore dopo l'invio della password. L'errore indica che si è verificato un problema del servizio. Oltre a questo problema, durante le operazioni di reimpostazione della password, è possibile che venga visualizzato un errore nei registri eventi del servizio Microsoft Entra Connessione che indica che si è verificato un errore "Più corrispondenze trovate". |
Ciò indica che il motore di sincronizzazione ha rilevato che l'oggetto MV è connesso a più oggetti di Servizi certificati Active Directory tramite "Microsoft.InfromADUserAccountEnabled.xxx". Questo significa che l'utente dispone di un account abilitato in più foreste. Questo scenario non è supportato per il writeback delle password. |
| Le operazioni con le password non riescono a causa di un errore di configurazione. Il registro eventi dell'applicazione contiene Microsoft Entra Connessione errore 6329 con il testo "0x8023061f (operazione non riuscita perché la sincronizzazione delle password non è abilitata in questo agente di gestione)". | Questo errore si verifica se la configurazione di Microsoft Entra Connessione viene modificata per aggiungere una nuova foresta di Active Directory (o per rimuovere e leggere una foresta esistente) dopo che la funzionalità di writeback delle password è già stata abilitata. Le operazioni con le password per gli utenti in queste foreste aggiunte di recente hanno esito negativo. Per risolvere il problema, disabilitare e riabilitare la funzionalità di writeback delle password dopo avere completato le modifiche alla configurazione della foresta. |
| SSPR_0029: Non è possibile reimpostare la password a causa di un errore nella configurazione locale. Contattare l'amministratore e chiedere di esaminare la situazione. | Problema: il writeback delle password è stato abilitato seguendo tutti i passaggi necessari, ma quando si tenta di modificare una password si riceve "SSPR_0029: l'organizzazione non ha configurato correttamente la configurazione locale per la reimpostazione della password". Il controllo dei registri eventi nel sistema di Connessione Microsoft Entra indica che le credenziali dell'agente di gestione sono state negate. Possibile soluzione: usare RSOP nel sistema Microsoft Entra Connessione e i controller di dominio per verificare se è abilitato il criterio "Accesso alla rete: Limitare i client autorizzati a effettuare chiamate remote a SAM" in Configurazione > computer Windows Impostazioni > Sicurezza Impostazioni > Opzioni di sicurezza dei criteri > locali. Modificare i criteri per includere l'account di gestione MSOL_XXXXXXX come utente consentito. Per altre informazioni, vedere Risolvere l'errore SSPR_0029: L'organizzazione non ha configurato correttamente la configurazione locale per la reimpostazione della password. |
Codici errore del registro eventi di writeback della password
Una procedura consigliata quando si risolvono i problemi relativi al writeback delle password consiste nell'esaminare il registro eventi dell'applicazione nel computer Microsoft Entra Connessione. Questo registro eventi contiene eventi di due origini per il writeback delle password. L'origine PasswordResetService descrive le operazioni e i problemi relativi al funzionamento del writeback delle password. L'origine ADSync descrive le operazioni e i problemi relativi all'impostazione delle password nell'ambiente Dominio di Active Directory Services.
Se l'origine dell'evento è ADSync
| Codice | Nome o messaggio | Descrizione |
|---|---|---|
| 6329 | BAIL: MMS(4924) 0x80230619: "Una restrizione impedisce che la password venga modificata in quella corrente specificata". | Questo evento si verifica quando il servizio di writeback delle password tenta di impostare una password nella directory locale che non soddisfa i requisiti di validità, cronologia, complessità o filtro delle password del dominio. Se è prevista una validità minima della password e di recente la password è stata modificata in tale intervallo di tempo, non sarà possibile modificarla di nuovo finché non si raggiunge il periodo di validità specificato nel dominio. A scopo di test, è consigliabile impostare la validità minima su 0. Se sono abilitati i requisiti della cronologia delle password, è necessario selezionare una password che non è stata usata nelle ultime N volte, dove N è l'impostazione della cronologia delle password. Se si seleziona una password che è stata usata nelle ultime N volte, si verifica un errore. A scopo di test, è consigliabile impostare la cronologia delle password su 0. Se abilitati, tutti i requisiti di complessità della password vengono applicati quando l'utente tenta di modificare o reimpostare la password. Se sono abilitati filtri password e un utente seleziona una password che non soddisfa i criteri di filtro, l'operazione di reimpostazione o modifica non riesce. |
| 6329 | MMS(3040): admaexport.cpp(2837): il server non contiene il controllo dei criteri password LDAP. | Questo problema si verifica se il controllo LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) non è abilitato nei controller di dominio. Per usare la funzionalità di writeback delle password, è necessario abilitare il controllo. A tale scopo, i controller di dominio devono trovarsi in Windows Server 2016 o versione successiva. |
| HR 8023042 | Il motore di sincronizzazione ha restituito un errore hr = 80230402, messaggio = Tentativo di ottenere un oggetto non riuscito. Sono presenti voci duplicate con lo stesso ancoraggio. | Questo errore si verifica quando lo stesso ID utente è abilitato in più domini. Ad esempio, se si esegue la sincronizzazione di foreste di risorse e account e lo stesso ID utente è presente e abilitato in ogni foresta. Questo errore può verificarsi anche se si usa un attributo di ancoraggio non univoco (come un alias o UPN) e due utenti condividono lo stesso attributo di ancoraggio. Per risolvere questo problema, assicurarsi che non ci siano utenti duplicati nei domini e di usare un attributo di ancoraggio univoco per ogni utente. |
Se l'origine dell'evento è PasswordResetService
| Codice | Nome o messaggio | Descrizione |
|---|---|---|
| 31001 | PasswordResetStart | Questo evento indica che il servizio locale ha rilevato una richiesta di reimpostazione della password per un utente federato, con autenticazione pass-through o con sincronizzazione dell'hash delle password originata dal cloud. Si tratta del primo evento di ogni operazione di writeback per la reimpostazione della password. |
| 31002 | PasswordResetSuccess | Questo evento indica che un utente ha selezionato una nuova password durante un'operazione di reimpostazione della password. È stato determinato che la password soddisfa i requisiti aziendali per le password. La password è stata scritta correttamente nell'ambiente Active Directory locale. |
| 31003 | PasswordResetFail | Questo evento indica che un utente ha selezionato una password che è pervenuta correttamente all'ambiente locale. Quando però è stato eseguito un tentativo di impostare la password nell'ambiente Active Directory locale, si è verificato un errore. Questo errore può verificarsi per diversi motivi:
|
| 31004 | OnboardingEventStart | Questo evento si verifica se si abilita il writeback delle password con Microsoft Entra Connessione ed è stato avviato l'onboarding dell'organizzazione nel servizio Web di writeback delle password. |
| 31005 | OnboardingEventSuccess | Questo evento indica che il processo di onboarding è stato completato e che la funzionalità di writeback delle password è pronta per l'uso. |
| 31006 | ChangePasswordStart | Questo evento indica che il servizio locale ha rilevato una richiesta di modifica della password per un utente federato, con autenticazione pass-through o con sincronizzazione dell'hash delle password originata dal cloud. Si tratta del primo evento di ogni operazione di writeback per la modifica della password. |
| 31007 | ChangePasswordSuccess | Questo evento indica che un utente ha selezionato una nuova password durante un'operazione di modifica della password, è stato determinato che la password soddisfa i requisiti aziendali e la password è stata scritta correttamente nell'ambiente Active Directory locale. |
| 31008 | ChangePasswordFail | Questo evento indica che un utente ha selezionato una password che è pervenuta correttamente all'ambiente locale, ma quando si è cercato di impostare la password nell'ambiente Active Directory locale si è verificato un errore. Questo errore può verificarsi per diversi motivi:
|
| 31009 | ResetUserPasswordByAdminStart | Il servizio locale ha rilevato una richiesta di reimpostazione della password per un utente federato, con autenticazione pass-through o con sincronizzazione dell'hash delle password originata dall'amministratore per conto di un utente. Si tratta del primo evento di ogni operazione di writeback per la reimpostazione della password avviata da un amministratore. |
| 31010 | ResetUserPasswordByAdminSuccess | L'amministratore ha selezionato una nuova password durante un'operazione di reimpostazione della password avviata dall'amministratore. È stato determinato che la password soddisfa i requisiti aziendali per le password. La password è stata scritta correttamente nell'ambiente Active Directory locale. |
| 31011 | ResetUserPasswordByAdminFail | L'amministratore ha selezionato una password per conto dell'utente. La password è pervenuta correttamente all'ambiente locale. Quando però è stato eseguito un tentativo di impostare la password nell'ambiente Active Directory locale, si è verificato un errore. Questo errore può verificarsi per diversi motivi:
|
| 31012 | OffboardingEventStart | Questo evento si verifica se si disabilita il writeback delle password con Microsoft Entra Connessione e indica che è stata avviata l'offboarding dell'organizzazione al servizio Web di writeback delle password. |
| 31013 | OffboardingEventSuccess | Questo evento indica che il processo di offboarding è stato completato e che la funzionalità di writeback delle password è stata disabilitata. |
| 31014 | OffboardingEventFail | Questo evento indica che il processo di offboarding non è riuscito. La causa può essere legata a un errore di autorizzazioni nel cloud oppure a un account amministratore locale specificato durante la configurazione. L'errore può verificarsi anche se si sta cercando di usare un amministratore globale cloud federato quando si disabilita il writeback delle password. Per risolvere il problema, controllare le autorizzazioni amministrative e verificare che non sia in uso un account federato durante la configurazione della funzionalità di writeback delle password. |
| 31015 | WriteBackServiceStarted | Questo evento indica che il servizio di writeback delle password è stato avviato correttamente. Il servizio è pronto ad accettare le richieste di gestione delle password dal cloud. |
| 31016 | WriteBackServiceStopped | Questo evento indica che il servizio di writeback delle password è stato arrestato. Tutte le richieste di gestione delle password dal cloud non saranno riuscite. |
| 31017 | AuthTokenSuccess | Questo evento indica che è stato recuperato correttamente un token di autorizzazione per l'Amministrazione istrator globale specificato durante l'installazione di Microsoft Entra Connessione per avviare il processo di offboarding o onboarding. |
| 31018 | KeyPairCreationSuccess | Questo evento indica che la chiave di crittografia delle password è stata creata correttamente. La chiave verrà usata per crittografare le password cloud da inviare all'ambiente locale. |
| 31019 | ServiceBusHeartBeat | Questo evento indica che è stata inviata correttamente una richiesta all'istanza di bus di servizio del tenant. |
| 31034 | ServiceBusListenerError | Questo evento indica che si è verificato un errore durante la connessione al listener bus di servizio del tenant. Se il messaggio di errore include "Il certificato remoto non è valido", verificare che il server Microsoft Entra Connessione disponga di tutte le ca radice necessarie, come descritto in Modifiche al certificato TLS di Azure. |
| 31044 | PasswordResetService | Questo evento indica che il writeback delle password non funziona. Il bus di servizio è in ascolto delle richieste su due inoltro separati per la ridondanza. Ogni connessione di inoltro viene gestita da un host del servizio univoco. Il client di writeback restituisce un errore se uno degli host del servizio non è in esecuzione. |
| 32000 | UnknownError | Questo evento indica che si è verificato un errore sconosciuto durante un'operazione di gestione delle password. Per altri dettagli, fare riferimento al testo dell'eccezione. In caso di problemi, provare a disabilitare e quindi riabilitare il writeback delle password. In caso contrario, includere una copia del registro eventi insieme all'ID di rilevamento specificato quando si apre una richiesta di supporto. |
| 32001 | ServiceError | Questo evento indica che si è verificato un errore di connessione al servizio cloud di reimpostazione delle password. L'errore si verifica in genere quando il servizio locale non è riuscito a connettersi al servizio Web di reimpostazione della password. |
| 32002 | ServiceBusError | Questo evento indica che si è verificato un errore durante la connessione all'istanza di bus di servizio del tenant. Ciò può verificarsi se le connessioni in uscita nell'ambiente locale sono bloccate. Verificare che nel firewall siano consentite le connessioni su TCP 443 e verso https://ssprdedicatedsbprodncu.servicebus.windows.net e riprovare. Se il problema persiste, provare a disabilitare e quindi riabilitare il writeback delle password. |
| 32003 | InPutValidationError | Questo evento indica che l'input passato all'API del servizio Web non è valido. Riprovare a eseguire l'operazione. |
| 32004 | DecryptionError | Questo evento indica che si è verificato un errore di decrittografia della password ricevuta dal cloud. La causa potrebbe essere una mancata corrispondenza della chiave di decrittografia tra il servizio cloud e l'ambiente locale. Per risolvere il problema, disabilitare e quindi riabilitare il writeback delle password nell'ambiente locale. |
| 32005 | ConfigurationError | Durante il caricamento, le informazioni specifiche del tenant vengono salvate in un file di configurazione nell'ambiente locale. Questo evento indica che si è verificato un errore durante il salvataggio del file o che durante l'avvio del servizio si è verificato un errore di lettura del file. Per risolvere il problema, provare a disabilitare e quindi riabilitare il writeback delle password per forzare la riscrittura del file di configurazione. |
| 32007 | OnBoardingConfigUpdateError | Durante l'onboarding vengono inviati dati dal cloud al servizio di reimpostazione della password locale. I dati vengono quindi scritti in un file in memoria prima di essere inviati al servizio di sincronizzazione per l'archiviazione sicura su disco. Questo evento indica che si è verificato un problema durante la scrittura o l'aggiornamento dei dati in memoria. Per risolvere il problema, provare a disabilitare e quindi riabilitare il writeback delle password per forzare la riscrittura del file di configurazione. |
| 32008 | ValidationError | Questo evento indica che è stata ricevuta una risposta non valida dal servizio Web di reimpostazione della password. Per risolvere il problema, provare a disabilitare e quindi riabilitare il writeback delle password. |
| 32009 | AuthTokenError | Questo evento indica che non è stato possibile ottenere un token di autorizzazione per l'account amministratore globale specificato durante l'installazione di Microsoft Entra Connessione. Questo errore può essere causato da un nome utente o una password non valida specificata per l'account global Amministrazione istrator. Questo errore può verificarsi anche se l'account globale Amministrazione istrator specificato è federato. Per risolvere il problema, ripetere la configurazione con il nome utente e la password corretti e verificare che l'amministratore sia un account gestito, solo cloud o con sincronizzazione della password. |
| 32010 | CryptoError | Questo evento indica che si è verificato un errore durante la generazione della chiave di crittografia della password o durante la decrittografia di una password ricevuta dal servizio cloud. L'errore indica probabilmente un problema dell'ambiente. Per altre informazioni su come risolvere il problema, esaminare i dettagli del log eventi. È anche possibile provare a disabilitare e quindi riabilitare il servizio di writeback delle password. |
| 32011 | OnBoardingServiceError | Questo evento indica che il servizio locale non è stato in grado di comunicare correttamente con il servizio Web di reimpostazione della password per avviare il processo di onboarding. Ciò può verificarsi a causa di una regola del firewall o se si verifica un problema durante il recupero di un token di autenticazione per il tenant. Per risolvere il problema, verificare che le connessioni in uscita su TCP 443 e TCP 9350-9354 o verso https://ssprdedicatedsbprodncu.servicebus.windows.net non siano bloccate. Assicurarsi anche che l'account amministratore di Microsoft Entra usato per eseguire l'onboarding non sia federato. |
| 32013 | OffBoardingError | Questo evento indica che il servizio locale non è stato in grado di comunicare correttamente con il servizio Web di reimpostazione della password per avviare il processo di offboarding. Ciò può verificarsi in seguito a una regola del firewall o se si verifica un problema durante il recupero di un token di autorizzazione per il tenant. Per risolvere questo problema, assicurarsi di non bloccare le connessioni in uscita su 443 o a https://ssprdedicatedsbprodncu.servicebus.windows.nete che l'account amministratore di Microsoft Entra usato per l'offboarding non sia federato. |
| 32014 | ServiceBusWarning | Questo evento indica che è stato necessario riprovare a connettersi all'istanza di bus di servizio del tenant. In condizioni normali, questo non dovrebbe essere un problema, ma se si verifica questo evento molte volte, valutare la possibilità di controllare la connessione di rete a bus di servizio, soprattutto se si tratta di una connessione a latenza elevata o a larghezza di banda ridotta. |
| 32015 | ReportServiceHealthError | Per monitorare l'integrità del servizio di writeback delle password, vengono inviati dati heartbeat al servizio Web di reimpostazione della password ogni cinque minuti. Questo evento indica che si è verificato un errore durante l'invio delle informazioni sull'integrità al servizio Web cloud. Queste informazioni sull'integrità non includono dati personali ed è puramente un heartbeat e statistiche di base del servizio, in modo da poter fornire informazioni sullo stato del servizio nel cloud. |
| 33001 | ADUnKnownError | Questo evento indica che si è verificato un errore sconosciuto restituito da Active Directory. Per altre informazioni, vedere il registro eventi di Microsoft Entra Connessione server per gli eventi dell'origine ADSync. |
| 33002 | ADUserNotFoundError | Questo evento indica che l'utente che sta tentando di reimpostare o modificare una password non è stato trovato nella directory locale. L'errore può verificarsi quando l'utente è stato eliminato in locale ma non nel cloud. Questo errore può verificarsi anche in caso di problemi di sincronizzazione. Per altre informazioni, controllare i log di sincronizzazione e gli ultimi dettagli dell'esecuzione della sincronizzazione. |
| 33003 | ADMutliMatchError | Quando una richiesta di reimpostazione o modifica della password ha origine dal cloud, viene usato l'ancoraggio cloud specificato durante il processo di configurazione di Microsoft Entra Connessione per determinare come collegare tale richiesta a un utente nell'ambiente locale. Questo evento indica che nella directory locale sono stati trovati due utenti con lo stesso attributo di ancoraggio cloud. Per altre informazioni, controllare i log di sincronizzazione e i dettagli relativi alle esecuzioni della sincronizzazione più recenti. |
| 33004 | ADPermissionsError | Questo evento indica che l'account del servizio Active Directory Management Agent (ADMA) non dispone delle autorizzazioni appropriate per l'account in questione per impostare una nuova password. Assicurarsi che l'account ADMA nella foresta dell'utente disponga delle autorizzazioni per la reimpostazione della password per tutti gli oggetti nella foresta. Per altre informazioni su come impostare le autorizzazioni, vedere Passaggio 4: Impostare le autorizzazioni di Active Directory appropriate. Questo errore può verificarsi anche quando l'attributo AdminCount dell'utente è impostato su 1. |
| 33005 | ADUserAccountDisabled | Questo evento indica che è stato eseguito un tentativo di reimpostare o modificare una password per un account disabilitato in locale. Abilitare l'account e ripetere l'operazione. |
| 33006 | ADUserAccountLockedOut | Questo evento indica che è stato eseguito un tentativo di reimpostare o modificare una password per un account bloccato in locale. I blocchi possono verificarsi quando un utente ha tentato troppe volte di eseguire un'operazione di modifica o reimpostazione della password in un breve intervallo di tempo. Sbloccare l'account e ripetere l'operazione. |
| 33007 | ADUserIncorrectPassword | Questo evento indica che l'utente ha specificato una password corrente non corretta durante l'esecuzione di un'operazione di modifica della password. Specificare la password corrente corretta e riprovare. |
| 33008 | ADPasswordPolicyError | Questo evento si verifica quando il servizio di writeback delle password tenta di impostare una password nella directory locale che non soddisfa i requisiti di validità, cronologia, complessità o filtro delle password del dominio. Se è prevista una validità minima della password e di recente la password è stata modificata in tale intervallo di tempo, non sarà possibile modificarla di nuovo finché non si raggiunge il periodo di validità specificato nel dominio. A scopo di test, è consigliabile impostare la validità minima su 0. Se sono abilitati i requisiti per la cronologia delle password, sarà necessario selezionare una password che non sia stata usata nelle ultime N volte, dove N è l'impostazione relativa alla cronologia delle password. Se si seleziona una password che è stata usata nelle ultime N volte, si verifica un errore. A scopo di test, è consigliabile impostare la cronologia delle password su 0. Se abilitati, tutti i requisiti di complessità della password vengono applicati quando l'utente tenta di modificare o reimpostare la password. Se sono abilitati filtri password e un utente seleziona una password che non soddisfa i criteri di filtro, l'operazione di reimpostazione o modifica non riesce. |
| 33009 | ADConfigurationError | Questo evento indica che si è verificato un problema durante la scrittura di una password nella directory locale, a causa di un problema di configurazione con Active Directory. Per altre informazioni su quale errore si è verificato, controllare il registro eventi dell'applicazione del computer Microsoft Entra Connessione del servizio ADSync. |
Forum di Microsoft Entra
Per domande generali su Microsoft Entra ID e reimpostazione della password self-service, è possibile chiedere assistenza alla community nella pagina domande di Microsoft Q&A per Microsoft Entra ID. La community è composta da ingegneri, responsabili di prodotto, MVP e informatici.
Contattare il supporto tecnico Microsoft
Se non si riesce a trovare la risposta a un problema, i team di supporto Microsoft sono sempre disponibili per offrire maggiore assistenza.
Per garantire un supporto adeguato, verrà richiesto il maggior numero di dettagli possibile al momento dell'apertura di un caso. Questi dettagli includono quanto segue:
- Descrizione generale dell'errore: Qual è l'errore? il comportamento notato, e le modalità in cui è possibile riprodurre l'errore. Fornire il maggior numero di dettagli possibili.
- Pagina: Quale pagina era visualizzata quando si è verificato l'errore? Includere l'URL, se possibile, e uno screenshot della pagina.
- Codice di supporto: Qual è il codice di supporto generato quando è stato visualizzato l'errore?
Per trovare questo codice, riprodurre l'errore, quindi fare clic sul collegamento Codice di supporto nella parte inferiore della schermo e inviare al personale del supporto tecnico il GUID risultante.
Se è visualizzata una pagina senza un codice di supporto nella parte inferiore, premere F12 ed eseguire una ricerca di SID e CID, quindi inviare i due risultati al personale del supporto tecnico.
- Data, ora e fuso orario: includere la data e l'ora precisa con il fuso orario di quando si è verificato l'errore.
- ID utente: Quale utente ha visualizzato l'errore? Un esempio è user@contoso.com.
- Indicare se si tratta di un utente federato,
- Si tratta di un utente con autenticazione pass-through?
- Si tratta di un utente con sincronizzazione di hash della password?
- Si tratta di un utente solo cloud?
- Licenze: all'utente è assegnata una licenza microsoft Entra ID?
- Registro eventi dell'applicazione: se si usa il writeback delle password e l'errore si trova nell'infrastruttura locale, includere una copia compressa del registro eventi dell'applicazione dal server microsoft Entra Connessione.
Passaggi successivi
Per altre informazioni sulla reimpostazione della password self-service, vedere Funzionamento: Reimpostazione della password self-service di Microsoft Entra o Funzionamento del writeback della reimpostazione della password self-service in Microsoft Entra ID?.