パスワード ライトバックの一般的なトラブルシューティング手順
この記事では、パスワード ライトバックの問題を解決するための一般的なトラブルシューティング手順について説明します。 これらの手順は、より具体的な問題を説明する他のコンテンツを参照する必要がある場合に、プロセスを開始する良い方法です。
正確な障害シナリオに焦点を当てる
パスワードの問題を再現またはテストする方法について一貫している必要があります。 エラー シナリオが何であるかを正確に理解し、再現手順について学習します。 パスワード リセットとパスワード変更は 2 つの異なる操作であるため、1 つの操作に焦点を当て、その操作に同じ手順を使用して問題を再現します。 操作の違いは次のとおりです。
| 操作 | 特性 |
|---|---|
| パスワードのリセット | ユーザーまたは管理者が現在のパスワードを認識していないか、提供していない。 |
| パスワードの変更 | パスワードの変更を開始できるのはユーザーだけです。 ユーザーは、新しいパスワードを指定する前に、現在のパスワードを入力する必要があります。 |
作業ユーザーと非作業ユーザーの対比
あるユーザーの操作は失敗しますが、別のユーザーに対しては成功しますか? この状況では、作業ユーザーと非稼働ユーザーの違いを特定してみてください。 次の手順を使用できます。
Ldifde コマンドまたは Get-ADUser PowerShell コマンドレットを実行して、特定の Active Directory ユーザーに関する情報を取得します。
Microsoft Graph PowerShell でユーザー コマンドを実行して、Microsoft Graph PowerShell でそれらのユーザーに関する情報を取得します。
これらの 2 人のユーザーに関する Active Directory と Microsoft Graph PowerShell の情報を、特に次の点で比較します。
- 管理者ロールとグループ
- 組織単位の配置
- オブジェクトとパスワードが最後に同期された時刻
- その他の違い
この情報は、問題のトラブルシューティング中に役立ちます。
同じドメイン コントローラーを使用する
テストまたは変更を行うたびに、同じドメイン コントローラーを使用してみてください。 パスワード ライトバック操作で接続されるドメイン コントローラーを制御するには、Active Directory コネクタで 1 つの優先ドメイン コントローラーを設定し、ADSync サービスを再起動します。 優先ドメイン コントローラーを最も近いものに変更するか、プライマリ ドメイン コントローラー (PDC) エミュレーターロールを所有するドメイン コントローラーを使用します。
優先ドメイン コントローラーを設定するには、次の手順に従います。
Synchronization Service Manager を開きます。 これを行うには、[スタート] を選択し、「Microsoft Entra ID」と入力し、[Microsoft Entra接続] グループを選択して、[同期サービス] を選択します。
[コネクタ] タブ を 選択し、該当する Active Directory コネクタを選択します。 [ 操作 ] ウィンドウで、[ プロパティ ] を選択して [ プロパティ ] ダイアログ ボックスを開きます。
[コネクタ Designer] ウィンドウで、[ディレクトリ パーティションの構成] を選択します。 [ ディレクトリ パーティションの構成 ] ウィンドウで、一覧からディレクトリ パーティションを選択します。
[ ドメイン コントローラー接続設定 ] グループで、[ 優先ドメイン コントローラーのみを使用 する] チェック ボックスをオンにします。 次に、[ 構成] を選択します。
[ 優先 DC の構成 ] ダイアログ ボックスで適切な変更を行います。
問題によっては、実際には別のドメイン コントローラーを試すのに役立つ場合があります。 その後、問題を特定のドメイン コントローラーに分離できるか、任意のドメイン コントローラーで発生するかを判断できます。
さらに、Active Directory ユーザーとコンピューター スナップインを使用する場合は、接続されているドメイン コントローラーを、Microsoft Entra Connect に使用したのと同じドメイン コントローラーに変更します。 次の手順を実行します。
Active Directory ユーザーとコンピューター スナップインを開きます。 これを行うには、[ スタート] を選択し、 dsa.msc で検索し、Enter キーを押します。
ナビゲーション ウィンドウでドメイン名を右クリックし、[ ドメイン コントローラーの変更 ] メニュー項目を選択します。
[ ディレクトリ サーバーの変更 ] ダイアログ ボックスで、[ このドメイン コントローラーまたは AD LDS インスタンス ] オプションを選択します。
ドメイン コントローラーの一覧で、Microsoft Entra接続用に選択したドメイン コントローラーと一致するドメイン コントローラーを選択し、[OK] を選択します。
ローカルの Active Directory パスワード ポリシーを一時的に緩和する
パスワード ライトバック操作のトラブルシューティングを行うには、ローカル の Active Directory パスワード ポリシーを一時的に変更することをお勧めします。 ユーザーが複数のパスワードを連続して変更できるようにするには、 パスワードの最小有効期間 を 0 に設定します。 パスワードの複雑さが必要な場合は、大文字、小文字、数字の組み合わせを使用します。 パスワード履歴は通常、既定の 24 個の記憶パスワードに適用されるため、リセットまたは変更の試行ごとに常に別のパスワードを使用します。 たとえば、リセットまたは変更するたびに整数サフィックス (1、2、3 など) をインクリメントします。
イベント ビューアーを使用してアプリケーション イベントを確認する
特定のパスワード ライトバックの問題に関するこれらのトラブルシューティング記事には、問題の詳細を提供するアプリケーション イベントの多くの例が含まれています。 これらの例は、イベント ビューアー スナップイン (Eventvwr.msc) が、パスワード ライトバックのトラブルシューティングに最も効果的な Windows ツールであることを示しています。
AD DS コネクタの正確なアカウント名を特定する
Active Directory ドメイン コネクタの現在のアカウントの名前を再確認します。 このアカウントの名前が、Microsoft Entra Connect サーバーで使用されるアカウントと同じであることを確認します。 このアカウント名を見つけるには、「 AD DS コネクタ アカウントを識別する」を参照してください。
サポートされている、またはサポートされていない書き戻し操作について説明します
サポートされているパスワード ライトバック操作とサポートされていないパスワード ライトバック操作の一覧を確認するには、「Microsoft Entra IDでのセルフサービス パスワード リセット ライトバックのしくみ」を参照してください。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示