Устранение неполадок самостоятельного сброса пароля в идентификаторе Microsoft Entra
Самостоятельный сброс пароля Microsoft Entra (SSPR) позволяет пользователям сбрасывать пароли в облаке. Обратная запись паролей — это функция, включенная с помощью Microsoft Entra Connect или облачной синхронизации , которая позволяет записывать изменения паролей в облаке в существующий локальный каталог в режиме реального времени.
Если у вас возникли проблемы с обратной записью SSPR, могут помочь следующие действия по устранению неполадок и распространенные ошибки. Если вы не можете найти ответ на вашу проблему, наши группы поддержки всегда доступны , чтобы помочь вам дальше.
Устранение неполадок с подключением
Если у вас возникли проблемы с обратной записью паролей для Microsoft Entra Connect, ознакомьтесь со следующими шагами, которые помогут устранить проблему. Чтобы восстановить службу, рекомендуется выполнить следующие действия.
- Подтверждение сетевого подключения
- Проверка TLS 1.2
- Обновление Microsoft .NET 4.8
- Перезапустите службу синхронизации Microsoft Entra Connect
- Отключение и повторное включение функции обратной записи паролей
- Установка последнего выпуска Microsoft Entra Connect
- Устранение неполадок обратной записи паролей
Подтверждение сетевого подключения
Наиболее распространенной точкой сбоя является то, что брандмауэр или прокси-порты или время ожидания простоя настроены неправильно.
Для Microsoft Entra Connect версии 1.1.443.0 и более поздних версий требуется исходящий доступ HTTPS к следующим адресам:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Конечные точки Azure для государственных организаций США:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Конечные точки Azure Для Китая 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Если вам нужна более подробная степень, ознакомьтесь со списком диапазонов IP-адресов Microsoft Azure и тегов служб для общедоступного облака.
Сведения о Azure для государственных организаций США см. в списке диапазонов IP-адресов и тегов служб Microsoft Azure для облака для государственных организаций США.
Эти файлы обновляются еженедельно.
Чтобы определить, ограничен ли доступ к URL-адресу и порту в среде, например общедоступном облаке Azure, выполните следующие действия.
На сервере подключения Entra откройте журналы средства просмотра событий (журналы Windows, приложение) и найдите один из этих идентификаторов событий: 31034 или 31019.
В этих идентификаторах событий укажите имя прослушивателя служебной шины:
Выполните следующий командлет:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443Или выполните следующие действия:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -VerboseЗамените <пространство> имен тем же, что вы извлекли из указанных выше идентификаторов событий. Например, в предыдущем случае команда:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Дополнительные сведения см. в предварительных требованиях к подключению для Microsoft Entra Connect.
Проверка включения TLS 1.2
Дополнительным шагом устранения неполадок является проверка правильности включения TLS 1.2 на сервере синхронизации. Запустите скрипт PowerShell, чтобы проверить TLS 1.2 на сервере Entra Connect. Обязательно запустите скрипт в режиме администрирования.
Выходные данные из скрипта проверки, который должен выглядеть следующим образом (путь, имя и столбцы значений), которые должны быть включены правильно. Если это не так, запустите скрипт PowerShell, чтобы включить TLS 1.2 на сервере Entra Connect, а затем перезагрузите сервер и запустите скрипт, чтобы снова проверить TLS 1.2.
Убедитесь, что microsoft платформа .NET Framework 4.8 или более поздней версии включен (сервер синхронизации)
Убедитесь, что microsoft платформа .NET Framework 4.8 или более поздней версии включен на сервере синхронизации.
- Проверка того, что .NET уже установлена
- Запрос реестра с помощью PowerShell
- Скачивание платформы .NET
Перезапустите службу синхронизации Microsoft Entra Connect
Чтобы устранить проблемы с подключением или другие временные проблемы со службой, выполните следующие действия, чтобы перезапустить службу синхронизации Microsoft Entra Connect:
Как администратор на сервере, на котором выполняется Microsoft Entra Connect, нажмите кнопку "Пуск".
Введите services.msc в поле поиска и нажмите клавишу ВВОД.
Найдите запись синхронизации Azure AD.
Щелкните правой кнопкой мыши запись службы, выберите "Перезапустить" и дождитесь завершения операции.
Эти действия повторно устанавливают подключение с идентификатором Microsoft Entra и должны устранять проблемы с подключением.
Если перезапуск службы синхронизации Microsoft Entra Connect не устраняет проблему, попробуйте отключить и повторно включить функцию обратной записи паролей в следующем разделе.
Отключение и повторное включение функции обратной записи паролей
Чтобы продолжить устранение неполадок, выполните следующие действия, чтобы отключить и повторно включить функцию обратной записи паролей:
- Как администратор на сервере, на котором выполняется Microsoft Entra Connect, откройте мастер настройки Microsoft Entra Connect.
- В поле Connect to Microsoft Entra ID введите учетные данные гибридного администратора Microsoft Entra.
- В разделе "Подключение к AD DS" введите учетные данные администратора доменных служб локальная служба Active Directory.
- В уникальной идентификации пользователей нажмите кнопку "Далее ".
- В дополнительных функциях снимите флажок обратной записи паролей.
- Нажмите кнопку "Далее" на оставшихся страницах диалоговых окон, не изменяя ничего, пока не получите страницу "Готово" для настройки .
- Убедитесь, что на странице "Готово к настройке" отображается параметр обратной записи паролей как отключенный. Нажмите зеленую кнопку "Настройка" , чтобы зафиксировать изменения.
- После завершения снимите флажок "Синхронизировать сейчас", а затем нажмите кнопку "Готово", чтобы закрыть мастер.
- Откройте мастер настройки Microsoft Entra Connect.
- Повторите шаги 2-8, на этот раз выбрав параметр обратной записи паролей на странице "Необязательные функции ", чтобы повторно включить службу.
Эти действия повторно устанавливают подключение с идентификатором Microsoft Entra и должны устранять проблемы с подключением.
Если отключение и повторное включение функции обратной записи паролей не устраняет проблему, переустановите Microsoft Entra Connect в следующем разделе.
Установка последнего выпуска Microsoft Entra Connect
Переустановка Microsoft Entra Connect может устранить проблемы с конфигурацией и подключением между идентификатором Microsoft Entra и локальной средой служб домен Active Directory. Мы рекомендуем выполнить этот шаг только после попытки выполнить предыдущие шаги, чтобы проверить и устранить неполадки подключения.
Предупреждение
Если вы настроили стандартные правила синхронизации, создайте их резервную копию перед обновлением, а затем повторно разверните их вручную после завершения.
Скачайте последнюю версию Microsoft Entra Connect из Центра загрузки Майкрософт.
После установки Microsoft Entra Connect выполните обновление на месте, чтобы обновить установку Microsoft Entra Connect до последней версии.
Запустите скачанный пакет и следуйте инструкциям на экране, чтобы обновить Microsoft Entra Connect.
Эти действия должны повторно установить подключение с идентификатором Microsoft Entra и устранить проблемы с подключением.
Если установка последней версии сервера Microsoft Entra Connect не устраняет проблему, попробуйте отключить и повторно включить обратную запись паролей в качестве последнего шага после установки последнего выпуска.
Убедитесь, что Microsoft Entra Connect имеет необходимые разрешения
Microsoft Entra Connect требует разрешения на сброс пароля AD DS для обратной записи паролей. Чтобы проверить, имеет ли Microsoft Entra Connect требуемое разрешение для заданной локальной учетной записи пользователя AD DS, используйте функцию действующего разрешения Windows:
Войдите на сервер Microsoft Entra Connect и запустите диспетчер службы синхронизации, выбрав "Запустить>службу синхронизации".
На вкладке "Соединители" выберите локальный соединитель служб домен Active Directory и выберите "Свойства".
Во всплывающем окне выберите "Подключиться к лесу Active Directory" и запишите свойство имени пользователя . Это свойство является учетной записью AD DS, используемой Microsoft Entra Connect для выполнения синхронизации каталогов.
Для microsoft Entra Connect для обратной записи паролей учетная запись AD DS должна иметь разрешение на сброс пароля. Вы проверяете разрешения для этой учетной записи пользователя, выполнив следующие действия.
Войдите в локальный контроллер домена и запустите приложение Пользователи и компьютеры Active Directory.
Выберите "Вид " и убедитесь, что включен параметр "Дополнительные функции ".
Найдите учетную запись пользователя AD DS, которую вы хотите проверить. Щелкните правой кнопкой мыши имя учетной записи и выберите "Свойства".
Во всплывающем окне перейдите на вкладку "Безопасность " и выберите "Дополнительно".
Во всплывающем окне "Дополнительные параметры безопасности" для администратора перейдите на вкладку "Действующий доступ ".
Выберите пользователя, выберите учетную запись AD DS, используемую Microsoft Entra Connect, а затем выберите "Просмотреть действующий доступ".
Прокрутите вниз и найдите пароль сброса. Если у записи есть флажок, у учетной записи AD DS есть разрешение на сброс пароля выбранной учетной записи пользователя Active Directory.
Распространенные ошибки обратной записи паролей
Следующие более конкретные проблемы могут возникать при обратной записи паролей. Если у вас есть одна из этих ошибок, просмотрите предлагаемое решение и проверьте, правильно ли работает обратная запись паролей.
| Ошибка | Решение |
|---|---|
| Служба сброса пароля не запускается локально. Ошибка 6800 отображается в журнале событий приложения microsoft Entra Connect компьютера. После подключения, федеративной, сквозной проверки подлинности или синхронизации паролей пользователи не могут сбросить свои пароли. |
Если включена обратная запись паролей, подсистема синхронизации вызывает библиотеку обратной записи для выполнения конфигурации (подключения), взаимодействуя с облачной службой подключения. Все ошибки, возникающие во время подключения или при запуске конечной точки Windows Communication Foundation (WCF) для обратной записи паролей, приводят к ошибкам в журнале событий на компьютере Microsoft Entra Connect. При перезапуске службы синхронизации Azure AD (ADSync) при настройке обратной записи конечная точка WCF запускается. Но если запуск конечной точки завершается сбоем, мы регистрируем событие 6800 и позволим службе синхронизации запуститься. Наличие этого события означает, что конечная точка обратной записи паролей не запущена. Сведения о журнале событий для этого события 6800, а также записи журнала событий, созданные компонентом PasswordResetService, указывают, почему не удается запустить конечную точку. Просмотрите эти ошибки журнала событий и попробуйте перезапустить Microsoft Entra Connect, если обратная запись паролей по-прежнему не работает. Если проблема сохранится, попробуйте отключить и повторно включить обратную запись паролей. |
| Когда пользователь пытается сбросить пароль или разблокировать учетную запись с включенной обратной записью паролей, операция завершается ошибкой. Кроме того, в журнале событий Microsoft Entra Connect отображается событие, содержащее сообщение "Обработчик синхронизации вернул ошибку hr=800700CE, message=The filename or extension is too long" (Имя файла или расширение слишком долго) после операции разблокировки. |
Найдите учетную запись Active Directory для Microsoft Entra Connect и сбросьте пароль, чтобы он содержал не более 256 символов. Затем откройте службу синхронизации из меню "Пуск". Перейдите к соединителям и найдите соединитель Active Directory. Выберите его и выберите пункт "Свойства". Перейдите на страницу "Учетные данные" и введите новый пароль. Нажмите кнопку "ОК" , чтобы закрыть страницу. |
| На последнем шаге процесса установки Microsoft Entra Connect отображается сообщение об ошибке, указывающее, что обратная запись паролей не удалось настроить. Журнал событий приложения Microsoft Entra Connect содержит ошибку 32009 с текстом "Ошибка получения маркера проверки подлинности". |
Эта ошибка возникает в следующих двух случаях:
|
| Журнал событий компьютера Microsoft Entra Connect содержит ошибку 32002, которая возникает при запуске PasswordResetService. Ошибка считывает сообщение "Ошибка подключения к ServiceBus. Поставщик токенов не смог предоставить маркер безопасности". |
Локальная среда не может подключиться к конечной точке Служебная шина Azure в облаке. Эта ошибка обычно вызвана правилом брандмауэра, блокирующим исходящее подключение к конкретному порту или веб-адресу. Дополнительные сведения см . в предварительных требованиях для подключения. После обновления этих правил перезапустите сервер Microsoft Entra Connect и обратную запись паролей. |
| После работы в течение некоторого времени федеративные, сквозные проверки подлинности или пользователи, синхронизированные с паролем, не могут сбрасывать свои пароли. | В некоторых редких случаях служба обратной записи паролей может не перезапуститься при перезапуске Microsoft Entra Connect. В этих случаях сначала проверьте, включена ли обратная запись паролей в локальной среде. Вы можете проверить с помощью мастера Microsoft Entra Connect или PowerShell. Если функция, как представляется, включена, попробуйте включить или отключить функцию еще раз. Если этот шаг устранения неполадок не работает, попробуйте выполнить полное удаление и переустановку Microsoft Entra Connect. |
| Федеративные, сквозные проверки подлинности или синхронизированные с паролем пользователи, пытающиеся сбросить пароли, увидят ошибку после попытки отправить пароль. Ошибка указывает, что возникла проблема со службой. В дополнение к этой проблеме во время операций сброса пароля может появиться сообщение об ошибке, что агенту управления было отказано в доступе в локальных журналах событий. |
Если эти ошибки отображаются в журнале событий, убедитесь, что учетная запись агента управления Active Directory (ADMA), указанная в мастере во время настройки, имеет необходимые разрешения для обратной записи паролей. После предоставления этого разрешения может потребоваться до одного часа, чтобы разрешения переключились через sdprop фоновую задачу на контроллере домена (DC). Для сброса пароля необходимо наметить разрешение на дескриптор безопасности объекта пользователя, пароль которого сбрасывается. Пока это разрешение не появится в объекте пользователя, сброс пароля продолжает завершать ошибку с сообщением об отказе в доступе. |
| Федеративные, сквозные проверки подлинности или синхронизированные с паролем пользователи, пытающиеся сбросить пароли, увидят ошибку после отправки пароля. Ошибка указывает, что возникла проблема со службой. В дополнение к этой проблеме во время операций сброса пароля может появиться ошибка в журналах событий из службы Microsoft Entra Connect, указывающей на ошибку "Объект не удалось найти". |
Эта ошибка обычно указывает, что подсистема синхронизации не может найти объект пользователя в пространстве соединителя Microsoft Entra или связанном метавселенной (MV) или объект пространства соединителя Microsoft Entra. Чтобы устранить эту проблему, убедитесь, что пользователь действительно синхронизирован из локальной среды с идентификатором Microsoft Entra ID через текущий экземпляр Microsoft Entra Connect и проверьте состояние объектов в пространствах соединителей и MV. Убедитесь, что объект служб сертификатов Active Directory (AD CS) подключен к объекту MV с помощью правила "Microsoft.InfromADUserAccountEnabled.xxx". |
| Федеративные, сквозные проверки подлинности или синхронизированные с паролем пользователи, пытающиеся сбросить пароли, увидят ошибку после отправки пароля. Ошибка указывает, что возникла проблема со службой. В дополнение к этой проблеме во время операций сброса пароля может появиться ошибка в журналах событий из службы Microsoft Entra Connect, которая указывает, что обнаружена ошибка "Несколько совпадений". |
Это означает, что подсистема синхронизации обнаружила, что объект MV подключен к нескольким объектам AD CS через "Microsoft.InfromADUserAccountEnabled.xxx". Это означает, что у пользователя есть включенная учетная запись в нескольких лесах. Этот сценарий не поддерживается для обратной записи паролей. |
| Операции паролей завершаются ошибкой конфигурации. Журнал событий приложения содержит ошибку Microsoft Entra Connect 6329 с текстом "0x8023061f (операция завершилась ошибкой, так как синхронизация паролей не включена в этом агенте управления)". | Эта ошибка возникает, если конфигурация Microsoft Entra Connect изменена, чтобы добавить новый лес Active Directory (или удалить и прочитать существующий лес) после включения функции обратной записи паролей. Сбой операций паролей для пользователей в этих недавно добавленных лесах. Чтобы устранить проблему, отключите и повторно включите функцию обратной записи паролей после завершения изменения конфигурации леса. |
| SSPR_0029. Мы не можем сбросить пароль из-за ошибки в локальной конфигурации. Обратитесь к администратору и попросите их изучить. | Проблема. Обратная запись паролей включена после выполнения всех необходимых действий, но при попытке изменить пароль, полученный "SSPR_0029: ваша организация не правильно настроила локальную конфигурацию для сброса пароля". Проверка журналов событий в системе Microsoft Entra Connect показывает, что учетные данные агента управления были отказано в доступе. Возможное решение. Используйте RSOP в системе Microsoft Entra Connect и контроллерах домена, чтобы узнать, включена ли политика "Сетевой доступ: ограничить доступ клиентов, разрешенных выполнять удаленные вызовы к SAM", найденным в разделе "Параметры > безопасности параметров безопасности параметров > > безопасности windows" > конфигурации компьютера. Измените политику, чтобы включить учетную запись управления MSOL_XXXXXXX в качестве разрешенного пользователя. Дополнительные сведения см. в статье об устранении неполадок SSPR_0029. Ваша организация не правильно настроила локальную конфигурацию для сброса пароля. |
Коды ошибок журнала событий обратной записи паролей
Рекомендуется при устранении неполадок с обратной записью паролей проверять журнал событий приложения на компьютере Microsoft Entra Connect. Этот журнал событий содержит события из двух источников для обратной записи паролей. Источник PasswordResetService описывает операции и проблемы, связанные с операцией обратной записи паролей. Источник ADSync описывает операции и проблемы, связанные с настройкой паролей в среде служб домен Active Directory.
Если источником события является ADSync
| Код | Имя или сообщение | Описание |
|---|---|---|
| 6329 | ЗАЛОГ: MMS(4924) 0x80230619: "Ограничение запрещает изменение пароля на текущий указанный". | Это событие возникает, когда служба обратной записи паролей пытается задать пароль в локальном каталоге, который не соответствует возрасту пароля, журналу, сложности или фильтрации требований к домену. Это событие также может произойти, если пароль не может быть изменен для пользователя. Если у вас есть минимальный возраст пароля и недавно изменен пароль в течение этого периода времени, вы не сможете снова изменить пароль до тех пор, пока он не достигнет указанного возраста в вашем домене. В целях тестирования минимальный возраст должен иметь значение 0. Если у вас есть включенные требования к журналу паролей, необходимо выбрать пароль, который не использовался в последние N раз, где N — это параметр журнала паролей. Если вы выберете пароль, который использовался в последние N раз, то в этом случае отобразится сбой. Для тестирования журнал паролей должен иметь значение 0. Если у вас есть требования к сложности паролей, все они применяются при попытке пользователя изменить или сбросить пароль. Если у вас есть фильтры паролей, а пользователь выбирает пароль, который не соответствует критериям фильтрации, то операция сброса или изменения завершается сбоем. Если у пользователя задан флаг свойства PASSWD_CANT_CHANGE, его пароль не может быть синхронизирован. В целях тестирования удалите флаг свойства PASSWD_CANT_CHANGE. Дополнительные сведения см. в описаниях флагов свойств. |
| 6329 | MMS(3040): admaexport.cpp(2837): сервер не содержит элемент управления политикой паролей LDAP. | Эта проблема возникает, если элемент управления LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) не включен на контроллерах домена. Чтобы использовать функцию обратной записи паролей, необходимо включить элемент управления. Для этого контроллеры домена должны находиться в Windows Server 2016 или более поздней версии. |
| 8023042 кадров | Обработчик синхронизации вернул ошибку hr=80230402, message=An to get an object failed, так как есть повторяющиеся записи с той же привязкой. | Эта ошибка возникает, когда один и тот же идентификатор пользователя включен в нескольких доменах. Например, если вы синхронизируете учетные записи и леса ресурсов и имеете один и тот же идентификатор пользователя, что и в каждом лесу. Эта ошибка также может возникать, если вы используете атрибут привязки, отличный от уникального, например псевдоним или имя участника-пользователя, а два пользователя используют один и тот же атрибут привязки. Чтобы устранить эту проблему, убедитесь, что у вас нет дублированных пользователей в доменах и что для каждого пользователя используется уникальный атрибут привязки. |
Если источником события является PasswordResetService
| Код | Имя или сообщение | Описание |
|---|---|---|
| 31001 | PasswordResetStart | Это событие указывает, что локальная служба обнаружила запрос сброса пароля федеративной, сквозной проверки подлинности или синхронизированного пользователя паролем, который поступает из облака. Это событие является первым событием в каждой операции обратной записи сброса пароля. |
| 31002 | PasswordResetSuccess | Это событие указывает, что пользователь выбрал новый пароль во время операции сброса пароля. Мы определили, что этот пароль соответствует требованиям корпоративного пароля. Пароль успешно записан в локальную среду Active Directory. |
| 31003 | PasswordResetFail | Это событие указывает, что пользователь выбрал пароль и пароль успешно прибыл в локальную среду. Но когда мы пытались задать пароль в локальной среде Active Directory, произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31004 | ПодключениеEventStart | Это событие возникает, если включить обратную запись паролей с помощью Microsoft Entra Connect, и мы начали подключение вашей организации к веб-службе обратной записи паролей. |
| 31005 | ПодключениеEventSuccess | Это событие указывает, что процесс подключения выполнен успешно и что возможность обратной записи паролей готова к использованию. |
| 31006 | ChangePasswordStart | Это событие указывает, что локальная служба обнаружила запрос на изменение пароля федеративной, сквозной проверки подлинности или синхронизированного пользователя паролей, который поступает из облака. Это событие является первым событием в каждой операции обратной записи с изменением пароля. |
| 31007 | ChangePasswordSuccess | Это событие указывает, что пользователь выбрал новый пароль во время операции изменения пароля, мы определили, что пароль соответствует требованиям корпоративного пароля и что пароль успешно записан обратно в локальную среду Active Directory. |
| 31008 | ChangePasswordFail | Это событие указывает, что пользователь выбрал пароль и что пароль успешно прибыл в локальную среду, но при попытке задать пароль в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31009 | ResetUserPasswordByAdminStart | Локальная служба обнаружила запрос сброса пароля федеративной, сквозной проверки подлинности или синхронизированного пользователя паролем от имени администратора. Это событие является первым событием в каждой операции обратной записи сброса пароля, инициированной администратором. |
| 31010 | ResetUserPasswordByAdminSuccess | Администратор выбрал новый пароль во время операции сброса пароля, инициированной администратором. Мы определили, что этот пароль соответствует требованиям корпоративного пароля. Пароль успешно записан в локальную среду Active Directory. |
| 31011 | ResetUserPasswordByAdminFail | Администратор выбрал пароль от имени пользователя. Пароль успешно прибыл в локальную среду. Но когда мы пытались задать пароль в локальной среде Active Directory, произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31012 | OffboardingEventStart | Это событие происходит при отключении обратной записи паролей с помощью Microsoft Entra Connect и указывает, что мы начали подключение организации к веб-службе обратной записи паролей. |
| 31013 | OffboardingEventSuccess | Это событие указывает, что процесс отключения успешно выполнен и что возможность обратной записи паролей была успешно отключена. |
| 31014 | OffboardingEventFail | Это событие указывает, что процесс выключения не был успешным. Это может быть вызвано ошибкой разрешений в облачной или локальной учетной записи администратора, указанной во время настройки. Ошибка также может возникать, если вы пытаетесь использовать федеративный облачный гибридный администратор при отключении обратной записи паролей. Чтобы устранить эту проблему, проверьте разрешения администратора и убедитесь, что вы не используете федеративную учетную запись при настройке возможности обратной записи паролей. |
| 31015 | WriteBackServiceStarted | Это событие указывает, что служба обратной записи паролей успешно запущена. Он готов принимать запросы на управление паролями из облака. |
| 31016 | WriteBackServiceStopped | Это событие означает, что служба обратной записи паролей остановлена. Любые запросы на управление паролями из облака не будут успешными. |
| 31017 | AuthTokenSuccess | Это событие указывает, что мы успешно получили маркер авторизации для гибридного администратора, указанного во время установки Microsoft Entra Connect, чтобы запустить процесс подключения или подключения. |
| 31018 | KeyPairCreationSuccess | Это событие указывает, что мы успешно создали ключ шифрования паролей. Этот ключ используется для шифрования паролей из облака для отправки в локальную среду. |
| 31019 | ServiceBusHeartBeat | Это событие указывает, что мы успешно отправили запрос служебная шина экземпляру клиента. |
| 31034 | ServiceBusListenerError | Это событие указывает, что произошла ошибка подключения к служебная шина прослушивателя клиента. Если сообщение об ошибке содержит сообщение "Удаленный сертификат недопустим", убедитесь, что сервер Microsoft Entra Connect имеет все необходимые корневые ЦС, как описано в изменениях сертификата TLS Azure. |
| 31044 | PasswordResetService | Это событие указывает, что обратная запись паролей не работает. Служебная шина прослушивает запросы на два отдельных ретранслятора для избыточности. Каждое подключение ретранслятора управляется уникальным узлом службы. Клиент обратной записи возвращает ошибку, если узел службы не запущен. |
| 32000 | UnknownError | Это событие означает, что во время операции управления паролями произошла неизвестная ошибка. Дополнительные сведения см. в тексте исключения в событии. Если у вас возникли проблемы, попробуйте отключить и повторно включить обратную запись паролей. Если это не поможет, добавьте копию журнала событий вместе с идентификатором отслеживания, указанным при открытии запроса на поддержку. |
| 32001 | ServiceError | Это событие указывает, что произошла ошибка при подключении к облачной службе сброса пароля. Эта ошибка обычно возникает, когда локальная служба не смогла подключиться к веб-службе сброса пароля. |
| 32002 | ServiceBusError | Это событие указывает, что произошла ошибка при подключении к служебная шина экземпляру клиента. Это может произойти, если вы блокируете исходящие подключения в локальной среде. Проверьте брандмауэр, чтобы обеспечить разрешение подключений через TCP 443 и https://ssprdedicatedsbprodncu.servicebus.windows.netобратно, а затем повторите попытку. Если у вас по-прежнему возникли проблемы, попробуйте отключить и повторно включить обратную запись паролей. |
| 32003 | InPutValidationError | Это событие указывает, что входные данные, переданные в API веб-службы, были недопустимыми. Повторите операцию. |
| 32004 | РасшифровкаError | Это событие указывает, что произошла ошибка расшифровки пароля, полученного из облака. Это может быть связано с несоответствием ключа расшифровки между облачной службой и локальной средой. Чтобы устранить эту проблему, отключите и повторно включите обратную запись паролей в локальной среде. |
| 32005 | ConfigurationError | Во время подключения мы сохраняем сведения о клиенте в файле конфигурации в локальной среде. Это событие указывает, что произошла ошибка сохранения этого файла или что при запуске службы произошла ошибка считывания файла. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей, чтобы принудительно перезаписать файл конфигурации. |
| 32007 | OnBoardingConfigUpdateError | Во время подключения мы отправим данные из облака в локальную службу сброса паролей. Затем эти данные записываются в файл в памяти перед отправкой в службу синхронизации для безопасного хранения на диске. Это событие означает, что возникла проблема с записью или обновлением этих данных в памяти. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей, чтобы принудительно перезаписать этот файл конфигурации. |
| 32008 | ValidationError | Это событие указывает, что мы получили недопустимый ответ от веб-службы сброса пароля. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей. |
| 32009 | AuthTokenError | Это событие указывает, что не удалось получить маркер авторизации для учетной записи гибридного администратора, указанной во время установки Microsoft Entra Connect. Эта ошибка может быть вызвана неправильным именем пользователя или паролем, указанным для учетной записи гибридного администратора. Эта ошибка также может возникать, если указанная учетная запись гибридного администратора федеративна. Чтобы устранить эту проблему, повторно запустите конфигурацию с правильным именем пользователя и паролем и убедитесь, что администратор является управляемой (облачной или синхронизированной с паролем) учетной записью. |
| 32010 | CryptoError | Это событие указывает, что произошла ошибка при создании ключа шифрования паролей или расшифровке пароля, полученного из облачной службы. Эта ошибка, скорее всего, указывает на проблему с вашей средой. Ознакомьтесь с подробными сведениями журнала событий, чтобы узнать больше о том, как устранить эту проблему. Вы также можете попробовать отключить и повторно включить службу обратной записи паролей. |
| 32011 | OnBoardingServiceError | Это событие указывает, что локальная служба не могла правильно взаимодействовать с веб-службой сброса пароля для запуска процесса подключения. Это может произойти в результате правила брандмауэра или при возникновении проблемы с получением маркера проверки подлинности для клиента. Чтобы устранить эту проблему, убедитесь, что вы не блокируете исходящие подключения через TCP 443 и TCP 9350-9354 или .https://ssprdedicatedsbprodncu.servicebus.windows.net Кроме того, убедитесь, что учетная запись администратора Microsoft Entra, которую вы используете для подключения, не является федеративной. |
| 32013 | OffBoardingError | Это событие указывает, что локальная служба не могла правильно взаимодействовать с веб-службой сброса пароля для запуска процесса отключения. Это может произойти в результате правила брандмауэра или при возникновении проблемы с получением маркера авторизации для клиента. Чтобы устранить эту проблему, убедитесь, что вы не блокируете исходящие подключения более 443 или https://ssprdedicatedsbprodncu.servicebus.windows.netв , и что учетная запись администратора Microsoft Entra, которую вы используете для отключения, не является федеративной. |
| 32014 | ServiceBusWarning | Это событие указывает, что нам пришлось повторить попытку подключения к служебная шина экземпляру клиента. В обычных условиях это не должно быть проблемой, но если вы видите это событие много раз, рассмотрите возможность проверки сетевого подключения к служебная шина, особенно если это подключение с высокой задержкой или низкой пропускной способностью. |
| 32015 | ReportServiceHealthError | Чтобы отслеживать работоспособность службы обратной записи паролей, мы отправляем данные пульса в веб-службу сброса пароля каждые пять минут. Это событие указывает, что при отправке этой информации о работоспособности в облачную веб-службу произошла ошибка. Эта информация о работоспособности не включает персональные данные и является исключительно пульсом и базовой статистикой службы, чтобы мы могли предоставлять сведения о состоянии службы в облаке. |
| 33001 | ADUnKnownError | Это событие указывает, что произошла неизвестная ошибка, возвращенная Active Directory. Дополнительные сведения см. в журнале событий сервера Microsoft Entra Connect для событий из источника ADSync. |
| 33002 | ADUserNotFoundError | Это событие указывает, что пользователь, который пытается сбросить или изменить пароль, не найден в локальном каталоге. Эта ошибка может возникать, когда пользователь был удален локально, но не в облаке. Эта ошибка также может возникать, если возникла проблема с синхронизацией. Проверьте журналы синхронизации и последние сведения о выполнении синхронизации для получения дополнительных сведений. |
| 33003 | ADMutliMatchError | Когда запрос на сброс пароля или изменение пароля поступает из облака, мы используем облачную привязку, указанную в процессе установки Microsoft Entra Connect, чтобы определить, как связать этот запрос с пользователем в локальной среде. Это событие указывает, что мы нашли двух пользователей в локальном каталоге с одинаковым атрибутом привязки облака. Проверьте журналы синхронизации и последние сведения о выполнении синхронизации для получения дополнительных сведений. |
| 33004 | ADPermissionsError | Это событие указывает, что учетная запись службы агента управления Active Directory (ADMA) не имеет соответствующих разрешений для учетной записи, заданной для задания нового пароля. Убедитесь, что учетная запись ADMA в лесу пользователя имеет разрешения на сброс пароля для всех объектов в лесу. Дополнительные сведения о настройке разрешений см. в шаге 4. Настройка соответствующих разрешений Active Directory. Эта ошибка также может возникать, если для атрибута adminCount пользователя задано значение 1. |
| 33005 | ADUserAccountDisabled | Это событие указывает, что мы пытались сбросить или изменить пароль для учетной записи, которая была отключена локально. Включите учетную запись и повторите операцию. |
| 33006 | ADUserAccountLockedOut | Это событие указывает, что мы пытались сбросить или изменить пароль для учетной записи, которая была заблокирована локально. Блокировки могут возникать, когда пользователь пытался выполнить операцию изменения или сброса пароля слишком много раз за короткий период. Разблокируйте учетную запись и повторите операцию. |
| 33007 | ADUserIncorrectPassword | Это событие указывает, что пользователь указал неправильный текущий пароль при выполнении операции изменения пароля. Укажите правильный текущий пароль и повторите попытку. |
| 33008 | ADPasswordPolicyError | Это событие возникает, когда служба обратной записи паролей пытается задать пароль в локальном каталоге, который не соответствует возрасту пароля, журналу, сложности или фильтрации требований к домену. Если у вас есть минимальный возраст пароля и недавно изменен пароль в течение этого периода времени, вы не сможете снова изменить пароль до тех пор, пока он не достигнет указанного возраста в вашем домене. В целях тестирования минимальный возраст должен иметь значение 0. Если у вас есть включенные требования к журналу паролей, необходимо выбрать пароль, который не использовался в последние N раз, где N — это параметр журнала паролей. Если вы выберете пароль, который использовался в последние N раз, то в этом случае отобразится сбой. Для тестирования журнал паролей должен иметь значение 0. Если у вас есть требования к сложности паролей, все они применяются при попытке пользователя изменить или сбросить пароль. Если у вас есть фильтры паролей, а пользователь выбирает пароль, который не соответствует критериям фильтрации, то операция сброса или изменения завершается сбоем. |
| 33009 | ADConfigurationError | Это событие указывает, что возникла проблема с записью пароля обратно в локальный каталог из-за проблемы конфигурации с Active Directory. Дополнительные сведения о возникновении ошибки см. в журнале событий приложения microsoft Entra Connect компьютера с помощью службы ADSync. |
Символы подразделения, зарезервированные от обратной записи паролей
В следующей таблице перечислены зарезервированные символы, которые препятствуют обратной записи паролей. Если эти символы отображаются в локальной структуре подразделения организации, обратная запись паролей может завершиться ошибкой с идентификатором события 33001.
| Зарезервированный символ | Описание | Шестнадцатеричное значение |
|---|---|---|
| пробел или символ # в начале строки | ||
| пробел в конце строки | ||
| , | запятая | 0x2C |
| + | знак плюс | 0x2B |
| " | кавычка | 0x22 |
| \ | обратная косая черта | 0x5C |
| < | левая угловая скобка | 0x3C |
| > | правая угловая скобка | 0x3E |
| ; | точка с запятой | 0x3B |
| ЕСЛИ | Веб-канал строки | 0x0A |
| CR | возврат каретки | 0x0D |
| = | знак равенства | 0x3D |
| / | Косая черта вперед | 0x2F |
Форумы Microsoft Entra
Если у вас есть общие вопросы об идентификаторе Microsoft Entra ID и самостоятельном сбросе пароля, вы можете обратиться за помощью к сообществу на странице вопросов Microsoft Q&A для идентификатора Microsoft Entra ID. Члены сообщества включают инженеров, менеджеров по продуктам, MVP и коллег ИТ-специалистов.
Обратитесь в службу поддержки Майкрософт
Если вы не можете найти ответ на проблему, наши группы поддержки всегда доступны, чтобы помочь вам дальше.
Чтобы правильно помочь вам, мы просим вас предоставить максимально подробную информацию при открытии дела. К этим сведениям относятся следующие сведения:
- Общее описание ошибки: Что такое ошибка? Что такое поведение, которое было замечено? Как мы можем воспроизвести ошибку? Укажите максимально подробную информацию.
- Страница: На какой странице вы заметили ошибку? Добавьте URL-адрес, если вы можете и снимок экрана страницы.
- Код поддержки: какой код поддержки был создан, когда пользователь увидел ошибку?
Чтобы найти этот код, воспроизведите ошибку, а затем выберите ссылку кода поддержки в нижней части экрана и отправьте инженеру поддержки идентификатор GUID, который приводит.
Если вы находитесь на странице без кода поддержки в нижней части, выберите F12 и найдите идентификатор безопасности и CID и отправьте эти два результата инженеру поддержки.
- Дата, время и часовой пояс: добавьте точную дату и время в часовой пояс, в который произошла ошибка.
- Идентификатор пользователя: кто был пользователем, который видел ошибку? Пример: user@contoso.com.
- Это федеративный пользователь?
- Это пользователь сквозной проверки подлинности?
- Это пользователь, синхронизированный с паролем?
- Это только облачный пользователь?
- Лицензирование. Назначена ли пользователю лицензия на идентификатор Microsoft Entra ID?
- Журнал событий приложения: если вы используете обратную запись паролей, а ошибка находится в локальной инфраструктуре, добавьте в него архивную копию журнала событий приложения с сервера Microsoft Entra Connect.
Дальнейшие действия
Дополнительные сведения о SSPR см. в статье о том, как это работает: самостоятельный сброс пароля Microsoft Entra или как работает обратная запись самостоятельного сброса пароля в идентификаторе Microsoft Entra ID?