Problemen met terugschrijven van selfservice voor wachtwoordherstel in Microsoft Entra-id oplossen
Met Microsoft Entra selfservice voor wachtwoordherstel (SSPR) kunnen gebruikers hun wachtwoorden opnieuw instellen in de cloud. Wachtwoord terugschrijven is een functie die is ingeschakeld met Microsoft Entra Connect of cloudsynchronisatie waarmee wachtwoordwijzigingen in de cloud in realtime worden teruggeschreven naar een bestaande on-premises directory.
Als u problemen ondervindt met terugschrijven van SSPR, kunnen de volgende stappen voor probleemoplossing en veelvoorkomende fouten helpen. Als u het antwoord op uw probleem niet kunt vinden, zijn onze ondersteuningsteams altijd beschikbaar om u verder te helpen.
Verbindingsproblemen oplossen
Als u problemen ondervindt met het terugschrijven van wachtwoorden voor Microsoft Entra Connect, raadpleegt u de volgende stappen om het probleem op te lossen. Als u uw service wilt herstellen, raden we u aan deze stappen te volgen in de volgende volgorde:
- Netwerkverbinding bevestigen
- TLS 1.2 controleren
- Microsoft .NET 4.8 bijwerken
- De Microsoft Entra Connect Sync-service opnieuw starten
- De functie wachtwoord terugschrijven uitschakelen en opnieuw inschakelen
- De nieuwste Versie van Microsoft Entra Connect installeren
- Problemen met wachtwoord terugschrijven oplossen
Netwerkverbinding bevestigen
Het meest voorkomende storingspunt is dat firewall- of proxypoorten of niet-actieve time-outs onjuist zijn geconfigureerd.
Voor Microsoft Entra Connect versie 1.1.443.0 en hoger is uitgaande HTTPS-toegang vereist voor de volgende adressen:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Azure for US Government-eindpunten:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Azure China 21Vianet-eindpunten:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Als u meer granulariteit nodig hebt, raadpleegt u de lijst met IP-bereiken en servicetags van Microsoft Azure voor openbare cloud.
Zie de lijst met IP-bereiken en servicetags van Microsoft Azure voor Azure voor de Amerikaanse overheid voor Azure voor de Amerikaanse overheid voor azure.
Deze bestanden worden wekelijks bijgewerkt.
Volg deze stappen om te bepalen of de toegang tot een URL en poort is beperkt in een omgeving zoals openbare Azure-cloud:
Open op de Entra Connect-server de logboeken van logboeken (Windows-logboeken, toepassing) en zoek een van deze gebeurtenis-id's: 31034 of 31019.
Identificeer op basis van deze gebeurtenis-id's de naam van de service bus-listener:
Voer de volgende cmdlet uit:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
U kunt ook het volgende uitvoeren:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
Vervang de <naamruimte> door hetzelfde dat u hebt geëxtraheerd uit de bovenstaande gebeurtenis-id's. In het voorgaande geval is de opdracht bijvoorbeeld:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Zie de connectiviteitsvereisten voor Microsoft Entra Connect voor meer informatie.
Controleren of TLS 1.2 is ingeschakeld
Een extra stap voor probleemoplossing is om te controleren of TLS 1.2 correct is ingeschakeld op de synchronisatieserver. Voer PowerShell-script uit om TLS 1.2 te controleren op Entra Connect Server. Zorg ervoor dat u het script uitvoert in de beheermodus.
Uitvoer van het controlescript dat moet lijken op de volgende afbeelding (het pad, de naam en de waardekolommen) die correct moeten worden ingeschakeld. Als dit niet het probleem is, voert u het PowerShell-script uit om TLS 1.2 in te schakelen op Entra Connect Server/ start u het script opnieuw op en voert u het script uit om TLS 1.2 opnieuw te controleren.
Zorg ervoor dat Microsoft .NET Framework 4.8 of hoger is ingeschakeld (synchronisatieserver)
Zorg ervoor dat Microsoft .NET Framework 4.8 of hoger is ingeschakeld op de synchronisatieserver.
- Controleren of .NET al is geïnstalleerd
- Query's uitvoeren op het register met behulp van PowerShell
- .NET Framework downloaden
De Microsoft Entra Connect Sync-service opnieuw starten
Als u verbindingsproblemen of andere tijdelijke problemen met de service wilt oplossen, voert u de volgende stappen uit om de Microsoft Entra Connect Sync-service opnieuw op te starten:
Selecteer Start als beheerder op de server waarop Microsoft Entra Connect wordt uitgevoerd.
Voer services.msc in het zoekveld in en selecteer Enter.
Zoek naar de Azure AD Sync-vermelding .
Klik met de rechtermuisknop op de servicevermelding, selecteer Opnieuw opstarten en wacht tot de bewerking is voltooid.
Met deze stappen wordt uw verbinding met Microsoft Entra ID opnieuw tot stand gebracht en moeten uw verbindingsproblemen worden opgelost.
Als het opnieuw opstarten van de Microsoft Entra Connect Sync-service uw probleem niet oplost, probeert u de functie wachtwoord terugschrijven uit te schakelen en vervolgens opnieuw in te schakelen in de volgende sectie.
De functie wachtwoord terugschrijven uitschakelen en opnieuw inschakelen
Als u wilt doorgaan met het oplossen van problemen, voert u de volgende stappen uit om de functie wachtwoord terugschrijven uit te schakelen en vervolgens opnieuw in te schakelen:
- Als beheerder op de server waarop Microsoft Entra Connect wordt uitgevoerd, opent u de wizard Microsoft Entra Connect-configuratie.
- Voer in Verbinding maken met Microsoft Entra ID de referenties van uw hybride Microsoft Entra-beheerder in.
- Voer in Connect to AD DS uw on-premises Active Directory-domein Services-beheerdersreferenties in.
- Selecteer bij Unieke identificatie van uw gebruikers de knop Volgende.
- Schakel in Optionele functies het selectievakje Wachtwoord terugschrijven uit.
- Selecteer Volgende door de resterende dialoogvensterpagina's zonder iets te wijzigen totdat u bij de pagina Voorbereiden bent om de pagina te configureren .
- Controleer of op de pagina Gereed om te configureren de optie Wachtwoord terugschrijven wordt weergegeven als uitgeschakeld. Selecteer de groene knop Configureren om uw wijzigingen door te voeren.
- Schakel in Voltooid de optie Nu synchroniseren uit en selecteer Voltooien om de wizard te sluiten.
- Open de wizard Microsoft Entra Connect Configuration opnieuw.
- Herhaal stap 2-8 en selecteer deze keer de optie Wachtwoord terugschrijven op de pagina Optionele functies om de service opnieuw in te schakelen.
Met deze stappen wordt uw verbinding met Microsoft Entra ID opnieuw tot stand gebracht en moeten uw verbindingsproblemen worden opgelost.
Als het uitschakelen en vervolgens opnieuw inschakelen van de functie wachtwoord terugschrijven uw probleem niet oplost, installeert u Microsoft Entra Connect opnieuw in de volgende sectie.
De nieuwste Versie van Microsoft Entra Connect installeren
Als u Microsoft Entra Connect opnieuw installeert, kunnen configuratie- en connectiviteitsproblemen tussen Microsoft Entra ID en uw lokale Active Directory-domein Services-omgeving worden opgelost. U wordt aangeraden deze stap alleen uit te voeren nadat u de vorige stappen hebt uitgevoerd om de connectiviteit te controleren en problemen op te lossen.
Waarschuwing
Als u de out-of-the-box-synchronisatieregels hebt aangepast, maakt u er een back-up van voordat u doorgaat met de upgrade en implementeert u deze handmatig nadat u klaar bent.
Download de nieuwste versie van Microsoft Entra Connect vanuit het Microsoft Downloadcentrum.
Zoals u Microsoft Entra Connect al hebt geïnstalleerd, voert u een in-place upgrade uit om uw Microsoft Entra Connect-installatie bij te werken naar de nieuwste versie.
Voer het gedownloade pakket uit en volg de instructies op het scherm om Microsoft Entra Connect bij te werken.
Deze stappen moeten uw verbinding met Microsoft Entra ID opnieuw tot stand brengen en uw verbindingsproblemen oplossen.
Als u de nieuwste versie van de Microsoft Entra Connect-server installeert, kunt u het probleem niet oplossen door wachtwoord terugschrijven uit te schakelen en vervolgens opnieuw in te schakelen als laatste stap nadat u de nieuwste versie hebt geïnstalleerd.
Controleer of Microsoft Entra Connect over de vereiste machtigingen beschikt
Microsoft Entra Connect vereist ad DS Reset-wachtwoordmachtigingen om wachtwoord terugschrijven uit te voeren. Als u wilt controleren of Microsoft Entra Connect de vereiste machtiging heeft voor een bepaald on-premises AD DS-gebruikersaccount, gebruikt u de functie Effectieve machtigingen voor Windows:
Meld u aan bij de Microsoft Entra Connect-server en start de Synchronization Service Manager door Synchronisatieservice starten>te selecteren.
Selecteer op het tabblad Connectors de on-premises Active Directory-domein Services-connector en selecteer vervolgens Eigenschappen.
Selecteer in het pop-upvenster Verbinding maken met Active Directory-forest en noteer de eigenschap Gebruikersnaam . Deze eigenschap is het AD DS-account dat wordt gebruikt door Microsoft Entra Connect om adreslijstsynchronisatie uit te voeren.
Voor Microsoft Entra Connect om wachtwoord terugschrijven uit te voeren, moet het AD DS-account wachtwoordmachtigingen opnieuw instellen. In de volgende stappen controleert u de machtigingen voor dit gebruikersaccount.
Meld u aan bij een on-premises domeincontroller en start de Active Directory toepassing.
Selecteer Weergave en zorg ervoor dat de optie Geavanceerde functies is ingeschakeld.
Zoek naar het AD DS-gebruikersaccount dat u wilt verifiëren. Klik met de rechtermuisknop op de accountnaam en selecteer Eigenschappen.
Ga in het pop-upvenster naar het tabblad Beveiliging en selecteer Geavanceerd.
Ga in het pop-upvenster Geavanceerde beveiligingsinstellingen voor beheerders naar het tabblad Effectieve toegang .
Kies Een gebruiker selecteren, selecteer het AD DS-account dat wordt gebruikt door Microsoft Entra Connect en selecteer vervolgens Effectieve toegang weergeven.
Schuif omlaag en zoek het wachtwoord opnieuw instellen. Als de vermelding een vinkje heeft, is het AD DS-account gemachtigd om het wachtwoord van het geselecteerde Active Directory-gebruikersaccount opnieuw in te stellen.
Veelvoorkomende fouten bij het terugschrijven van wachtwoorden
De volgende specifiekere problemen kunnen optreden bij het terugschrijven van wachtwoorden. Als u een van deze fouten hebt, controleert u de voorgestelde oplossing en controleert u of wachtwoord terugschrijven correct werkt.
Fout | Oplossing |
---|---|
De service voor wachtwoordherstel start niet on-premises. Fout 6800 wordt weergegeven in het toepassingslogboek van de Microsoft Entra Connect-machine. Na onboarding, federatieve, passthrough-verificatie of wachtwoord-hash-gesynchroniseerde gebruikers kunnen hun wachtwoorden niet opnieuw instellen. |
Wanneer wachtwoord terugschrijven is ingeschakeld, roept de synchronisatie-engine de writeback-bibliotheek aan om de configuratie (onboarding) uit te voeren door te communiceren met de cloud-onboardingservice. Fouten die zijn opgetreden tijdens de onboarding of tijdens het starten van het WCF-eindpunt (Windows Communication Foundation) voor wachtwoord terugschrijven, veroorzaken fouten in het gebeurtenislogboek op uw Microsoft Entra Connect-computer. Als write-back is geconfigureerd, wordt het WCF-eindpunt gestart tijdens het opnieuw opstarten van de Azure AD Sync-service (ADSync). Maar als het opstarten van het eindpunt mislukt, registreren we gebeurtenis 6800 en laten we de synchronisatieservice starten. De aanwezigheid van deze gebeurtenis betekent dat het eindpunt voor het terugschrijven van wachtwoorden niet is gestart. Details van gebeurtenislogboeken voor deze gebeurtenis 6800, samen met vermeldingen in het gebeurtenislogboek die worden gegenereerd door het onderdeel PasswordResetService, geven aan waarom u het eindpunt niet kunt starten. Bekijk deze fouten in het gebeurtenislogboek en start Microsoft Entra Connect opnieuw op als het terugschrijven van wachtwoorden nog steeds niet werkt. Als het probleem zich blijft voordoen, probeert u het terugschrijven van wachtwoorden uit te schakelen en vervolgens opnieuw in te schakelen. |
Wanneer een gebruiker probeert een wachtwoord opnieuw in te stellen of een account te ontgrendelen waarvoor wachtwoord terugschrijven is ingeschakeld, mislukt de bewerking. Daarnaast ziet u een gebeurtenis in het Gebeurtenislogboek van Microsoft Entra Connect dat het volgende bevat: "Synchronization Engine heeft een fout hr=800700CE, message=The bestandsnaam of extensie is te lang" nadat de ontgrendelingsbewerking is uitgevoerd. |
Zoek het Active Directory-account voor Microsoft Entra Connect en stel het wachtwoord opnieuw in, zodat het niet meer dan 256 tekens bevat. Open vervolgens de synchronisatieservice in het menu Start . Blader naar connectors en zoek de Active Directory-connector. Selecteer deze en selecteer vervolgens Eigenschappen. Blader naar de pagina Referenties en voer het nieuwe wachtwoord in. Selecteer OK om de pagina te sluiten. |
In de laatste stap van het installatieproces van Microsoft Entra Connect ziet u een fout die aangeeft dat wachtwoord terugschrijven niet kan worden geconfigureerd. Het gebeurtenislogboek van de Microsoft Entra Connect-toepassing bevat fout 32009 met de tekst 'Fout bij het ophalen van verificatietoken'. |
Deze fout treedt op in de volgende twee gevallen:
|
Het gebeurtenislogboek van de Microsoft Entra Connect-machine bevat fout 32002 die wordt gegenereerd door het uitvoeren van PasswordResetService. De fout wordt gelezen: 'Fout bij het maken van verbinding met ServiceBus. De tokenprovider kan geen beveiligingstoken opgeven. |
Uw on-premises omgeving kan geen verbinding maken met het Azure Service Bus-eindpunt in de cloud. Deze fout wordt normaal gesproken veroorzaakt door een firewallregel die een uitgaande verbinding met een bepaalde poort of een bepaald webadres blokkeert. Zie de vereisten voor connectiviteit voor meer informatie. Nadat u deze regels hebt bijgewerkt, start u de Microsoft Entra Connect-server opnieuw op en werkt het terugschrijven van wachtwoorden opnieuw. |
Na enige tijd te hebben gewerkt, kunnen federatieve, passthrough-verificatie of met wachtwoord-hash gesynchroniseerde gebruikers hun wachtwoorden niet opnieuw instellen. | In sommige zeldzame gevallen kan de service voor het terugschrijven van wachtwoorden niet opnieuw worden opgestart wanneer Microsoft Entra Connect opnieuw is opgestart. In deze gevallen controleert u eerst of wachtwoord terugschrijven on-premises is ingeschakeld. U kunt dit controleren met behulp van de Microsoft Entra Connect-wizard of PowerShell. Als de functie lijkt te zijn ingeschakeld, schakelt u de functie opnieuw in of uit. Als deze probleemoplossingsstap niet werkt, probeert u microsoft Entra Connect volledig te verwijderen en opnieuw te installeren. |
Federatieve, passthrough-verificatie of met wachtwoord-hash gesynchroniseerde gebruikers die proberen hun wachtwoorden opnieuw in te stellen, zien een fout na een poging om hun wachtwoord in te dienen. De fout geeft aan dat er een serviceprobleem is opgetreden. Naast dit probleem ziet u tijdens het opnieuw instellen van wachtwoorden mogelijk een fout dat de beheeragent de toegang in uw on-premises gebeurtenislogboeken is geweigerd. |
Als u deze fouten in het gebeurtenislogboek ziet, controleert u of het ADMA-account (Active Directory Management Agent) dat is opgegeven in de wizard op het moment van de configuratie, over de benodigde machtigingen beschikt voor het terugschrijven van wachtwoorden. Nadat deze machtiging is verleend, kan het tot één uur duren voordat de machtigingen worden overvallen via de sdprop achtergrondtaak op de domeincontroller (DC). Wachtwoordherstel werkt alleen als de machtiging moet worden gestempeld op de beveiligingsdescriptor van het gebruikersobject waarvan het wachtwoord opnieuw wordt ingesteld. Totdat deze machtiging wordt weergegeven voor het gebruikersobject, blijft het opnieuw instellen van het wachtwoord mislukken met een bericht dat de toegang is geweigerd. |
Federatieve, passthrough-verificatie of door wachtwoord-hash gesynchroniseerde gebruikers die hun wachtwoorden opnieuw willen instellen, zien een fout nadat ze hun wachtwoord hebben ingediend. De fout geeft aan dat er een serviceprobleem is opgetreden. Naast dit probleem ziet u tijdens het opnieuw instellen van wachtwoorden mogelijk een fout in uw gebeurtenislogboeken van de Microsoft Entra Connect-service die aangeeft dat de fout 'Object kan niet worden gevonden'. |
Deze fout geeft meestal aan dat de synchronisatie-engine het gebruikersobject niet kan vinden in de Microsoft Entra-connectorruimte of de gekoppelde metaverse (MV) of microsoft Entra-connectorruimteobject. Als u dit probleem wilt oplossen, moet u ervoor zorgen dat de gebruiker inderdaad wordt gesynchroniseerd van on-premises naar Microsoft Entra ID via het huidige exemplaar van Microsoft Entra Connect en de status van de objecten in de connectorruimten en MV inspecteert. Controleer of het AD CS-object (Active Directory Certificate Services) is verbonden met het MV-object via de regel 'Microsoft.InfromADUserAccountEnabled.xxx'. |
Federatieve, passthrough-verificatie of door wachtwoord-hash gesynchroniseerde gebruikers die proberen hun wachtwoorden opnieuw in te stellen, zien een fout nadat ze hun wachtwoord hebben ingediend. De fout geeft aan dat er een serviceprobleem is opgetreden. Naast dit probleem ziet u tijdens het opnieuw instellen van wachtwoorden mogelijk een fout in uw gebeurtenislogboeken van de Microsoft Entra Connect-service die aangeeft dat er een fout 'Meerdere overeenkomsten gevonden' is. |
Dit geeft aan dat de synchronisatie-engine heeft gedetecteerd dat het MV-object is verbonden met meer dan één AD CS-object via 'Microsoft.InfromADUserAccountEnabled.xxx'. Dit betekent dat de gebruiker een ingeschakeld account heeft in meer dan één forest. Dit scenario wordt niet ondersteund voor wachtwoord terugschrijven. |
Wachtwoordbewerkingen mislukken met een configuratiefout. Het toepassingsgebeurtenislogboek bevat Microsoft Entra Connect-fout 6329 met de tekst '0x8023061f (de bewerking is mislukt omdat wachtwoordsynchronisatie niet is ingeschakeld op deze beheeragent)'. | Deze fout treedt op als de Configuratie van Microsoft Entra Connect wordt gewijzigd om een nieuw Active Directory-forest toe te voegen (of om een bestaand forest te verwijderen en te lezen) nadat de functie voor het terugschrijven van wachtwoorden al is ingeschakeld. Wachtwoordbewerkingen voor gebruikers in deze onlangs toegevoegde forests mislukken. U kunt het probleem oplossen door de functie wachtwoord terugschrijven uit te schakelen en opnieuw in te schakelen nadat de forestconfiguratiewijzigingen zijn voltooid. |
SSPR_0029: uw wachtwoord kan niet opnieuw worden ingesteld vanwege een fout in uw on-premises configuratie. Neem contact op met uw beheerder en vraag deze te onderzoeken. | Probleem: Wachtwoord terugschrijven is ingeschakeld volgens alle vereiste stappen, maar wanneer u een wachtwoord probeert te wijzigen, ontvangt u 'SSPR_0029: Uw organisatie heeft de on-premises configuratie voor wachtwoordherstel niet correct ingesteld'. Als u de gebeurtenislogboeken in het Microsoft Entra Connect-systeem controleert, ziet u dat de toegang tot de referenties van de beheeragent is geweigerd. Mogelijke oplossing: Gebruik RSOP op het Microsoft Entra Connect-systeem en uw domeincontrollers om te zien of het beleid 'Netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen plaatsen' onder Beveiligingsinstellingen voor computerconfiguratie > windows-instellingen > > voor beveiligingsopties voor lokaal beleid > is ingeschakeld. Bewerk het beleid om het MSOL_XXXXXXX-beheeraccount op te nemen als een toegestane gebruiker. Zie Problemen oplossen SSPR_0029: uw organisatie heeft de on-premises configuratie voor wachtwoordherstel niet juist ingesteld voor meer informatie. |
Foutcodes voor gebeurtenislogboeken voor wachtwoord terugschrijven
Een best practice wanneer u problemen met wachtwoord terugschrijven oplost, is het controleren van het gebeurtenislogboek van de toepassing op uw Microsoft Entra Connect-computer. Dit gebeurtenislogboek bevat gebeurtenissen uit twee bronnen voor wachtwoord terugschrijven. De source PasswordResetService beschrijft bewerkingen en problemen met betrekking tot de werking van wachtwoord terugschrijven. De ADSync-bron beschrijft bewerkingen en problemen met betrekking tot het instellen van wachtwoorden in uw Active Directory-domein Services-omgeving.
Als de bron van de gebeurtenis ADSync is
Code | Naam of bericht | Beschrijving |
---|---|---|
6329 | BORG: MMS(4924) 0x80230619: "Een beperking voorkomt dat het wachtwoord wordt gewijzigd in de huidige opgegeven waarde." | Deze gebeurtenis treedt op wanneer de service voor het terugschrijven van wachtwoorden probeert een wachtwoord in te stellen in uw lokale directory die niet voldoet aan de wachtwoordduur, geschiedenis, complexiteit of filtervereisten van het domein. Deze gebeurtenis kan ook optreden als een wachtwoord niet kan worden gewijzigd voor een gebruiker. Als u een minimale wachtwoordduur hebt en het wachtwoord onlangs binnen dat tijdsbestek hebt gewijzigd, kunt u het wachtwoord pas opnieuw wijzigen als het de opgegeven leeftijd in uw domein bereikt. Voor testdoeleinden moet de minimumleeftijd worden ingesteld op 0. Als u wachtwoordgeschiedenisvereisten hebt ingeschakeld, moet u een wachtwoord selecteren dat de laatste N keer niet is gebruikt, waarbij N de instelling voor wachtwoordgeschiedenis is. Als u een wachtwoord selecteert dat in de laatste N keer is gebruikt, ziet u in dit geval een fout. Voor testdoeleinden moet de wachtwoordgeschiedenis worden ingesteld op 0. Als u vereisten voor wachtwoordcomplexiteit hebt, worden ze allemaal afgedwongen wanneer de gebruiker probeert een wachtwoord te wijzigen of opnieuw in te stellen. Als u wachtwoordfilters hebt ingeschakeld en een gebruiker een wachtwoord selecteert dat niet voldoet aan de filtercriteria, mislukt de bewerking opnieuw instellen of wijzigen. Als de gebruiker de eigenschapsvlag PASSWD_CANT_CHANGE heeft ingesteld, kan het wachtwoord niet worden gesynchroniseerd. Verwijder voor testdoeleinden de eigenschapsvlag PASSWD_CANT_CHANGE. Zie Beschrijvingen van eigenschapsvlagmarkeringen voor meer informatie. |
6329 | MMS(3040): admaexport.cpp(2837): De server bevat geen LDAP-wachtwoordbeleidsbeheer. | Dit probleem treedt op als LDAP_SERVER_POLICY_HINTS_OID besturingselement (1.2.840.113556.1.4.2066) niet is ingeschakeld op de DC's. Als u de functie wachtwoord terugschrijven wilt gebruiken, moet u het besturingselement inschakelen. Hiervoor moeten de DC's zich op Windows Server 2016 of hoger bevinden. |
HR-8023042 | Synchronisatie-engine heeft een fout geretourneerd hr=80230402, bericht=Een poging om een object op te halen is mislukt omdat er dubbele vermeldingen met hetzelfde anker zijn. | Deze fout treedt op wanneer dezelfde gebruikers-id is ingeschakeld in meerdere domeinen. Een voorbeeld is als u account- en resourceforests synchroniseert en dezelfde gebruikers-id aanwezig en ingeschakeld hebt in elk forest. Deze fout kan ook optreden als u een niet-uniek ankerkenmerk, zoals een alias of UPN, gebruikt en twee gebruikers hetzelfde ankerkenmerk delen. U kunt dit probleem oplossen door ervoor te zorgen dat u geen dubbele gebruikers in uw domeinen hebt en dat u voor elke gebruiker een uniek ankerkenmerk gebruikt. |
Als de bron van de gebeurtenis PasswordResetService is
Code | Naam of bericht | Beschrijving |
---|---|---|
31001 | PasswordResetStart | Met deze gebeurtenis wordt aangegeven dat de on-premises service een aanvraag voor wachtwoordherstel heeft gedetecteerd voor een federatieve, passthrough-verificatie of door wachtwoord-hash gesynchroniseerde gebruiker die afkomstig is van de cloud. Deze gebeurtenis is de eerste gebeurtenis in elke write-backbewerking voor wachtwoordherstel. |
31002 | PasswordResetSuccess | Deze gebeurtenis geeft aan dat een gebruiker een nieuw wachtwoord heeft geselecteerd tijdens een bewerking voor het opnieuw instellen van een wachtwoord. We hebben vastgesteld dat dit wachtwoord voldoet aan de bedrijfswachtwoordvereisten. Het wachtwoord is teruggeschreven naar de lokale Active Directory-omgeving. |
31003 | PasswordResetFail | Met deze gebeurtenis wordt aangegeven dat een gebruiker een wachtwoord heeft geselecteerd en dat het wachtwoord is aangekomen in de on-premises omgeving. Maar toen we probeerden het wachtwoord in te stellen in de lokale Active Directory-omgeving, is er een fout opgetreden. Deze fout kan om verschillende redenen optreden:
|
31004 | OnboardingEventStart | Deze gebeurtenis treedt op als u wachtwoord terugschrijven inschakelt met Microsoft Entra Connect en uw organisatie is begonnen met onboarding van uw organisatie naar de webservice voor wachtwoord terugschrijven. |
31005 | OnboardingEventSuccess | Met deze gebeurtenis wordt aangegeven dat het onboardingproces is geslaagd en dat de mogelijkheid voor het terugschrijven van wachtwoorden gereed is voor gebruik. |
31006 | ChangePasswordStart | Deze gebeurtenis geeft aan dat de on-premises service een aanvraag voor wachtwoordwijziging heeft gedetecteerd voor een federatieve, passthrough-verificatie of wachtwoord-hash-gesynchroniseerde gebruiker die afkomstig is van de cloud. Deze gebeurtenis is de eerste gebeurtenis in elke write-backbewerking voor wachtwoordwijziging. |
31007 | ChangePasswordSuccess | Deze gebeurtenis geeft aan dat een gebruiker tijdens een bewerking voor het wijzigen van een wachtwoord een nieuw wachtwoord heeft geselecteerd, we hebben vastgesteld dat het wachtwoord voldoet aan de vereisten voor het bedrijfswachtwoord en dat het wachtwoord is teruggeschreven naar de lokale Active Directory-omgeving. |
31008 | ChangePasswordFail | Met deze gebeurtenis wordt aangegeven dat een gebruiker een wachtwoord heeft geselecteerd en dat het wachtwoord is aangekomen in de on-premises omgeving, maar toen we probeerden het wachtwoord in te stellen in de lokale Active Directory-omgeving, is er een fout opgetreden. Deze fout kan om verschillende redenen optreden:
|
31009 | ResetUserPasswordByAdminStart | De on-premises service heeft een aanvraag voor wachtwoordherstel gedetecteerd voor een federatieve, passthrough-verificatie of door wachtwoord-hash gesynchroniseerde gebruiker die afkomstig is van de beheerder namens een gebruiker. Deze gebeurtenis is de eerste gebeurtenis in elke terugschrijfbewerking voor wachtwoordherstel die wordt gestart door een beheerder. |
31010 | ResetUserPasswordByAdminSuccess | De beheerder heeft een nieuw wachtwoord geselecteerd tijdens een door de beheerder geïnitieerde bewerking voor wachtwoordherstel. We hebben vastgesteld dat dit wachtwoord voldoet aan de bedrijfswachtwoordvereisten. Het wachtwoord is teruggeschreven naar de lokale Active Directory-omgeving. |
31011 | ResetUserPasswordByAdminFail | De beheerder heeft namens een gebruiker een wachtwoord geselecteerd. Het wachtwoord is aangekomen in de on-premises omgeving. Maar toen we probeerden het wachtwoord in te stellen in de lokale Active Directory-omgeving, is er een fout opgetreden. Deze fout kan om verschillende redenen optreden:
|
31012 | OffboardingEventStart | Deze gebeurtenis treedt op als u wachtwoord terugschrijven uitschakelt met Microsoft Entra Connect en aangeeft dat we uw organisatie begonnen te offboarden naar de webservice voor het terugschrijven van wachtwoorden. |
31013 | OffboardingEventSuccess | Met deze gebeurtenis wordt aangegeven dat het offboardingproces is geslaagd en dat de mogelijkheid voor het terugschrijven van wachtwoorden is uitgeschakeld. |
31014 | OffboardingEventFail | Met deze gebeurtenis wordt aangegeven dat het offboardingproces niet is geslaagd. Dit kan worden veroorzaakt door een machtigingsfout in het cloud- of on-premises beheerdersaccount dat is opgegeven tijdens de configuratie. De fout kan ook optreden als u probeert een federatieve hybride cloudbeheerder te gebruiken bij het uitschakelen van wachtwoord terugschrijven. Als u dit probleem wilt oplossen, controleert u uw beheerdersmachtigingen en zorgt u ervoor dat u geen federatief account gebruikt tijdens het configureren van de mogelijkheid voor het terugschrijven van wachtwoorden. |
31015 | WriteBackServiceStarted | Met deze gebeurtenis wordt aangegeven dat de service voor het terugschrijven van wachtwoorden is gestart. Het is klaar om aanvragen voor wachtwoordbeheer vanuit de cloud te accepteren. |
31016 | WriteBackServiceStopped | Met deze gebeurtenis wordt aangegeven dat de service voor het terugschrijven van wachtwoorden is gestopt. Alle aanvragen voor wachtwoordbeheer van de cloud zijn niet geslaagd. |
31017 | AuthTokenSuccess | Met deze gebeurtenis wordt aangegeven dat we een autorisatietoken hebben opgehaald voor de hybride beheerder die is opgegeven tijdens de installatie van Microsoft Entra Connect om het offboarding- of onboardingproces te starten. |
31018 | KeyPairCreationSuccess | Deze gebeurtenis geeft aan dat we de wachtwoordversleutelingssleutel hebben gemaakt. Deze sleutel wordt gebruikt om wachtwoorden van de cloud te versleutelen die naar uw on-premises omgeving moeten worden verzonden. |
31019 | ServiceBusHeartBeat | Deze gebeurtenis geeft aan dat we een aanvraag hebben verzonden naar het Service Bus-exemplaar van uw tenant. |
31034 | ServiceBusListenerError | Deze gebeurtenis geeft aan dat er een fout is opgetreden bij het maken van verbinding met de Service Bus-listener van uw tenant. Als het foutbericht 'Het externe certificaat is ongeldig' bevat, controleert u of de Microsoft Entra Connect-server alle vereiste basis-CA's bevat, zoals wordt beschreven in wijzigingen in Het Azure TLS-certificaat. |
31044 | PasswordResetService | Met deze gebeurtenis wordt aangegeven dat wachtwoord terugschrijven niet werkt. Service Bus luistert naar aanvragen op twee afzonderlijke relays voor redundantie. Elke relayverbinding wordt beheerd door een unieke servicehost. De writeback-client retourneert een fout als een van beide servicehosts niet wordt uitgevoerd. |
32000 | UnknownError | Deze gebeurtenis geeft aan dat er een onbekende fout is opgetreden tijdens een wachtwoordbeheerbewerking. Bekijk de uitzonderingstekst in de gebeurtenis voor meer informatie. Als u problemen ondervindt, schakelt u het wachtwoord terugschrijven uit en schakelt u het terugschrijven van wachtwoorden opnieuw in. Als dit niet helpt, neemt u een kopie van het gebeurtenislogboek op, samen met de tracerings-id die is opgegeven wanneer u een ondersteuningsaanvraag opent. |
32001 | ServiceError | Deze gebeurtenis geeft aan dat er een fout is opgetreden bij het maken van verbinding met de cloudservice voor wachtwoordherstel. Deze fout treedt meestal op wanneer de on-premises service geen verbinding kan maken met de webservice voor wachtwoordherstel. |
32002 | ServiceBusError | Deze gebeurtenis geeft aan dat er een fout is opgetreden bij het maken van verbinding met het Service Bus-exemplaar van uw tenant. Dit kan gebeuren als u uitgaande verbindingen in uw on-premises omgeving blokkeert. Controleer uw firewall om ervoor te zorgen dat u verbindingen via TCP 443 en naar https://ssprdedicatedsbprodncu.servicebus.windows.nettoestaat en probeer het vervolgens opnieuw. Als u nog steeds problemen ondervindt, schakelt u het wachtwoord uit en schakelt u wachtwoord terugschrijven opnieuw in. |
32003 | InPutValidationError | Met deze gebeurtenis wordt aangegeven dat de invoer die is doorgegeven aan de webservice-API ongeldig is. Probeer de bewerking opnieuw. |
32004 | DecryptionError | Deze gebeurtenis geeft aan dat er een fout is opgetreden bij het ontsleutelen van het wachtwoord dat vanuit de cloud is aangekomen. Dit kan het gevolg zijn van een niet-overeenkomende ontsleutelingssleutel tussen de cloudservice en uw on-premises omgeving. U kunt dit probleem oplossen door wachtwoord terugschrijven uit te schakelen en vervolgens opnieuw in te schakelen in uw on-premises omgeving. |
32005 | ConfigurationError | Tijdens de onboarding slaan we tenantspecifieke informatie op in een configuratiebestand in uw on-premises omgeving. Deze gebeurtenis geeft aan dat er een fout is opgetreden bij het opslaan van dit bestand of dat er een fout is opgetreden bij het lezen van het bestand toen de service werd gestart. U kunt dit probleem oplossen door wachtwoord terugschrijven uit te schakelen en vervolgens opnieuw in te schakelen om een herschrijfbewerking van het configuratiebestand af te dwingen. |
32007 | OnBoardingConfigUpdateError | Tijdens de onboarding verzenden we gegevens van de cloud naar de on-premises service voor wachtwoordherstel. Deze gegevens worden vervolgens naar een in-memory bestand geschreven voordat deze naar de synchronisatieservice worden verzonden om veilig op schijf te worden opgeslagen. Deze gebeurtenis geeft aan dat er een probleem is met het schrijven of bijwerken van die gegevens in het geheugen. U kunt dit probleem oplossen door wachtwoord terugschrijven uit te schakelen en vervolgens opnieuw in te schakelen om een herschrijfbewerking van dit configuratiebestand af te dwingen. |
32008 | ValidationError | Deze gebeurtenis geeft aan dat we een ongeldig antwoord hebben ontvangen van de webservice voor wachtwoordherstel. U kunt dit probleem oplossen door wachtwoord terugschrijven uit te schakelen en vervolgens opnieuw in te schakelen. |
32009 | AuthTokenError | Met deze gebeurtenis wordt aangegeven dat er geen autorisatietoken kan worden opgehaald voor het hybride beheerdersaccount dat is opgegeven tijdens de installatie van Microsoft Entra Connect. Deze fout kan worden veroorzaakt door een ongeldige gebruikersnaam of wachtwoord die is opgegeven voor het hybride beheerdersaccount. Deze fout kan ook optreden als het opgegeven hybride beheerdersaccount federatief is. U kunt dit probleem oplossen door de configuratie opnieuw uit te voeren met de juiste gebruikersnaam en het juiste wachtwoord en ervoor te zorgen dat de beheerder een beheerd account (alleen in de cloud of met een wachtwoord gesynchroniseerd) is. |
32010 | CryptoError | Deze gebeurtenis geeft aan dat er een fout is opgetreden bij het genereren van de wachtwoordversleutelingssleutel of het ontsleutelen van een wachtwoord dat afkomstig is van de cloudservice. Deze fout duidt waarschijnlijk op een probleem met uw omgeving. Bekijk de details van uw gebeurtenislogboek voor meer informatie over het oplossen van dit probleem. U kunt ook proberen de service voor wachtwoord terugschrijven uit te schakelen en vervolgens opnieuw in te schakelen. |
32011 | OnBoardingServiceError | Met deze gebeurtenis wordt aangegeven dat de on-premises service niet goed kan communiceren met de webservice voor wachtwoordherstel om het onboardingproces te starten. Dit kan gebeuren als gevolg van een firewallregel of als er een probleem is met het ophalen van een verificatietoken voor uw tenant. U kunt dit probleem oplossen door ervoor te zorgen dat u uitgaande verbindingen niet blokkeert via TCP 443 en TCP 9350-9354 of naar https://ssprdedicatedsbprodncu.servicebus.windows.net. Zorg er ook voor dat het Microsoft Entra-beheerdersaccount dat u gebruikt voor onboarding niet federatief is. |
32013 | OffBoardingError | Met deze gebeurtenis wordt aangegeven dat de on-premises service niet goed kan communiceren met de webservice voor wachtwoordherstel om het offboardingproces te starten. Dit kan gebeuren als gevolg van een firewallregel of als er een probleem is met het ophalen van een autorisatietoken voor uw tenant. U kunt dit probleem oplossen door ervoor te zorgen dat u uitgaande verbindingen van meer dan 443 of naar https://ssprdedicatedsbprodncu.servicebus.windows.netniet blokkeert en dat het Microsoft Entra-beheerdersaccount dat u gebruikt voor offboard, niet is gefedereerd. |
32014 | ServiceBusWarning | Deze gebeurtenis geeft aan dat we opnieuw moeten proberen verbinding te maken met het Service Bus-exemplaar van uw tenant. Onder normale omstandigheden is dit geen probleem, maar als u deze gebeurtenis vaak ziet, kunt u overwegen om uw netwerkverbinding met Service Bus te controleren, vooral als het een verbinding met hoge latentie of lage bandbreedte is. |
32015 | ReportServiceHealthError | Om de status van uw service voor het terugschrijven van wachtwoorden te controleren, verzenden we elke vijf minuten heartbeatgegevens naar onze webservice voor wachtwoordherstel. Deze gebeurtenis geeft aan dat er een fout is opgetreden bij het verzenden van deze statusgegevens naar de cloudwebservice. Deze statusinformatie bevat geen persoonlijke gegevens en is uitsluitend een heartbeat- en basisservicestatistieken, zodat we servicestatusinformatie in de cloud kunnen verstrekken. |
33001 | ADUnKnownError | Deze gebeurtenis geeft aan dat er een onbekende fout is geretourneerd door Active Directory. Raadpleeg het gebeurtenislogboek van de Microsoft Entra Connect-server voor gebeurtenissen uit de ADSync-bron voor meer informatie. |
33002 | ADUserNotFoundError | Deze gebeurtenis geeft aan dat de gebruiker die probeert een wachtwoord opnieuw in te stellen of te wijzigen, niet is gevonden in de on-premises directory. Deze fout kan optreden wanneer de gebruiker on-premises is verwijderd, maar niet in de cloud. Deze fout kan ook optreden als er een probleem is met de synchronisatie. Controleer uw synchronisatielogboeken en de laatste details van de synchronisatieuitvoering voor meer informatie. |
33003 | ADMutliMatchError | Wanneer een aanvraag voor het opnieuw instellen of wijzigen van wachtwoorden afkomstig is van de cloud, gebruiken we het cloudanker dat is opgegeven tijdens het installatieproces van Microsoft Entra Connect om te bepalen hoe deze aanvraag moet worden gekoppeld aan een gebruiker in uw on-premises omgeving. Deze gebeurtenis geeft aan dat we twee gebruikers in uw on-premises directory hebben gevonden met hetzelfde kenmerk voor cloudankeren. Controleer uw synchronisatielogboeken en de laatste details van de synchronisatieuitvoering voor meer informatie. |
33004 | ADPermissionsError | Met deze gebeurtenis wordt aangegeven dat het ADMA-serviceaccount (Active Directory Management Agent) niet over de juiste machtigingen beschikt voor het betreffende account om een nieuw wachtwoord in te stellen. Zorg ervoor dat het ADMA-account in het forest van de gebruiker wachtwoordmachtigingen opnieuw heeft ingesteld voor alle objecten in het forest. Zie stap 4: De juiste Active Directory-machtigingen instellen voor meer informatie over het instellen van de machtigingen. Deze fout kan ook optreden wanneer het kenmerk AdminCount van de gebruiker is ingesteld op 1. |
33005 | ADUserAccountDisabled | Met deze gebeurtenis wordt aangegeven dat we hebben geprobeerd een wachtwoord opnieuw in te stellen of te wijzigen voor een account dat on-premises is uitgeschakeld. Schakel het account in en probeer de bewerking opnieuw uit te voeren. |
33006 | ADUserAccountLockedOut | Deze gebeurtenis geeft aan dat we hebben geprobeerd een wachtwoord opnieuw in te stellen of te wijzigen voor een account dat on-premises is vergrendeld. Vergrendelingen kunnen optreden wanneer een gebruiker te vaak een wijzigings- of wachtwoordbewerking heeft geprobeerd opnieuw in te stellen in een korte periode. Ontgrendel het account en probeer de bewerking opnieuw uit te voeren. |
33007 | ADUserIncorrectPassword | Met deze gebeurtenis wordt aangegeven dat de gebruiker een onjuist huidig wachtwoord heeft opgegeven bij het uitvoeren van een bewerking voor het wijzigen van een wachtwoord. Geef het juiste huidige wachtwoord op en probeer het opnieuw. |
33008 | ADPasswordPolicyError | Deze gebeurtenis treedt op wanneer de service voor het terugschrijven van wachtwoorden probeert een wachtwoord in te stellen in uw lokale directory die niet voldoet aan de wachtwoordduur, geschiedenis, complexiteit of filtervereisten van het domein. Als u een minimale wachtwoordduur hebt en het wachtwoord onlangs binnen dat tijdsbestek hebt gewijzigd, kunt u het wachtwoord pas opnieuw wijzigen als het de opgegeven leeftijd in uw domein bereikt. Voor testdoeleinden moet de minimumleeftijd worden ingesteld op 0. Als u vereisten voor wachtwoordgeschiedenis hebt ingeschakeld, moet u een wachtwoord selecteren dat de laatste N keer niet is gebruikt, waarbij N de instelling voor wachtwoordgeschiedenis is. Als u een wachtwoord selecteert dat in de laatste N keer is gebruikt, ziet u in dit geval een fout. Voor testdoeleinden moet de wachtwoordgeschiedenis worden ingesteld op 0. Als u vereisten voor wachtwoordcomplexiteit hebt, worden ze allemaal afgedwongen wanneer de gebruiker probeert een wachtwoord te wijzigen of opnieuw in te stellen. Als u wachtwoordfilters hebt ingeschakeld en een gebruiker een wachtwoord selecteert dat niet voldoet aan de filtercriteria, mislukt de bewerking opnieuw instellen of wijzigen. |
33009 | ADConfigurationError | Deze gebeurtenis geeft aan dat er een probleem is opgetreden bij het terugschrijven van een wachtwoord naar uw on-premises directory vanwege een configuratieprobleem met Active Directory. Raadpleeg het toepassingsgebeurtenislogboek van de Microsoft Entra Connect-machine voor berichten van de ADSync-service voor meer informatie over welke fout is opgetreden. |
Organisatie-eenheidstekens gereserveerd voor wachtwoord terugschrijven
De volgende tabel bevat gereserveerde tekens die het terugschrijven van wachtwoorden voorkomen. Als deze tekens worden weergegeven in de structuur van uw on-premises organisatie-eenheid (OE), kan het terugschrijven van wachtwoorden mislukken met gebeurtenis-id 33001.
Gereserveerd teken | Beschrijving | Hexwaarde |
---|---|---|
spatie of #-teken aan het begin van een tekenreeks | ||
spatieteken aan het einde van een tekenreeks | ||
, | komma | 0x2C |
+ | plusteken | 0x2B |
" | aanhalingsteken | 0x22 |
\ | backslash | 0x5C |
< | vierkante haak links | 0x3C |
> | rechte hoekhaak | 0x3E |
; | puntkomma | 0x3B |
LF | regelinvoer | 0x0A |
CR | Regelterugloop | 0x0D |
= | Gelijkteken | 0x3D |
/ | Slash | 0x2F |
Microsoft Entra-forums
Als u algemene vragen hebt over Microsoft Entra ID en selfservice voor wachtwoordherstel, kunt u de community vragen om hulp op de microsoft Q&A-vragenpagina voor Microsoft Entra ID. Leden van de community zijn technici, productmanagers, MVP's en collega-IT-professionals.
Contact opnemen met Microsoft Ondersteuning
Als u het antwoord op een probleem niet kunt vinden, zijn onze ondersteuningsteams altijd beschikbaar om u verder te helpen.
Om u goed te helpen, vragen wij u zoveel mogelijk details te verstrekken bij het openen van een zaak. Deze details omvatten het volgende:
- Algemene beschrijving van de fout: Wat is de fout? Wat is het gedrag dat is opgemerkt? Hoe kunnen we de fout reproduceren? Geef zoveel mogelijk details op.
- Pagina: Op welke pagina was u opgetreden toen u de fout zag? Neem de URL op als u in staat bent en een schermopname van de pagina.
- Ondersteuningscode: Wat is de ondersteuningscode die is gegenereerd toen de gebruiker de fout zag?
Als u deze code wilt vinden, reproduceert u de fout en selecteert u vervolgens de koppeling Ondersteuningscode onder aan het scherm en stuurt u de ondersteuningstechnicus de GUID die het resultaat is.
Als u zich op een pagina bevindt zonder ondersteuningscode onderaan, selecteert u F12 en zoekt u de SID en CID en stuurt u deze twee resultaten naar de ondersteuningstechnicus.
- Datum, tijd en tijdzone: neem de exacte datum en tijd op met de tijdzone waarop de fout is opgetreden.
- Gebruikers-id: Wie is de gebruiker die de fout heeft gezien? Een voorbeeld is user@contoso.com.
- Is dit een federatieve gebruiker?
- Is dit een passthrough-verificatiegebruiker?
- Is dit een gebruiker die met een wachtwoord-hash is gesynchroniseerd?
- Is dit een cloudgebruiker?
- Licentieverlening: Heeft de gebruiker een Microsoft Entra ID-licentie toegewezen?
- Toepassingsgebeurtenislogboek: Als u wachtwoord terugschrijven gebruikt en de fout zich in uw on-premises infrastructuur bevindt, neemt u een gezipte kopie van het toepassingsgebeurtenislogboek op van de Microsoft Entra Connect-server.
Volgende stappen
Zie Hoe werkt het voor meer informatie over SSPR: Selfservice voor wachtwoordherstel van Microsoft Entra of hoe werkt selfservice voor het terugschrijven van wachtwoorden in Microsoft Entra ID?