Rozwiązywanie problemów z samoobsługowym zapisywaniem zwrotnym resetowania haseł w identyfikatorze Entra firmy Microsoft

  • Artykuł

Firma Microsoft Entra samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom resetowanie haseł w chmurze. Zapisywanie zwrotne haseł to funkcja włączona w usłudze Microsoft Entra Połączenie lub synchronizacji w chmurze, która umożliwia zapisywanie zmian haseł w chmurze w istniejącym katalogu lokalnym w czasie rzeczywistym.

Jeśli masz problemy z zapisywaniem zwrotnym samoobsługowego resetowania hasła, poniższe kroki rozwiązywania problemów i typowe błędy mogą pomóc. Jeśli nie możesz znaleźć odpowiedzi na twój problem, nasze zespoły pomocy technicznej są zawsze dostępne, aby ci pomóc.

Rozwiązywanie problemów z łącznością

Jeśli masz problemy z zapisywaniem zwrotnym haseł dla usługi Microsoft Entra Połączenie, zapoznaj się z poniższymi krokami, które mogą pomóc w rozwiązaniu problemu. Aby odzyskać usługę, zalecamy wykonanie następujących kroków w następującej kolejności:

Potwierdzanie łączności sieciowej

Najczęstszym punktem awarii jest to, że zapora lub porty serwera proxy lub limity czasu bezczynności są niepoprawnie skonfigurowane.

W przypadku firmy Microsoft Entra Połączenie w wersji 1.1.443.0 lub nowszej dostęp wychodzący HTTPS jest wymagany do następujących adresów:

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

Azure dla punktów końcowych dla instytucji rządowych USA:

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Punkty końcowe azure (Chiny) 21Vianet:

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Jeśli potrzebujesz bardziej szczegółowego poziomu, zobacz listę zakresów adresów IP platformy Microsoft Azure i tagów usług dla chmury publicznej.

W przypadku platformy Azure dla instytucji rządowych USA zobacz listę zakresów adresów IP platformy Microsoft Azure i tagów usług dla platformy Azure dla chmury dla instytucji rządowych USA.

Te pliki są aktualizowane co tydzień.

Aby określić, czy dostęp do adresu URL i portu jest ograniczony w środowisku, takim jak publiczna chmura platformy Azure, uruchom następujące polecenie cmdlet:

Test-NetConnection -ComputerName ssprdedicatedsbprodscu.servicebus.windows.net -Port 443

Możesz też uruchomić następujące polecenie:

Invoke-WebRequest -Uri https://ssprdedicatedsbprodscu.servicebus.windows.net -Verbose

Aby uzyskać więcej informacji, zobacz wymagania wstępne dotyczące łączności dla Połączenie firmy Microsoft.

Uruchom ponownie usługę Microsoft Entra Połączenie Sync

Aby rozwiązać problemy z łącznością lub inne przejściowe problemy z usługą, wykonaj następujące kroki, aby ponownie uruchomić usługę Microsoft Entra Połączenie Sync:

  1. Jako administrator na serwerze z systemem Microsoft Entra Połączenie wybierz pozycję Uruchom.

  2. Wprowadź ciąg services.msc w polu wyszukiwania i wybierz klawisz Enter.

  3. Wyszukaj wpis Azure AD Sync.

  4. Kliknij prawym przyciskiem myszy wpis usługi, wybierz pozycję Uruchom ponownie i poczekaj na zakończenie operacji.

    Restart the Azure AD Sync service using the GUI

Te kroki umożliwiają ponowne nawiązanie połączenia z identyfikatorem Entra firmy Microsoft i rozwiązanie problemów z łącznością.

Jeśli ponowne uruchomienie usługi Microsoft Entra Połączenie Sync nie rozwiąże problemu, spróbuj wyłączyć, a następnie ponownie włączyć funkcję zapisywania zwrotnego haseł w następnej sekcji.

Wyłączanie i ponowne włączanie funkcji zapisywania zwrotnego haseł

Aby kontynuować rozwiązywanie problemów, wykonaj następujące kroki, aby wyłączyć, a następnie ponownie włączyć funkcję zapisywania zwrotnego haseł:

  1. Jako administrator na serwerze z uruchomionym programem Microsoft Entra Połączenie otwórz Kreatora konfiguracji usługi Microsoft Entra Połączenie.
  2. W Połączenie do identyfikatora Entra firmy Microsoft wprowadź poświadczenia globalnego Administracja istratora firmy Microsoft.
  3. W Połączenie do usług AD DS wprowadź poświadczenia administratora usług lokalna usługa Active Directory Domain Services.
  4. W obszarze Unikatowe identyfikowanie użytkowników wybierz przycisk Dalej .
  5. W obszarze Funkcje opcjonalne wyczyść pole wyboru Zapisywanie zwrotne haseł.
  6. Wybierz pozycję Dalej na pozostałych stronach okna dialogowego bez zmiany niczego, dopóki nie przejdziesz do strony Gotowe do skonfigurowania.
  7. Sprawdź, czy na stronie Gotowe do skonfigurowania jest wyświetlana opcja Zapisywania zwrotnego haseł jako wyłączona. Wybierz zielony przycisk Konfiguruj , aby zatwierdzić zmiany.
  8. W obszarze Zakończono wyczyść opcję Synchronizuj teraz , a następnie wybierz pozycję Zakończ , aby zamknąć kreatora.
  9. Otwórz ponownie Kreatora konfiguracji Połączenie firmy Microsoft.
  10. Powtórz kroki 2–8, tym razem wybierając opcję Zapisywania zwrotnego haseł na stronie Funkcje opcjonalne, aby ponownie włączyć usługę.

Te kroki umożliwiają ponowne nawiązanie połączenia z identyfikatorem Entra firmy Microsoft i rozwiązanie problemów z łącznością.

Jeśli wyłączenie i ponowne włączenie funkcji zapisywania zwrotnego haseł nie rozwiąże problemu, zainstaluj ponownie aplikację Microsoft Entra Połączenie w następnej sekcji.

Zainstaluj najnowszą wersję Połączenie firmy Microsoft

Ponowne zainstalowanie Połączenie firmy Microsoft może rozwiązać problemy z konfiguracją i łącznością między identyfikatorem Entra firmy Microsoft i lokalnym środowiskiem usług domena usługi Active Directory. Zalecamy wykonanie tego kroku dopiero po podjęciu poprzednich kroków w celu zweryfikowania łączności i rozwiązywania problemów z łącznością.

Ostrzeżenie

Jeśli dostosowano gotowe reguły synchronizacji, wykonaj ich kopię zapasową przed kontynuowaniem uaktualniania, a następnie ręcznie wdróż je ponownie po zakończeniu.

  1. Pobierz najnowszą wersję programu Microsoft Entra Połączenie z Centrum pobierania Microsoft.

  2. Po zainstalowaniu Połączenie firmy Microsoft wykonaj uaktualnienie w miejscu, aby zaktualizować instalację usługi Microsoft Entra Połączenie do najnowszej wersji.

    Uruchom pobrany pakiet i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby zaktualizować Połączenie firmy Microsoft.

Te kroki powinny ponownie nawiązać połączenie z identyfikatorem Entra firmy Microsoft i rozwiązać problemy z łącznością.

Jeśli zainstalowanie najnowszej wersji serwera Microsoft Entra Połączenie nie rozwiąże problemu, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł jako ostatni krok po zainstalowaniu najnowszej wersji.

Sprawdź, czy firma Microsoft Entra Połączenie ma wymagane uprawnienia

Firma Microsoft Entra Połączenie wymaga uprawnień do resetowania hasła usługi AD DS w celu wykonywania zapisywania zwrotnego haseł. Aby sprawdzić, czy firma Microsoft Entra Połączenie ma wymagane uprawnienia dla danego lokalnego konta użytkownika usług AD DS, użyj funkcji Obowiązujące uprawnienia systemu Windows:

  1. Zaloguj się do serwera Microsoft Entra Połączenie i uruchom menedżera usług synchronizacji, wybierając pozycję Uruchom>usługę synchronizacji.

  2. Na karcie Połączenie ors wybierz lokalny łącznik domena usługi Active Directory Services, a następnie wybierz pozycję Właściwości.

    Synchronization Service Manager showing how to edit properties

  3. W oknie podręcznym wybierz pozycję Połączenie do lasu usługi Active Directory i zanotuj właściwość Nazwa użytkownika. Ta właściwość jest kontem usług AD DS używanym przez firmę Microsoft Entra Połączenie do przeprowadzania synchronizacji katalogów.

    Aby firma Microsoft Entra Połączenie wykonywać zapisywanie zwrotne haseł, konto usług AD DS musi mieć uprawnienie resetowania hasła. Uprawnienia do tego konta użytkownika są sprawdzane w poniższych krokach.

    Finding the synchronization service Active Directory user account

  4. Zaloguj się do lokalnego kontrolera domeny i uruchom aplikację Użytkownicy i komputery usługi Active Directory.

  5. Wybierz pozycję Wyświetl i upewnij się, że opcja Funkcje zaawansowane jest włączona.

    Active Directory Users and Computers show Advanced Features

  6. Wyszukaj konto użytkownika usług AD DS, które chcesz zweryfikować. Kliknij prawym przyciskiem myszy nazwę konta i wybierz polecenie Właściwości.

  7. W oknie podręcznym przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane.

  8. W oknie podręcznym Advanced Security Ustawienia for Administracja istrator przejdź do karty Skuteczne dostęp.

  9. Wybierz pozycję Wybierz użytkownika, wybierz konto usług AD DS używane przez firmę Microsoft Entra Połączenie, a następnie wybierz pozycję Wyświetl skuteczny dostęp.

    Effective Access tab showing the Synchronization Account

  10. Przewiń w dół i wyszukaj pozycję Resetuj hasło. Jeśli wpis ma znacznik wyboru, konto usług AD DS ma uprawnienia do resetowania hasła wybranego konta użytkownika usługi Active Directory.

    Validating that the sync account has the Reset password permission

Typowe błędy zapisywania zwrotnego haseł

W przypadku zapisywania zwrotnego haseł mogą wystąpić następujące bardziej szczegółowe problemy. Jeśli masz jeden z tych błędów, zapoznaj się z proponowanym rozwiązaniem i sprawdź, czy zapisywanie zwrotne haseł działa prawidłowo.

Błąd Rozwiązanie
Usługa resetowania hasła nie uruchamia się lokalnie. Błąd 6800 pojawia się w dzienniku zdarzeń aplikacji maszyny Połączenie firmy Microsoft.

Po dołączeniu użytkownicy federacyjni, uwierzytelniania przekazywanego lub zsynchronizowani przy użyciu skrótu haseł nie mogą resetować swoich haseł.		 Po włączeniu zapisywania zwrotnego haseł aparat synchronizacji wywołuje bibliotekę zapisywania zwrotnego w celu wykonania konfiguracji (dołączania) przez komunikację z usługą dołączania do chmury. Wszelkie błędy napotkane podczas dołączania lub podczas uruchamiania punktu końcowego programu Windows Communication Foundation (WCF) na potrzeby zapisywania zwrotnego haseł powoduje błędy w dzienniku zdarzeń na maszynie microsoft Entra Połączenie.

Podczas ponownego uruchamiania usługi Azure AD Sync (ADSync) w przypadku skonfigurowania zapisywania zwrotnego punkt końcowy programu WCF zostanie uruchomiony. Jeśli jednak uruchomienie punktu końcowego zakończy się niepowodzeniem, rejestrujemy zdarzenie 6800 i pozwalamy na uruchomienie usługi synchronizacji. Obecność tego zdarzenia oznacza, że punkt końcowy zapisywania zwrotnego haseł nie został uruchomiony. Szczegóły dziennika zdarzeń dla tego zdarzenia 6800 wraz z wpisami dziennika zdarzeń generowanymi przez składnik PasswordResetService wskazują, dlaczego nie można uruchomić punktu końcowego. Przejrzyj te błędy dziennika zdarzeń i spróbuj ponownie uruchomić aplikację Microsoft Entra Połączenie, jeśli zapisywanie zwrotne haseł nadal nie działa. Jeśli problem będzie się powtarzać, spróbuj wyłączyć, a następnie ponownie włączyć funkcję zapisywania zwrotnego haseł.
Gdy użytkownik próbuje zresetować hasło lub odblokować konto z włączonym zapisywaniem zwrotnym haseł, operacja kończy się niepowodzeniem.

Ponadto w dzienniku zdarzeń microsoft Entra Połączenie zostanie wyświetlone zdarzenie zawierające: "Aparat synchronizacji zwrócił błąd hr=800700CE, message=Nazwa pliku lub rozszerzenie jest za długie" po zakończeniu operacji odblokowywania.		 Znajdź konto usługi Active Directory dla usługi Microsoft Entra Połączenie i zresetuj hasło, aby nie zawierało więcej niż 256 znaków. Następnie otwórz usługę synchronizacji z menu Start. Przejdź do Połączenie or i znajdź Połączenie or usługi Active Directory. Wybierz ją, a następnie wybierz pozycję Właściwości. Przejdź do strony Poświadczenia i wprowadź nowe hasło. Kliknij przycisk OK, aby zamknąć stronę.
W ostatnim kroku procesu instalacji programu Microsoft Entra Połączenie zostanie wyświetlony błąd wskazujący, że nie można skonfigurować zapisywania zwrotnego haseł.

Dziennik zdarzeń aplikacji Microsoft Entra Połączenie zawiera błąd 32009 z tekstem "Błąd podczas pobierania tokenu uwierzytelniania".		 Ten błąd występuje w następujących dwóch przypadkach:
  • Określono nieprawidłowe hasło dla konta administratora globalnego podanego na początku procesu instalacji usługi Microsoft Entra Połączenie.
  • Podjęto próbę użycia użytkownika federacyjnego dla konta administratora globalnego określonego na początku procesu instalacji usługi Microsoft Entra Połączenie.
Aby rozwiązać ten problem, upewnij się, że nie używasz konta federacyjnego dla administratora globalnego określonego na początku procesu instalacji i że określone hasło jest poprawne.
Dziennik zdarzeń maszyny Połączenie firmy Microsoft zawiera błąd 32002, który jest zgłaszany przez uruchomienie elementu PasswordResetService.

Błąd brzmi: "Błąd Połączenie do usługi ServiceBus. Dostawca tokenu nie może podać tokenu zabezpieczającego".		 Środowisko lokalne nie może nawiązać połączenia z punktem końcowym usługi Azure Service Bus w chmurze. Ten błąd jest zwykle spowodowany przez regułę zapory blokującą połączenie wychodzące z określonym portem lub adresem internetowym. Aby uzyskać więcej informacji, zobacz Połączenie ivity prerequisites (Wymagania wstępne dotyczące Połączenie ivity). Po zaktualizowaniu tych reguł uruchom ponownie serwer Microsoft Entra Połączenie i zapisywanie zwrotne haseł powinno zacząć działać ponownie.
Po zakończeniu pracy przez jakiś czas użytkownicy federacyjni, uwierzytelniania przekazywanego lub synchronizowani przy użyciu skrótów haseł nie mogą resetować swoich haseł. W niektórych rzadkich przypadkach usługa zapisywania zwrotnego haseł może zakończyć się niepowodzeniem po ponownym uruchomieniu Połączenie firmy Microsoft. W takich przypadkach najpierw sprawdź, czy funkcja zapisywania zwrotnego haseł jest włączona lokalnie. Możesz to sprawdzić za pomocą kreatora microsoft entra Połączenie lub programu PowerShell. Jeśli funkcja wydaje się być włączona, spróbuj ponownie włączyć lub wyłączyć tę funkcję. Jeśli ten krok rozwiązywania problemów nie zadziała, spróbuj wykonać pełną dezinstalację i ponownie zainstalować aplikację Microsoft Entra Połączenie.
Federacyjne, przekazywane uwierzytelnianie lub synchronizowane przy użyciu skrótów haseł użytkownicy, którzy próbują zresetować hasła, zobaczą błąd po próbie przesłania hasła. Błąd wskazuje, że wystąpił problem z usługą.

Oprócz tego problemu podczas operacji resetowania hasła może zostać wyświetlony błąd, że agent zarządzania nie otrzymał dostępu w lokalnych dziennikach zdarzeń.		 Jeśli te błędy są widoczne w dzienniku zdarzeń, upewnij się, że konto agenta zarządzania usługi Active Directory (ADMA), które zostało określone w kreatorze w czasie konfiguracji, ma niezbędne uprawnienia do zapisywania zwrotnego haseł.

Po podaniu tego uprawnienia może upłynąć do jednej godziny, aby uprawnienia mogły przechodzić w dół za pośrednictwem sdprop zadania w tle na kontrolerze domeny (DC).

Aby resetowanie hasła działało, należy oznaczać uprawnienia deskryptora zabezpieczeń obiektu użytkownika, którego hasło jest resetowane. Dopóki to uprawnienie nie zostanie wyświetlone w obiekcie użytkownika, resetowanie hasła nadal kończy się niepowodzeniem z komunikatem o odmowie dostępu.
Federacyjne, przekazywane uwierzytelnianie lub synchronizowane przy użyciu skrótu hasła użytkownicy, którzy próbują zresetować swoje hasła, zobacz błąd po przesłaniu hasła. Błąd wskazuje, że wystąpił problem z usługą.

Oprócz tego problemu podczas operacji resetowania hasła może zostać wyświetlony błąd w dziennikach zdarzeń z usługi Microsoft Entra Połączenie wskazujący błąd "Nie można odnaleźć obiektu".		 Ten błąd zwykle wskazuje, że aparat synchronizacji nie może odnaleźć obiektu użytkownika w przestrzeni łącznika Microsoft Entra lub połączonego metaverse (MV) lub obiektu przestrzeni łącznika Microsoft Entra.

Aby rozwiązać ten problem, upewnij się, że użytkownik jest rzeczywiście zsynchronizowany ze środowiska lokalnego do identyfikatora Entra firmy Microsoft za pośrednictwem bieżącego wystąpienia firmy Microsoft Entra Połączenie i sprawdź stan obiektów w przestrzeniach łącznika i MV. Upewnij się, że obiekt usług certyfikatów Active Directory (AD CS) jest połączony z obiektem MV za pośrednictwem reguły "Microsoft.InfromADUserAccountEnabled.xxx".
Federacyjne, przekazywane uwierzytelnianie lub synchronizowane przy użyciu skrótów haseł użytkownicy, którzy próbują zresetować swoje hasła, zobaczą błąd po przesłaniu hasła. Błąd wskazuje, że wystąpił problem z usługą.

Oprócz tego problemu podczas operacji resetowania hasła może zostać wyświetlony błąd w dziennikach zdarzeń z usługi Microsoft Entra Połączenie, która wskazuje, że wystąpił błąd "Znaleziono wiele dopasowań".		 Oznacza to, że aparat synchronizacji wykrył, że obiekt MV jest połączony z więcej niż jednym obiektem usług AD CS za pośrednictwem "Microsoft.InfromADUserAccountEnabled.xxx". Oznacza to, że użytkownik ma włączone konto w więcej niż jednym lesie. Ten scenariusz nie jest obsługiwany w przypadku zapisywania zwrotnego haseł.
Operacje na hasłach kończą się niepowodzeniem z powodu błędu konfiguracji. Dziennik zdarzeń aplikacji zawiera błąd 6329 firmy Microsoft Połączenie z tekstem "0x8023061f (operacja nie powiodła się, ponieważ synchronizacja haseł nie jest włączona w tym agencie zarządzania)". Ten błąd występuje, jeśli konfiguracja usługi Microsoft Entra Połączenie została zmieniona w celu dodania nowego lasu usługi Active Directory (lub usunięcia i odczytania istniejącego lasu) po włączeniu funkcji zapisywania zwrotnego haseł. Operacje haseł dla użytkowników w tych ostatnio dodanych lasach kończą się niepowodzeniem. Aby rozwiązać ten problem, wyłącz i ponownie włącz funkcję zapisywania zwrotnego haseł po zakończeniu zmian konfiguracji lasu.
SSPR_0029: Nie można zresetować hasła z powodu błędu w konfiguracji lokalnej. Skontaktuj się z administratorem i poproś go o zbadanie. Problem: Funkcja zapisywania zwrotnego haseł została włączona zgodnie ze wszystkimi wymaganymi krokami, ale podczas próby zmiany hasła otrzymasz komunikat "SSPR_0029: Twoja organizacja nie skonfigurowała prawidłowo konfiguracji lokalnej na potrzeby resetowania hasła". Sprawdzanie dzienników zdarzeń w systemie microsoft Entra Połączenie pokazuje, że poświadczenie agenta zarządzania zostało odrzucone. Możliwe rozwiązanie: użyj protokołu RSOP w systemie Microsoft Entra Połączenie i kontrolerach domeny, aby sprawdzić, czy włączono zasady "Dostęp do sieci: Ogranicz dostęp do sieci: ogranicz klientom możliwość nawiązywania połączeń zdalnych z protokołem SAM" w obszarze Konfiguracja > komputera systemu Windows Ustawienia > Zabezpieczenia Ustawienia > Opcje zabezpieczeń zasad > lokalnych. Edytuj zasady, aby uwzględnić konto zarządzania MSOL_XXXXXXX jako dozwolonego użytkownika. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z błędami SSPR_0029: Twoja organizacja nie skonfigurowała prawidłowo konfiguracji lokalnej na potrzeby resetowania hasła.

Kody błędów w dzienniku zdarzeń zapisywania zwrotnego haseł

Najlepszym rozwiązaniem podczas rozwiązywania problemów z zapisywaniem zwrotnym haseł jest sprawdzenie dziennika zdarzeń aplikacji na komputerze firmy Microsoft Entra Połączenie. Ten dziennik zdarzeń zawiera zdarzenia z dwóch źródeł zapisywania zwrotnego haseł. Źródło PasswordResetService opisuje operacje i problemy związane z operacją zapisywania zwrotnego haseł. Źródło ADSync opisuje operacje i problemy związane z ustawianiem haseł w środowisku usług domena usługi Active Directory.

Jeśli źródłem zdarzenia jest ADSync

Kod Nazwa lub wiadomość opis
6329 BAIL: MMS (4924) 0x80230619: "Ograniczenie uniemożliwia zmianę hasła na bieżące określone. To zdarzenie występuje, gdy usługa zapisywania zwrotnego haseł próbuje ustawić hasło w katalogu lokalnym, które nie spełnia wymagań dotyczących wieku hasła, historii, złożoności ani filtrowania domeny.

Jeśli masz minimalny wiek hasła i ostatnio zmieniono hasło w tym przedziale czasu, nie możesz ponownie zmienić hasła, dopóki nie osiągnie określonego wieku w domenie. W celach testowych minimalny wiek powinien być ustawiony na 0.

Jeśli masz włączone wymagania dotyczące historii haseł, musisz wybrać hasło, które nie zostało użyte w ciągu ostatnich N razy, gdzie N to ustawienie historii haseł. Jeśli wybierzesz hasło, które zostało użyte w ciągu ostatnich N razy, w tym przypadku zostanie wyświetlony błąd. W celach testowych historia haseł powinna być ustawiona na 0.

Jeśli masz wymagania dotyczące złożoności hasła, wszystkie z nich są wymuszane, gdy użytkownik próbuje zmienić lub zresetować hasło.

Jeśli włączono filtry haseł, a użytkownik wybierze hasło, które nie spełnia kryteriów filtrowania, operacja resetowania lub zmiany zakończy się niepowodzeniem.
6329 MMS(3040): admaexport.cpp(2837): serwer nie zawiera kontrolki zasad haseł LDAP. Ten problem występuje, jeśli kontrolka LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) nie jest włączona na kontrolerach domeny. Aby użyć funkcji zapisywania zwrotnego haseł, należy włączyć kontrolkę. W tym celu kontrolery domeny muszą znajdować się w systemie Windows Server 2016 lub nowszym.
8023042 KADR Aparat synchronizacji zwrócił błąd hr=80230402, message=Próba pobrania obiektu nie powiodła się, ponieważ istnieją zduplikowane wpisy z tą samą kotwicą. Ten błąd występuje, gdy ten sam identyfikator użytkownika jest włączony w wielu domenach. Przykładem może być synchronizacja lasów kont i zasobów oraz obecność tego samego identyfikatora użytkownika i włączenie go w każdym lesie.

Ten błąd może również wystąpić, jeśli używasz nietypowego atrybutu kotwicy, takiego jak alias lub NAZWA UPN, a dwóch użytkowników współużytkuje ten sam atrybut kotwicy.

Aby rozwiązać ten problem, upewnij się, że nie masz żadnych zduplikowanych użytkowników w domenach i że używasz unikatowego atrybutu kotwicy dla każdego użytkownika.

Jeśli źródłem zdarzenia jest PasswordResetService

Kod Nazwa lub wiadomość opis
31001 PasswordResetStart To zdarzenie wskazuje, że usługa lokalna wykryła żądanie resetowania hasła dla federacyjnego, przekazywanego uwierzytelniania lub zsynchronizowanego hasła użytkownika pochodzącego z chmury. To zdarzenie jest pierwszym zdarzeniem w każdej operacji zapisywania zwrotnego resetowania hasła.
31002 PasswordResetSuccess To zdarzenie oznacza, że użytkownik wybrał nowe hasło podczas operacji resetowania hasła. Ustaliliśmy, że to hasło spełnia wymagania dotyczące hasła firmowego. Hasło zostało pomyślnie zapisane w lokalnym środowisku usługi Active Directory.
31003 PasswordResetFail To zdarzenie oznacza, że użytkownik wybrał hasło, a hasło zostało pomyślnie dostarczone do środowiska lokalnego. Jednak podczas próby ustawienia hasła w lokalnym środowisku usługi Active Directory wystąpił błąd. Ten błąd może wystąpić z kilku powodów:
  • Hasło użytkownika nie spełnia wymagań dotyczących wieku, historii, złożoności ani filtru dla domeny. Aby rozwiązać ten problem, utwórz nowe hasło.
  • Konto usługi ADMA nie ma odpowiednich uprawnień do ustawiania nowego hasła na danym koncie użytkownika.
  • Konto użytkownika znajduje się w grupie chronionej, takiej jak domena lub grupa administracyjna przedsiębiorstwa, która nie zezwala na operacje zestawu haseł.
31004 OnboardingEventStart To zdarzenie występuje, jeśli włączysz funkcję zapisywania zwrotnego haseł w usłudze Microsoft Entra Połączenie i rozpoczęliśmy dołączanie organizacji do usługi internetowej zapisywania zwrotnego haseł.
31005 OnboardingEventSuccess To zdarzenie oznacza, że proces dołączania zakończył się pomyślnie i że funkcja zapisywania zwrotnego haseł jest gotowa do użycia.
31006 ChangePasswordStart To zdarzenie wskazuje, że usługa lokalna wykryła żądanie zmiany hasła dla federacyjnego, przekazywanego uwierzytelniania lub zsynchronizowanego hasła użytkownika pochodzącego z chmury. To zdarzenie jest pierwszym zdarzeniem w każdej operacji zapisywania zwrotnego zmiany hasła.
31007 ChangePasswordSuccess To zdarzenie oznacza, że użytkownik wybrał nowe hasło podczas operacji zmiany hasła, ustaliliśmy, że hasło spełnia wymagania dotyczące hasła firmowego i że hasło zostało pomyślnie zapisane w lokalnym środowisku usługi Active Directory.
31008 ChangePasswordFail To zdarzenie wskazuje, że użytkownik wybrał hasło i że hasło dotarło pomyślnie do środowiska lokalnego, ale podczas próby ustawienia hasła w lokalnym środowisku usługi Active Directory wystąpił błąd. Ten błąd może wystąpić z kilku powodów:
  • Hasło użytkownika nie spełnia wymagań dotyczących wieku, historii, złożoności ani filtru dla domeny. Aby rozwiązać ten problem, utwórz nowe hasło.
  • Konto usługi ADMA nie ma odpowiednich uprawnień do ustawiania nowego hasła na danym koncie użytkownika.
  • Konto użytkownika znajduje się w grupie chronionej, takiej jak administratorzy domeny lub przedsiębiorstwa, które nie zezwalają na operacje zestawu haseł.
31009 ResetUserPasswordBy Administracja Start Usługa lokalna wykryła żądanie resetowania hasła dla federacyjnego, przekazywanego uwierzytelniania lub zsynchronizowanego hasła użytkownika pochodzącego od administratora w imieniu użytkownika. To zdarzenie jest pierwszym zdarzeniem w każdej operacji zapisywania zwrotnego resetowania hasła zainicjowanego przez administratora.
31010 ResetUserPasswordBy Administracja Success Administrator wybrał nowe hasło podczas operacji resetowania hasła zainicjowanej przez administratora. Ustaliliśmy, że to hasło spełnia wymagania dotyczące hasła firmowego. Hasło zostało pomyślnie zapisane w lokalnym środowisku usługi Active Directory.
31011 ResetUserPasswordBy Administracja Fail Administrator wybrał hasło w imieniu użytkownika. Hasło dotarło pomyślnie do środowiska lokalnego. Jednak podczas próby ustawienia hasła w lokalnym środowisku usługi Active Directory wystąpił błąd. Ten błąd może wystąpić z kilku powodów:
  • Hasło użytkownika nie spełnia wymagań dotyczących wieku, historii, złożoności ani filtru dla domeny. Spróbuj użyć nowego hasła, aby rozwiązać ten problem.
  • Konto usługi ADMA nie ma odpowiednich uprawnień do ustawiania nowego hasła na danym koncie użytkownika.
  • Konto użytkownika znajduje się w grupie chronionej, takiej jak administratorzy domeny lub przedsiębiorstwa, które nie zezwalają na operacje zestawu haseł.
31012 OffboardingEventStart To zdarzenie występuje, jeśli wyłączysz zapisywanie zwrotne haseł w usłudze Microsoft Entra Połączenie i wskazuje, że rozpoczęliśmy odłączanie organizacji od usługi internetowej zapisywania zwrotnego haseł.
31013 OffboardingEventSuccess To zdarzenie oznacza, że proces odłączania zakończył się pomyślnie i że funkcja zapisywania zwrotnego haseł została pomyślnie wyłączona.
31014 OffboardingEventFail To zdarzenie oznacza, że proces odłączania nie zakończył się pomyślnie. Może to być spowodowane błędem uprawnień na koncie administratora w chmurze lub lokalnym określonym podczas konfiguracji. Ten błąd może również wystąpić, jeśli próbujesz użyć administratora globalnego chmury federacyjnej podczas wyłączania zapisywania zwrotnego haseł. Aby rozwiązać ten problem, sprawdź uprawnienia administracyjne i upewnij się, że nie używasz konta federacyjnego podczas konfigurowania funkcji zapisywania zwrotnego haseł.
31015 WriteBackServiceStarted To zdarzenie wskazuje, że usługa zapisywania zwrotnego haseł została pomyślnie uruchomiona. Jest gotowy do akceptowania żądań zarządzania hasłami z chmury.
31016 WriteBackServiceStopped To zdarzenie wskazuje, że usługa zapisywania zwrotnego haseł została zatrzymana. Żadne żądania zarządzania hasłami z chmury nie zostaną wykonane pomyślnie.
31017 AuthTokenSuccess To zdarzenie oznacza, że pomyślnie pobraliśmy token autoryzacji dla globalnego Administracja istratora określonego podczas konfigurowania Połączenie firmy Microsoft w celu rozpoczęcia procesu odłączania lub dołączania.
31018 KeyPairCreationSuccess To zdarzenie wskazuje, że pomyślnie utworzyliśmy klucz szyfrowania haseł. Ten klucz służy do szyfrowania haseł z chmury do wysłania do środowiska lokalnego.
31019 ServiceBusHeartBeat To zdarzenie wskazuje, że pomyślnie wysłaliśmy żądanie do wystąpienia usługi Service Bus twojej dzierżawy.
31034 ServiceBusListenerError To zdarzenie wskazuje, że wystąpił błąd podczas nawiązywania połączenia z odbiornikiem usługi Service Bus dzierżawy. Jeśli komunikat o błędzie zawiera komunikat "Certyfikat zdalny jest nieprawidłowy", upewnij się, że serwer Microsoft Entra Połączenie ma wszystkie wymagane główne urzędy certyfikacji zgodnie z opisem w temacie Zmiany certyfikatu TLS platformy Azure.
31044 PasswordResetService To zdarzenie oznacza, że zapisywanie zwrotne haseł nie działa. Usługa Service Bus nasłuchuje żądań na dwóch oddzielnych przekaźnikach w celu zapewnienia nadmiarowości. Każde połączenie przekaźnika jest zarządzane przez unikatowego hosta usługi. Klient zapisywania zwrotnego zwraca błąd, jeśli którykolwiek z hostów usług nie jest uruchomiony.
32000 Nieznany błąd To zdarzenie wskazuje, że wystąpił nieznany błąd podczas operacji zarządzania hasłami. Aby uzyskać więcej szczegółów, zapoznaj się z tekstem wyjątku w zdarzeniu. Jeśli masz problemy, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł. Jeśli to nie pomoże, dołącz kopię dziennika zdarzeń wraz z identyfikatorem śledzenia określonym podczas otwierania wniosku o pomoc techniczną.
32001 ServiceError To zdarzenie wskazuje, że wystąpił błąd podczas nawiązywania połączenia z usługą resetowania haseł w chmurze. Ten błąd zwykle występuje, gdy usługa lokalna nie mogła nawiązać połączenia z usługą internetową resetowania hasła.
32002 ServiceBusError To zdarzenie wskazuje, że wystąpił błąd podczas nawiązywania połączenia z wystąpieniem usługi Service Bus dzierżawy. Może się tak zdarzyć, jeśli blokujesz połączenia wychodzące w środowisku lokalnym. Sprawdź zaporę, aby upewnić się, że zezwalasz na połączenia za pośrednictwem protokołu TCP 443 i do https://ssprdedicatedsbprodncu.servicebus.windows.net, a następnie spróbuj ponownie. Jeśli nadal występują problemy, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł.
32003 InPutValidationError To zdarzenie wskazuje, że dane wejściowe przekazane do interfejsu API usługi internetowej były nieprawidłowe. Spróbuj ponownie wykonać operację.
32004 Odszyfrowywanie błędu To zdarzenie wskazuje, że wystąpił błąd podczas odszyfrowywania hasła pochodzącego z chmury. Może to być spowodowane niezgodnością klucza odszyfrowywania między usługą w chmurze a środowiskiem lokalnym. Aby rozwiązać ten problem, wyłącz i ponownie włącz funkcję zapisywania zwrotnego haseł w środowisku lokalnym.
32005 ConfigurationError Podczas dołączania zapisujemy informacje specyficzne dla dzierżawy w pliku konfiguracji w środowisku lokalnym. To zdarzenie wskazuje, że wystąpił błąd podczas zapisywania tego pliku lub że po uruchomieniu usługi wystąpił błąd podczas odczytywania pliku. Aby rozwiązać ten problem, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł, aby wymusić ponowne zapisanie pliku konfiguracji.
32007 OnBoardingConfigUpdateError Podczas dołączania wysyłamy dane z chmury do lokalnej usługi resetowania haseł. Dane te są następnie zapisywane w pliku w pamięci, zanim zostaną wysłane do usługi synchronizacji, aby zostały bezpiecznie przechowywane na dysku. To zdarzenie wskazuje, że wystąpił problem z zapisywaniem lub aktualizowaniem tych danych w pamięci. Aby rozwiązać ten problem, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł, aby wymusić ponowne zapisanie tego pliku konfiguracji.
32008 Validationerror To zdarzenie oznacza, że otrzymaliśmy nieprawidłową odpowiedź z usługi internetowej resetowania hasła. Aby rozwiązać ten problem, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł.
32009 Błąd AuthTokenError To zdarzenie oznacza, że nie można uzyskać tokenu autoryzacji dla konta administratora globalnego określonego podczas konfigurowania usługi Microsoft Entra Połączenie. Ten błąd może być spowodowany przez nieprawidłową nazwę użytkownika lub hasło określone dla konta globalnego Administracja istratora. Ten błąd może również wystąpić, jeśli określone konto globalnego Administracja istratora jest federacyjne. Aby rozwiązać ten problem, uruchom ponownie konfigurację z prawidłową nazwą użytkownika i hasłem i upewnij się, że administrator jest zarządzanym kontem (tylko w chmurze lub zsynchronizowanym hasłem).
32010 CryptoError To zdarzenie wskazuje, że wystąpił błąd podczas generowania klucza szyfrowania haseł lub odszyfrowywania hasła pochodzącego z usługi w chmurze. Ten błąd prawdopodobnie wskazuje problem ze środowiskiem. Zapoznaj się ze szczegółami dziennika zdarzeń, aby dowiedzieć się więcej na temat sposobu rozwiązywania tego problemu. Możesz również spróbować wyłączyć, a następnie ponownie włączyć usługę zapisywania zwrotnego haseł.
32011 OnBoardingServiceError To zdarzenie wskazuje, że usługa lokalna nie mogła prawidłowo komunikować się z usługą internetową resetowania hasła w celu zainicjowania procesu dołączania. Może się to zdarzyć w wyniku reguły zapory lub jeśli wystąpi problem z uzyskaniem tokenu uwierzytelniania dla dzierżawy. Aby rozwiązać ten problem, upewnij się, że nie blokujesz połączeń wychodzących za pośrednictwem protokołów TCP 443 i TCP 9350-9354 lub .https://ssprdedicatedsbprodncu.servicebus.windows.net Upewnij się również, że konto administratora firmy Microsoft, którego używasz do dołączenia, nie jest federacyjne.
32013 OffBoardingError To zdarzenie oznacza, że usługa lokalna nie mogła prawidłowo komunikować się z usługą internetową resetowania hasła w celu zainicjowania procesu odłączania. Może się to zdarzyć w wyniku reguły zapory lub jeśli wystąpi problem z uzyskaniem tokenu autoryzacji dla dzierżawy. Aby rozwiązać ten problem, upewnij się, że nie blokujesz połączeń wychodzących przez 443 lub do https://ssprdedicatedsbprodncu.servicebus.windows.netusługi , a konto administratora firmy Microsoft Entra używane do odłączania nie jest federacyjne.
32014 ServiceBusWarning To zdarzenie wskazuje, że musieliśmy ponowić próbę nawiązania połączenia z wystąpieniem usługi Service Bus dzierżawy. W normalnych warunkach nie powinno to być problemem, ale jeśli to zdarzenie występuje wiele razy, rozważ sprawdzenie połączenia sieciowego z usługą Service Bus, zwłaszcza jeśli jest to połączenie o dużym opóźnieniu lub niskiej przepustowości.
32015 ReportServiceHealthError Aby monitorować kondycję usługi zapisywania zwrotnego haseł, wysyłamy dane pulsu do naszej usługi internetowej resetowania haseł co pięć minut. To zdarzenie wskazuje, że wystąpił błąd podczas wysyłania tych informacji o kondycji z powrotem do usługi internetowej w chmurze. Te informacje o kondycji nie zawierają żadnych danych osobowych i są wyłącznie statystykami pulsu i podstawowych usług, dzięki czemu możemy udostępniać informacje o stanie usługi w chmurze.
33001 ADUnKnownError To zdarzenie wskazuje, że wystąpił nieznany błąd zwrócony przez usługę Active Directory. Aby uzyskać więcej informacji, zobacz dziennik zdarzeń serwera Microsoft Entra Połączenie pod kątem zdarzeń ze źródła adSync.
33002 ADUserNotFoundError To zdarzenie oznacza, że użytkownik, który próbuje zresetować lub zmienić hasło, nie został znaleziony w katalogu lokalnym. Ten błąd może wystąpić, gdy użytkownik został usunięty lokalnie, ale nie w chmurze. Ten błąd może również wystąpić, jeśli wystąpił problem z synchronizacją. Aby uzyskać więcej informacji, sprawdź dzienniki synchronizacji i szczegóły ostatniego uruchomienia synchronizacji.
33003 ADMutliMatchError Gdy żądanie resetowania lub zmiany hasła pochodzi z chmury, użyjemy kotwicy w chmurze określonej podczas procesu konfiguracji usługi Microsoft Entra Połączenie, aby określić, jak połączyć to żądanie z powrotem z użytkownikiem w środowisku lokalnym. To zdarzenie oznacza, że znaleźliśmy dwóch użytkowników w katalogu lokalnym z tym samym atrybutem zakotwiczenia chmury. Aby uzyskać więcej informacji, sprawdź dzienniki synchronizacji i szczegóły ostatniego uruchomienia synchronizacji.
33004 ADPermissionsError To zdarzenie oznacza, że konto usługi Active Directory Management Agent (ADMA) nie ma odpowiednich uprawnień dla danego konta w celu ustawienia nowego hasła. Upewnij się, że konto ADMA w lesie użytkownika ma uprawnienia do resetowania hasła dla wszystkich obiektów w lesie. Aby uzyskać więcej informacji na temat ustawiania uprawnień, zobacz Krok 4: Konfigurowanie odpowiednich uprawnień usługi Active Directory. Ten błąd może również wystąpić, gdy atrybut użytkownika Administracja Count jest ustawiony na 1.
33005 ADUserAccountDisabled To zdarzenie wskazuje, że próbowaliśmy zresetować lub zmienić hasło dla konta, które zostało wyłączone lokalnie. Włącz konto i spróbuj ponownie wykonać operację.
33006 ADUserAccountLockedOut To zdarzenie wskazuje, że podjęto próbę zresetowania lub zmiany hasła dla konta, które zostało zablokowane lokalnie. Blokady mogą wystąpić, gdy użytkownik próbował zmienić lub zresetować operację hasła zbyt wiele razy w krótkim okresie. Odblokuj konto i spróbuj ponownie wykonać operację.
33007 ADUserIncorrectPassword To zdarzenie wskazuje, że użytkownik określił nieprawidłowe bieżące hasło podczas wykonywania operacji zmiany hasła. Określ poprawne bieżące hasło i spróbuj ponownie.
33008 ADPasswordPolicyError To zdarzenie występuje, gdy usługa zapisywania zwrotnego haseł próbuje ustawić hasło w katalogu lokalnym, które nie spełnia wymagań dotyczących wieku hasła, historii, złożoności ani filtrowania domeny.

Jeśli masz minimalny wiek hasła i ostatnio zmieniono hasło w tym przedziale czasu, nie możesz ponownie zmienić hasła, dopóki nie osiągnie określonego wieku w domenie. W celach testowych minimalny wiek powinien być ustawiony na 0.

Jeśli masz włączone wymagania dotyczące historii haseł, musisz wybrać hasło, które nie zostało użyte w ciągu ostatnich N razy, gdzie N jest ustawieniem historii haseł. Jeśli wybierzesz hasło, które zostało użyte w ciągu ostatnich N razy, w tym przypadku zostanie wyświetlony błąd. W celach testowych historia haseł powinna być ustawiona na 0.

Jeśli masz wymagania dotyczące złożoności hasła, wszystkie z nich są wymuszane, gdy użytkownik próbuje zmienić lub zresetować hasło.

Jeśli włączono filtry haseł, a użytkownik wybierze hasło, które nie spełnia kryteriów filtrowania, operacja resetowania lub zmiany zakończy się niepowodzeniem.
33009 ADConfigurationError To zdarzenie wskazuje, że wystąpił problem podczas zapisywania hasła z powrotem do katalogu lokalnego z powodu problemu z konfiguracją usługi Active Directory. Sprawdź dziennik zdarzeń aplikacji maszyny Połączenie firmy Microsoft pod kątem komunikatów z usługi ADSync, aby uzyskać więcej informacji na temat tego, który błąd wystąpił.

Fora firmy Microsoft Entra

Jeśli masz ogólne pytania dotyczące identyfikatora Entra firmy Microsoft i samoobsługowego resetowania hasła, możesz poprosić społeczność o pomoc na stronie pytań i odpowiedzi firmy Microsoft dla identyfikatora Entra firmy Microsoft. Członkowie społeczności to inżynierowie, menedżerowie produktów, MVP i inni specjaliści IT.

Kontaktowanie się z pomocą techniczną firmy Microsoft

Jeśli nie możesz znaleźć odpowiedzi na problem, nasze zespoły pomocy technicznej są zawsze dostępne, aby ci pomóc.

Aby prawidłowo pomóc, prosimy o podanie jak największej ilości szczegółów podczas otwierania sprawy. Te szczegóły obejmują następujące elementy:

  • Ogólny opis błędu: Jaki jest błąd? Jakie było zachowanie, które zostało zauważone? Jak możemy odtworzyć błąd? Podaj jak najwięcej szczegółów.
  • Strona: Na jakiej stronie wystąpił błąd? Dołącz adres URL, jeśli możesz uzyskać dostęp do strony i zrzut ekranu strony.
  • Kod pomocy technicznej: Jaki był kod pomocy technicznej wygenerowany po wyświetleniu błędu przez użytkownika?

    • Aby znaleźć ten kod, odtwórz błąd, a następnie wybierz link Kod pomocy technicznej w dolnej części ekranu i wyślij inżynierowi pomocy technicznej identyfikator GUID, który daje wyniki.

      The support code is located at the bottom right of the web browser window.

    • Jeśli jesteś na stronie bez kodu pomocy technicznej u dołu, wybierz pozycję F12 i wyszukaj identyfikator SID i CID i wyślij te dwa wyniki do inżyniera pomocy technicznej.

  • Data, godzina i strefa czasowa: uwzględnij dokładną datę i godzinę ze strefą czasową wystąpienia błędu.
  • Identyfikator użytkownika: KtoTo był użytkownikiem, który widział błąd? Może to być na przykład user@contoso.com.
    • Czy jest to użytkownik federacyjny?
    • Czy jest to użytkownik uwierzytelniania przekazywanego?
    • Czy jest to użytkownik zsynchronizowany przy użyciu skrótu hasła?
    • Czy jest to użytkownik tylko w chmurze?
  • Licencjonowanie: Czy użytkownik ma przypisaną licencję microsoft Entra ID?
  • Dziennik zdarzeń aplikacji: jeśli używasz zapisywania zwrotnego haseł i błąd znajduje się w infrastrukturze lokalnej, dołącz spakowany kopię dziennika zdarzeń aplikacji z serwera Microsoft Entra Połączenie.

Następne kroki

Aby dowiedzieć się więcej na temat samoobsługowego resetowania hasła, zobacz Jak to działa: Samoobsługowe resetowanie haseł firmy Microsoft lub Jak działa samoobsługowe zapisywanie zwrotne resetowania haseł w usłudze Microsoft Entra ID?.