Rozwiązywanie problemów z samoobsługowym zapisywaniem zwrotnym resetowania haseł w identyfikatorze Entra firmy Microsoft
Firma Microsoft Entra samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom resetowanie haseł w chmurze. Zapisywanie zwrotne haseł to funkcja włączona w programie Microsoft Entra Connect lub synchronizacji w chmurze, która umożliwia zapisywanie zmian haseł w chmurze w istniejącym katalogu lokalnym w czasie rzeczywistym.
Jeśli masz problemy z zapisywaniem zwrotnym samoobsługowego resetowania hasła, poniższe kroki rozwiązywania problemów i typowe błędy mogą pomóc. Jeśli nie możesz znaleźć odpowiedzi na twój problem, nasze zespoły pomocy technicznej są zawsze dostępne, aby ci pomóc.
Rozwiązywanie problemów z łącznością
Jeśli masz problemy z zapisywaniem zwrotnym haseł dla programu Microsoft Entra Connect, zapoznaj się z poniższymi krokami, które mogą pomóc w rozwiązaniu problemu. Aby odzyskać usługę, zalecamy wykonanie następujących kroków w następującej kolejności:
- Potwierdzanie łączności sieciowej
- Sprawdzanie protokołu TLS 1.2
- Aktualizowanie platformy Microsoft .NET 4.8
- Uruchom ponownie usługę Microsoft Entra Connect Sync
- Wyłączanie i ponowne włączanie funkcji zapisywania zwrotnego haseł
- Instalowanie najnowszej wersji programu Microsoft Entra Connect
- Rozwiązywanie problemów z zapisywaniem zwrotnym haseł
Potwierdzanie łączności sieciowej
Najczęstszym punktem awarii jest to, że zapora lub porty serwera proxy lub limity czasu bezczynności są niepoprawnie skonfigurowane.
W przypadku programu Microsoft Entra Connect w wersji 1.1.443.0 lub nowszej dostęp wychodzący HTTPS jest wymagany do następujących adresów:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Azure dla punktów końcowych dla instytucji rządowych USA:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Punkty końcowe azure (Chiny) 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Jeśli potrzebujesz bardziej szczegółowego poziomu, zobacz listę zakresów adresów IP platformy Microsoft Azure i tagów usług dla chmury publicznej.
W przypadku platformy Azure dla instytucji rządowych USA zobacz listę zakresów adresów IP platformy Microsoft Azure i tagów usług dla platformy Azure dla chmury dla instytucji rządowych USA.
Te pliki są aktualizowane co tydzień.
Aby określić, czy dostęp do adresu URL i portu jest ograniczony w środowisku, takim jak publiczna chmura platformy Azure, wykonaj następujące kroki:
Na serwerze Entra connect otwórz dzienniki podglądu zdarzeń (dzienniki systemu Windows, aplikacja) i znajdź jeden z tych identyfikatorów zdarzeń: 31034 lub 31019.
Z tych identyfikatorów zdarzeń zidentyfikuj nazwę odbiornika usługi Service Bus:
Uruchom następujące polecenie cmdlet:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443Możesz też uruchomić następujące polecenie:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -VerboseZastąp <przestrzeń nazw> tym samym elementem wyodrębnionym z powyższych identyfikatorów zdarzeń. Na przykład w poprzednim przypadku polecenie to:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Aby uzyskać więcej informacji, zobacz wymagania wstępne dotyczące łączności dla programu Microsoft Entra Connect.
Sprawdź, czy protokół TLS 1.2 jest włączony
Dodatkowym krokiem rozwiązywania problemów jest sprawdzenie, czy protokół TLS 1.2 jest poprawnie włączony na serwerze synchronizacji. Uruchom skrypt programu PowerShell, aby sprawdzić protokół TLS 1.2 na serwerze Entra Connect. Pamiętaj, aby uruchomić skrypt w trybie administratora.
Dane wyjściowe skryptu sprawdzania, które muszą wyglądać jak na poniższej ilustracji (ścieżka, nazwa i kolumny wartości), które mają być poprawnie włączone. Jeśli tak nie jest, uruchom skrypt programu PowerShell, aby włączyć protokół TLS 1.2 na serwerze Entra Connect/ Następnie uruchom ponownie serwer i uruchom skrypt, aby ponownie sprawdzić protokół TLS 1.2.
Upewnij się, że program Microsoft .NET Framework 4.8 lub nowszy jest włączony (serwer synchronizacji)
Upewnij się, że program Microsoft .NET Framework 4.8 lub nowszy jest włączony na serwerze synchronizacji.
- Jak sprawdzić, czy platforma .NET jest już zainstalowana
- Wykonywanie zapytań względem rejestru przy użyciu programu PowerShell
- Pobierz program .NET Framework
Uruchom ponownie usługę Microsoft Entra Connect Sync
Aby rozwiązać problemy z łącznością lub inne przejściowe problemy z usługą, wykonaj następujące kroki, aby ponownie uruchomić usługę Microsoft Entra Connect Sync:
Jako administrator na serwerze z uruchomionym programem Microsoft Entra Connect wybierz pozycję Uruchom.
Wprowadź ciąg services.msc w polu wyszukiwania i wybierz Enter.
Wyszukaj wpis Azure AD Sync.
Kliknij prawym przyciskiem myszy wpis usługi, wybierz pozycję Uruchom ponownie i poczekaj na zakończenie operacji.
Te kroki umożliwiają ponowne nawiązanie połączenia z identyfikatorem Entra firmy Microsoft i rozwiązanie problemów z łącznością.
Jeśli ponowne uruchomienie usługi Microsoft Entra Connect Sync nie rozwiąże problemu, spróbuj wyłączyć, a następnie ponownie włączyć funkcję zapisywania zwrotnego haseł w następnej sekcji.
Wyłączanie i ponowne włączanie funkcji zapisywania zwrotnego haseł
Aby kontynuować rozwiązywanie problemów, wykonaj następujące kroki, aby wyłączyć, a następnie ponownie włączyć funkcję zapisywania zwrotnego haseł:
- Jako administrator na serwerze z uruchomionym programem Microsoft Entra Connect otwórz Kreatora konfiguracji programu Microsoft Entra Connect.
- W obszarze Połącz z identyfikatorem entra firmy Microsoft wprowadź poświadczenia administratora hybrydowego firmy Microsoft.
- W obszarze Nawiązywanie połączenia z usługami AD DS wprowadź poświadczenia administratora usług lokalna usługa Active Directory Domain Services.
- W obszarze Unikatowe identyfikowanie użytkowników wybierz przycisk Dalej .
- W obszarze Funkcje opcjonalne wyczyść pole wyboru Zapisywanie zwrotne haseł.
- Wybierz pozycję Dalej na pozostałych stronach okna dialogowego bez zmiany niczego, dopóki nie przejdziesz do strony Gotowe do skonfigurowania.
- Sprawdź, czy na stronie Gotowe do skonfigurowania jest wyświetlana opcja Zapisywania zwrotnego haseł jako wyłączona. Wybierz zielony przycisk Konfiguruj , aby zatwierdzić zmiany.
- W obszarze Zakończono wyczyść opcję Synchronizuj teraz , a następnie wybierz pozycję Zakończ , aby zamknąć kreatora.
- Otwórz ponownie kreatora konfiguracji programu Microsoft Entra Connect.
- Powtórz kroki 2–8, tym razem wybierając opcję Zapisywania zwrotnego haseł na stronie Funkcje opcjonalne, aby ponownie włączyć usługę.
Te kroki umożliwiają ponowne nawiązanie połączenia z identyfikatorem Entra firmy Microsoft i rozwiązanie problemów z łącznością.
Jeśli wyłączenie i ponowne włączenie funkcji zapisywania zwrotnego haseł nie rozwiąże problemu, zainstaluj ponownie program Microsoft Entra Connect w następnej sekcji.
Instalowanie najnowszej wersji programu Microsoft Entra Connect
Ponowne zainstalowanie programu Microsoft Entra Connect może rozwiązać problemy z konfiguracją i łącznością między identyfikatorem Entra firmy Microsoft i lokalnym środowiskiem usług domena usługi Active Directory. Zalecamy wykonanie tego kroku dopiero po podjęciu poprzednich kroków w celu zweryfikowania łączności i rozwiązywania problemów z łącznością.
Ostrzeżenie
Jeśli dostosowano gotowe reguły synchronizacji, wykonaj ich kopię zapasową przed kontynuowaniem uaktualniania, a następnie ręcznie wdróż je ponownie po zakończeniu.
Pobierz najnowszą wersję programu Microsoft Entra Connect z Centrum pobierania Microsoft.
Po zainstalowaniu programu Microsoft Entra Connect wykonaj uaktualnienie w miejscu, aby zaktualizować instalację programu Microsoft Entra Connect do najnowszej wersji.
Uruchom pobrany pakiet i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby zaktualizować program Microsoft Entra Connect.
Te kroki powinny ponownie nawiązać połączenie z identyfikatorem Entra firmy Microsoft i rozwiązać problemy z łącznością.
Jeśli zainstalowanie najnowszej wersji serwera Microsoft Entra Connect nie rozwiąże problemu, spróbuj wyłączyć, a następnie ponownie włączyć funkcję zapisywania zwrotnego haseł jako ostatni krok po zainstalowaniu najnowszej wersji.
Sprawdź, czy program Microsoft Entra Connect ma wymagane uprawnienia
Program Microsoft Entra Connect wymaga uprawnień do resetowania hasła usługi AD DS w celu wykonywania zapisywania zwrotnego haseł. Aby sprawdzić, czy program Microsoft Entra Connect ma wymagane uprawnienia dla danego lokalnego konta użytkownika usług AD DS, użyj funkcji Obowiązujące uprawnienia systemu Windows:
Zaloguj się do serwera Microsoft Entra Connect i uruchom menedżera usług synchronizacji, wybierając pozycję Uruchom>usługę synchronizacji.
Na karcie Łączniki wybierz lokalny łącznik domena usługi Active Directory Services, a następnie wybierz pozycję Właściwości.
W oknie podręcznym wybierz pozycję Połącz z lasem usługi Active Directory i zanotuj właściwość Nazwa użytkownika. Ta właściwość jest kontem usług AD DS używanym przez firmę Microsoft Entra Connect do przeprowadzania synchronizacji katalogów.
Aby program Microsoft Entra Connect wykonywał funkcję zapisywania zwrotnego haseł, konto usług AD DS musi mieć uprawnienie resetowania hasła. Uprawnienia do tego konta użytkownika są sprawdzane w poniższych krokach.
Zaloguj się do lokalnego kontrolera domeny i uruchom aplikację Użytkownicy i komputery usługi Active Directory.
Wybierz pozycję Wyświetl i upewnij się, że opcja Funkcje zaawansowane jest włączona.
Wyszukaj konto użytkownika usług AD DS, które chcesz zweryfikować. Kliknij prawym przyciskiem myszy nazwę konta i wybierz polecenie Właściwości.
W oknie podręcznym przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane.
W oknie podręcznym Ustawienia zabezpieczeń zaawansowanych dla administratora przejdź do karty Skuteczny dostęp.
Wybierz pozycję Wybierz użytkownika, wybierz konto usług AD DS używane przez program Microsoft Entra Connect, a następnie wybierz pozycję Wyświetl skuteczny dostęp.
Przewiń w dół i wyszukaj pozycję Resetuj hasło. Jeśli wpis ma znacznik wyboru, konto usług AD DS ma uprawnienia do resetowania hasła wybranego konta użytkownika usługi Active Directory.
Typowe błędy zapisywania zwrotnego haseł
W przypadku zapisywania zwrotnego haseł mogą wystąpić następujące bardziej szczegółowe problemy. Jeśli masz jeden z tych błędów, zapoznaj się z proponowanym rozwiązaniem i sprawdź, czy zapisywanie zwrotne haseł działa prawidłowo.
| Błąd | Rozwiązanie |
|---|---|
| Usługa resetowania hasła nie uruchamia się lokalnie. Błąd 6800 pojawia się w dzienniku zdarzeń aplikacji maszyny Microsoft Entra Connect. Po dołączeniu użytkownicy federacyjni, uwierzytelniania przekazywanego lub zsynchronizowani przy użyciu skrótu haseł nie mogą resetować swoich haseł. |
Po włączeniu zapisywania zwrotnego haseł aparat synchronizacji wywołuje bibliotekę zapisywania zwrotnego w celu wykonania konfiguracji (dołączania) przez komunikację z usługą dołączania do chmury. Wszelkie błędy napotkane podczas dołączania lub podczas uruchamiania punktu końcowego programu Windows Communication Foundation (WCF) na potrzeby zapisywania zwrotnego haseł powoduje błędy w dzienniku zdarzeń na maszynie Microsoft Entra Connect. Podczas ponownego uruchamiania usługi Azure AD Sync (ADSync) w przypadku skonfigurowania zapisywania zwrotnego punkt końcowy programu WCF zostanie uruchomiony. Jeśli jednak uruchomienie punktu końcowego zakończy się niepowodzeniem, rejestrujemy zdarzenie 6800 i pozwalamy na uruchomienie usługi synchronizacji. Obecność tego zdarzenia oznacza, że punkt końcowy zapisywania zwrotnego haseł nie został uruchomiony. Szczegóły dziennika zdarzeń dla tego zdarzenia 6800 wraz z wpisami dziennika zdarzeń generowanymi przez składnik PasswordResetService wskazują, dlaczego nie można uruchomić punktu końcowego. Przejrzyj te błędy dziennika zdarzeń i spróbuj ponownie uruchomić program Microsoft Entra Connect, jeśli zapisywanie zwrotne haseł nadal nie działa. Jeśli problem będzie się powtarzać, spróbuj wyłączyć, a następnie ponownie włączyć funkcję zapisywania zwrotnego haseł. |
| Gdy użytkownik próbuje zresetować hasło lub odblokować konto z włączonym zapisywaniem zwrotnym haseł, operacja kończy się niepowodzeniem. Ponadto w dzienniku zdarzeń programu Microsoft Entra Connect zostanie wyświetlone zdarzenie zawierające: "Aparat synchronizacji zwrócił błąd hr=800700CE, message=Nazwa pliku lub rozszerzenie jest za długie" po zakończeniu operacji odblokowywania. |
Znajdź konto usługi Active Directory dla programu Microsoft Entra Connect i zresetuj hasło, aby nie zawierało więcej niż 256 znaków. Następnie otwórz usługę synchronizacji z menu Start. Przejdź do obszaru Łączniki i znajdź łącznik usługi Active Directory. Wybierz ją, a następnie wybierz pozycję Właściwości. Przejdź do strony Poświadczenia i wprowadź nowe hasło. Wybierz przycisk OK , aby zamknąć stronę. |
| W ostatnim kroku procesu instalacji programu Microsoft Entra Connect zostanie wyświetlony błąd wskazujący, że nie można skonfigurować zapisywania zwrotnego haseł. Dziennik zdarzeń aplikacji Microsoft Entra Connect zawiera błąd 32009 z tekstem "Błąd podczas pobierania tokenu uwierzytelniania". |
Ten błąd występuje w następujących dwóch przypadkach:
|
| Dziennik zdarzeń maszyny Microsoft Entra Connect zawiera błąd 32002 zgłaszany przez uruchomienie polecenia PasswordResetService. Błąd brzmi: "Błąd podczas nawiązywania połączenia z usługą ServiceBus. Dostawca tokenu nie może podać tokenu zabezpieczającego". |
Środowisko lokalne nie może nawiązać połączenia z punktem końcowym usługi Azure Service Bus w chmurze. Ten błąd jest zwykle spowodowany przez regułę zapory blokującą połączenie wychodzące z określonym portem lub adresem internetowym. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące łączności. Po zaktualizowaniu tych reguł uruchom ponownie serwer Microsoft Entra Connect, a zapisywanie zwrotne haseł powinno zacząć działać ponownie. |
| Po zakończeniu pracy przez jakiś czas użytkownicy federacyjni, uwierzytelniania przekazywanego lub synchronizowani przy użyciu skrótów haseł nie mogą resetować swoich haseł. | W niektórych rzadkich przypadkach usługa zapisywania zwrotnego haseł może zakończyć się niepowodzeniem po ponownym uruchomieniu programu Microsoft Entra Connect. W takich przypadkach najpierw sprawdź, czy funkcja zapisywania zwrotnego haseł jest włączona lokalnie. Możesz to sprawdzić za pomocą kreatora Microsoft Entra Connect lub programu PowerShell. Jeśli funkcja wydaje się być włączona, spróbuj ponownie włączyć lub wyłączyć tę funkcję. Jeśli ten krok rozwiązywania problemów nie zadziała, spróbuj wykonać pełną dezinstalację i ponownie zainstalować program Microsoft Entra Connect. |
| Federacyjne, przekazywane uwierzytelnianie lub synchronizowane przy użyciu skrótów haseł użytkownicy, którzy próbują zresetować hasła, zobaczą błąd po próbie przesłania hasła. Błąd wskazuje, że wystąpił problem z usługą. Oprócz tego problemu podczas operacji resetowania hasła może zostać wyświetlony błąd, że agent zarządzania nie otrzymał dostępu w lokalnych dziennikach zdarzeń. |
Jeśli te błędy są widoczne w dzienniku zdarzeń, upewnij się, że konto agenta zarządzania usługi Active Directory (ADMA), które zostało określone w kreatorze w czasie konfiguracji, ma niezbędne uprawnienia do zapisywania zwrotnego haseł. Po podaniu tego uprawnienia może upłynąć do jednej godziny, aby uprawnienia mogły przechodzić w dół za pośrednictwem sdprop zadania w tle na kontrolerze domeny (DC). Aby resetowanie hasła działało, należy oznaczać uprawnienia deskryptora zabezpieczeń obiektu użytkownika, którego hasło jest resetowane. Dopóki to uprawnienie nie zostanie wyświetlone w obiekcie użytkownika, resetowanie hasła nadal kończy się niepowodzeniem z komunikatem o odmowie dostępu. |
| Federacyjne, przekazywane uwierzytelnianie lub synchronizowane przy użyciu skrótu hasła użytkownicy, którzy próbują zresetować swoje hasła, zobacz błąd po przesłaniu hasła. Błąd wskazuje, że wystąpił problem z usługą. Oprócz tego problemu podczas operacji resetowania hasła może zostać wyświetlony błąd w dziennikach zdarzeń z usługi Microsoft Entra Connect wskazujący błąd "Nie można odnaleźć obiektu". |
Ten błąd zwykle wskazuje, że aparat synchronizacji nie może odnaleźć obiektu użytkownika w przestrzeni łącznika Microsoft Entra lub połączonego metaverse (MV) lub obiektu przestrzeni łącznika Microsoft Entra. Aby rozwiązać ten problem, upewnij się, że użytkownik jest rzeczywiście zsynchronizowany ze środowiska lokalnego do identyfikatora Entra firmy Microsoft za pośrednictwem bieżącego wystąpienia programu Microsoft Entra Connect i sprawdź stan obiektów w przestrzeniach łącznika i mv. Upewnij się, że obiekt usług certyfikatów Active Directory (AD CS) jest połączony z obiektem MV za pośrednictwem reguły "Microsoft.InfromADUserAccountEnabled.xxx". |
| Federacyjne, przekazywane uwierzytelnianie lub synchronizowane przy użyciu skrótów haseł użytkownicy, którzy próbują zresetować swoje hasła, zobaczą błąd po przesłaniu hasła. Błąd wskazuje, że wystąpił problem z usługą. Oprócz tego problemu podczas operacji resetowania hasła może zostać wyświetlony błąd w dziennikach zdarzeń z usługi Microsoft Entra Connect, który wskazuje, że występuje błąd "Znaleziono wiele dopasowań". |
Oznacza to, że aparat synchronizacji wykrył, że obiekt MV jest połączony z więcej niż jednym obiektem usług AD CS za pośrednictwem "Microsoft.InfromADUserAccountEnabled.xxx". Oznacza to, że użytkownik ma włączone konto w więcej niż jednym lesie. Ten scenariusz nie jest obsługiwany w przypadku zapisywania zwrotnego haseł. |
| Operacje na hasłach kończą się niepowodzeniem z powodu błędu konfiguracji. Dziennik zdarzeń aplikacji zawiera błąd 6329 programu Microsoft Entra Connect z tekstem "0x8023061f (operacja nie powiodła się, ponieważ synchronizacja haseł nie jest włączona w tym agencie zarządzania)". | Ten błąd występuje, jeśli konfiguracja programu Microsoft Entra Connect została zmieniona w celu dodania nowego lasu usługi Active Directory (lub usunięcia i odczytania istniejącego lasu) po włączeniu funkcji zapisywania zwrotnego haseł. Operacje haseł dla użytkowników w tych ostatnio dodanych lasach kończą się niepowodzeniem. Aby rozwiązać ten problem, wyłącz i ponownie włącz funkcję zapisywania zwrotnego haseł po zakończeniu zmian konfiguracji lasu. |
| SSPR_0029: Nie można zresetować hasła z powodu błędu w konfiguracji lokalnej. Skontaktuj się z administratorem i poproś go o zbadanie. | Problem: Funkcja zapisywania zwrotnego haseł została włączona zgodnie ze wszystkimi wymaganymi krokami, ale podczas próby zmiany hasła otrzymasz komunikat "SSPR_0029: Twoja organizacja nie skonfigurowała prawidłowo konfiguracji lokalnej na potrzeby resetowania hasła". Sprawdzanie dzienników zdarzeń w systemie Microsoft Entra Connect pokazuje, że poświadczenie agenta zarządzania zostało odrzucone. Możliwe rozwiązanie: użyj protokołu RSOP w systemie Microsoft Entra Connect i kontrolerach domeny, aby sprawdzić, czy są włączone zasady "Dostęp do sieci: Ogranicz klientom możliwość nawiązywania połączeń zdalnych do protokołu SAM" w obszarze Konfiguracja > komputera Ustawienia zabezpieczeń Ustawienia > > systemu Windows Opcje zabezpieczeń Zasady > lokalne. Edytuj zasady, aby uwzględnić konto zarządzania MSOL_XXXXXXX jako dozwolonego użytkownika. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z błędami SSPR_0029: Twoja organizacja nie skonfigurowała prawidłowo konfiguracji lokalnej na potrzeby resetowania hasła. |
Kody błędów dziennika zdarzeń zapisywania zwrotnego haseł
Najlepszym rozwiązaniem podczas rozwiązywania problemów z zapisywaniem zwrotnym haseł jest sprawdzenie dziennika zdarzeń aplikacji na komputerze Microsoft Entra Connect. Ten dziennik zdarzeń zawiera zdarzenia z dwóch źródeł zapisywania zwrotnego haseł. Źródło PasswordResetService opisuje operacje i problemy związane z operacją zapisywania zwrotnego haseł. Źródło ADSync opisuje operacje i problemy związane z ustawianiem haseł w środowisku usług domena usługi Active Directory.
Jeśli źródłem zdarzenia jest ADSync
| Kod | Nazwa lub wiadomość | Opis |
|---|---|---|
| 6329 | BAIL: MMS (4924) 0x80230619: "Ograniczenie uniemożliwia zmianę hasła na bieżące określone. | To zdarzenie występuje, gdy usługa zapisywania zwrotnego haseł próbuje ustawić hasło w katalogu lokalnym, które nie spełnia wymagań dotyczących wieku hasła, historii, złożoności ani filtrowania domeny. To zdarzenie może również wystąpić, jeśli nie można zmienić hasła dla użytkownika. Jeśli masz minimalny wiek hasła i ostatnio zmieniono hasło w tym przedziale czasu, nie możesz ponownie zmienić hasła, dopóki nie osiągnie określonego wieku w domenie. W celach testowych minimalny wiek powinien być ustawiony na 0. Jeśli masz włączone wymagania dotyczące historii haseł, musisz wybrać hasło, które nie zostało użyte w ciągu ostatnich N razy, gdzie N to ustawienie historii haseł. Jeśli wybierzesz hasło, które zostało użyte w ciągu ostatnich N razy, w tym przypadku zostanie wyświetlony błąd. W celach testowych historia haseł powinna być ustawiona na 0. Jeśli masz wymagania dotyczące złożoności hasła, wszystkie z nich są wymuszane, gdy użytkownik próbuje zmienić lub zresetować hasło. Jeśli włączono filtry haseł, a użytkownik wybierze hasło, które nie spełnia kryteriów filtrowania, operacja resetowania lub zmiany zakończy się niepowodzeniem. Jeśli użytkownik ma ustawioną flagę właściwości PASSWD_CANT_CHANGE, nie można zsynchronizować hasła. W celach testowych usuń flagę właściwości PASSWD_CANT_CHANGE. Aby uzyskać więcej informacji, zobacz Opisy flag właściwości. |
| 6329 | MMS(3040): admaexport.cpp(2837): serwer nie zawiera kontrolki zasad haseł LDAP. | Ten problem występuje, jeśli kontrolka LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) nie jest włączona na kontrolerach domeny. Aby użyć funkcji zapisywania zwrotnego haseł, należy włączyć kontrolkę. W tym celu kontrolery domeny muszą znajdować się w systemie Windows Server 2016 lub nowszym. |
| 8023042 KADR | Aparat synchronizacji zwrócił błąd hr=80230402, message=Próba pobrania obiektu nie powiodła się, ponieważ istnieją zduplikowane wpisy z tą samą kotwicą. | Ten błąd występuje, gdy ten sam identyfikator użytkownika jest włączony w wielu domenach. Przykładem może być synchronizacja lasów kont i zasobów oraz obecność tego samego identyfikatora użytkownika i włączenie go w każdym lesie. Ten błąd może również wystąpić, jeśli używasz nietypowego atrybutu kotwicy, takiego jak alias lub NAZWA UPN, a dwóch użytkowników współużytkuje ten sam atrybut kotwicy. Aby rozwiązać ten problem, upewnij się, że nie masz żadnych zduplikowanych użytkowników w domenach i że używasz unikatowego atrybutu kotwicy dla każdego użytkownika. |
Jeśli źródłem zdarzenia jest PasswordResetService
| Kod | Nazwa lub wiadomość | Opis |
|---|---|---|
| 31001 | PasswordResetStart | To zdarzenie wskazuje, że usługa lokalna wykryła żądanie resetowania hasła dla federacyjnego, przekazywanego uwierzytelniania lub zsynchronizowanego hasła użytkownika pochodzącego z chmury. To zdarzenie jest pierwszym zdarzeniem w każdej operacji zapisywania zwrotnego resetowania hasła. |
| 31002 | PasswordResetSuccess | To zdarzenie oznacza, że użytkownik wybrał nowe hasło podczas operacji resetowania hasła. Ustaliliśmy, że to hasło spełnia wymagania dotyczące hasła firmowego. Hasło zostało pomyślnie zapisane w lokalnym środowisku usługi Active Directory. |
| 31003 | PasswordResetFail | To zdarzenie oznacza, że użytkownik wybrał hasło, a hasło zostało pomyślnie dostarczone do środowiska lokalnego. Jednak podczas próby ustawienia hasła w lokalnym środowisku usługi Active Directory wystąpił błąd. Ten błąd może wystąpić z kilku powodów:
|
| 31004 | OnboardingEventStart | To zdarzenie występuje, jeśli włączysz funkcję zapisywania zwrotnego haseł w programie Microsoft Entra Connect i rozpoczęliśmy dołączanie organizacji do usługi internetowej zapisywania zwrotnego haseł. |
| 31005 | OnboardingEventSuccess | To zdarzenie oznacza, że proces dołączania zakończył się pomyślnie i że funkcja zapisywania zwrotnego haseł jest gotowa do użycia. |
| 31006 | ChangePasswordStart | To zdarzenie wskazuje, że usługa lokalna wykryła żądanie zmiany hasła dla federacyjnego, przekazywanego uwierzytelniania lub zsynchronizowanego hasła użytkownika pochodzącego z chmury. To zdarzenie jest pierwszym zdarzeniem w każdej operacji zapisywania zwrotnego zmiany hasła. |
| 31007 | ChangePasswordSuccess | To zdarzenie oznacza, że użytkownik wybrał nowe hasło podczas operacji zmiany hasła, ustaliliśmy, że hasło spełnia wymagania dotyczące hasła firmowego i że hasło zostało pomyślnie zapisane w lokalnym środowisku usługi Active Directory. |
| 31008 | ChangePasswordFail | To zdarzenie wskazuje, że użytkownik wybrał hasło i że hasło dotarło pomyślnie do środowiska lokalnego, ale podczas próby ustawienia hasła w lokalnym środowisku usługi Active Directory wystąpił błąd. Ten błąd może wystąpić z kilku powodów:
|
| 31009 | ResetUserPasswordByAdminStart | Usługa lokalna wykryła żądanie resetowania hasła dla federacyjnego, przekazywanego uwierzytelniania lub zsynchronizowanego hasła użytkownika pochodzącego od administratora w imieniu użytkownika. To zdarzenie jest pierwszym zdarzeniem w każdej operacji zapisywania zwrotnego resetowania hasła zainicjowanego przez administratora. |
| 31010 | ResetUserPasswordByAdminSuccess | Administrator wybrał nowe hasło podczas operacji resetowania hasła zainicjowanej przez administratora. Ustaliliśmy, że to hasło spełnia wymagania dotyczące hasła firmowego. Hasło zostało pomyślnie zapisane w lokalnym środowisku usługi Active Directory. |
| 31011 | ResetUserPasswordByAdminFail | Administrator wybrał hasło w imieniu użytkownika. Hasło dotarło pomyślnie do środowiska lokalnego. Jednak podczas próby ustawienia hasła w lokalnym środowisku usługi Active Directory wystąpił błąd. Ten błąd może wystąpić z kilku powodów:
|
| 31012 | OffboardingEventStart | To zdarzenie występuje, jeśli wyłączysz funkcję zapisywania zwrotnego haseł w programie Microsoft Entra Connect i wskazuje, że rozpoczęliśmy odłączanie organizacji od usługi internetowej zapisywania zwrotnego haseł. |
| 31013 | OffboardingEventSuccess | To zdarzenie oznacza, że proces odłączania zakończył się pomyślnie i że funkcja zapisywania zwrotnego haseł została pomyślnie wyłączona. |
| 31014 | OffboardingEventFail | To zdarzenie oznacza, że proces odłączania nie zakończył się pomyślnie. Może to być spowodowane błędem uprawnień na koncie administratora w chmurze lub lokalnym określonym podczas konfiguracji. Błąd może również wystąpić, jeśli próbujesz użyć administratora hybrydowego chmury federacyjnej podczas wyłączania zapisywania zwrotnego haseł. Aby rozwiązać ten problem, sprawdź uprawnienia administracyjne i upewnij się, że nie używasz konta federacyjnego podczas konfigurowania funkcji zapisywania zwrotnego haseł. |
| 31015 | WriteBackServiceStarted | To zdarzenie wskazuje, że usługa zapisywania zwrotnego haseł została pomyślnie uruchomiona. Jest gotowy do akceptowania żądań zarządzania hasłami z chmury. |
| 31016 | WriteBackServiceStopped | To zdarzenie wskazuje, że usługa zapisywania zwrotnego haseł została zatrzymana. Żadne żądania zarządzania hasłami z chmury nie zostaną wykonane pomyślnie. |
| 31017 | AuthTokenSuccess | To zdarzenie oznacza, że pomyślnie pobraliśmy token autoryzacji dla administratora hybrydowego określonego podczas konfiguracji programu Microsoft Entra Connect, aby rozpocząć proces odłączania lub dołączania. |
| 31018 | KeyPairCreationSuccess | To zdarzenie wskazuje, że pomyślnie utworzyliśmy klucz szyfrowania haseł. Ten klucz służy do szyfrowania haseł z chmury do wysłania do środowiska lokalnego. |
| 31019 | ServiceBusHeartBeat | To zdarzenie wskazuje, że pomyślnie wysłaliśmy żądanie do wystąpienia usługi Service Bus twojej dzierżawy. |
| 31034 | ServiceBusListenerError | To zdarzenie wskazuje, że wystąpił błąd podczas nawiązywania połączenia z odbiornikiem usługi Service Bus dzierżawy. Jeśli komunikat o błędzie zawiera komunikat "Certyfikat zdalny jest nieprawidłowy", upewnij się, że serwer Microsoft Entra Connect ma wszystkie wymagane główne urzędy certyfikacji zgodnie z opisem w temacie Zmiany certyfikatu TLS platformy Azure. |
| 31044 | PasswordResetService | To zdarzenie oznacza, że zapisywanie zwrotne haseł nie działa. Usługa Service Bus nasłuchuje żądań na dwóch oddzielnych przekaźnikach w celu zapewnienia nadmiarowości. Każde połączenie przekaźnika jest zarządzane przez unikatowego hosta usługi. Klient zapisywania zwrotnego zwraca błąd, jeśli którykolwiek z hostów usług nie jest uruchomiony. |
| 32000 | Nieznany błąd | To zdarzenie wskazuje, że wystąpił nieznany błąd podczas operacji zarządzania hasłami. Aby uzyskać więcej szczegółów, zapoznaj się z tekstem wyjątku w zdarzeniu. Jeśli masz problemy, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł. Jeśli to nie pomoże, dołącz kopię dziennika zdarzeń wraz z identyfikatorem śledzenia określonym podczas otwierania wniosku o pomoc techniczną. |
| 32001 | ServiceError | To zdarzenie wskazuje, że wystąpił błąd podczas nawiązywania połączenia z usługą resetowania haseł w chmurze. Ten błąd zwykle występuje, gdy usługa lokalna nie mogła nawiązać połączenia z usługą internetową resetowania hasła. |
| 32002 | ServiceBusError | To zdarzenie wskazuje, że wystąpił błąd podczas nawiązywania połączenia z wystąpieniem usługi Service Bus dzierżawy. Może się tak zdarzyć, jeśli blokujesz połączenia wychodzące w środowisku lokalnym. Sprawdź zaporę, aby upewnić się, że zezwalasz na połączenia za pośrednictwem protokołu TCP 443 i do https://ssprdedicatedsbprodncu.servicebus.windows.net, a następnie spróbuj ponownie. Jeśli nadal występują problemy, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł. |
| 32003 | InPutValidationError | To zdarzenie wskazuje, że dane wejściowe przekazane do interfejsu API usługi internetowej były nieprawidłowe. Spróbuj ponownie wykonać operację. |
| 32004 | Odszyfrowywanie błędu | To zdarzenie wskazuje, że wystąpił błąd podczas odszyfrowywania hasła pochodzącego z chmury. Może to być spowodowane niezgodnością klucza odszyfrowywania między usługą w chmurze a środowiskiem lokalnym. Aby rozwiązać ten problem, wyłącz i ponownie włącz funkcję zapisywania zwrotnego haseł w środowisku lokalnym. |
| 32005 | ConfigurationError | Podczas dołączania zapisujemy informacje specyficzne dla dzierżawy w pliku konfiguracji w środowisku lokalnym. To zdarzenie wskazuje, że wystąpił błąd podczas zapisywania tego pliku lub że po uruchomieniu usługi wystąpił błąd podczas odczytywania pliku. Aby rozwiązać ten problem, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł, aby wymusić ponowne zapisanie pliku konfiguracji. |
| 32007 | OnBoardingConfigUpdateError | Podczas dołączania wysyłamy dane z chmury do lokalnej usługi resetowania haseł. Dane te są następnie zapisywane w pliku w pamięci, zanim zostaną wysłane do usługi synchronizacji, aby zostały bezpiecznie przechowywane na dysku. To zdarzenie wskazuje, że wystąpił problem z zapisywaniem lub aktualizowaniem tych danych w pamięci. Aby rozwiązać ten problem, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł, aby wymusić ponowne zapisanie tego pliku konfiguracji. |
| 32008 | ValidationError | To zdarzenie oznacza, że otrzymaliśmy nieprawidłową odpowiedź z usługi internetowej resetowania hasła. Aby rozwiązać ten problem, spróbuj wyłączyć, a następnie ponownie włączyć zapisywanie zwrotne haseł. |
| 32009 | Błąd AuthTokenError | To zdarzenie oznacza, że nie można uzyskać tokenu autoryzacji dla konta administratora hybrydowego określonego podczas konfigurowania programu Microsoft Entra Connect. Ten błąd może być spowodowany przez nieprawidłową nazwę użytkownika lub hasło określone dla konta administratora hybrydowego. Ten błąd może również wystąpić, jeśli określone konto administratora hybrydowego jest federacyjne. Aby rozwiązać ten problem, uruchom ponownie konfigurację z prawidłową nazwą użytkownika i hasłem i upewnij się, że administrator jest zarządzanym kontem (tylko w chmurze lub zsynchronizowanym hasłem). |
| 32010 | CryptoError | To zdarzenie wskazuje, że wystąpił błąd podczas generowania klucza szyfrowania haseł lub odszyfrowywania hasła pochodzącego z usługi w chmurze. Ten błąd prawdopodobnie wskazuje problem ze środowiskiem. Zapoznaj się ze szczegółami dziennika zdarzeń, aby dowiedzieć się więcej na temat sposobu rozwiązywania tego problemu. Możesz również spróbować wyłączyć, a następnie ponownie włączyć usługę zapisywania zwrotnego haseł. |
| 32011 | OnBoardingServiceError | To zdarzenie wskazuje, że usługa lokalna nie mogła prawidłowo komunikować się z usługą internetową resetowania hasła w celu zainicjowania procesu dołączania. Może się to zdarzyć w wyniku reguły zapory lub jeśli wystąpi problem z uzyskaniem tokenu uwierzytelniania dla dzierżawy. Aby rozwiązać ten problem, upewnij się, że nie blokujesz połączeń wychodzących za pośrednictwem protokołów TCP 443 i TCP 9350-9354 lub .https://ssprdedicatedsbprodncu.servicebus.windows.net Upewnij się również, że konto administratora firmy Microsoft, którego używasz do dołączenia, nie jest federacyjne. |
| 32013 | OffBoardingError | To zdarzenie oznacza, że usługa lokalna nie mogła prawidłowo komunikować się z usługą internetową resetowania hasła w celu zainicjowania procesu odłączania. Może się to zdarzyć w wyniku reguły zapory lub jeśli wystąpi problem z uzyskaniem tokenu autoryzacji dla dzierżawy. Aby rozwiązać ten problem, upewnij się, że nie blokujesz połączeń wychodzących przez 443 lub do https://ssprdedicatedsbprodncu.servicebus.windows.netusługi , a konto administratora firmy Microsoft Entra używane do odłączania nie jest federacyjne. |
| 32014 | ServiceBusWarning | To zdarzenie wskazuje, że musieliśmy ponowić próbę nawiązania połączenia z wystąpieniem usługi Service Bus dzierżawy. W normalnych warunkach nie powinno to być problemem, ale jeśli to zdarzenie występuje wiele razy, rozważ sprawdzenie połączenia sieciowego z usługą Service Bus, zwłaszcza jeśli jest to połączenie o dużym opóźnieniu lub niskiej przepustowości. |
| 32015 | ReportServiceHealthError | Aby monitorować kondycję usługi zapisywania zwrotnego haseł, wysyłamy dane pulsu do naszej usługi internetowej resetowania haseł co pięć minut. To zdarzenie wskazuje, że wystąpił błąd podczas wysyłania tych informacji o kondycji z powrotem do usługi internetowej w chmurze. Te informacje o kondycji nie zawierają żadnych danych osobowych i są wyłącznie statystykami pulsu i podstawowych usług, dzięki czemu możemy udostępniać informacje o stanie usługi w chmurze. |
| 33001 | ADUnKnownError | To zdarzenie wskazuje, że wystąpił nieznany błąd zwrócony przez usługę Active Directory. Aby uzyskać więcej informacji, zapoznaj się z dziennikiem zdarzeń serwera Microsoft Entra Connect pod kątem zdarzeń ze źródła adSync. |
| 33002 | ADUserNotFoundError | To zdarzenie oznacza, że użytkownik, który próbuje zresetować lub zmienić hasło, nie został znaleziony w katalogu lokalnym. Ten błąd może wystąpić, gdy użytkownik został usunięty lokalnie, ale nie w chmurze. Ten błąd może również wystąpić, jeśli wystąpił problem z synchronizacją. Aby uzyskać więcej informacji, sprawdź dzienniki synchronizacji i szczegóły ostatniego uruchomienia synchronizacji. |
| 33003 | ADMutliMatchError | Gdy żądanie resetowania hasła lub zmiany pochodzi z chmury, używamy kotwicy w chmurze określonej podczas procesu instalacji programu Microsoft Entra Connect, aby określić, jak połączyć to żądanie z powrotem z użytkownikiem w środowisku lokalnym. To zdarzenie oznacza, że znaleźliśmy dwóch użytkowników w katalogu lokalnym z tym samym atrybutem zakotwiczenia chmury. Aby uzyskać więcej informacji, sprawdź dzienniki synchronizacji i szczegóły ostatniego uruchomienia synchronizacji. |
| 33004 | ADPermissionsError | To zdarzenie oznacza, że konto usługi Active Directory Management Agent (ADMA) nie ma odpowiednich uprawnień dla danego konta w celu ustawienia nowego hasła. Upewnij się, że konto ADMA w lesie użytkownika ma uprawnienia do resetowania hasła dla wszystkich obiektów w lesie. Aby uzyskać więcej informacji na temat ustawiania uprawnień, zobacz Krok 4: Konfigurowanie odpowiednich uprawnień usługi Active Directory. Ten błąd może również wystąpić, gdy atrybut AdminCount użytkownika jest ustawiony na 1. |
| 33005 | ADUserAccountDisabled | To zdarzenie wskazuje, że próbowaliśmy zresetować lub zmienić hasło dla konta, które zostało wyłączone lokalnie. Włącz konto i spróbuj ponownie wykonać operację. |
| 33006 | ADUserAccountLockedOut | To zdarzenie wskazuje, że podjęto próbę zresetowania lub zmiany hasła dla konta, które zostało zablokowane lokalnie. Blokady mogą wystąpić, gdy użytkownik próbował zmienić lub zresetować operację hasła zbyt wiele razy w krótkim okresie. Odblokuj konto i spróbuj ponownie wykonać operację. |
| 33007 | ADUserIncorrectPassword | To zdarzenie wskazuje, że użytkownik określił nieprawidłowe bieżące hasło podczas wykonywania operacji zmiany hasła. Określ poprawne bieżące hasło i spróbuj ponownie. |
| 33008 | ADPasswordPolicyError | To zdarzenie występuje, gdy usługa zapisywania zwrotnego haseł próbuje ustawić hasło w katalogu lokalnym, które nie spełnia wymagań dotyczących wieku hasła, historii, złożoności ani filtrowania domeny. Jeśli masz minimalny wiek hasła i ostatnio zmieniono hasło w tym przedziale czasu, nie możesz ponownie zmienić hasła, dopóki nie osiągnie określonego wieku w domenie. W celach testowych minimalny wiek powinien być ustawiony na 0. Jeśli masz włączone wymagania dotyczące historii haseł, musisz wybrać hasło, które nie zostało użyte w ciągu ostatnich N razy, gdzie N jest ustawieniem historii haseł. Jeśli wybierzesz hasło, które zostało użyte w ciągu ostatnich N razy, w tym przypadku zostanie wyświetlony błąd. W celach testowych historia haseł powinna być ustawiona na 0. Jeśli masz wymagania dotyczące złożoności hasła, wszystkie z nich są wymuszane, gdy użytkownik próbuje zmienić lub zresetować hasło. Jeśli włączono filtry haseł, a użytkownik wybierze hasło, które nie spełnia kryteriów filtrowania, operacja resetowania lub zmiany zakończy się niepowodzeniem. |
| 33009 | ADConfigurationError | To zdarzenie wskazuje, że wystąpił problem podczas zapisywania hasła z powrotem do katalogu lokalnego z powodu problemu z konfiguracją usługi Active Directory. Zapoznaj się z dziennikiem zdarzeń aplikacji maszyny Microsoft Entra Connect pod kątem komunikatów z usługi ADSync, aby uzyskać więcej informacji na temat tego, który błąd wystąpił. |
Znaki jednostki organizacyjnej zarezerwowane z zapisywania zwrotnego haseł
W poniższej tabeli wymieniono zastrzeżone znaki, które uniemożliwiają zapisywanie zwrotne haseł. Jeśli te znaki są wyświetlane w strukturze lokalnej jednostki organizacyjnej (OU), zapisywanie zwrotne haseł może zakończyć się niepowodzeniem z identyfikatorem zdarzenia 33001.
| Zastrzeżony znak | Opis | Wartość szesnastkowy |
|---|---|---|
| spacja lub znak # na początku ciągu | ||
| znak spacji na końcu ciągu | ||
| , | przecinek | 0x2C |
| + | plus | 0x2B |
| " | cudzysłów | 0x22 |
| \ | Ukośnik odwrotny | 0x5C |
| < | lewy nawias kątowy | 0x3C |
| > | prawy nawias kątowy | 0x3E |
| ; | średnik | 0x3B |
| LF | kanał liniowy | 0x0A |
| CR | powrót karetki | 0x0D |
| = | znak równości | 0x3D |
| / | Ukośnika | 0x2F |
Fora firmy Microsoft Entra
Jeśli masz ogólne pytania dotyczące identyfikatora Entra firmy Microsoft i samoobsługowego resetowania hasła, możesz poprosić społeczność o pomoc na stronie pytań i odpowiedzi firmy Microsoft dla identyfikatora Entra firmy Microsoft. Członkowie społeczności to inżynierowie, menedżerowie produktów, MVP i inni specjaliści IT.
Skontaktuj się z pomocą techniczną firmy Microsoft
Jeśli nie możesz znaleźć odpowiedzi na problem, nasze zespoły pomocy technicznej są zawsze dostępne, aby ci pomóc.
Aby prawidłowo pomóc, prosimy o podanie jak największej ilości szczegółów podczas otwierania sprawy. Te szczegóły obejmują następujące elementy:
- Ogólny opis błędu: Jaki jest błąd? Jakie było zachowanie, które zostało zauważone? Jak możemy odtworzyć błąd? Podaj jak najwięcej szczegółów.
- Strona: Na jakiej stronie wystąpił błąd? Dołącz adres URL, jeśli możesz uzyskać dostęp do strony i zrzut ekranu strony.
- Kod pomocy technicznej: Jaki był kod pomocy technicznej wygenerowany po wyświetleniu błędu przez użytkownika?
Aby znaleźć ten kod, odtwórz błąd, a następnie wybierz link Kod pomocy technicznej w dolnej części ekranu i wyślij inżynierowi pomocy technicznej identyfikator GUID, który daje wyniki.
Jeśli jesteś na stronie bez kodu pomocy technicznej u dołu, wybierz pozycję F12 i wyszukaj identyfikator SID i CID i wyślij te dwa wyniki do inżyniera pomocy technicznej.
- Data, godzina i strefa czasowa: uwzględnij dokładną datę i godzinę ze strefą czasową wystąpienia błędu.
- Identyfikator użytkownika: kto był użytkownikiem, który widział błąd? Przykładem jest user@contoso.com.
- Czy jest to użytkownik federacyjny?
- Czy jest to użytkownik uwierzytelniania przekazywanego?
- Czy jest to użytkownik zsynchronizowany przy użyciu skrótu hasła?
- Czy jest to użytkownik tylko w chmurze?
- Licencjonowanie: Czy użytkownik ma przypisaną licencję microsoft Entra ID?
- Dziennik zdarzeń aplikacji: jeśli używasz zapisywania zwrotnego haseł i błąd znajduje się w infrastrukturze lokalnej, dołącz spakowany kopię dziennika zdarzeń aplikacji z serwera Microsoft Entra Connect.
Następne kroki
Aby dowiedzieć się więcej na temat samoobsługowego resetowania hasła, zobacz Jak to działa: Samoobsługowe resetowanie haseł firmy Microsoft lub Jak działa samoobsługowe zapisywanie zwrotne resetowania haseł w usłudze Microsoft Entra ID?.