Solucionar problemas de write-back de redefinição de senha self-service no Microsoft Entra ID
A SSPR (redefinição de senha self-service) do Microsoft Entra permite aos usuários redefinir as respectivas senhas na nuvem. O write-back de senha é um recurso habilitado no Microsoft Entra Connect ou na Sincronização na nuvem, que permite que as alterações de senha na nuvem sejam gravadas novamente em um diretório local em tempo real.
Para problemas com o write-back da SSPR, as etapas de solução de problemas e os erros comuns incluídos a seguir podem ser úteis. Caso não encontre resposta para o seu problema, as equipes de suporte da Microsoft estão sempre disponíveis para oferecer assistência adicional.
Solucionar problemas de conectividade
Caso tenha problemas com o write-back de senha do Microsoft Entra Connect, as etapas a seguir podem ajudar a resolvê-los. Para recuperar o serviço, é recomendável seguir as etapas nesta ordem:
- Verificar a conectividade de rede
- Verificar o TLS 1.2
- Atualizar o Microsoft .NET 4.8
- Reiniciar o serviço de Sincronização do Microsoft Entra Connect
- Desabilitar e reabilitar o recurso de write-back de senha
- Instalar a última versão do Microsoft Entra Connect
- Solucionar problemas do write-back de senha
Verificar a conectividade de rede
O ponto de falha mais comum é a configuração incorreta de portas do firewall ou do proxy ou de tempos limite ociosos.
Para o Microsoft Entra Connect versão 1.1.443.0 e posterior, o acesso a HTTPS de saída é necessário para os seguintes endereços:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Pontos de extremidade do Azure para o governo dos EUA:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Pontos de extremidade do Azure China 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Se você precisar de mais granularidade, confira a lista de Intervalos de IP e Marcas de Serviço do Microsoft Azure para Nuvem Pública.
Para o Azure para o governo dos EUA, confira a lista de Intervalos de IP e Marcas de Serviço do Microsoft Azure para a Nuvem do Governo dos EUA.
Estes arquivos são atualizados semanalmente.
Para determinar se o acesso a uma URL e porta é restrito em um ambiente como a nuvem pública do Azure, siga estas etapas:
No servidor de conexão do Entra, abra os logs do Visualizador de Eventos (logs do Windows, aplicativo) e localize uma destas IDs de evento: 31034 ou 31019.
Nessas IDs de Evento, identifique o nome do ouvinte do barramento de serviço:
Execute o cmdlet a seguir:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443Você também pode executar o seguinte:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -VerboseSubstitua o <namespace> pelo extraído das IDs de evento acima. Por exemplo, no caso anterior, o comando é:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Para obter mais informações, confira os pré-requisitos de conectividade do Microsoft Entra Connect.
Verificar se o TLS 1.2 está habilitado
Uma etapa adicional de solução de problemas é verificar se o TLS 1.2 está habilitado corretamente no Servidor de Sincronização. Execute o Script do PowerShell para verificar o TLS 1.2 no servidor Entra Connect. Execute o script no modo admin.
A saída do script de verificação deve ser semelhante à imagem a seguir (com as colunas de caminho, nome e valor) para estar habilitada corretamente. Caso contrário, execute o Script do PowerShell para habilitar o TLS 1.2 no servidor do Entra Connect/ Em seguida, reinicialize o servidor e execute o script para verificar o TLS 1.2 novamente.
Verifique se o Microsoft .NET Framework 4.8 ou posterior está habilitado (Servidor de Sincronização)
Verifique se o Microsoft .NET Framework 4.8 ou posterior está habilitado no Servidor de Sincronização.
- Como verificar se o .NET está instalado
- Consultar o registro usando o PowerShell
- Baixar o .NET Framework
Reiniciar o serviço de Sincronização do Microsoft Entra Connect
Para resolver problemas de conectividade ou outros problemas transitórios com o serviço, realize as seguintes etapas para reiniciar o serviço de Sincronização do Microsoft Entra Connect:
Como administrador do servidor que executa o Microsoft Entra Connect, selecione Iniciar.
Insira services.msc no campo de pesquisa e selecione Enter.
Procure a entrada Azure AD Sync.
Clique com o botão direito do mouse na entrada do serviço, selecione Reiniciar e aguarde a conclusão da operação.
Estas etapas restabelecem a conexão com o Microsoft Entra ID e devem resolver os problemas de conectividade.
Se a reinicialização do serviço de Sincronização do Microsoft Entra Connect não resolver o problema, desabilite e habilite novamente o recurso de write-back de senha na próxima seção.
Desabilitar e reabilitar o recurso de write-back de senha
Para continuar a solucionar problemas, siga estas etapas para desabilitar e reabilitar o recurso de write-back de senha:
- Como administrador do servidor que executa o Microsoft Entra Connect, abra o assistente de Configuração do Microsoft Entra Connect.
- Em Conectar-se ao Microsoft Entra ID, insira suas credenciais de Administrador global do Microsoft Entra.
- Em Conectar-se ao AD DS, insira suas credenciais de administrador local do Active Directory Domain Services.
- Em Identificar seus usuários com exclusividade, selecione o botão Avançar.
- Em Recursos opcionais, desmarque a caixa de seleção write-back de senha.
- Selecione Avançar nas páginas de diálogo restantes sem alterar nada até chegar à página Pronto para configurar.
- Verifique se a página Pronto para configurar mostra a opção Write-back de senha como Desabilitada. Selecione o botão verde Configurar para confirmar as alterações.
- Em Concluído, desmarque a opção Sincronizar agora e selecione Concluir para fechar o assistente.
- Reabra o assistente de Configuração do Microsoft Entra Connect.
- Repita as etapas 2 a 8, selecionando desta vez a opção Write-back de senha na página Recursos opcionais para habilitar o serviço novamente.
Estas etapas restabelecem a conexão com o Microsoft Entra ID e devem resolver os problemas de conectividade.
Se desabilitar e reabilitar o recurso de write-back de senha não resolver o problema, reinstale o Microsoft Entra Connect na próxima seção.
Instalar a última versão do Microsoft Entra Connect
A reinstalação do Microsoft Entra Connect pode resolver problemas de configuração e conectividade entre o Microsoft Entra ID e o ambiente do Active Directory Domain Services local. É recomendável executar essa etapa somente depois de tentar as etapas anteriores para verificar e solucionar problemas de conectividade.
Aviso
Se você personalizou as regras de sincronização integradas, faça backup delas antes de prosseguir com a atualização e reimplante-as manualmente após a conclusão.
Baixe a última versão do Microsoft Entra Connect no Centro de Download da Microsoft.
Como você já instalou o Microsoft Entra Connect, faça uma atualização in-loco para atualizar a instalação do Microsoft Entra Connect para a última versão.
Execute o pacote baixado e siga as instruções na tela para atualizar o Microsoft Entra Connect.
Essas etapas devem restabelecer a conexão com o Microsoft Entra ID e resolver os problemas de conectividade.
Se a instalação da última versão do servidor do Microsoft Entra Connect não resolver o problema, desabilite e reabilite o write-back de senha como uma etapa final depois de instalar a última versão.
Verificar se o Microsoft Entra Connect tem as permissões necessárias
O Microsoft Entra Connect exige a permissão Redefinir senha do AD DS para executar o write-back de senha. Para verificar se o Microsoft Entra Connect tem a permissão necessária para determinada conta de usuário do AD DS local, use o recurso Permissão Efetiva do Windows:
Iniciar sessão no servidor do Microsoft Entra Connect e o Synchronization Service Manager selecionando Iniciar>Synchronization Service.
Na guia Conectores, selecione o conector do Active Directory Domain Services local e selecione Propriedades.
Na janela pop-up, selecione Conectar-se à Floresta do Active Directory e anote a propriedade User name. Essa propriedade é a conta do AD DS usada pelo Microsoft Entra Connect para executar a sincronização de diretório.
Para que o Microsoft Entra Connect execute o write-back de senha, a conta do AD DS precisa ter permissão para redefinir a senha. Nas etapas a seguir, você verificará as permissões nessa conta de usuário.
Entre em um controlador de domínio local e inicie o aplicativo Usuários e Computadores do Active Directory.
Selecione Exibir e verifique se a opção Recursos Avançados está habilitada.
Procure a conta de usuário do AD DS que você deseja verificar. Clique com o botão direito do mouse no nome da conta e selecione Propriedades.
Na janela pop-up, vá para a guia Segurança e selecione Avançado.
Na janela pop-up Configurações de segurança Avançadas para o Administrador, vá para a guia Acesso Efetivo.
Escolha Selecionar um usuário, escolha a conta do AD DS usada pelo Microsoft Entra Connect e selecione Exibir acesso efetivo.
Role para baixo e procure Redefinir senha. Quando a entrada tem uma marca de seleção, a conta do AD DS tem permissão para redefinir a senha da conta de usuário do Active Directory selecionada.
Erros comuns de write-back de senha
Podem ocorrer problemas mais específicos com o write-back de senha, como os descritos a seguir. Caso um desses erros ocorra, analise a solução proposta e verifique se o write-back de senha funciona corretamente.
| Erro | Solução |
|---|---|
| O serviço de redefinição de senha não é iniciado no local. O erro 6800 é exibido no log de eventos do aplicativo do computador do Microsoft Entra Connect. Após a integração, os usuários federados, com autenticação de passagem ou sincronizados com hash de senha não conseguem redefinir suas senhas. |
Quando o write-back de senha é habilitado, o mecanismo de sincronização chama a biblioteca de write-back para realizar a configuração (integração) comunicando-se com o serviço de integração em nuvem. Os erros encontrados durante a integração ou a inicialização do ponto de extremidade do WCF (Windows Communication Foundation) para o write-back de senha geram erros no log de eventos e no computador do Microsoft Entra Connect. Durante a reinicialização do serviço ADSync (Azure AD Sync), quando o write-back está configurado, o ponto de extremidade do WCF é inicializado. No entanto, quando ocorre falha na inicialização do ponto de extremidade, o evento 6800 é registrado e a inicialização do serviço de sincronização é permitida. A presença desse evento significa que o ponto de extremidade de write-back de senha não foi iniciado. Os detalhes do log de eventos desse evento (6800) juntamente com as entradas do log de eventos geradas pelo componente PasswordResetService indicam por que não é possível iniciar o ponto de extremidade. Analise esses erros do log de eventos e reinicie o Microsoft Entra Connect caso o write-back de senha ainda não esteja funcionando. Se o problema persistir, desabilite e reabilite o write-back de senha. |
| Quando um usuário tenta redefinir uma senha ou desbloquear uma conta com write-back de senha habilitada, a operação falha. Além disso, após a operação de desbloqueio ocorrer, você verá um evento no log de eventos do Microsoft Entra Connect que contém: O Mecanismo de Sincronização retornou um erro hr=800700CE, message=O nome de arquivo ou a extensão é muito longo. |
Encontre a conta do Active Directory para o Microsoft Entra Connect e redefina a senha para que tenha, no máximo, 256 caracteres. Em seguida, abra o Serviço de Sincronização no menu Iniciar. Navegue para Conectores e localize o Active Directory Connector. Selecione-o e, em seguida, selecione Propriedades. Navegue até a página Credenciais e digite a nova senha. Selecione OK para fechar a página. |
| Na última etapa do processo de instalação do Microsoft Entra Connect, você verá um erro indicando que não é possível configurar o write-back de senha. O log de eventos do aplicativo do Microsoft Entra Connect contém o erro 32009 com o texto Erro ao obter o token de autenticação. |
Esse erro ocorre em dois casos, que são os seguintes:
|
| O log de eventos do computador do Microsoft Entra Connect contém o erro 32002, gerado pela execução de PasswordResetService. O erro é: Erro ao se conectar ao ServiceBus. O provedor de token não forneceu um token de segurança. |
O ambiente local não pode se conectar ao ponto de extremidade do Barramento de Serviço do Azure na nuvem. Esse erro normalmente é causado por uma regra de firewall que bloqueia uma conexão de saída com uma porta ou um endereço web específico. Confira Pré-requisitos de conectividade para saber mais. Após a atualização das regras, reinicie o servidor do Microsoft Entra Connect e o write-back de senha deverá começar a funcionar novamente. |
| Após trabalhar por algum tempo, os usuários federados, com autenticação de passagem ou sincronizados com hash de senha não conseguem redefinir suas senhas. | Em alguns casos raros, poderá ocorrer uma falha de reinicialização no serviço de write-back de senha quando o Microsoft Entra Connect for reiniciado. Nesses casos, primeiro verifique se o write-back de senha está habilitado localmente. Verifique isso usando o assistente do Microsoft Entra Connect ou o PowerShell. Se o recurso aparentemente estiver habilitado, habilite ou desabilite o recurso novamente. Se essa etapa de solução de problemas não funcionar, faça a desinstalação e reinstalação completas do Microsoft Entra Connect. |
| Os usuários federados, com autenticação de passagem ou sincronizados por hash de senha que tentam redefinir suas senhas veem um erro quando tentam enviar a senha. O erro indica que houve um problema de serviço. Além disso, durante as operações de redefinição de senha, pode ocorrer um erro em que o agente de gerenciamento tem o acesso negado em seus logs de eventos no local. |
Se você vir esses erros no log de eventos, confirme se a conta do ADMA (Agente de Gerenciamento do Active Directory) que foi especificada no assistente no momento da configuração tem as permissões necessárias para o write-back de senha. Após a permissão ser concedida, pode levar até uma hora para que as permissões sejam repassadas pela tarefa em segundo plano sdprop no DC (controlador de domínio). Para que a redefinição de senha funcione, a permissão deve ser marcada no descritor de segurança do objeto do usuário cuja senha esteja sendo redefinida. Até que essa permissão seja exibida no objeto do usuário, a redefinição de senha continuará falhando com uma mensagem de acesso negado. |
| Usuários federados, com autenticação de passagem ou sincronizados por hash de senha que tentam redefinir suas senhas, os quais veem um erro após o envio da senha. O erro indica que houve um problema de serviço. Além desse problema, durante as operações de redefinição de senha, você pode ver um erro indicando Objeto não encontrado nos logs de eventos do serviço Microsoft Entra Connect. |
Em geral, esse erro indica que o mecanismo de sincronização não consegue encontrar o objeto de usuário no espaço conector do Microsoft Entra, no objeto de espaço conector do Microsoft Entra ou no MV (metaverso) vinculado. Para solucionar o problema, verifique se o usuário está realmente sincronizado do local com o Microsoft Entra ID por meio da instância atual do Microsoft Entra Connect e inspecione o estado dos objetos nos espaços do conector e no MV. Confirme se o objeto AD CS (Serviços de Certificados do Active Directory) está conectado ao objeto MV por meio da regra "Microsoft.InfromADUserAccountEnabled.xxx". |
| Usuários federados, com autenticação de passagem ou sincronizados por hash de senha que tentam redefinir suas senhas veem um erro após o envio da senha. O erro indica que houve um problema de serviço. Além desse problema, durante as operações de redefinição de senha, você pode ver um erro nos logs de eventos do serviço Microsoft Entra Connect indicando que há Várias correspondências encontradas. |
Isso significa que o mecanismo de sincronização detectou que o objeto MV está conectado a mais de um objeto AD CS por meio de "Microsoft.InfromADUserAccountEnabled.xxx". Isso significa que o usuário tem uma conta habilitada em mais de uma floresta. Não há suporte para write-back de senha nesse cenário. |
| Falha nas operações de senha com um erro de configuração. O log de eventos do aplicativo contém o erro 6329 do Microsoft Entra Connect com o texto 0x8023061f (Falha na operação devido à sincronização de senha não estar habilitada neste Agente de Gerenciamento). | Esse erro ocorrerá se a configuração do Microsoft Entra Connect for alterada para adicionar uma nova floresta do Active Directory (ou para remover e ler uma floresta existente) após a habilitação do recurso de write-back de senha. As operações de senha para usuários em florestas recém-adicionadas como essas falharão. Para corrigir o problema, desabilite e reabilite o recurso de write-back de senha após a conclusão das alterações de configuração de floresta. |
| SSPR_0029: Não foi possível redefinir a senha devido a um erro na configuração local. Entre em contato com seu administrador e solicite uma investigação. | Problema: o write-back de senha foi habilitado seguindo todas as etapas necessárias, porém, ao tentar alterar uma senha, você recebe "SSPR_0029: sua organização não definiu corretamente a configuração local para redefinição de senha". Verificar os logs de eventos no sistema Microsoft Entra Connect mostra que a credencial do agente de gerenciamento teve acesso negado. Possível solução: use o RSoP no sistema Microsoft Entra Connect e nos seus controladores de domínio para verificar se a política "Acesso à rede: restringir clientes permitidos a fazer chamadas remotas para o SAM", encontrada em Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança, está habilitada. Edite a política para incluir a conta de gerenciamento MSOL_XXXXXXX como um usuário permitido. Para obter mais informações, confira Solucionar problemas do erro SSPR_0029: sua organização não definiu corretamente a configuração local para redefinição de senha. |
Códigos de erro do log de eventos de write-back de senha
Uma melhor prática para solucionar problemas com write-back de senha é inspecionar o log de eventos do aplicativo no computador do Microsoft Entra Connect. Esse log de eventos contém eventos de duas fontes para write-back de senha. A origem PasswordResetService descreve operações e problemas relacionados à operação de write-back de senha. A origem ADSync descreve operações e problemas relacionados à definição de senhas no ambiente Active Directory Domain Services.
Quando a origem do evento é ADSync
| Código | Nome ou mensagem | Descrição |
|---|---|---|
| 6329 | BAIL: MMS(4924) 0x80230619: "Uma restrição impede que a senha seja alterada para a atual especificada". | Esse evento ocorre quando o serviço de write-back de senha tenta definir uma senha no diretório local que não atende aos requisitos de filtragem, complexidade, histórico e idade de senha relativos ao domínio. Esse evento também pode ocorrer quando uma senha não pode ser alterada para um usuário. Quando há uma duração mínima da senha e você alterou a senha recentemente nessa janela de tempo, não é possível alterar a senha novamente até que ela atinja a duração especificada no domínio. Para fins de teste, a idade mínima deve ser definida como 0. Se você tiver requisitos de histórico de senha habilitados, selecione uma senha que não tenha sido usada nas últimas X vezes, em que X é a definição de histórico de senha. Quando você seleciona uma senha que foi usada nas últimas X vezes, ocorre uma falha. Para fins de teste, o histórico de senha deve ser definido como 0. Quando você tem requisitos de complexidade de senha, todos eles são impostos quando o usuário tentar alterar ou redefinir uma senha. Quando você tem filtros de senha habilitados e um usuário seleciona uma senha que não atende aos critérios de filtragem, ocorre falha na operação de redefinição ou de alteração. Quando o usuário tem o sinalizador de propriedade PASSWD_CANT_CHANGE definido, a senha não pode ser sincronizada. Para fins de teste, remova o sinalizador de propriedade PASSWD_CANT_CHANGE. Para obter mais informações, confira Descrições do sinalizador da propriedade. |
| 6329 | MMS(3040): admaexport.cpp(2837): o servidor não contém o controle da política de senha do LDAP. | Esse problema ocorre quando o controle LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) não está habilitado nos controladores de domínio. Para usar o recurso de write-back de senha, é necessário habilitar o controle. Para isso, os DCs devem estar no Windows Server 2016 ou superior. |
| HR 8023042 | O Mecanismo de Sincronização retornou um erro hr = 80230402, mensagem= Houve uma falha na tentativa de obter um objeto, porque existem entradas duplicadas com a mesma âncora. | Esse erro ocorre quando a mesma ID de usuário está habilitada em vários domínios. Por exemplo, quando você sincroniza florestas de contas e recursos e tem a mesma ID de usuário presente e habilitada em cada uma delas, esse erro pode ocorrer. Esse erro também pode ocorrer quando você usa um atributo de âncora não exclusivo (como alias ou UPN) e dois usuários compartilham o mesmo atributo de âncora. Para resolver esse problema, verifique se você não tem nenhum usuário duplicado em seus domínios e se está usando um atributo de âncora exclusivo para cada usuário. |
Quando a origem do evento é PasswordResetService
| Código | Nome ou mensagem | Descrição |
|---|---|---|
| 31001 | PasswordResetStart | Esse evento indica que o serviço local detectou uma solicitação de redefinição de senha de um usuário federado, com autenticação de passagem ou sincronizado com hash de senha proveniente da nuvem. Esse evento é o primeiro evento em cada operação de write-back de redefinição de senha. |
| 31002 | PasswordResetSuccess | Esse evento indica que o usuário selecionou uma nova senha durante uma operação de redefinição de senha. Foi determinado que a senha atende aos requisitos de senha corporativa. A senha foi gravada novamente no ambiente do Active Directory local. |
| 31003 | PasswordResetFail | Esse evento indica que o usuário selecionou uma senha e a senha chegou ao ambiente local. Mas durante a tentativa de definir a senha no ambiente do Active Directory local, ocorreu uma falha. Essa falha pode ocorrer por diversos motivos:
|
| 31004 | OnboardingEventStart | Esse evento ocorre quando você habilita o write-back de senha com o Microsoft Entra Connect e a integração da sua organização ao serviço Web de write-back de senha foi iniciada. |
| 31005 | OnboardingEventSuccess | Esse evento indica que o processo de integração foi bem-sucedido e que a capacidade de write-back de senha está pronta para uso. |
| 31006 | ChangePasswordStart | Esse evento indica que o serviço local detectou uma solicitação de alteração de senha de um usuário federado, com autenticação de passagem ou sincronizado com hash de senha proveniente da nuvem. Esse evento é o primeiro evento em cada operação de write-back de alteração de senha. |
| 31007 | ChangePasswordSuccess | Esse evento indica que o usuário selecionou uma nova senha durante uma operação de alteração de senha; foi determinado que a senha atende aos requisitos de senha corporativa e essa senha foi gravada com êxito no ambiente Active Directory local. |
| 31008 | ChangePasswordFail | Esse evento indica que um usuário selecionou uma senha e que a senha chegou com sucesso ao ambiente local, mas, durante a tentativa de definir a senha no ambiente do Active Directory local, ocorreu uma falha. Essa falha pode ocorrer por diversos motivos:
|
| 31009 | ResetUserPasswordByAdminStart | O serviço local detectou uma solicitação de redefinição de senha de um usuário federado, com autenticação de passagem ou sincronizado com hash de senha proveniente do administrador em nome de um usuário. Esse evento é o primeiro evento em cada operação de write-back de redefinição de senha iniciada por um administrador. |
| 31010 | ResetUserPasswordByAdminSuccess | O administrador selecionou uma nova senha durante uma operação de redefinição de senha iniciada pelo administrador. Foi determinado que a senha atende aos requisitos de senha corporativa. A senha foi gravada novamente no ambiente do Active Directory local. |
| 31011 | ResetUserPasswordByAdminFail | O administrador selecionou uma senha em nome do usuário. A senha chegou ao ambiente local. Mas durante a tentativa de definir a senha no ambiente do Active Directory local, ocorreu uma falha. Essa falha pode ocorrer por diversos motivos:
|
| 31012 | OffboardingEventStart | Esse evento ocorre quando você desabilita o write-back de senha com o Microsoft Entra Connect e indica que a remoção da sua organização do serviço Web de write-back de senha foi iniciada. |
| 31013 | OffboardingEventSuccess | Esse evento indica que o processo de integração foi bem-sucedido e que a funcionalidade de write-back de senha foi desabilitada com êxito. |
| 31014 | OffboardingEventFail | Esse evento indica que o processo de remoção não foi bem-sucedido. Isso pode ser devido a um erro de permissões na conta de administrador de nuvem ou local especificada durante a configuração. O erro também pode ocorrer quando você usa um Administrador Global da nuvem federada ao desabilitar o write-back de senha. Para corrigir esse problema, verifique suas permissões administrativas e garanta que não esteja usando uma conta federada ao configurar a funcionalidade de write-back de senha. |
| 31015 | WriteBackServiceStarted | Esse evento indica que o serviço de write-back de senha foi iniciado. Ele está pronto para aceitar solicitações de gerenciamento de senha da nuvem. |
| 31016 | WriteBackServiceStopped | Esse evento indica que o serviço de write-back de senha parou. As solicitações de gerenciamento de senha da nuvem não terão êxito. |
| 31017 | AuthTokenSuccess | Esse evento indica que um token de autorização foi recuperado para o Administrador Híbrido especificado durante a instalação do Microsoft Entra Connect para iniciar o processo de remoção ou integração. |
| 31018 | KeyPairCreationSuccess | Esse evento indica que a chave de criptografia de senha foi criada. Essa chave é usada para criptografar senhas da nuvem para envio ao seu ambiente local. |
| 31019 | ServiceBusHeartBeat | Este evento indica que foi enviada uma solicitação para a instância do Barramento de Serviço do Azure do seu locatário. |
| 31034 | ServiceBusListenerError | Esse evento indica que houve um erro ao se conectar ao ouvinte do Barramento de Serviço do locatário. Se a mensagem de erro incluir O certificado remoto é inválido, verifique se o servidor do Microsoft Entra Connect tem todas as ACs raiz necessárias, conforme descrito em Alterações no certificado TLS do Azure. |
| 31044 | PasswordResetService | Esse evento indica que o write-back de senha não está funcionando. O Barramento de Serviço escuta solicitações em duas retransmissões separadas para fins de redundância. Cada conexão de retransmissão é gerenciada por um Host de Serviço exclusivo. O cliente de write-back retorna um erro quando o Host de Serviço não está em execução. |
| 32000 | UnknownError | Esse evento indica um erro desconhecido durante uma operação de gerenciamento de senha. Examine o texto da exceção no evento para obter mais detalhes. Se você está tendo problemas, desabilite e reabilite o write-back de senha. Se isso não ajudar, inclua uma cópia do log de eventos junto com a ID de rastreamento especificada quando você abrir uma solicitação de suporte. |
| 32001 | ServiceError | Esse evento indica que houve um erro de conexão com o serviço de nuvem de redefinição de senha. Esse erro geralmente ocorre quando o serviço local não pôde se conectar ao serviço Web de redefinição de senha. |
| 32002 | ServiceBusError | Esse evento indica que houve um erro ao se conectar à instância do Barramento de Serviço do locatário. Isso pode acontecer porque você está bloqueando as conexões de saída no seu ambiente local. Verifique se o firewall permite conexões via TCP 443 e para https://ssprdedicatedsbprodncu.servicebus.windows.net e tente novamente. Se você ainda está com problemas, desabilite e reabilite o write-back de senha. |
| 32003 | InPutValidationError | Esse evento indica que a entrada passada para a API do serviço Web da Microsoft era inválida. Repita a operação. |
| 32004 | DecryptionError | Esse evento indica que houve um erro ao descriptografar a senha que chegou da nuvem. O erro pode ser devido a uma falta de correspondência de chave de descriptografia entre o serviço de nuvem e o ambiente local. Para resolver o problema, desabilite e reabilite o write-back de senha no seu ambiente local. |
| 32005 | ConfigurationError | Durante a migração, foram salvas as informações específicas de locatário em um arquivo de configuração no seu ambiente local. Esse evento indica que houve um erro ao salvar esse arquivo ou que, quando o serviço foi iniciado, havia erro na leitura do arquivo. Para corrigir o problema, desabilite e reabilite o write-back de senha para forçar uma regeneração do arquivo de configuração. |
| 32007 | OnBoardingConfigUpdateError | Durante a migração, é possível enviar dados da nuvem para o serviço de redefinição de senha local. Esses dados são gravados em um arquivo na memória antes do envio ao serviço de sincronização para armazenamento seguro no disco. Esse evento indica que há um problema com a gravação ou a atualização desses dados na memória. Para corrigir esse problema, desabilite e reabilite o write-back de senha para forçar uma regeneração desse arquivo de configuração. |
| 32008 | ValidationError | Esse evento indica que foi recebida uma resposta inválida do serviço Web de redefinição de senha. Para corrigir esse problema, desabilite e reabilite o write-back de senha. |
| 32009 | AuthTokenError | Esse evento indica que não foi possível obter um token de autorização para a conta de Administrador Híbrido especificada durante a instalação do Microsoft Entra Connect. Esse erro pode ser causado por um nome de usuário ou senha especificado para a conta de Administrador Híbrido. Esse erro também pode ocorrer se a conta de Administrador Híbrido especificada é federada. Para corrigir esse problema, repita a configuração com o nome de usuário e senha corretos e verifique se o administrador é uma conta gerenciada (somente em nuvem ou sincronizada por senha). |
| 32010 | CryptoError | Esse evento indica que houve um erro ao gerar a chave de criptografia de senha ou ao descriptografar uma senha que chegou do serviço de nuvem. Esse erro indica um provável problema com o seu ambiente. Examine os detalhes de seu log de eventos para saber mais sobre como resolver esse problema. Como alternativa, desabilite e reabilite o serviço de write-back de senha. |
| 32011 | OnBoardingServiceError | Esse evento indica que o serviço local não pôde se comunicar corretamente com o serviço Web de redefinição de senha para iniciar o processo de integração. Isso pode acontecer como resultado de uma regra de firewall ou quando ocorre um problema ao obter um token de autenticação para o locatário. Para corrigir esse problema, não deixe as conexões de saída via TCP 443 e TCP 9350 a 9354 ou para https://ssprdedicatedsbprodncu.servicebus.windows.net bloqueadas. Além disso, a conta de administrador do Microsoft Entra que você está usando para a integração não pode ser federada. |
| 32013 | OffBoardingError | Esse evento indica que o serviço local não pôde se comunicar corretamente com o serviço Web de redefinição de senha para iniciar o processo de desligamento. Isso pode acontecer como resultado de uma regra de firewall ou quando há um problema ao obter um token de autorização para o locatário. Para corrigir esse problema, confirme que você não está bloqueando as conexões de saída por meio da porta 443 ou com https://ssprdedicatedsbprodncu.servicebus.windows.net e que a conta de administrador do Microsoft Entra que você está usando para a remoção não é federada. |
| 32014 | ServiceBusWarning | Esse evento indica que foi necessário fazer uma nova tentativa de se conectar à instância de Barramento de Serviço do locatário. Em condições normais, o erro não é preocupante, mas se esse evento for exibido muitas vezes, verifique a conexão de rede com o Barramento de Serviço, especialmente se for uma conexão com largura de banda baixa ou de alta latência. |
| 32015 | ReportServiceHealthError | Para monitorar a integridade do seu serviço de write-back de senha, os dados de pulsação foram enviados para o nosso serviço Web de redefinição de senha a cada cinco minutos. Esse evento indica que houve um erro ao enviar essas informações de integridade para o serviço Web em nuvem. Essas informações de integridade não incluem dados pessoais e são essencialmente uma pulsação e estatísticas básicas de serviço para que seja possível fornecer informações de status do serviço na nuvem. |
| 33001 | ADUnKnownError | Esse evento indica que houve um erro desconhecido retornado pelo Active Directory. Verifique o log de eventos do servidor do Microsoft Entra Connect em busca de eventos provenientes do ADSync para obter mais informações. |
| 33002 | ADUserNotFoundError | Esse evento indica que o usuário que está tentando redefinir ou alterar uma senha não foi encontrado no diretório local. Esse erro pode ocorrer quando o usuário foi excluído no local, mas não na nuvem. Esse erro também pode ocorrer quando há um problema com a sincronização. Para obter mais informações, verifique os logs de sincronização e os detalhes das últimas execuções de sincronizações. |
| 33003 | ADMutliMatchError | Quando uma solicitação de redefinição ou de alteração de senha são provenientes da nuvem, a âncora de nuvem especificada durante o processo de instalação do Microsoft Entra Connect é usada para determinar como vincular essa solicitação novamente a um usuário no seu ambiente local. Esse evento indica que foram encontrados dois usuários em seu diretório local com o mesmo atributo de âncora de nuvem. Verifique os logs de sincronização e os detalhes das últimas execuções de sincronizações para saber mais. |
| 33004 | ADPermissionsError | Esse evento indica que a conta do serviço ADMA (Agente de Gerenciamento do Active Directory) não tem as permissões apropriadas na conta em questão para definir uma nova senha. Verifique se a conta do ADMA na floresta do usuário tem permissões para redefinir a senha em todos os objetos na floresta. Para obter mais informações sobre como definir as permissões, confira a Etapa 4: Configurar as permissões apropriadas do Active Directory. Esse erro também pode ocorrer quando o atributo AdminCount do usuário é definido como 1. |
| 33005 | ADUserAccountDisabled | Esse evento indica que houve a tentativa de redefinir ou alterar uma senha de uma conta desabilitada no local. Habilite a conta e repita a operação. |
| 33006 | ADUserAccountLockedOut | Esse evento indica que houve a tentativa de redefinir ou alterar uma senha de uma conta que foi bloqueada no local. Bloqueios podem ocorrer quando um usuário tenta alterar ou redefinir a senha muitas vezes em um curto período. Desbloqueie a conta e repita a operação. |
| 33007 | ADUserIncorrectPassword | Esse evento indica que o usuário especificou uma senha atual incorreta durante a operação de alteração de senha. Especifique a senha atual correta e tente novamente. |
| 33008 | ADPasswordPolicyError | Esse evento ocorre quando o serviço de write-back de senha tenta definir uma senha no diretório local que não atende aos requisitos de filtragem, complexidade, histórico e idade de senha relativos ao domínio. Quando há uma duração mínima da senha e você alterou a senha recentemente nessa janela de tempo, não é possível alterar a senha novamente até que ela atinja a duração especificada no domínio. Para fins de teste, a idade mínima deve ser definida como 0. Quando você tem requisitos de histórico de senha habilitados, deve selecionar uma senha que não foi usada nas últimas X vezes, em que X é a configuração de histórico de senha. Quando você seleciona uma senha que foi usada nas últimas X vezes, ocorre uma falha. Para fins de teste, o histórico de senha deve ser definido como 0. Quando você tem requisitos de complexidade de senha, todos eles são impostos quando o usuário tentar alterar ou redefinir uma senha. Quando você tem filtros de senha habilitados e um usuário seleciona uma senha que não atende aos critérios de filtragem, ocorre falha na operação de redefinição ou de alteração. |
| 33009 | ADConfigurationError | Esse evento indica que houve um problema na gravação de senha no seu diretório local devido a um problema de configuração com o Active Directory. Para obter mais informações sobre o erro ocorrido, verifique se há mensagens do serviço ADSync no log de eventos do aplicativo do computador do Microsoft Entra Connect. |
Caracteres de unidade organizacional reservados do write-back de senha
A tabela a seguir lista os caracteres reservados que impedem o write-back de senha. Quando esses caracteres aparecem na estrutura da unidade organizacional (UO) local, o write-back de senha pode falhar com a ID do evento 33001.
| Caractere reservado | Descrição | Valor hexa |
|---|---|---|
| espaço ou caractere # no início de uma cadeia de caracteres | ||
| caractere de espaço no final de uma cadeia de caracteres | ||
| , | vírgula | 0x2C |
| + | sinal de adição | 0x2B |
| " | aspas | 0x22 |
| \ | barra invertida | 0x5C |
| < | colchete angular esquerdo | 0x3C |
| > | colchete angular direito | 0x3E |
| ; | ponto-e-vírgula | 0x3B |
| LF | alimentação de linha | 0x0A |
| CR | retorno de carro | 0x0D |
| = | sinal de igual | 0x3D |
| / | barra | 0x2F |
Fóruns do Microsoft Entra
Em caso de dúvidas gerais sobre o Microsoft Entra ID e a redefinição de senha self-service, pela ajuda à comunidade na página de perguntas do Microsoft Q&A para o Microsoft Entra ID. Os membros da comunidade incluem engenheiros, gerentes de produto, MVPs e colegas profissionais de TI.
Entrar em contato com o suporte da Microsoft
Caso não encontre a resposta para um problema, as equipes de suporte da Microsoft sempre estarão disponíveis para fornecer assistência adicional.
Para uma assistência adequada, informe o máximo de detalhes possíveis ao abrir um caso. Esses detalhes incluem:
- Descrição geral do erro: Qual é o erro? Qual foi o comportamento observado? Como reproduzir o erro? Informe o máximo de detalhes possível.
- Página: Em qual página você observou o erro? Se possível, inclua a URL e uma captura de tela da página.
- Código de suporte: Qual foi o código de suporte gerado quando o usuário viu o erro?
Para encontrar o código, reproduza o erro, selecione o link Código de Suporte na parte inferior da tela e envie o GUID resultante ao engenheiro de suporte.
Se você estiver em uma página sem um código de suporte na parte inferior, selecione F12 para o SID e o CID e envie esses dois resultados para o engenheiro de suporte.
- Data, hora e fuso horário: Inclua a data e a hora exatas com o fuso horário em que ocorreu o erro.
- ID de Usuário: Qual usuário viu o erro? Um exemplo é user@contoso.com.
- Trata-se de um usuário federado?
- Trata-se de um usuário de autenticação de passagem?
- Um usuário sincronizado com hash de senha?
- Ou de um usuário somente de nuvem?
- Licenciamento: o usuário tem uma licença do Microsoft Entra ID atribuída?
- Log de eventos do aplicativo: quando você usa o write-back de senha e o erro está na infraestrutura local, inclua uma cópia compactada do log de eventos do aplicativo por meio do servidor do Microsoft Entra Connect.
Próximas etapas
Para saber mais sobre a SSPR, confira Como funciona a redefinição de senha self-service do Microsoft Entra ou Como funciona o write-back de redefinição de senha self-service no Microsoft Entra ID?.