Resolver problemas da sincronização hash de palavras-passe com a Sincronização do Microsoft Entra Connect
Este tópico indica os passos para resolver problemas com a sincronização do hash de palavras-passe. Se as senhas não estiverem sincronizando conforme o esperado, pode ser para um subconjunto de usuários ou para todos os usuários.
Para implantação do Microsoft Entra Connect com versão 1.1.614.0 ou posterior, use a tarefa de solução de problemas no assistente para solucionar problemas de sincronização de hash de senha:
Se você tiver um problema em que nenhuma senha é sincronizada, consulte a seção Nenhuma senha está sincronizada: solucionar problemas usando a tarefa de solução de problemas.
Se você tiver um problema com objetos individuais, consulte a seção Um objeto não está sincronizando senhas: solucionar problemas usando a tarefa de solução de problemas.
Para a implementação com a versão 1.1.524.0 ou posterior, existe um cmdlet de diagnóstico que pode utilizar para resolver problemas de sincronização do hash de palavras-passe:
Se você tiver um problema em que nenhuma senha é sincronizada, consulte a seção Nenhuma senha está sincronizada: solucionar problemas usando o cmdlet de diagnóstico.
Se você tiver um problema com objetos individuais, consulte a seção Um objeto não está sincronizando senhas: solucionar problemas usando o cmdlet de diagnóstico.
Para versões mais antigas da implantação do Microsoft Entra Connect:
Se você tiver um problema em que nenhuma senha é sincronizada, consulte a seção Sem senhas são sincronizadas: etapas manuais de solução de problemas.
Se você tiver um problema com objetos individuais, consulte a seção Um objeto não está sincronizando senhas: etapas manuais de solução de problemas.
Nenhuma palavra-passe é sincronizada: para resolver o problema, utilize a tarefa de resolução de problemas
Você pode usar a tarefa de solução de problemas para descobrir por que nenhuma senha é sincronizada.
Nota
A tarefa de solução de problemas está disponível apenas para o Microsoft Entra Connect versão 1.1.614.0 ou posterior.
Executar a tarefa de solução de problemas
Para resolver problemas em que nenhuma palavra-passe é sincronizada:
Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .
Executar
Set-ExecutionPolicy RemoteSignedouSet-ExecutionPolicy Unrestricted.Inicie o assistente do Microsoft Entra Connect.
Navegue até a página Tarefas Adicionais , selecione Solução de Problemas e clique em Avançar.
Na página Solução de problemas, clique em Iniciar para iniciar o menu de solução de problemas no PowerShell.
No menu principal, selecione Resolver problemas com a sincronização do hash de palavras-passe.
No submenu, selecione A sincronização do hash de palavras-passe não funciona.
Compreender os resultados da tarefa de solução de problemas
A tarefa de solução de problemas executa as seguintes verificações:
Valida se o recurso de sincronização de hash de senha está habilitado para seu locatário do Microsoft Entra.
Valida que o servidor Microsoft Entra Connect não está no modo de preparação.
Para cada conector do Ative Directory local existente (que corresponde a uma floresta existente do Ative Directory):
Valida que a função de sincronização do hash de palavras-passe está ativada.
Procura eventos de heartbeat de sincronização do hash de palavras-passe nos Registos de eventos da Aplicação Windows.
Para cada domínio do Ative Directory sob o conector do Ative Directory local:
Valida se o domínio pode ser acessado a partir do servidor Microsoft Entra Connect.
Valida que as contas do Active Directory Domain Services (AD DS) utilizadas pelo conector do Active Directory no local tem o nome de utilizador e a palavra-passe corretas, nem como as permissões necessárias para a sincronização do hash de palavras-passe.
O diagrama a seguir ilustra os resultados do cmdlet para uma topologia do Ative Directory local de domínio único:
O restante desta seção descreve resultados específicos que são retornados pela tarefa e problemas correspondentes.
O recurso de sincronização de hash de senha não está habilitado
Se você não tiver habilitado a sincronização de hash de senha usando o assistente do Microsoft Entra Connect, o seguinte erro será retornado:
O servidor Microsoft Entra Connect está no modo de preparo
Se o servidor Microsoft Entra Connect estiver no modo de preparação, a sincronização de hash de senha será temporariamente desabilitada e o seguinte erro será retornado:
Sem eventos de heartbeat da sincronização do hash de palavras-passe
Cada ligação do Active Directory no local tem o seu próprio canal de sincronização do hash de palavras-passe. Quando o canal de sincronização do hash de palavras-passe está estabelecido e não existem palavras-passe alteradas para sincronizar, é gerado um evento de heartbeat (EventId 654) a cada 30 minutos no Registo de Eventos da Aplicação Windows. Para cada conector do Ative Directory local, o cmdlet procura eventos de pulsação correspondentes nas últimas três horas. Se nenhum evento de pulsação for encontrado, o seguinte erro será retornado:
A conta do AD DS não tem permissões corretas
Se a conta do AD DS utilizada pelo conector do Active Directory no local para sincronizar os hashes de palavras-passe não tiver as permissões corretas, será apresentado o seguinte erro:
Nome de utilizador ou palavra-passe incorretos da conta do AD DS
Se a conta do AD DS utilizada pelo conector do Active Directory no local para sincronizar os hashes de palavras-passe tiver um nome de utilizador ou palavra-passe incorretos, será apresentado o seguinte erro:
Um objeto não está a sincronizar palavras-passe: para resolver o problema, utilize a tarefa de resolução de problemas
Você pode usar a tarefa de solução de problemas para determinar por que um objeto não está sincronizando senhas.
Nota
A tarefa de solução de problemas está disponível apenas para o Microsoft Entra Connect versão 1.1.614.0 ou posterior.
Execute o cmdlet de diagnóstico
Para solucionar problemas de um objeto de usuário específico:
Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .
Executar
Set-ExecutionPolicy RemoteSignedouSet-ExecutionPolicy Unrestricted.Inicie o assistente do Microsoft Entra Connect.
Navegue até a página Tarefas Adicionais , selecione Solução de Problemas e clique em Avançar.
Na página Solução de problemas, clique em Iniciar para iniciar o menu de solução de problemas no PowerShell.
No menu principal, selecione Resolver problemas com a sincronização do hash de palavras-passe.
No submenu, selecione A senha não está sincronizada para uma conta de usuário específica.
Compreender os resultados da tarefa de solução de problemas
A tarefa de solução de problemas executa as seguintes verificações:
Examina o estado do objeto do Ative Directory no espaço do conector do Ative Directory, no Metaverso e no espaço do conector do Microsoft Entra.
Valida a existência de regras de sincronização com a sincronização do hash de palavras-passe ativada e aplicada ao objeto do Active Directory.
Tenta recuperar e exibir os resultados da última tentativa de sincronizar a senha do objeto.
O seguinte diagrama ilustra os resultados do cmdlet durante a resolução de problemas de sincronização do hash de palavras-passe para um único objeto:
O restante desta seção descreve resultados específicos retornados pelo cmdlet e problemas correspondentes.
O objeto do Ative Directory não é exportado para o Microsoft Entra ID
A sincronização de hash de senha para essa conta do Ative Directory local falha porque não há nenhum objeto correspondente no locatário do Microsoft Entra. O seguinte erro é retornado:
O usuário tem uma senha temporária
As versões mais antigas do Microsoft Entra Connect não suportavam a sincronização de palavras-passe temporárias com o Microsoft Entra ID. Uma senha é considerada temporária se a opção Alterar senha no próximo logon estiver definida no usuário local do Ative Directory. O seguinte erro é retornado com estas versões mais antigas:
Para habilitar a sincronização de senhas temporárias, você deve ter o Microsoft Entra Connect versão 2.0.3.0 ou superior instalado e o recurso ForcePasswordChangeOnLogon deve estar habilitado.
Os resultados da última tentativa de sincronizar a palavra-passe não estão disponíveis
Por padrão, o Microsoft Entra Connect armazena os resultados das tentativas de sincronização de hash de senha por sete dias. Se não houver resultados disponíveis para o objeto selecionado do Ative Directory, o seguinte aviso será retornado:
Nenhuma palavra-passe é sincronizada: para resolver o problema, utilize o cmdlet de diagnóstico
Você pode usar o Invoke-ADSyncDiagnostics cmdlet para descobrir por que nenhuma senha é sincronizada.
Nota
O Invoke-ADSyncDiagnostics cmdlet está disponível apenas para o Microsoft Entra Connect versão 1.1.524.0 ou posterior.
Execute o cmdlet de diagnóstico
Para resolver problemas em que nenhuma palavra-passe é sincronizada:
Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .
Executar
Set-ExecutionPolicy RemoteSignedouSet-ExecutionPolicy Unrestricted.Execute
Import-Module ADSyncDiagnostics.Execute
Invoke-ADSyncDiagnostics -PasswordSync.
Um objeto não está a sincronizar palavras-passe: para resolver o problema, utilize o cmdlet de diagnóstico
Você pode usar o Invoke-ADSyncDiagnostics cmdlet para determinar por que um objeto não está sincronizando senhas.
Nota
O Invoke-ADSyncDiagnostics cmdlet está disponível apenas para o Microsoft Entra Connect versão 1.1.524.0 ou posterior.
Execute o cmdlet de diagnóstico
Para solucionar problemas em que nenhuma senha é sincronizada para um usuário:
Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .
Executar
Set-ExecutionPolicy RemoteSignedouSet-ExecutionPolicy Unrestricted.Execute o
Import-Module ADSyncDiagnostics.Execute o seguinte cmdlet:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>Por exemplo:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
Nenhuma palavra-passe é sincronizada: passos de resolução de problemas manual
Siga estas etapas para determinar por que nenhuma senha é sincronizada:
O servidor Connect está no modo de preparação? Um servidor no modo de preparo não sincroniza nenhuma senha.
Execute o script na seção Obter o status das configurações de sincronização de senha. Ele fornece uma visão geral da configuração de sincronização de senha.
Se o recurso não estiver habilitado no Microsoft Entra ID ou se o status do canal de sincronização não estiver habilitado, execute o assistente de instalação do Connect. Selecione Personalizar opções de sincronização e desmarque a sincronização de senha. Essa alteração desativa temporariamente o recurso. Em seguida, execute o assistente novamente e reative a sincronização de senha. Execute o script novamente para verificar se a configuração está correta.
Procure erros no log de eventos. Procure os seguintes eventos, que indicariam um problema:
- Fonte: "Sincronização de diretórios" ID: 0, 611, 652, 655 Se vir estes eventos, tem um problema de conectividade. A mensagem do log de eventos contém informações da floresta onde você tem um problema.
Se você não vir nenhuma pulsação ou se nada mais funcionou, execute Acionar uma sincronização completa de todas as senhas. Execute o script apenas uma vez.
Consulte a seção Solucionar problemas de um objeto que não está sincronizando senhas.
Problemas de conectividade
Você tem conectividade com o Microsoft Entra ID?
A conta tem as permissões necessárias para ler os hashes de palavras-passe em todos os domínios? Se você instalou o Connect usando as configurações Express, as permissões já devem estar corretas.
Se você usou a instalação personalizada, defina as permissões manualmente fazendo o seguinte:
Para localizar a conta usada pelo conector do Ative Directory, inicie o Gerenciador do Serviço de Sincronização.
Vá para Conectores e procure a floresta do Ative Directory local que você está solucionando.
Selecione o conector e clique em Propriedades.
Vá para Conectar-se à Floresta do Ative Directory.
Observe o nome de usuário e o domínio onde a conta está localizada.Inicie Usuários e Computadores do Ative Directory e verifique se a conta encontrada anteriormente tem as seguintes permissões definidas na raiz de todos os domínios da floresta:
- Replicar Alterações do Diretório
- Replicar Todas Alterações do Diretório
Os controladores de domínio podem ser acessados pelo Microsoft Entra Connect? Se o servidor Connect não puder se conectar a todos os controladores de domínio, configure Usar somente o controlador de domínio preferencial.
Volte para o Gerenciador de Serviço de Sincronização e Configure a Partição de Diretório.
Selecione seu domínio em Selecionar partições de diretório, marque a caixa de seleção Usar somente controladores de domínio preferenciais e clique em Configurar.
Na lista, insira os controladores de domínio que o Connect deve usar para sincronização de senha. A mesma lista também é usada para importação e exportação. Siga estas etapas para todos os seus domínios.
Nota
Para aplicar essas alterações, reinicie o serviço Microsoft Entra ID Sync (ADSync).
- Se o script mostrar que não há pulsação, execute o script em Acionar uma sincronização completa de todas as senhas.
Um objeto não está a sincronizar palavras-passe: passos de resolução de problemas manual
Pode facilmente resolver problemas de sincronização do hash de palavras-passe ao consultar o estado de um objeto.
Em Usuários e Computadores do Ative Directory, procure o usuário e verifique se a caixa de seleção Usuário deve alterar a senha no próximo logon está desmarcada.
Se a caixa de seleção estiver marcada, peça ao usuário para entrar e alterar a senha. As senhas temporárias não são sincronizadas com o Microsoft Entra ID.
Se a senha parecer correta no Ative Directory, siga o usuário no mecanismo de sincronização. Seguindo o usuário do Ative Directory local para o ID do Microsoft Entra, você pode ver se há um erro descritivo no objeto.
a. Inicie o Gerenciador de Serviço de Sincronização.
b. Clique em Conectores.
c. Selecione o Conector do Ative Directory onde o usuário está localizado.
d. Selecione Espaço do conector de pesquisa.
e. Na caixa Escopo, selecione DN ou Âncora e insira o DN completo do usuário que você está solucionando.
f. Localize o usuário que você está procurando e clique em Propriedades para ver todos os atributos. Se o usuário não estiver no resultado da pesquisa, verifique suas regras de filtragem e certifique-se de executar Aplicar e verificar as alterações para que o usuário apareça em Conectar.
g. Para ver os detalhes de sincronização de senha do objeto da semana passada, clique em Log.
Se o log de objetos estiver vazio, o Microsoft Entra Connect não conseguiu ler o hash de senha do Ative Directory. Continue a solução de problemas com Erros de conectividade. Se você vir qualquer outro valor além de sucesso, consulte a tabela no Log de sincronização de senha.
h. Selecione a guia linhagem e verifique se pelo menos uma regra de sincronização na coluna PasswordSync é True. Na configuração padrão, o nome da regra de sincronização é In from AD - User AccountEnabled.
i. Clique em Propriedades do objeto Metaverso para exibir uma lista de atributos do usuário.
Verifique se não há nenhum atributo cloudFiltered presente. Certifique-se de que os atributos de domínio (domainFQDN e domainNetBios) têm os valores esperados.
j. Clique na guia Conectores. Certifique-se de ver conectores para o Ative Directory local e o ID do Microsoft Entra.
k. Selecione a linha que representa o ID do Microsoft Entra, clique em Propriedades e, em seguida, clique na guia Linhagem. O objeto de espaço do conector deve ter uma regra de saída na coluna PasswordSync definida como True. Na configuração padrão, o nome da regra de sincronização é out to Microsoft Entra ID - User Join.
Registo de sincronização de palavras-passe
A coluna de status pode ter os seguintes valores:
| Estado | Description |
|---|---|
| Com êxito | A palavra-passe foi sincronizada com êxito. |
| FilteredByTarget | A palavra-passe está definida como O utilizador tem de alterar a palavra-passe no início de sessão seguinte. A palavra-passe não foi sincronizada. |
| NoTargetConnection | Nenhum objeto no metaverso ou no espaço do conector do Microsoft Entra. |
| SourceConnectorNotPresent | Nenhum objeto encontrado no espaço do conector do Ative Directory local. |
| TargetNotExportedToDirectory | O objeto no espaço do conector Microsoft Entra ainda não foi exportado. |
| MigratedCheckDetailsForMoreInfo | A entrada de log foi criada antes da compilação 1.0.9125.0 e é mostrada em seu estado herdado. |
| Erro | O serviço retornou um erro desconhecido. |
| Desconhecido | Ocorreu um erro ao tentar processar um lote de hashes de palavras-passe. |
| MissingAttribute | Atributos específicos (por exemplo, hash Kerberos) exigidos pelos Serviços de Domínio Microsoft Entra não estão disponíveis. |
| RetryRequestedByTarget | Atributos específicos (por exemplo, hash Kerberos) exigidos pelos Serviços de Domínio Microsoft Entra não estavam disponíveis anteriormente. É feita uma tentativa para sincronizar novamente o hash de palavras-passe do utilizador. |
Scripts para ajudar na solução de problemas
Obter o status das configurações de sincronização de senha
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Acionar uma sincronização completa de todas as senhas
Nota
Execute este script apenas uma vez. Se você precisar executá-lo mais de uma vez, algo mais é o problema. Para solucionar o problema, contate o suporte da Microsoft.
Você pode acionar uma sincronização completa de todas as senhas usando o seguinte script:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true