Dela via


Felsöka tillbakaskrivning av lösenordsåterställning med självbetjäning i Microsoft Entra-ID

Med Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) kan användarna återställa sina lösenord i molnet. Tillbakaskrivning av lösenord är en funktion som är aktiverad med Microsoft Entra Connect eller molnsynkronisering som gör att lösenordsändringar i molnet kan skrivas tillbaka till en befintlig lokal katalog i realtid.

Om du har problem med tillbakaskrivning av SSPR kan följande felsökningssteg och vanliga fel vara till hjälp. Om du inte hittar svaret på ditt problem är våra supportteam alltid tillgängliga för att hjälpa dig ytterligare.

Felsöka anslutning

Om du har problem med tillbakaskrivning av lösenord för Microsoft Entra Connect kan du läsa följande steg som kan hjälpa dig att lösa problemet. För att återställa tjänsten rekommenderar vi att du följer dessa steg i ordning:

Bekräfta nätverksanslutningen

Den vanligaste felpunkten är att brandväggs- eller proxyportar eller tidsgränser för inaktivitet är felaktigt konfigurerade.

För Microsoft Entra Connect version 1.1.443.0 och senare krävs utgående HTTPS-åtkomst till följande adresser:

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

Azure for US Government-slutpunkter:

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Azure China 21Vianet-slutpunkter:

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Om du behöver mer detaljerad information kan du läsa listan över Microsoft Azure IP-intervall och tjänsttaggar för offentligt moln.

För Azure for US Government, se listan över Microsoft Azure IP-intervall och tjänsttaggar för Azure för US Government Cloud.

Dessa filer uppdateras varje vecka.

Följ dessa steg för att avgöra om åtkomsten till en URL och port är begränsad i en miljö som offentligt Azure-moln:

  1. På Entra Connect-servern öppnar du loggbokens loggar (Windows-loggar, program) och letar reda på något av dessa händelse-ID: 31034 eller 31019.

  2. Från dessa händelse-ID:ar identifierar du namnet på Service Bus-lyssnaren:

    Skärmbild av händelse-ID 31019 i programloggen för Loggboken.

  3. Kör följande cmdlet:

    Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
    

    Eller kör följande:

    Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
    

    <Ersätt namnområdet> med samma som du extraherade från händelse-ID:t ovan. I föregående fall är kommandot till exempel:

    Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
    

Mer information finns i anslutningskraven för Microsoft Entra Connect.

Kontrollera om TLS 1.2 är aktiverat

Ett ytterligare felsökningssteg är att kontrollera att TLS 1.2 är korrekt aktiverat på synkroniseringsservern. Kör PowerShell-skript för att kontrollera TLS 1.2 på Entra Connect Server. Se till att köra skriptet i administratörsläge.

Utdata från kontrollskriptet som måste se ut som följande bild (sökväg, namn och värdekolumner) för att aktiveras korrekt. Om den inte gör det kör du PowerShell-skriptet för att aktivera TLS 1.2 på Entra Connect Server/ Starta sedan om servern och kör skriptet för att kontrollera TLS 1.2 igen.

Kontrollera att Microsoft .NET Framework 4.8 eller senare är aktiverat (Sync Server)

Kontrollera att Microsoft .NET Framework 4.8 eller senare är aktiverat på synkroniseringsservern.

Starta om Microsoft Entra Connect Sync-tjänsten

Utför följande steg för att starta om Microsoft Entra Connect Sync-tjänsten för att lösa anslutningsproblem eller andra tillfälliga problem med tjänsten:

  1. Som administratör på servern som kör Microsoft Entra Connect väljer du Start.

  2. Ange services.msc i sökfältet och välj Retur.

  3. Leta efter posten Azure AD Sync .

  4. Högerklicka på tjänstposten, välj Starta om och vänta tills åtgärden har slutförts.

    Starta om Azure AD Sync-tjänsten med hjälp av GUI

De här stegen återupprättar anslutningen med Microsoft Entra-ID och bör lösa dina anslutningsproblem.

Om du inte löser problemet genom att starta om Microsoft Entra Connect Sync-tjänsten kan du försöka inaktivera och sedan återaktivera tillbakaskrivningsfunktionen för lösenord i nästa avsnitt.

Inaktivera och återaktivera tillbakaskrivningsfunktionen för lösenord

Fortsätt att felsöka problem genom att utföra följande steg för att inaktivera och sedan återaktivera tillbakaskrivningsfunktionen för lösenord:

  1. Som administratör på servern som kör Microsoft Entra Connect öppnar du guiden Microsoft Entra Connect-konfiguration.
  2. I Anslut till Microsoft Entra-ID anger du dina Microsoft Entra Hybrid Administrator-autentiseringsuppgifter.
  3. I Anslut till AD DS anger du dina administratörsautentiseringsuppgifter för lokal Active Directory Domain Services.
  4. I Unikt identifiera dina användare väljer du knappen Nästa .
  5. Avmarkera kryssrutan Tillbakaskrivning av lösenord i Valfria funktioner.
  6. Välj Nästa via de återstående dialogsidorna utan att ändra något förrän du kommer till sidan Redo att konfigurera .
  7. Kontrollera att sidan Redo att konfigurera visar alternativet Tillbakaskrivning av lösenord som inaktiverat. Välj den gröna knappen Konfigurera för att checka in ändringarna.
  8. I Slutfört avmarkerar du alternativet Synkronisera nu och väljer sedan Slutför för att stänga guiden.
  9. Öppna konfigurationsguiden för Microsoft Entra Connect igen.
  10. Upprepa steg 2–8. Den här gången väljer du alternativet Tillbakaskrivning av lösenord på sidan Valfria funktioner för att återaktivera tjänsten.

De här stegen återupprättar anslutningen med Microsoft Entra-ID och bör lösa dina anslutningsproblem.

Om du inaktiverar och sedan återaktivera tillbakaskrivningsfunktionen för lösenord löser inte problemet installerar du om Microsoft Entra Connect i nästa avsnitt.

Installera den senaste Versionen av Microsoft Entra Connect

Om du installerar om Microsoft Entra Connect kan du lösa konfigurations- och anslutningsproblem mellan Microsoft Entra ID och din lokala Active Directory-domän Services-miljö. Vi rekommenderar att du utför det här steget först när du har försökt utföra föregående steg för att verifiera och felsöka anslutningen.

Varning

Om du har anpassat de färdiga synkroniseringsreglerna säkerhetskopierar du dem innan du fortsätter med uppgraderingen och distribuerar dem manuellt när du är klar.

  1. Ladda ned den senaste versionen av Microsoft Entra Connect från Microsoft Download Center.

  2. Eftersom du redan har installerat Microsoft Entra Connect utför du en uppgradering på plats för att uppdatera installationen av Microsoft Entra Connect till den senaste versionen.

    Kör det nedladdade paketet och följ anvisningarna på skärmen för att uppdatera Microsoft Entra Connect.

De här stegen bör återupprätta anslutningen med Microsoft Entra-ID:t och lösa anslutningsproblemen.

Om du inte löser problemet genom att installera den senaste versionen av Microsoft Entra Connect-servern kan du prova att inaktivera och sedan återaktivera tillbakaskrivning av lösenord som ett sista steg när du har installerat den senaste versionen.

Kontrollera att Microsoft Entra Connect har de behörigheter som krävs

Microsoft Entra Connect kräver AD DS-återställning av lösenordsbehörighet för att utföra tillbakaskrivning av lösenord. Om du vill kontrollera om Microsoft Entra Connect har den behörighet som krävs för ett visst lokalt AD DS-användarkonto använder du funktionen Gällande behörighet för Windows:

  1. Logga in på Microsoft Entra Connect-servern och starta Synkroniseringstjänsthanteraren genom att välja Starta>synkroniseringstjänsten.

  2. Under fliken Anslutningsappar väljer du den lokala Active Directory-domän Services-anslutningsappen och väljer sedan Egenskaper.

    Synkroniseringstjänsthanteraren som visar hur du redigerar egenskaper

  3. I popup-fönstret väljer du Anslut till Active Directory-skog och noterar egenskapen Användarnamn . Den här egenskapen är det AD DS-konto som används av Microsoft Entra Connect för att utföra katalogsynkronisering.

    För att Microsoft Entra Connect ska kunna utföra tillbakaskrivning av lösenord måste AD DS-kontot ha behörighet att återställa lösenord. Du kontrollerar behörigheterna för det här användarkontot i följande steg.

    Hitta synkroniseringstjänstens Active Directory-användarkonto

  4. Logga in på en lokal domänkontrollant och starta Active Directory - användare och datorer-programmet.

  5. Välj Visa och kontrollera att alternativet Avancerade funktioner är aktiverat.

    Active Directory - användare och datorer visa avancerade funktioner

  6. Leta efter det AD DS-användarkonto som du vill verifiera. Högerklicka på kontonamnet och välj Egenskaper.

  7. I popup-fönstret går du till fliken Säkerhet och väljer Avancerat.

  8. I popup-fönstret Avancerade säkerhetsinställningar för administratör går du till fliken Effektiv åtkomst.

  9. Välj Välj en användare, välj det AD DS-konto som används av Microsoft Entra Connect och välj sedan Visa effektiv åtkomst.

    Fliken Effektiv åtkomst som visar synkroniseringskontot

  10. Rulla nedåt och leta efter Återställ lösenord. Om posten har en bockmarkering har AD DS-kontot behörighet att återställa lösenordet för det valda Active Directory-användarkontot.

    Verifiera att synkroniseringskontot har behörigheten Återställ lösenord

Vanliga tillbakaskrivningsfel för lösenord

Följande mer specifika problem kan uppstå med tillbakaskrivning av lösenord. Om du har något av dessa fel granskar du den föreslagna lösningen och kontrollerar om tillbakaskrivning av lösenord fungerar korrekt.

Fel Lösning
Tjänsten för lösenordsåterställning startar inte lokalt. Fel 6800 visas i Microsoft Entra Connect-datorns programhändelselogg.

Efter registrering kan federerade, direktautentisering eller lösenordshashsynkroniserade användare inte återställa sina lösenord.
När tillbakaskrivning av lösenord är aktiverat anropar synkroniseringsmotorn tillbakaskrivningsbiblioteket för att utföra konfigurationen (registrering) genom att kommunicera med molnregistreringstjänsten. Eventuella fel som påträffas under registrering eller vid start av WCF-slutpunkten (Windows Communication Foundation) för tillbakaskrivning av lösenord resulterar i fel i händelseloggen på din Microsoft Entra Connect-dator.

Vid omstart av Tjänsten Azure AD Sync (ADSync) startar WCF-slutpunkten om tillbakaskrivningen har konfigurerats. Men om slutpunktens start misslyckas loggar vi händelse 6800 och låter synkroniseringstjänsten starta. Förekomsten av den här händelsen innebär att slutpunkten för tillbakaskrivning av lösenord inte startades. Händelselogginformation för den här händelsen 6800, tillsammans med händelseloggposter som genereras av PasswordResetService-komponenten, anger varför du inte kan starta slutpunkten. Granska dessa händelseloggfel och försök starta om Microsoft Entra Connect om tillbakaskrivning av lösenord fortfarande inte fungerar. Om problemet kvarstår kan du försöka inaktivera och sedan återaktivera tillbakaskrivning av lösenord.
När en användare försöker återställa ett lösenord eller låsa upp ett konto med tillbakaskrivning av lösenord aktiverat misslyckas åtgärden.

Dessutom visas en händelse i händelseloggen Microsoft Entra Connect som innehåller: "Synkroniseringsmotorn returnerade ett fel hr=800700CE, message=Filnamnet eller tillägget är för långt" efter att upplåsningen har inträffat.
Leta upp Active Directory-kontot för Microsoft Entra Connect och återställ lösenordet så att det inte innehåller fler än 256 tecken. Öppna sedan synkroniseringstjänsten från Start-menyn. Bläddra till Anslutningsappar och leta reda på Active Directory Connector. Välj den och välj sedan Egenskaper. Bläddra till sidan Autentiseringsuppgifter och ange det nya lösenordet. Välj OK för att stänga sidan.
I det sista steget i installationsprocessen för Microsoft Entra Connect visas ett fel som anger att tillbakaskrivning av lösenord inte kunde konfigureras.

Händelseloggen för Microsoft Entra Connect-programmet innehåller fel 32009 med texten "Fel vid autentiseringstoken".
Det här felet inträffar i följande två fall:
  • Du angav ett felaktigt lösenord för hybridadministratörskontot som angavs i början av installationsprocessen för Microsoft Entra Connect.
  • Du försökte använda en federerad användare för hybridadministratörskontot som angavs i början av installationsprocessen för Microsoft Entra Connect.
Åtgärda problemet genom att kontrollera att du inte använder ett federerat konto för hybridadministratören som du angav i början av installationsprocessen och att det angivna lösenordet är korrekt.
Händelseloggen för Microsoft Entra Connect-datorn innehåller fel 32002 som genereras genom att köra PasswordResetService.

Felet lyder: "Fel vid anslutning till ServiceBus. Tokenprovidern kunde inte ange en säkerhetstoken."
Din lokala miljö kan inte ansluta till Azure Service Bus-slutpunkten i molnet. Det här felet orsakas normalt av en brandväggsregel som blockerar en utgående anslutning till en viss port eller webbadress. Mer information finns i Krav för anslutning. När du har uppdaterat dessa regler bör du starta om Microsoft Entra Connect-servern och tillbakaskrivning av lösenord bör börja fungera igen.
Efter att ha arbetat under en tid kan federerade, direktautentisering eller lösenordshashsynkroniserade användare inte återställa sina lösenord. I vissa sällsynta fall kan tjänsten för tillbakaskrivning av lösenord inte startas om när Microsoft Entra Connect har startats om. I dessa fall kontrollerar du först om tillbakaskrivning av lösenord är aktiverat lokalt. Du kan kontrollera med hjälp av antingen Microsoft Entra Connect-guiden eller PowerShell. Om funktionen verkar vara aktiverad kan du prova att aktivera eller inaktivera funktionen igen. Om det här felsökningssteget inte fungerar kan du prova att avinstallera och installera om Microsoft Entra Connect.
Federerad autentisering, direktautentisering eller lösenordshashsynkroniserade användare som försöker återställa sina lösenord ser ett fel efter att ha försökt skicka sitt lösenord. Felet anger att det uppstod ett tjänstproblem.

Förutom det här problemet kan det uppstå ett fel när lösenordsåterställningsåtgärderna utfördes att hanteringsagenten nekades åtkomst i dina lokala händelseloggar.
Om du ser dessa fel i händelseloggen kontrollerar du att adma-kontot (Active Directory Management Agent) som angavs i guiden vid tidpunkten för konfigurationen har de behörigheter som krävs för tillbakaskrivning av lösenord.

När den här behörigheten har getts kan det ta upp till en timme för behörigheterna att sippra ned via bakgrundsaktiviteten sdprop på domänkontrollanten (DC).

För att lösenordsåterställningen ska fungera måste behörigheten stämplas på säkerhetsbeskrivningen för det användarobjekt vars lösenord återställs. Tills den här behörigheten visas på användarobjektet fortsätter lösenordsåterställningen att misslyckas med ett meddelande om nekad åtkomst.
Federerad autentisering, direktautentisering eller lösenordshashsynkroniserade användare som försöker återställa sina lösenord visas ett fel när de har skickat sitt lösenord. Felet anger att det uppstod ett tjänstproblem.

Förutom det här problemet kan det uppstå ett fel i händelseloggarna från Microsoft Entra Connect-tjänsten som anger att ett "Objekt kunde inte hittas" visas under lösenordsåterställningsåtgärder.
Det här felet indikerar vanligtvis att synkroniseringsmotorn inte kan hitta antingen användarobjektet i Microsoft Entra-anslutningsutrymmet eller det länkade metaversumet (MV) eller Microsoft Entra-anslutningsobjektet.

Om du vill felsöka det här problemet kontrollerar du att användaren verkligen är synkroniserad från lokalt till Microsoft Entra-ID via den aktuella instansen av Microsoft Entra Connect och inspekterar tillståndet för objekten i anslutningsutrymmena och MV. Bekräfta att Active Directory Certificate Services-objektet (AD CS) är anslutet till MV-objektet via regeln "Microsoft.InfromADUserAccountEnabled.xxx".
Federerad autentisering, direktautentisering eller lösenordshashsynkroniserade användare som försöker återställa sina lösenord ser ett fel när de har skickat sitt lösenord. Felet anger att det uppstod ett tjänstproblem.

Förutom det här problemet kan du under återställningen av lösenord se ett fel i händelseloggarna från Microsoft Entra Connect-tjänsten som indikerar att det finns ett fel med felet "Flera matchningar hittades".
Detta indikerar att synkroniseringsmotorn har identifierat att MV-objektet är anslutet till mer än ett AD CS-objekt via "Microsoft.InfromADUserAccountEnabled.xxx". Det innebär att användaren har ett aktiverat konto i mer än en skog. Det här scenariot stöds inte för tillbakaskrivning av lösenord.
Lösenordsåtgärder misslyckas med ett konfigurationsfel. Programhändelseloggen innehåller Microsoft Entra Connect-fel 6329 med texten "0x8023061f (Åtgärden misslyckades eftersom lösenordssynkronisering inte är aktiverad på den här hanteringsagenten)". Det här felet uppstår om Microsoft Entra Connect-konfigurationen ändras för att lägga till en ny Active Directory-skog (eller för att ta bort och läsa en befintlig skog) när tillbakaskrivningsfunktionen för lösenord redan har aktiverats. Lösenordsåtgärder för användare i dessa nyligen tillagda skogar misslyckas. Du kan åtgärda problemet genom att inaktivera och sedan återaktivera tillbakaskrivningsfunktionen för lösenord när skogskonfigurationsändringarna har slutförts.
SSPR_0029: Det går inte att återställa lösenordet på grund av ett fel i den lokala konfigurationen. Kontakta administratören och be dem undersöka saken. Problem: Tillbakaskrivning av lösenord har aktiverats enligt alla nödvändiga steg, men när du försöker ändra ett lösenord får du "SSPR_0029: Din organisation har inte konfigurerat den lokala konfigurationen för lösenordsåterställning korrekt". Om du kontrollerar händelseloggarna i Microsoft Entra Connect-systemet visas att hanteringsagentens autentiseringsuppgifter nekades åtkomst. Möjlig lösning: Använd RSOP i Microsoft Entra Connect-systemet och dina domänkontrollanter för att se om principen "Nätverksåtkomst: Begränsa klienter som tillåts göra fjärranrop till SAM" som finns under Datorkonfiguration > Säkerhetsinställningar > Säkerhetsinställningar > Lokala principer > Säkerhetsalternativ är aktiverade. Redigera principen för att inkludera MSOL_XXXXXXX hanteringskontot som en tillåten användare. Mer information finns i Felsöka fel SSPR_0029: Din organisation har inte konfigurerat den lokala konfigurationen för lösenordsåterställning korrekt.

Felkoder för tillbakaskrivning av lösenordshändelselogg

Bästa praxis när du felsöker problem med tillbakaskrivning av lösenord är att inspektera programhändelseloggen på din Microsoft Entra Connect-dator. Den här händelseloggen innehåller händelser från två källor för tillbakaskrivning av lösenord. Källan PasswordResetService beskriver åtgärder och problem som rör driften av tillbakaskrivning av lösenord. ADSync-källan beskriver åtgärder och problem som rör att ange lösenord i din Active Directory-domän Services-miljö.

Om källan till händelsen är ADSync

Kod Namn eller meddelande Beskrivning
6329 BAIL: MMS(4924) 0x80230619: "En begränsning förhindrar att lösenordet ändras till den aktuella angivna." Den här händelsen inträffar när tjänsten för tillbakaskrivning av lösenord försöker ange ett lösenord i din lokala katalog som inte uppfyller lösenordsåldern, historiken, komplexiteten eller filtreringskraven för domänen. Den här händelsen kan också inträffa om ett lösenord inte kan ändras för en användare.

Om du har en lägsta lösenordsålder och nyligen har ändrat lösenordet inom den tidsperioden kan du inte ändra lösenordet igen förrän det når den angivna åldern i din domän. I testsyfte ska minimiåldern vara 0.

Om du har aktiverat krav för lösenordshistorik måste du välja ett lösenord som inte har använts under de senaste N gångerna, där N är inställningen för lösenordshistorik. Om du väljer ett lösenord som har använts under de senaste N gångerna visas ett fel i det här fallet. I testsyfte ska lösenordshistoriken anges till 0.

Om du har krav på lösenordskomplexitet tillämpas alla när användaren försöker ändra eller återställa ett lösenord.

Om du har aktiverat lösenordsfilter och en användare väljer ett lösenord som inte uppfyller filtreringsvillkoren misslyckas återställnings- eller ändringsåtgärden.

Om användaren har angett PASSWD_CANT_CHANGE egenskapsflagga kan deras lösenord inte synkroniseras. Ta bort egenskapsflaggan PASSWD_CANT_CHANGE i testsyfte. Mer information finns i Beskrivningar av egenskapsflagga.
6329 MMS(3040): admaexport.cpp(2837): Servern innehåller inte LDAP-lösenordsprincipkontrollen. Det här problemet uppstår om LDAP_SERVER_POLICY_HINTS_OID kontroll (1.2.840.113556.1.4.2066) inte är aktiverad på domänkontrollanterna. Om du vill använda tillbakaskrivningsfunktionen för lösenord måste du aktivera kontrollen. För att göra det måste domänkontrollanterna finnas på Windows Server 2016 eller senare.
HR-8023042 Synkroniseringsmotorn returnerade ett fel hr=80230402, message=Ett försök att hämta ett objekt misslyckades eftersom det finns duplicerade poster med samma fästpunkt. Det här felet uppstår när samma användar-ID är aktiverat i flera domäner. Ett exempel är om du synkroniserar konto- och resursskogar och har samma användar-ID som finns och är aktiverat i varje skog.

Det här felet kan också inträffa om du använder ett icke-unikt fästpunktsattribut, till exempel ett alias eller UPN, och två användare delar samma fästpunktsattribut.

Lös problemet genom att se till att du inte har några duplicerade användare inom dina domäner och att du använder ett unikt fästpunktsattribut för varje användare.

Om källan till händelsen är PasswordResetService

Kod Namn eller meddelande Beskrivning
31001 PasswordResetStart Den här händelsen anger att den lokala tjänsten har identifierat en begäran om lösenordsåterställning för en federerad, direktautentisering eller lösenordshashsynkroniserad användare som kommer från molnet. Den här händelsen är den första händelsen i varje tillbakaskrivningsåtgärd för lösenordsåterställning.
31002 PasswordResetSuccess Den här händelsen anger att en användare valde ett nytt lösenord under en lösenordsåterställningsåtgärd. Vi har fastställt att det här lösenordet uppfyller företagets lösenordskrav. Lösenordet har skrivits tillbaka till den lokala Active Directory-miljön.
31003 PasswordResetFail Den här händelsen anger att en användare har valt ett lösenord och att lösenordet har kommit till den lokala miljön. Men när vi försökte ange lösenordet i den lokala Active Directory-miljön inträffade ett fel. Det här felet kan inträffa av flera orsaker:
  • Användarens lösenord uppfyller inte kraven på ålder, historik, komplexitet eller filter för domänen. Lös problemet genom att skapa ett nytt lösenord.
  • ADMA-tjänstkontot har inte rätt behörighet att ange det nya lösenordet för det aktuella användarkontot.
  • Användarens konto finns i en skyddad grupp, till exempel domän eller företagsadministratörsgrupp, som inte tillåter lösenordsuppsättningsåtgärder.
31004 OnboardingEventStart Den här händelsen inträffar om du aktiverar tillbakaskrivning av lösenord med Microsoft Entra Connect och vi har börjat publicera din organisation på webbtjänsten för tillbakaskrivning av lösenord.
31005 OnboardingEventSuccess Den här händelsen anger att registreringsprocessen lyckades och att funktionen för tillbakaskrivning av lösenord är redo att användas.
31006 ChangePasswordStart Den här händelsen anger att den lokala tjänsten har identifierat en begäran om lösenordsändring för en federerad, direktautentisering eller lösenordshashsynkroniserad användare som kommer från molnet. Den här händelsen är den första händelsen i varje tillbakaskrivningsåtgärd för lösenordsändring.
31007 ChangePasswordSuccess Den här händelsen anger att en användare valde ett nytt lösenord under en lösenordsändringsåtgärd, att lösenordet uppfyller företagets lösenordskrav och att lösenordet har skrivits tillbaka till den lokala Active Directory-miljön.
31008 ChangePasswordFail Den här händelsen anger att en användare har valt ett lösenord och att lösenordet har kommit till den lokala miljön, men när vi försökte ange lösenordet i den lokala Active Directory-miljön inträffade ett fel. Det här felet kan inträffa av flera orsaker:
  • Användarens lösenord uppfyller inte kraven på ålder, historik, komplexitet eller filter för domänen. Lös problemet genom att skapa ett nytt lösenord.
  • ADMA-tjänstkontot har inte rätt behörighet att ange det nya lösenordet för det aktuella användarkontot.
  • Användarens konto finns i en skyddad grupp, till exempel domän- eller företagsadministratörer, som inte tillåter lösenordsuppsättningsåtgärder.
31009 ResetUserPasswordByAdminStart Den lokala tjänsten identifierade en begäran om lösenordsåterställning för en federerad, direktautentisering eller lösenordshashsynkroniserad användare som kommer från administratören för en användares räkning. Den här händelsen är den första händelsen i varje tillbakaskrivningsåtgärd för lösenordsåterställning som initieras av en administratör.
31010 ResetUserPasswordByAdminSuccess Administratören valde ett nytt lösenord under en administratörsinitierad lösenordsåterställningsåtgärd. Vi har fastställt att det här lösenordet uppfyller företagets lösenordskrav. Lösenordet har skrivits tillbaka till den lokala Active Directory-miljön.
31011 ResetUserPasswordByAdminFail Administratören valde ett lösenord för en användares räkning. Lösenordet har kommit till den lokala miljön. Men när vi försökte ange lösenordet i den lokala Active Directory-miljön inträffade ett fel. Det här felet kan inträffa av flera orsaker:
  • Användarens lösenord uppfyller inte kraven på ålder, historik, komplexitet eller filter för domänen. Prova ett nytt lösenord för att lösa problemet.
  • ADMA-tjänstkontot har inte rätt behörighet att ange det nya lösenordet för det aktuella användarkontot.
  • Användarens konto finns i en skyddad grupp, till exempel domän- eller företagsadministratörer, som inte tillåter lösenordsuppsättningsåtgärder.
31012 OffboardingEventStart Den här händelsen inträffar om du inaktiverar tillbakaskrivning av lösenord med Microsoft Entra Connect och anger att vi började publicera din organisation till webbtjänsten för tillbakaskrivning av lösenord.
31013 OffboardingEventSuccess Den här händelsen anger att avregistreringsprocessen lyckades och att funktionen för tillbakaskrivning av lösenord har inaktiverats.
31014 OffboardingEventFail Den här händelsen anger att avregistreringsprocessen inte lyckades. Detta kan bero på ett behörighetsfel på molnet eller det lokala administratörskonto som angavs under konfigurationen. Felet kan också inträffa om du försöker använda en federerad molnhybridadministratör när du inaktiverar tillbakaskrivning av lösenord. Åtgärda problemet genom att kontrollera dina administrativa behörigheter och se till att du inte använder ett federerat konto när du konfigurerar funktionen för tillbakaskrivning av lösenord.
31015 WriteBackServiceStarted Den här händelsen anger att tjänsten för tillbakaskrivning av lösenord har startats. Den är redo att acceptera begäranden om lösenordshantering från molnet.
31016 WriteBackServiceS toppad Den här händelsen anger att tjänsten för tillbakaskrivning av lösenord har stoppats. Alla begäranden om lösenordshantering från molnet lyckas inte.
31017 AuthTokenSuccess Den här händelsen anger att vi har hämtat en auktoriseringstoken för hybridadministratören som angavs under Installationen av Microsoft Entra Connect för att starta processen för avregistrering eller registrering.
31018 KeyPairCreationSuccess Den här händelsen anger att vi har skapat lösenordskrypteringsnyckeln. Den här nyckeln används för att kryptera lösenord från molnet som ska skickas till din lokala miljö.
31019 ServiceBusHeartBeat Den här händelsen anger att vi har skickat en begäran till din klients Service Bus-instans.
31034 ServiceBusListenerError Den här händelsen anger att det uppstod ett fel vid anslutning till klientorganisationens Service Bus-lyssnare. Om felmeddelandet innehåller "Fjärrcertifikatet är ogiltigt" kontrollerar du att Microsoft Entra Connect-servern har alla nödvändiga rotcertifikatutfärdare enligt beskrivningen i Ändringar av Azure TLS-certifikat.
31044 PasswordResetService Den här händelsen anger att tillbakaskrivning av lösenord inte fungerar. Service Bus lyssnar efter begäranden om två separata reläer för redundans. Varje reläanslutning hanteras av en unik tjänstvärd. Tillbakaskrivningsklienten returnerar ett fel om någon av tjänstvärden inte körs.
32000 UnknownError Den här händelsen anger att ett okänt fel inträffade under en lösenordshanteringsåtgärd. Mer information finns i undantagstexten i händelsen. Om du har problem kan du prova att inaktivera och sedan återaktivera tillbakaskrivning av lösenord. Om detta inte hjälper kan du inkludera en kopia av händelseloggen tillsammans med spårnings-ID:t som angavs när du öppnar en supportbegäran.
32001 ServiceError Den här händelsen indikerar att det uppstod ett fel när tjänsten för lösenordsåterställning i molnet skulle anslutas. Det här felet uppstår vanligtvis när den lokala tjänsten inte kunde ansluta till webbtjänsten för lösenordsåterställning.
32002 ServiceBusError Den här händelsen indikerar att det uppstod ett fel vid anslutning till klientorganisationens Service Bus-instans. Detta kan inträffa om du blockerar utgående anslutningar i din lokala miljö. Kontrollera brandväggen för att se till att du tillåter anslutningar via TCP 443 och till https://ssprdedicatedsbprodncu.servicebus.windows.netoch försök sedan igen. Om du fortfarande har problem kan du prova att inaktivera och sedan återaktivera tillbakaskrivning av lösenord.
32003 InPutValidationError Den här händelsen anger att indata som skickades till webbtjänst-API:et var ogiltiga. Försök igen.
32004 DekrypteringFel Den här händelsen indikerar att det uppstod ett fel när lösenordet som kom från molnet skulle dekrypteras. Detta kan bero på att en dekrypteringsnyckel matchar fel mellan molntjänsten och din lokala miljö. Lös problemet genom att inaktivera och sedan återaktivera tillbakaskrivning av lösenord i din lokala miljö.
32005 ConfigurationError Under registreringen sparar vi klientspecifik information i en konfigurationsfil i din lokala miljö. Den här händelsen anger att det uppstod ett fel när filen skulle sparas eller att det uppstod ett fel vid läsning av filen när tjänsten startades. Du kan åtgärda problemet genom att försöka inaktivera och sedan återaktivera tillbakaskrivning av lösenord för att tvinga fram en omskrivning av konfigurationsfilen.
32007 OnBoardingConfigUpdateError Under registreringen skickar vi data från molnet till den lokala tjänsten för lösenordsåterställning. Dessa data skrivs sedan till en minnesintern fil innan de skickas till synkroniseringstjänsten för säker lagring på disk. Den här händelsen indikerar att det är problem med att skriva eller uppdatera dessa data i minnet. Du kan åtgärda problemet genom att försöka inaktivera och sedan återaktivera tillbakaskrivning av lösenord för att tvinga fram en omskrivning av den här konfigurationsfilen.
32008 ValidationError Den här händelsen anger att vi fick ett ogiltigt svar från webbtjänsten för lösenordsåterställning. Du kan åtgärda problemet genom att inaktivera och sedan återaktivera tillbakaskrivning av lösenord.
32009 AuthTokenError Den här händelsen anger att det inte gick att hämta en auktoriseringstoken för hybridadministratörskontot som angavs under installationen av Microsoft Entra Connect. Det här felet kan orsakas av ett felaktigt användarnamn eller lösenord som angetts för hybridadministratörskontot. Det här felet kan också inträffa om det angivna hybridadministratörskontot är federerat. Du kan åtgärda problemet genom att köra konfigurationen igen med rätt användarnamn och lösenord och se till att administratören är ett hanterat konto (endast moln eller lösenordssynkronisering).
32010 CryptoError Den här händelsen anger att det uppstod ett fel när lösenordskrypteringsnyckeln skulle genereras eller ett lösenord som hämtas från molntjänsten dekrypteras. Det här felet indikerar sannolikt ett problem med din miljö. Titta på informationen i händelseloggen om du vill veta mer om hur du löser problemet. Du kan också prova att inaktivera och sedan återaktivera tillbakaskrivningstjänsten för lösenord.
32011 OnBoardingServiceError Den här händelsen anger att den lokala tjänsten inte kunde kommunicera korrekt med webbtjänsten för lösenordsåterställning för att initiera registreringsprocessen. Detta kan inträffa som ett resultat av en brandväggsregel eller om det uppstår ett problem med att hämta en autentiseringstoken för din klientorganisation. Åtgärda problemet genom att se till att du inte blockerar utgående anslutningar via TCP 443 och TCP 9350-9354 eller till https://ssprdedicatedsbprodncu.servicebus.windows.net. Se också till att det Microsoft Entra-administratörskonto som du använder för att registrera inte är federerat.
32013 OffBoardingError Den här händelsen anger att den lokala tjänsten inte kunde kommunicera korrekt med webbtjänsten för lösenordsåterställning för att initiera offboarding-processen. Detta kan inträffa till följd av en brandväggsregel eller om det uppstår problem med att hämta en auktoriseringstoken för din klientorganisation. Åtgärda det här problemet genom att se till att du inte blockerar utgående anslutningar över 443 eller till https://ssprdedicatedsbprodncu.servicebus.windows.netoch att det Microsoft Entra-administratörskonto som du använder för att avregistrera inte är federerat.
32014 ServiceBusWarning Den här händelsen anger att vi var tvungna att försöka ansluta till din klientorganisations Service Bus-instans igen. Under normala förhållanden bör detta inte vara ett problem, men om du ser den här händelsen många gånger bör du överväga att kontrollera nätverksanslutningen till Service Bus, särskilt om det är en anslutning med hög latens eller låg bandbredd.
32015 ReportServiceHealthError För att övervaka hälsotillståndet för tjänsten för tillbakaskrivning av lösenord skickar vi pulsslagsdata till webbtjänsten för lösenordsåterställning var femte minut. Den här händelsen anger att det uppstod ett fel när den här hälsoinformationen skulle skickas tillbaka till molnwebbtjänsten. Den här hälsoinformationen innehåller inga personliga data och är enbart en pulsslags- och grundläggande tjänststatistik så att vi kan tillhandahålla tjänststatusinformation i molnet.
33001 ADUnKnownError Den här händelsen anger att ett okänt fel returnerades av Active Directory. Mer information finns i händelseloggen för Microsoft Entra Connect-servern för händelser från ADSync-källan.
33002 ADUserNotFoundError Den här händelsen anger att användaren som försöker återställa eller ändra ett lösenord inte hittades i den lokala katalogen. Det här felet kan inträffa när användaren har tagits bort lokalt men inte i molnet. Det här felet kan också inträffa om det finns ett problem med synkroniseringen. Mer information finns i synkroniseringsloggarna och de senaste synkroniseringskörningsuppgifterna.
33003 ADMutliMatchError När en begäran om lösenordsåterställning eller ändring kommer från molnet använder vi molnankaret som angavs under installationsprocessen för Microsoft Entra Connect för att fastställa hur begäran ska länkas tillbaka till en användare i din lokala miljö. Den här händelsen anger att vi hittade två användare i din lokala katalog med samma molnankarattribut. Mer information finns i synkroniseringsloggarna och de senaste synkroniseringskörningsuppgifterna.
33004 ADPermissionsError Den här händelsen anger att ADMA-tjänstkontot (Active Directory Management Agent) inte har rätt behörighet för kontot i fråga för att ange ett nytt lösenord. Kontrollera att ADMA-kontot i användarens skog har återställt lösenordsbehörigheter för alla objekt i skogen. Mer information om hur du anger behörigheter finns i Steg 4: Konfigurera lämpliga Active Directory-behörigheter. Det här felet kan också inträffa när användarens attribut AdminCount är inställt på 1.
33005 ADUserAccountDisabled Den här händelsen anger att vi försökte återställa eller ändra ett lösenord för ett konto som har inaktiverats lokalt. Aktivera kontot och försök igen.
33006 ADUserAccountLockedOut Den här händelsen anger att vi försökte återställa eller ändra ett lösenord för ett konto som var utelåst lokalt. Utelåsningar kan inträffa när en användare har provat en ändrings- eller återställningsåtgärd för många gånger under en kort period. Lås upp kontot och försök igen.
33007 ADUserIncorrectPassword Den här händelsen anger att användaren angav ett felaktigt aktuellt lösenord när han eller hon utförde en lösenordsändringsåtgärd. Ange rätt aktuellt lösenord och försök igen.
33008 ADPasswordPolicyError Den här händelsen inträffar när tjänsten för tillbakaskrivning av lösenord försöker ange ett lösenord i din lokala katalog som inte uppfyller lösenordsåldern, historiken, komplexiteten eller filtreringskraven för domänen.

Om du har en lägsta lösenordsålder och nyligen har ändrat lösenordet inom den tidsperioden kan du inte ändra lösenordet igen förrän det når den angivna åldern i din domän. I testsyfte ska minimiåldern vara 0.

Om du har aktiverat krav för lösenordshistorik måste du välja ett lösenord som inte har använts under de senaste N gångerna, där N är inställningen för lösenordshistorik. Om du väljer ett lösenord som har använts under de senaste N gångerna visas ett fel i det här fallet. I testsyfte ska lösenordshistoriken anges till 0.

Om du har krav på lösenordskomplexitet tillämpas alla när användaren försöker ändra eller återställa ett lösenord.

Om du har aktiverat lösenordsfilter och en användare väljer ett lösenord som inte uppfyller filtreringsvillkoren misslyckas återställnings- eller ändringsåtgärden.
33009 ADConfigurationError Den här händelsen indikerar att det uppstod ett problem med att skriva tillbaka ett lösenord till din lokala katalog på grund av ett konfigurationsproblem med Active Directory. I Microsoft Entra Connect-datorns programhändelselogg finns meddelanden från ADSync-tjänsten om du vill ha mer information om vilket fel som uppstod.

Organisationsenhetstecken reserverade från tillbakaskrivning av lösenord

I följande tabell visas reserverade tecken som förhindrar tillbakaskrivning av lösenord. Om dessa tecken visas i din lokala organisationsenhetsstruktur (OU) kan tillbakaskrivning av lösenord misslyckas med händelse-ID 33001.

Reserverat tecken Beskrivning Hexvärde
blanksteg eller #-tecken i början av en sträng
blankstegstecken i slutet av en sträng
, komma 0x2C
+ plustecken 0x2B
" citationstecken 0x22
\ omvänt snedstreck 0x5C
< vänster vinkelparentes 0x3C
> höger vinkelparentes 0x3E
; semikolon 0x3B
LF radmatning 0x0A
HP vagnretur 0x0D
= likhetstecken 0x3D
/ Snedstreck 0x2F

Microsoft Entra-forum

Om du har allmänna frågor om Microsoft Entra-ID och lösenordsåterställning via självbetjäning kan du be communityn om hjälp på microsofts Q&A-frågesida för Microsoft Entra-ID. Medlemmar i communityn är ingenjörer, produktchefer, MVP:er och it-proffskollegor.

Kontakta Microsofts support

Om du inte hittar svaret på ett problem är våra supportteam alltid tillgängliga för att hjälpa dig ytterligare.

För att hjälpa dig på rätt sätt ber vi dig att ange så mycket information som möjligt när du öppnar ett ärende. Den här informationen omfattar följande:

  • Allmän beskrivning av felet: Vad är felet? Vad var det beteende som märktes? Hur återskapar vi felet? Ange så mycket information som möjligt.
  • Sida: Vilken sida var du på när du märkte felet? Inkludera URL:en om du kan och en skärmbild av sidan.
  • Supportkod: Vilken supportkod genererades när användaren såg felet?
    • Om du vill hitta den här koden återskapar du felet, väljer sedan länken Supportkod längst ned på skärmen och skickar det GUID som resulterar i supportteknikern.

      Supportkoden finns längst ned till höger i webbläsarfönstret.

    • Om du är på en sida utan stödkod längst ned väljer du F12 och söker efter SID och CID och skickar dessa två resultat till supportteknikern.

  • Datum, tid och tidszon: Inkludera exakt datum och tid med tidszonen som felet inträffade.
  • Användar-ID: Vem var användaren som såg felet? Ett exempel är user@contoso.com.
    • Är det här en federerad användare?
    • Är detta en direktautentiseringsanvändare?
    • Är det här en lösenordshash-synkroniserad användare?
    • Är det här en användare som endast är molnbaserad?
  • Licensiering: Har användaren tilldelats en Microsoft Entra-ID-licens?
  • Händelselogg för program: Om du använder tillbakaskrivning av lösenord och felet finns i den lokala infrastrukturen ska du inkludera en zippad kopia av programhändelseloggen från Microsoft Entra Connect-servern.

Nästa steg

Mer information om SSPR finns i How it works: Microsoft Entra self-service password reset or How does self-service password reset writeback work in Microsoft Entra ID?.