Microsoft Entra Connect Sync eşitlemesi ile parola karması eşitleme sorunlarını giderme

  • Makale

Bu konu, parola karması eşitleme sorunlarını giderme adımları sağlar. Parolalar beklendiği gibi eşitlenmiyorsa, bir kullanıcı alt kümesi veya tüm kullanıcılar için olabilir.

1.1.614.0 veya sonraki bir sürüme sahip Microsoft Entra Bağlan dağıtımı için, parola karması eşitleme sorunlarını gidermek için sihirbazdaki sorun giderme görevini kullanın:

1.1.524.0 veya sonraki bir sürümle dağıtım için, parola karması eşitleme sorunlarını gidermek için kullanabileceğiniz bir tanılama cmdlet'i vardır:

Microsoft Entra Bağlan dağıtımının eski sürümleri için:

  • Hiçbir parolanın eşitlenmediği bir sorununuz varsa, Parola eşitlenmedi: el ile sorun giderme adımları bölümüne bakın.

  • Tek tek nesnelerle ilgili bir sorununuz varsa, One nesnesi parolaları eşitlemiyor: el ile sorun giderme adımları bölümüne bakın.

Hiçbir parola eşitlenmedi: Sorunu çözmek için sorun giderme görevini kullanın

Hiçbir parolanın neden eşitlenmedığını bulmak için sorun giderme görevini kullanabilirsiniz.

Dekont

Sorun giderme görevi yalnızca Microsoft Entra Bağlan sürüm 1.1.614.0 veya üzeri için kullanılabilir.

Sorun giderme görevini çalıştırma

Hiçbir parolanın eşitlenmediği sorunları gidermek için:

  1. Microsoft Entra Bağlan sunucunuzda Yönetici istrator olarak çalıştır seçeneğiyle yeni bir Windows PowerShell oturumu açın.

  2. veya Set-ExecutionPolicy Unrestrictedkomutunu çalıştırınSet-ExecutionPolicy RemoteSigned.

  3. Microsoft Entra Bağlan sihirbazını başlatın.

  4. Ek Görevler sayfasına gidin, Sorun Gider'i seçin ve İleri'ye tıklayın.

  5. Sorun Giderme sayfasında Başlat'a tıklayarak PowerShell'de sorun giderme menüsünü başlatın.

  6. Ana menüde Parola karması eşitleme sorunlarını giderme'yi seçin.

  7. Alt menüde Parola karması eşitlemesi hiç çalışmıyor'ı seçin.

Sorun giderme görevinin sonuçlarını anlama

Sorun giderme görevi aşağıdaki denetimleri gerçekleştirir:

  • Parola karması eşitleme özelliğinin Microsoft Entra kiracınız için etkinleştirildiğini doğrular.

  • Microsoft Entra Bağlan sunucusunun hazırlama modunda olmadığını doğrular.

  • Mevcut her şirket içi Active Directory bağlayıcısı için (mevcut bir Active Directory ormanına karşılık gelir):

    • Parola karması eşitleme özelliğinin etkinleştirildiğini doğrular.

    • Windows Uygulaması Olay günlüklerinde parola karması eşitleme sinyal olaylarını arar.

    • şirket içi Active Directory bağlayıcısı altındaki her Active Directory etki alanı için:

      • Etki alanına Microsoft Entra Bağlan sunucusundan erişilebilir olduğunu doğrular.

      • şirket içi Active Directory bağlayıcısı tarafından kullanılan Active Directory Etki Alanı Hizmetleri (AD DS) hesaplarının parola karması eşitlemesi için gereken doğru kullanıcı adı, parola ve izinlere sahip olduğunu doğrular.

Aşağıdaki diyagramda, tek etki alanı şirket içi Active Directory topolojisi için cmdlet'in sonuçları gösterilmektedir:

Diagnostic output for password hash synchronization

Bu bölümün geri kalanında, görev tarafından döndürülen belirli sonuçlar ve ilgili sorunlar açıklanmaktadır.

Parola karması eşitleme özelliği etkin değil

Microsoft Entra Bağlan sihirbazını kullanarak parola karması eşitlemesini etkinleştirmediyseniz aşağıdaki hata döndürülür:

password hash synchronization isn't enabled

Microsoft Entra Bağlan sunucusu hazırlama modunda

Microsoft Entra Bağlan sunucusu hazırlama modundaysa, parola karması eşitlemesi geçici olarak devre dışı bırakılır ve aşağıdaki hata döndürülür:

Microsoft Entra Connect server is in staging mode

Parola karması eşitleme sinyal olayı yok

Her şirket içi Active Directory bağlayıcının kendi parola karması eşitleme kanalı vardır. Parola karması eşitleme kanalı oluşturulduğunda ve eşitlenecek parola değişikliği olmadığında, Windows Uygulama Olay Günlüğü altında her 30 dakikada bir sinyal olayı (EventId 654) oluşturulur. Her şirket içi Active Directory bağlayıcısı için cmdlet, son üç saat içinde ilgili sinyal olaylarını arar. Sinyal olayı bulunmazsa aşağıdaki hata döndürülür:

No password hash synchronization heart beat event

AD DS hesabının doğru izinleri yok

parola karmalarını eşitlemek için şirket içi Active Directory bağlayıcısı tarafından kullanılan AD DS hesabı uygun izinlere sahip değilse, aşağıdaki hata döndürülür:

Screenshot that shows the error that's returned when the AD DS account has an incorrect username or password.

Yanlış AD DS hesabı kullanıcı adı veya parolası

şirket içi Active Directory bağlayıcısı tarafından parola karmalarını eşitlemek için kullanılan AD DS hesabının kullanıcı adı veya parolası yanlışsa, aşağıdaki hata döndürülür:

Incorrect credential

Bir nesne parolaları eşitlemiyor: Sorunu çözmek için sorun giderme görevini kullanın

Bir nesnenin parolaları neden eşitlemediğini belirlemek için sorun giderme görevini kullanabilirsiniz.

Dekont

Sorun giderme görevi yalnızca Microsoft Entra Bağlan sürüm 1.1.614.0 veya üzeri için kullanılabilir.

Tanılama cmdlet'ini çalıştırma

Belirli bir kullanıcı nesnesiyle ilgili sorunları gidermek için:

  1. Microsoft Entra Bağlan sunucunuzda Yönetici istrator olarak çalıştır seçeneğiyle yeni bir Windows PowerShell oturumu açın.

  2. veya Set-ExecutionPolicy Unrestrictedkomutunu çalıştırınSet-ExecutionPolicy RemoteSigned.

  3. Microsoft Entra Bağlan sihirbazını başlatın.

  4. Ek Görevler sayfasına gidin, Sorun Gider'i seçin ve İleri'ye tıklayın.

  5. Sorun Giderme sayfasında Başlat'a tıklayarak PowerShell'de sorun giderme menüsünü başlatın.

  6. Ana menüde Parola karması eşitleme sorunlarını giderme'yi seçin.

  7. Alt menüde Parola belirli bir kullanıcı hesabı için eşitlenmedi'yi seçin.

Sorun giderme görevinin sonuçlarını anlama

Sorun giderme görevi aşağıdaki denetimleri gerçekleştirir:

  • Active Directory bağlayıcı alanı, Metaverse ve Microsoft Entra bağlayıcısı alanında Active Directory nesnesinin durumunu inceler.

  • Parola karması eşitlemesi etkin ve Active Directory nesnesine uygulanmış eşitleme kuralları olduğunu doğrular.

  • Nesnenin parolasını eşitlemeye yönelik son denemenin sonuçlarını almayı ve görüntülemeyi dener.

Aşağıdaki diyagramda, tek bir nesne için parola karması eşitleme sorunlarını giderirken cmdlet'in sonuçları gösterilmektedir:

Diagnostic output for password hash synchronization - single object

Bu bölümün geri kalanında cmdlet tarafından döndürülen belirli sonuçlar ve ilgili sorunlar açıklanmaktadır.

Active Directory nesnesi Microsoft Entra Id'ye aktarılmıyor

Bu şirket içi Active Directory hesabı için parola karması eşitlemesi, Microsoft Entra kiracısında karşılık gelen nesne olmadığından başarısız oluyor. Aşağıdaki hata döndürülür:

Microsoft Entra object is missing

Kullanıcının geçici parolası var

Microsoft Entra Bağlan'ın eski sürümleri, geçici parolaların Microsoft Entra Kimliği ile eşitlenmesini desteklemedi. şirket içi Active Directory kullanıcıda Sonraki oturum açmada parolayı değiştir seçeneği ayarlanırsa parola geçici olarak kabul edilir. Bu eski sürümlerde aşağıdaki hata döndürülür:

Temporary password is not exported

Geçici parolaların eşitlenmesini etkinleştirmek için Microsoft Entra Bağlan sürüm 2.0.3.0 veya üzeri yüklü olmalı ve ForcePasswordChangeOnLogon özelliği etkinleştirilmelidir.

Parola eşitlemeye son denemenin sonuçları kullanılamıyor

Varsayılan olarak, Microsoft Entra Bağlan yedi gün boyunca parola karması eşitleme girişimlerinin sonuçlarını depolar. Seçili Active Directory nesnesi için kullanılabilir sonuç yoksa aşağıdaki uyarı döndürülür:

Diagnostic output for single object - no password sync history

Hiçbir parola eşitlenmedi: Sorunu çözmek için diagnostic cmdlet’ini kullanın

Hiçbir parolanın Invoke-ADSyncDiagnostics neden eşitlenmedığını bulmak için cmdlet'ini kullanabilirsiniz.

Dekont

Invoke-ADSyncDiagnostics Cmdlet yalnızca Microsoft Entra Bağlan sürüm 1.1.524.0 veya üzeri için kullanılabilir.

Tanılama cmdlet'ini çalıştırma

Hiçbir parolanın eşitlenmediği sorunları gidermek için:

  1. Microsoft Entra Bağlan sunucunuzda Yönetici istrator olarak çalıştır seçeneğiyle yeni bir Windows PowerShell oturumu açın.

  2. veya Set-ExecutionPolicy Unrestrictedkomutunu çalıştırınSet-ExecutionPolicy RemoteSigned.

  3. Import-Module ADSyncDiagnostics öğesini çalıştırın.

  4. Invoke-ADSyncDiagnostics -PasswordSync öğesini çalıştırın.

Bir nesne parolaları eşitlemiyor: Sorunu çözmek için diagnostic cmdlet’ini kullanın

Bir nesnenin Invoke-ADSyncDiagnostics parolaları neden eşitlemediğini belirlemek için cmdlet'ini kullanabilirsiniz.

Dekont

Invoke-ADSyncDiagnostics Cmdlet yalnızca Microsoft Entra Bağlan sürüm 1.1.524.0 veya üzeri için kullanılabilir.

Tanılama cmdlet'ini çalıştırma

Kullanıcı için hiçbir parolanın eşitlenmediği sorunları gidermek için:

  1. Microsoft Entra Bağlan sunucunuzda Yönetici istrator olarak çalıştır seçeneğiyle yeni bir Windows PowerShell oturumu açın.

  2. veya Set-ExecutionPolicy Unrestrictedkomutunu çalıştırınSet-ExecutionPolicy RemoteSigned.

  3. Import-Module ADSyncDiagnostics'i çalıştırın.

  4. Aşağıdaki cmdlet'i çalıştırın:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>

    Örneğin:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"

Hiçbir parola eşitlenmedi: El ile sorun giderme adımları

Hiçbir parolanın neden eşitlenmediğini belirlemek için şu adımları izleyin:

  1. Bağlan sunucusu hazırlama modunda mı? Hazırlama modundaki bir sunucu hiçbir parolayı eşitlemez.

  2. Parola eşitleme ayarlarının durumunu alma bölümünde betiği çalıştırın. Parola eşitleme yapılandırmasına genel bir bakış sağlar.

    PowerShell script output from password sync settings

  3. Özellik Microsoft Entra Id'de etkinleştirilmediyse veya eşitleme kanalı durumu etkin değilse, Bağlan yükleme sihirbazını çalıştırın. Eşitleme seçeneklerini özelleştir'i seçin ve parola eşitleme seçimini kaldırın. Bu değişiklik özelliği geçici olarak devre dışı bırakır. Ardından sihirbazı yeniden çalıştırın ve parola eşitlemeyi yeniden etkinleştirin. Yapılandırmanın doğru olduğunu doğrulamak için betiği yeniden çalıştırın.

  4. Hata için olay günlüğüne bakın. Bir sorunu gösteren aşağıdaki olayları arayın:

    • Kaynak: "Dizin eşitleme" kimliği: 0, 611, 652, 655 Bu olayları görürseniz bağlantı sorununuz vardır. Olay günlüğü iletisi, sorun yaşadığınız orman bilgilerini içerir.

  5. Sinyal görmüyorsanız veya başka bir şey çalışmıyorsa Tüm parolaların tam eşitlemesini tetikle'yi çalıştırın. Betiği yalnızca bir kez çalıştırın.

  6. Parolaları eşitlemeyen bir nesneyle ilgili sorunları giderme bölümüne bakın.

Bağlan üretkenlik sorunları

Microsoft Entra Id ile bağlantınız var mı?

Hesap, tüm etki alanlarındaki parola karmalarını okumak için gerekli izinlere sahip mi? express ayarlarını kullanarak Bağlan yüklediyseniz, izinler zaten doğru olmalıdır.

Özel yükleme kullandıysanız, aşağıdakileri yaparak izinleri el ile ayarlayın:

  1. Active Directory bağlayıcısı tarafından kullanılan hesabı bulmak için Eşitleme Hizmeti Yöneticisi'ni başlatın.

  2. Bağlan or'a gidin ve sorun giderdiğiniz şirket içi Active Directory ormanı arayın.

  3. Bağlayıcıyı seçin ve özellikler'e tıklayın.

  4. Active Directory Ormanı'na Bağlan gidin.

    Account used by Active Directory connector
    Kullanıcı adını ve hesabın bulunduğu etki alanını not edin.

  5. Active Directory Kullanıcıları ve Bilgisayarları başlatın ve daha önce bulduğunuz hesabın ormanınızdaki tüm etki alanlarının kökünde ayarlanmış aşağıdaki izinlere sahip olduğunu doğrulayın:

    • Dizin Değişikliklerini Çoğaltma
    • Dizin Değişikliklerini Çoğaltma Tümü

  6. Etki alanı denetleyicilerine Microsoft Entra Bağlan tarafından erişilebilir mi? Bağlan sunucusu tüm etki alanı denetleyicilerine bağlanamıyorsa Yalnızca tercih edilen etki alanı denetleyicisini kullan'ı yapılandırın.

    Domain controller used by Active Directory connector

  7. Eşitleme Hizmeti Yöneticisi'ne geri dönün ve Dizin Bölümünü Yapılandırın.

  8. Dizin bölümlerini seçin bölümünde etki alanınızı seçin, Yalnızca tercih edilen etki alanı denetleyicilerini kullan onay kutusunu seçin ve yapılandır'a tıklayın.

  9. Listeye, parola eşitleme için Bağlan kullanılması gereken etki alanı denetleyicilerini girin. İçeri ve dışarı aktarma için de aynı liste kullanılır. Tüm etki alanlarınız için bu adımları uygulayın.

Dekont

Bu değişiklikleri uygulamak için Microsoft Entra ID Sync (AD Eşitleme) hizmetini yeniden başlatın.

  1. Betik sinyal olmadığını gösteriyorsa, Tüm parolaların tam eşitlemesini tetikleme bölümünde betiği çalıştırın.

Bir nesne parolaları eşitlemiyor: El ile sorun giderme adımları

Bir nesnenin durumunu gözden geçirerek parola karması eşitleme sorunlarını kolayca giderebilirsiniz.

  1. Active Directory Kullanıcıları ve Bilgisayarları'da kullanıcıyı arayın ve ardından Kullanıcının bir sonraki oturum açmada parolayı değiştirmesi gerekir onay kutusunun temizlendiğini doğrulayın.

    Active Directory productive passwords

    Onay kutusu seçiliyse, kullanıcıdan oturum açmasını ve parolayı değiştirmesini isteyin. Geçici parolalar Microsoft Entra Id ile eşitlenmez.

  2. Active Directory'de parola doğru görünüyorsa, eşitleme altyapısındaki kullanıcıyı izleyin. Kullanıcıyı şirket içi Active Directory'den Microsoft Entra Id'ye kadar takip ederek nesnede açıklayıcı bir hata olup olmadığını görebilirsiniz.

    a. Eşitleme Hizmeti Yöneticisi'ni başlatın.

    b. Bağlan orlar'a tıklayın.

    c. Active Directory Bağlan veya kullanıcının bulunduğu yeri seçin.

    d. Ara Bağlan veya Boşluk'a tıklayın.

    e. Kapsam kutusunda DN veya Tutturucu'ya tıklayın ve ardından sorun giderdiğiniz kullanıcının tam DN'sini girin.

    Search for user in connector space with DN

    f. Aradığınız kullanıcıyı bulun ve tüm öznitelikleri görmek için Özellikler'e tıklayın. Kullanıcı arama sonucunda değilse, filtreleme kurallarınızı doğrulayın ve Kullanıcının Bağlan görünmesi için Uygula ve değişiklikleri doğrula'yı çalıştırdığınızdan emin olun.

    r. Geçen haftaki nesnenin parola eşitleme ayrıntılarını görmek için Günlük'e tıklayın.

    Object log details

    Nesne günlüğü boşsa, Microsoft Entra Bağlan Active Directory'den parola karmasını okuyamadı. Bağlan Ivity Errors ile sorun giderme işleminize devam edin. Başarı dışında bir değer görürseniz Parola eşitleme günlüğündeki tabloya bakın.

    h. Köken sekmesini seçin ve PasswordSync sütunundaki en az bir eşitleme kuralının True olduğundan emin olun. Varsayılan yapılandırmada, eşitleme kuralının adı AD ' den Gelen - Kullanıcı HesabıEnabled şeklindedir.

    Lineage information about a user

    i. Kullanıcı özniteliklerinin listesini görüntülemek için Meta Veri Kümesi Nesne Özellikleri'ne tıklayın.

    Screenshot that shows the list of user attributes for the Metaverse Object Properties.

    CloudFiltered özniteliğinin mevcut olmadığını doğrulayın. Etki alanı özniteliklerinin (domainFQDN ve domainNetBios) beklenen değerlere sahip olduğundan emin olun.

    j. Bağlan orlar sekmesine tıklayın. Hem şirket içi Active Directory hem de Microsoft Entra Kimliği bağlayıcıları gördüğünüzden emin olun.

    Metaverse information

    k. Microsoft Entra Kimliğini temsil eden satırı seçin, Özellikler'e tıklayın ve ardından Köken sekmesine tıklayın. Bağlayıcı alanı nesnesinin PasswordSync sütununda True olarak ayarlanmış bir giden kuralı olmalıdır. Varsayılan yapılandırmada, eşitleme kuralının adı Microsoft Entra Id - User Join olarak adlandırılır.

    Connector Space Object Properties dialog box

Parola eşitleme günlüğü

Durum sütunu aşağıdaki değerlere sahip olabilir:

Durum Açıklama
Başarılı Parola başarıyla eşitlendi.
FilteredByTarget Parola, Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir olarak ayarlanır. Parola eşitlenmedi.
NoTarget Bağlan ion Meta veri bölmesinde veya Microsoft Entra bağlayıcısı alanında nesne yok.
Source Bağlan orNotPresent şirket içi Active Directory bağlayıcı alanında nesne bulunamadı.
TargetNotExportedToDirectory Microsoft Entra bağlayıcısı alanında bulunan nesne henüz dışarı aktarılmadı.
MigratedCheckDetailsForMoreInfo Günlük girdisi 1.0.9125.0 derlemesi öncesinde oluşturulmuş ve eski durumunda gösterilmiştir.
Hata Hizmet bilinmeyen bir hata döndürdü.
Bilinmiyor Bir grup parola karması işlenmeye çalışılırken bir hata oluştu.
MissingAttribute Microsoft Entra Domain Services tarafından gereken belirli öznitelikler (örneğin, Kerberos karması) kullanılamaz.
RetryRequestedByTarget Microsoft Entra Domain Services tarafından gereken belirli öznitelikler (örneğin, Kerberos karması) daha önce kullanılamıyordu. Kullanıcının parola karması yeniden eşitlenmesi denenir.

Sorun gidermeye yardımcı olacak betikler

Parola eşitleme ayarlarının durumunu alma

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Tüm parolaların tam eşitlemesini tetikleme

Dekont

Bu betiği yalnızca bir kez çalıştırın. Birden çok kez çalıştırmanız gerekiyorsa, sorun başka bir şeydir. Sorunu gidermek için Microsoft desteğine başvurun.

Aşağıdaki betiği kullanarak tüm parolaların tam eşitlemesini tetikleyebilirsiniz:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Sonraki adımlar