Aracılığıyla paylaş

Sorun giderme: Şirket içi Microsoft Entra Parola Koruması

  • Makale

Microsoft Entra Password Protection dağıtımından sonra sorun giderme gerekebilir. Bu makale, bazı yaygın sorun giderme adımlarını anlamanıza yardımcı olmak için ayrıntılı olarak anlatılacaktır.

DC aracısı dizinde bir ara sunucu bulamıyor

Bu sorunun ana belirtisi DC aracısı Yönetici olay günlüğündeki 30017 olaylarıdır.

Bu sorunun her zamanki nedeni, bir proxy'nin henüz kaydedilmemiş olmasıdır. Bir ara sunucu kaydedildiyse, belirli bir DC aracısı bu ara sunucuyu görene kadar AD çoğaltma gecikmesi nedeniyle bazı gecikmeler olabilir.

DC aracısı bir ara sunucuyla iletişim kuramıyor

Bu sorunun ana belirtisi DC aracısı Yönetici olay günlüğündeki 30018 olaylarıdır. Bu sorunun birkaç olası nedeni olabilir:

  1. DC aracısı, ağın kayıtlı ara sunuculara ağ bağlantısına izin vermeyen yalıtılmış bir bölümünde bulunur. Diğer DC aracıları Azure'dan parola ilkelerini indirmek için ara sunucularla iletişim kurabildiği sürece bu sorun zararsız olabilir. İndirildikten sonra bu ilkeler, sysvol paylaşımındaki ilke dosyalarının çoğaltılması yoluyla yalıtılmış DC tarafından elde edilir.

  2. Ara sunucu konak makinesi RPC uç noktası eşleyici uç noktasına erişimi engelliyor (bağlantı noktası 135)

    Microsoft Entra Password Protection Proxy yükleyicisi, bağlantı noktası 135'e erişime izin veren bir Windows Güvenlik Duvarı gelen kuralını otomatik olarak oluşturur. Bu kural daha sonra silinir veya devre dışı bırakılırsa, DC aracıları Ara Sunucu hizmetiyle iletişim kuramaz. Yerleşik Windows Güvenlik Duvarı başka bir güvenlik duvarı ürünü yerine devre dışı bırakıldıysa, bu güvenlik duvarını 135 numaralı bağlantı noktasına erişime izin verecek şekilde yapılandırmanız gerekir.

  3. Ara sunucu konak makinesi, Ara Sunucu hizmeti tarafından dinlenen RPC uç noktasına (dinamik veya statik) erişimi engelliyor

    Microsoft Entra Parola Koruması Ara Sunucusu yükleyicisi, Microsoft Entra Parola Koruması Ara Sunucusu hizmeti tarafından dinlenen tüm gelen bağlantı noktalarına erişime izin veren bir Windows Güvenlik Duvarı gelen kuralını otomatik olarak oluşturur. Bu kural daha sonra silinir veya devre dışı bırakılırsa, DC aracıları Ara Sunucu hizmetiyle iletişim kuramaz. Yerleşik Windows Güvenlik Duvarı başka bir güvenlik duvarı ürünü yerine devre dışı bırakıldıysa, bu güvenlik duvarını Microsoft Entra Password Protection Proxy hizmeti tarafından dinlene gelen bağlantı noktalarına erişime izin verecek şekilde yapılandırmanız gerekir. Proxy hizmeti belirli bir statik RPC bağlantı noktasını dinleyecek şekilde yapılandırılmışsa (cmdlet kullanılarak Set-AzureADPasswordProtectionProxyConfiguration ) bu yapılandırma daha belirgin hale getirilebilir.

  4. Ara sunucu konak makinesi, etki alanı denetleyicilerinin makinede oturum açabilmesine izin verecek şekilde yapılandırılmamış. Bu davranış, "Bu bilgisayara ağdan eriş" kullanıcı ayrıcalık ataması aracılığıyla denetlenir. Ormandaki tüm etki alanlarındaki tüm etki alanı denetleyicilerine bu ayrıcalık verilmelidir. Bu ayar genellikle daha büyük bir ağ sağlamlaştırma çalışmasının bir parçası olarak kısıtlanır.

Proxy hizmeti Azure ile iletişim kuramıyor

  1. Ara makinenin dağıtım gereksinimlerinde listelenen uç noktalara bağlantısı olduğundan emin olun.

  2. Ormanın ve tüm proxy sunucularının aynı Azure kiracısına kayıtlı olduğundan emin olun.

    ve Get-AzureADPasswordProtectionDCAgent PowerShell cmdlet'lerini çalıştırıp Get-AzureADPasswordProtectionProxy döndürülen her öğenin özelliğini karşılaştırarak AzureTenant bu gereksinimi de kontrol edebilirsiniz. Doğru işlem için, bildirilen kiracı adı tüm DC aracıları ve ara sunucularda aynı olmalıdır.

    Azure kiracı kaydı uyuşmazlığı koşulu mevcutsa, bu sorun ve/veya Register-AzureADPasswordProtectionForest PowerShell cmdlet'leri gerektiği gibi çalıştırılarak Register-AzureADPasswordProtectionProxy düzeltilebilir ve tüm kayıtlar için aynı Azure kiracısından kimlik bilgilerini kullandığınızdan emin olun.

DC aracısı parola ilkesi dosyalarını şifreleyemiyor veya şifresini çözemiyor

Microsoft Entra Password Protection, Microsoft Anahtar Dağıtım Hizmeti tarafından sağlanan şifreleme ve şifre çözme işlevselliğine kritik bir bağımlıdır. Şifreleme veya şifre çözme hataları çeşitli belirtilerle ortaya çıkar ve çeşitli olası nedenlere sahiptir.

  1. KDS hizmetinin bir etki alanındaki tüm Windows Server 2012 ve üzeri etki alanı denetleyicilerinde etkinleştirildiğinden ve çalıştığından emin olun.

    Varsayılan olarak KDS hizmetinin hizmet başlatma modu El ile (Tetikleyici Başlangıç) olarak yapılandırılır. Bu yapılandırma, bir istemci hizmeti ilk kez kullanmaya çalıştığında isteğe bağlı olarak başlatıldığını gösterir. Bu varsayılan hizmet başlangıç modu, Microsoft Entra Parola Koruması'nın çalışması için kabul edilebilir.

    KDS hizmeti başlatma modu Devre Dışı olarak yapılandırıldıysa, Microsoft Entra Parola Koruması düzgün çalışmadan önce bu yapılandırmanın düzeltilmesi gerekir.

    Bu soruna yönelik basit bir test, Hizmet Yönetimi MMC konsolu aracılığıyla veya diğer yönetim araçlarını kullanarak (örneğin, komut istemi konsolundan "net start kdssvc" komutunu çalıştırma) KDS hizmetini el ile başlatmaktır. KDS hizmetinin başarıyla başlatılması ve çalışır durumda kalması beklenir.

    KDS hizmetinin başlatılamamasının en yaygın kök nedeni, Active Directory etki alanı denetleyicisi nesnesinin varsayılan Etki Alanı Denetleyicileri OU'sunun dışında bulunmasıdır. Bu yapılandırma KDS hizmeti tarafından desteklenmez ve Microsoft Entra Parola Koruması tarafından uygulanan bir sınırlama değildir. Bu koşulun düzeltmesi, etki alanı denetleyicisi nesnesini varsayılan Etki Alanı Denetleyicileri OU'sunun altındaki bir konuma taşımaktır.

  2. Uyumsuz KDS şifreli arabellek biçimi Windows Server 2012 R2'den Windows Server 2016'ya değiştirildi

    Windows Server 2016'da KDS şifreli arabelleklerin biçimini değiştiren bir KDS güvenlik düzeltmesi kullanıma sunulmuştur; Bu arabellekler bazen Windows Server 2012 ve Windows Server 2012 R2'de şifresi çözülemez. Ters yönde sorun yok- Windows Server 2012 ve Windows Server 2012 R2'de KDS ile şifrelenmiş arabellekler Windows Server 2016 ve sonraki sürümlerde her zaman başarıyla şifrelenir. Active Directory etki alanlarınızdaki etki alanı denetleyicileri bu işletim sistemlerinin bir karışımını çalıştırıyorsa, ara sıra Microsoft Entra Parola Koruması şifre çözme hataları bildirilebilir. Güvenlik düzeltmesinin niteliği göz önüne alındığında ve etki alanı denetleyicisinin belirli bir zamanda verileri şifrelediği Microsoft Entra Password Protection DC Aracısı'nın belirlenimci olmadığı göz önüne alındığında, bu hataların zamanlamasını veya belirtilerini doğru tahmin etmek mümkün değildir.

    Bu sorun için Active Directory etki alanlarınızda bu uyumsuz işletim sistemlerinin bir karışımını çalıştırmamak dışında bir geçici çözüm yoktur. Başka bir deyişle, yalnızca Windows Server 2012 ve Windows Server 2012 R2 etki alanı denetleyicilerini çalıştırmanız veya yalnızca Windows Server 2016 ve üzeri etki alanı denetleyicilerini çalıştırmanız gerekir.

DC aracısı ormanın kayıtlı olmadığını düşünüyor

Bu sorunun belirtisi, DC Aracısı\Yönetici kanalında kısmen şunun gibi günlüğe kaydedilen 30016 olaylarıdır:

The forest has not been registered with Azure. Password policies cannot be downloaded from Azure unless this is corrected.

Bu sorunun iki olası nedeni vardır.

  1. Orman gerçekten kaydedilmemiş. Sorunu çözmek için lütfen dağıtım gereksinimlerinde açıklandığı gibi Register-AzureADPasswordProtectionForest komutunu çalıştırın.
  2. Orman kaydedildi, ancak DC aracısı orman kayıt verilerinin şifresini çözemiyor. Bu durum, yukarıda DC aracısı parola ilkesi dosyalarını şifreleyemiyor veya şifresini çözemiyor altında listelenen sorun 2 ile aynı kök nedene sahiptir. Bu teoriyi doğrulamanın kolay bir yolu, bu hatayı yalnızca Windows Server 2012 veya Windows Server 2012R2 etki alanı denetleyicilerinde çalışan DC aracılarında, Windows Server 2016 ve üzeri etki alanı denetleyicilerinde çalışan DC aracılarında da görmenizdir. Geçici çözüm aynıdır: Tüm etki alanı denetleyicilerini Windows Server 2016 veya sonraki bir sürüme yükseltin.

Zayıf parolalar kabul ediliyor ancak kabul edilmemelidir

Bu sorunun çeşitli nedenleri olabilir.

  1. DC aracılarınız süresi dolmuş bir genel önizleme yazılımı sürümü çalıştırıyor. Bkz. Genel önizleme DC aracı yazılımının süresi doldu.

  2. DC aracılarınız bir ilkeyi indiremiyor veya mevcut ilkelerin şifresini çözemiyor. Yukarıdaki konularda olası nedenleri denetleyin.

  3. Parola ilkesi Zorlama modu hala Denetim olarak ayarlanmıştır. Bu yapılandırma etkinse, Microsoft Entra Parola Koruması portalını kullanarak zorlamak için yeniden yapılandırın. Daha fazla bilgi için bkz . İşlem modları.

  4. Parola ilkesi devre dışı bırakıldı. Bu yapılandırma etkinse, Microsoft Entra Parola Koruması portalını kullanarak etkinleştirecek şekilde yeniden yapılandırın. Daha fazla bilgi için bkz . İşlem modları.

  5. DC aracı yazılımını etki alanındaki tüm etki alanı denetleyicilerine yüklemediniz. Bu durumda, parola değiştirme işlemi sırasında uzak Windows istemcilerinin belirli bir etki alanı denetleyicisini hedeflediğinden emin olmak zordur. DC aracı yazılımının yüklü olduğu belirli bir DC'yi başarıyla hedeflediğinize karar verirseniz, DC aracısı yönetici olay günlüğünü iki kez denetleyerek bunu doğrulayabilirsiniz: sonuçtan bağımsız olarak, parola doğrulamanın sonucunu belgeleyen en az bir olay olacaktır. Parolası değiştirilen kullanıcı için olay yoksa, parola değişikliği büyük olasılıkla farklı bir etki alanı denetleyicisi tarafından işlenmiştir.

    Alternatif bir test olarak, DOĞRUDAN DC aracı yazılımının yüklü olduğu bir DC'de oturum açmışken parolaları ayarlamayı\değiştirmeyi deneyin. Bu teknik, üretim Active Directory etki alanları için önerilmez.

    DC aracı yazılımının artımlı dağıtımı bu sınırlamalara tabi olarak desteklense de, Microsoft dc aracı yazılımının bir etki alanındaki tüm etki alanı denetleyicilerine en kısa sürede yüklenmesini kesinlikle önerir.

  6. Parola doğrulama algoritması aslında beklendiği gibi çalışıyor olabilir. Bkz . Parolalar nasıl değerlendirilir?

Ntdsutil.exe zayıf bir DSRM parolası ayarlayamaz

Active Directory, etki alanının parola karmaşıklık gereksinimlerini karşıladığından emin olmak için her zaman yeni bir Dizin Hizmetleri Onarım Modu parolasını doğrular; Bu doğrulama, Microsoft Entra Password Protection gibi parola filtresi dll'lerini de çağırır. Yeni DSRM parolası reddedilirse aşağıdaki hata iletisi sonuçlanır:

C:\>ntdsutil.exe
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server null
Please type password for DS Restore Mode Administrator Account: ********
Please confirm new password: ********
Setting password failed.
        WIN32 Error Code: 0xa91
        Error Message: Password doesn't meet the requirements of the filter dll's

Microsoft Entra Password Protection bir Active Directory DSRM parolası için parola doğrulama olay günlüğü olay günlüğü olaylarını günlüğe kaydederken, olay günlüğü iletilerinin kullanıcı adı içermemesi beklenir. Bu davranış, DSRM hesabının gerçek Active Directory etki alanının parçası olmayan bir yerel hesap olması nedeniyle oluşur.

Etki alanı denetleyicisi çoğaltma yükseltmesi zayıf bir DSRM parolası nedeniyle başarısız oluyor

DC yükseltme işlemi sırasında, yeni Dizin Hizmetleri Onarım Modu parolası doğrulama için etki alanındaki mevcut bir DC'ye gönderilir. Yeni DSRM parolası reddedilirse aşağıdaki hata iletisi sonuçlanır:

Install-ADDSDomainController : Verification of prerequisites for Domain Controller promotion failed. The Directory Services Restore Mode password does not meet a requirement of the password filter(s). Supply a suitable password.

Yukarıdaki sorunda olduğu gibi, tüm Microsoft Entra Parola Koruması parola doğrulama sonuç olaylarında da bu senaryo için boş kullanıcı adları olacaktır.

Etki alanı denetleyicisi indirgeme işlemi zayıf bir yerel Yönetici istrator parolası nedeniyle başarısız oluyor

DC aracı yazılımını çalıştıran bir etki alanı denetleyicisini indirgemek için desteklenir. ancak Yönetici istrator'lar dc aracı yazılımının indirgeme yordamı sırasında geçerli parola ilkesini zorlamaya devam ettiğinin farkında olmalıdır. Yeni yerel Yönetici istrator hesabı parolası (indirgeme işleminin bir parçası olarak belirtilir) diğer tüm parolalar gibi doğrulanır. Microsoft, dc indirgeme yordamının bir parçası olarak yerel Yönetici istrator hesapları için güvenli parolaların seçilmesini önerir.

İndirgeme başarılı olduktan ve etki alanı denetleyicisi yeniden başlatıldıktan ve yeniden normal üye sunucu olarak çalıştığında DC aracısı yazılımı pasif modda çalışmaya geri döner. Daha sonra herhangi bir zamanda kaldırılabilir.

Dizin Hizmetleri Onarım Modunda Önyükleme

Etki alanı denetleyicisi Dizin Hizmetleri Onarım Modu'nda önyüklenirse, DC aracısı parola filtresi dll bu koşulu algılar ve etkin olan ilke yapılandırmasından bağımsız olarak tüm parola doğrulama veya zorlama etkinliklerinin devre dışı bırakılmasına neden olur. DC aracısı parola filtresi dll dosyası, Yönetici olay günlüğüne bir 10023 uyarı olayı kaydeder, örneğin:

The password filter dll is loaded but the machine appears to be a domain controller that has been booted into Directory Services Repair Mode. All password change and set requests will be automatically approved. No further messages will be logged until after the next reboot.

Genel önizleme DC aracı yazılımının süresi doldu

Microsoft Entra Password Protection genel önizleme süresi boyunca, DC aracı yazılımı aşağıdaki tarihlerde parola doğrulama isteklerini işlemeyi durdurmak için sabit kodlanmıştır:

  • Sürüm 1.2.65.0, 1 Eylül 2019'da parola doğrulama isteklerini işlemeyi durduracaktır.
  • Sürüm 1.2.25.0 ve önceki sürümler 1 Temmuz 2019'da parola doğrulama isteklerini işlemeyi durdurmuştur.

Son tarih yaklaştıkça, tüm zaman sınırlı DC aracısı sürümleri, önyükleme zamanında dc aracısında 10021 olayı Yönetici olay günlüğüne şöyle görünür:

The password filter dll has successfully loaded and initialized.

The allowable trial period is nearing expiration. Once the trial period has expired, the password filter dll will no longer process passwords. Please contact Microsoft for a newer supported version of the software.

Expiration date:  9/01/2019 0:00:00 AM

This message will not be repeated until the next reboot.

Son tarih geçtikten sonra, tüm zaman sınırlı DC aracısı sürümleri dc aracısında 10022 olayı Yönetici önyükleme zamanında şu şekilde görünür:

The password filter dll is loaded but the allowable trial period has expired. All password change and set requests will be automatically approved. Please contact Microsoft for a newer supported version of the software.

No further messages will be logged until after the next reboot.

Son tarih yalnızca ilk önyüklemede denetlendiğinden, takvim son tarihi geçene kadar bu olayları göremeyebilirsiniz. Son tarih tanındıktan sonra, tüm parolalar dışında etki alanı denetleyicisinde veya daha büyük bir ortamda herhangi bir olumsuz etki oluşmaz.

Önemli

Microsoft, süresi dolan genel önizleme DC aracılarının hemen en son sürüme yükseltilmesi önerilir.

Ortamınızda yükseltilmesi gereken DC aracılarını bulmanın kolay bir yolu cmdlet'ini Get-AzureADPasswordProtectionDCAgent çalıştırmaktır, örneğin:

PS C:\> Get-AzureADPasswordProtectionDCAgent

ServerFQDN            : bpl1.bpl.com
SoftwareVersion       : 1.2.125.0
Domain                : bpl.com
Forest                : bpl.com
PasswordPolicyDateUTC : 8/1/2019 9:18:05 PM
HeartbeatUTC          : 8/1/2019 10:00:00 PM
AzureTenant           : bpltest.onmicrosoft.com

Bu konu için, SoftwareVersion alanı açıkça bakılması gereken anahtar özelliktir. PowerShell filtrelemeyi, gerekli temel sürümde veya üzerinde olan DC aracılarını filtrelemek için de kullanabilirsiniz, örneğin:

PS C:\> $LatestAzureADPasswordProtectionVersion = "1.2.125.0"
PS C:\> Get-AzureADPasswordProtectionDCAgent | Where-Object {$_.SoftwareVersion -lt $LatestAzureADPasswordProtectionVersion}

Microsoft Entra Password Protection Proxy yazılımı herhangi bir sürümde zaman sınırlı değildir. Microsoft, hem DC hem de ara sunucu aracılarının yayımlandıkları anda en son sürümlere yükseltilmeleri önerilir. Get-AzureADPasswordProtectionProxy Cmdlet, DC aracıları için yukarıdaki örneğe benzer şekilde yükseltme gerektiren Proxy aracılarını bulmak için kullanılabilir.

Belirli yükseltme yordamları hakkında daha fazla bilgi için DC aracısını yükseltme ve Proxy hizmetini yükseltme konularına bakın.

Acil durum düzeltmesi

DC aracı hizmetinin sorunlara neden olduğu bir durum oluşursa, DC aracı hizmeti hemen kapatılabilir. DC aracısı parola filtresi dll'i hala çalışmayan hizmeti çağırmaya çalışır ve uyarı olaylarını günlüğe kaydeder (10012, 10013), ancak bu süre boyunca tüm gelen parolalar kabul edilir. Dc aracı hizmeti daha sonra, windows hizmet denetim yöneticisi aracılığıyla gerektiğinde "Devre dışı" başlangıç türüyle de yapılandırılabilir.

Başka bir düzeltme ölçüsü, Microsoft Entra Parola Koruması portalında Etkinleştirme modunu Hayır olarak ayarlamaktır. Güncelleştirilmiş ilke indirildikten sonra, her DC aracısı hizmeti tüm parolaların olduğu gibi kabul edildiği sessiz moda geçer. Daha fazla bilgi için bkz . İşlem modları.

Kaldırma

Microsoft Entra parola koruma yazılımını kaldırmaya ve etki alanları ve ormandaki tüm ilgili durumu temizlemeye karar verirseniz, bu görev aşağıdaki adımlar kullanılarak gerçekleştirilebilir:

Önemli

Bu adımları sırayla gerçekleştirmek önemlidir. Proxy hizmetinin herhangi bir örneği çalıştırılırsa, hizmet Bağlan ionPoint nesnesini düzenli aralıklarla yeniden oluşturur. DC aracı hizmetinin herhangi bir örneği çalışır durumda bırakılırsa, hizmet Bağlan ionPoint nesnesi ve sysvol durumu düzenli aralıklarla yeniden oluşturulur.

  1. Proxy yazılımını tüm makinelerden kaldırın. Bu adım yeniden başlatma gerektirmez.

  2. DC Aracısı yazılımını tüm etki alanı denetleyicilerinden kaldırın. Bu adım yeniden başlatma gerektirir .

  3. Her etki alanı adlandırma bağlamındaki tüm Proxy hizmeti bağlantı noktalarını el ile kaldırın. Bu nesnelerin konumu aşağıdaki Active Directory PowerShell komutuyla bulunabilir:

    $scp = "serviceConnectionPoint"
$keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    $keywords değişken değerinin sonundaki yıldız ("*") değerini atmayın.

    Daha sonra komut aracılığıyla bulunan sonuçta elde Get-ADObject edilen nesneler öğesine kanal Remove-ADObjectyapılabilir veya el ile silinebilir.

  4. Her etki alanı adlandırma bağlamındaki tüm DC aracısı bağlantı noktalarını el ile kaldırın. Yazılımın ne kadar geniş bir alana dağıtıldığına bağlı olarak ormanda etki alanı denetleyicisi başına bu nesnelerden biri olabilir. Bu nesnenin konumu aşağıdaki Active Directory PowerShell komutuyla bulunabilir:

    $scp = "serviceConnectionPoint"
$keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    Daha sonra komut aracılığıyla bulunan sonuçta elde Get-ADObject edilen nesneler öğesine kanal Remove-ADObjectyapılabilir veya el ile silinebilir.

    $keywords değişken değerinin sonundaki yıldız ("*") değerini atmayın.

  5. Orman düzeyi yapılandırma durumunu el ile kaldırın. Orman yapılandırma durumu, Active Directory yapılandırma adlandırma bağlamındaki bir kapsayıcıda tutulur. Aşağıdaki gibi bulunabilir ve silinebilir:

    $passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
Remove-ADObject -Recursive $passwordProtectionConfigContainer

  6. Aşağıdaki klasörü ve tüm içeriğini el ile silerek sysvol ile ilgili tüm durumu el ile kaldırın:

    \\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtection

    Gerekirse, bu yola belirli bir etki alanı denetleyicisinde yerel olarak da erişilebilir; varsayılan konum aşağıdaki yola benzer olacaktır:

    %windir%\sysvol\domain\Policies\AzureADPasswordProtection

    Sysvol paylaşımı varsayılan olmayan bir konumda yapılandırılmışsa bu yol farklıdır.

PowerShell cmdlet'leri ile sistem durumu testi

AzureADPasswordProtection PowerShell modülü, yazılımın yüklü olduğunu ve çalıştığını gösteren temel doğrulamayı gerçekleştiren sistem durumuyla ilgili iki cmdlet içerir. Yeni bir dağıtım ayarladıktan sonra, düzenli aralıklarla ve bir sorun araştırılırken bu cmdlet'leri çalıştırmak iyi bir fikirdir.

Her sistem durumu testi temel bir Başarılı veya Başarısız sonucunun yanı sıra hatayla ilgili isteğe bağlı bir ileti döndürür. Bir hatanın nedeninin net olmadığı durumlarda, hatayı açıklayacak hata olay günlüğü iletilerini arayın. Metin günlüğü iletilerini etkinleştirmek de yararlı olabilir. Daha fazla ayrıntı için bkz . Microsoft Entra Password Protection'ı izleme.

Ara sunucu sistem durumu testi

Test-AzureADPasswordProtectionProxyHealth cmdlet'i ayrı ayrı çalıştırılabilir iki sistem durumu testini destekler. Üçüncü mod, parametre girişi gerektirmeyen tüm testlerin çalıştırılmasını sağlar.

Ara sunucu kaydı doğrulaması

Bu test, Ara Sunucu aracısının Azure'a düzgün şekilde kaydedildiğini ve Azure'da kimlik doğrulaması gerçekleştirdiğini doğrular. Başarılı bir çalıştırma şöyle görünür:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Passed

Bir hata algılanırsa, test başarısız bir sonuç ve isteğe bağlı bir hata iletisi döndürür. Olası bir hata örneği aşağıda verilmiştir:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Failed No proxy certificates were found - please run the Register-AzureADPasswordProtectionProxy cmdlet to register the proxy.

Uçtan uca Azure bağlantısının ara sunucu doğrulaması

Bu test, -VerifyProxyRegistration testinin bir üst kümesidir. Proxy aracısının Azure'a düzgün bir şekilde kaydedilmesini, Azure'da kimlik doğrulaması yapabilmesini gerektirir ve son olarak uçtan uca iletişimin çalıştığını doğrulayarak Azure'a başarıyla ileti gönderilebildiğine ilişkin bir denetim ekler.

Başarılı bir çalıştırma şöyle görünür:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyAzureConnectivity

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyAzureConnectivity Passed

Tüm testlerin ara sunucu doğrulaması

Bu mod, parametre girişi gerektirmeyen cmdlet tarafından desteklenen tüm testlerin toplu çalıştırılmasına olanak tanır. Başarılı bir çalıştırma şöyle görünür:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -TestAll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyTLSConfiguration  Passed
VerifyProxyRegistration Passed
VerifyAzureConnectivity Passed

DC Aracısı sistem durumu testi

Test-AzureADPasswordProtectionDCAgentHealth cmdlet'i tek tek çalıştırılabilen çeşitli sistem durumu testlerini destekler. Üçüncü mod, parametre girişi gerektirmeyen tüm testlerin çalıştırılmasını sağlar.

Temel DC aracısı sistem durumu testleri

Aşağıdaki testlerin tümü ayrı ayrı çalıştırılabilir ve parametreleri kabul etmemektedir. Her testin kısa bir açıklaması aşağıdaki tabloda listelenmiştir.

DC aracısı sistem durumu testi Açıklama
-VerifyPasswordFilterDll Parola filtresi dll dosyasının yüklü olduğunu ve DC aracı hizmetini çağırabildiğinden emin olur
-VerifyForestRegistration Ormanın şu anda kayıtlı olduğunu doğrular
-VerifyEncryptionDecryption Microsoft KDS hizmetini kullanarak temel şifreleme ve şifre çözmenin çalıştığını doğrular
-VerifyDomainIsUsingDFSR Geçerli etki alanının sysvol çoğaltması için DFSR kullandığını doğrular
-VerifyAzure Bağlan ivity Kullanılabilir herhangi bir ara sunucuyu kullanarak Azure ile uçtan uca iletişimin çalıştığını doğrular

Burada -VerifyPasswordFilterDll test geçişi örneği verilmiştir; diğer testler başarılı olduğunda benzer görünür:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyPasswordFilterDll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyPasswordFilterDll Passed

Tüm testlerin DC aracı doğrulaması

Bu mod, parametre girişi gerektirmeyen cmdlet tarafından desteklenen tüm testlerin toplu çalıştırılmasına olanak tanır. Başarılı bir çalıştırma şöyle görünür:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -TestAll

DiagnosticName             Result AdditionalInfo
--------------             ------ --------------
VerifyPasswordFilterDll    Passed
VerifyForestRegistration   Passed
VerifyEncryptionDecryption Passed
VerifyDomainIsUsingDFSR    Passed
VerifyAzureConnectivity    Passed

Belirli ara sunucuları kullanarak Bağlan üretkenlik testi

Sorun giderme durumlarının çoğu DC aracıları ve ara sunucuları arasındaki ağ bağlantısını araştırmayı içerir. Özellikle bu tür sorunlara odaklanmak için kullanılabilecek iki sistem durumu testi vardır. Bu testler için belirli bir ara sunucunun belirtilmesi gerekir.

DC aracısı ile belirli bir ara sunucu arasındaki bağlantıyı doğrulama

Bu test, DC aracısından ara sunucuya ilk iletişim ayağı üzerinden bağlantıyı doğrular. Ara sunucusunun çağrıyı aldığını doğrular, ancak Azure ile hiçbir iletişim söz konusu değildir. Başarılı bir çalıştırma şuna benzer:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Passed

Aşağıda, hedef sunucuda çalışan proxy hizmetinin durdurulduğu örnek bir hata koşulu verilmiştir:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Failed The RPC endpoint mapper on the specified proxy returned no results; please check that the proxy service is running on that server.

DC aracısı ile Azure arasındaki bağlantıyı doğrulama (belirli bir ara sunucuyu kullanarak)

Bu test, belirli bir ara sunucuyu kullanarak DC aracısı ile Azure arasındaki tam uçtan uca bağlantıyı doğrular. Başarılı bir çalıştırma şuna benzer:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyAzureConnectivityViaSpecificProxy bpl2.bpl.com

DiagnosticName                          Result AdditionalInfo
--------------                          ------ --------------
VerifyAzureConnectivityViaSpecificProxy Passed

Sonraki adımlar

Microsoft Entra Parola Koruması hakkında sık sorulan sorular

Genel ve özel yasaklanmış parola listeleri hakkında daha fazla bilgi için Hatalı parolaları yasaklama makalesine bakın