針對 Microsoft Entra 識別碼中的自助式密碼重設回寫進行疑難解答
Microsoft Entra 自助式密碼重設 (SSPR) 可讓使用者在雲端重設其密碼。 密碼回寫是 Microsoft Entra 連線 或雲端同步啟用的功能,可讓雲端中的密碼變更即時回寫至現有的內部部署目錄。
如果您在 SSPR 回寫時遇到問題,下列疑難解答步驟和常見錯誤可能會有所説明。 如果您找不到問題的解答, 我們的支援小組一律可供 進一步協助您。
針對連線問題進行疑難排解
如果您有 Microsoft Entra 連線 的密碼回寫問題,請檢閱下列步驟,以協助解決問題。 若要復原您的服務,建議您依照下列步驟依序執行:
確認網路連線能力
最常見的失敗點是防火牆或 Proxy 埠或閑置逾時設定不正確。
針對 Microsoft Entra 連線 1.1.443.0 版和更新版本,需要對下列位址進行輸出 HTTPS 存取:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
適用於美國政府端點的 Azure:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Azure China 21Vianet 端點:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
如果您需要更多粒度,請參閱 適用於公用雲端的 Microsoft Azure IP 範圍和服務標籤清單。
如需適用於美國政府的 Azure,請參閱 適用於美國政府雲端的 Azure Microsoft Azure IP 範圍和服務標籤清單。
這些檔案會每周更新。
若要判斷 URL 和埠的存取是否受限於公用 Azure 雲端等環境中,請執行下列 Cmdlet:
Test-NetConnection -ComputerName ssprdedicatedsbprodscu.servicebus.windows.net -Port 443
或執行下列命令:
Invoke-WebRequest -Uri https://ssprdedicatedsbprodscu.servicebus.windows.net -Verbose
如需詳細資訊,請參閱 Microsoft Entra 連線 的連線必要條件。
重新啟動 Microsoft Entra 連線 Sync 服務
若要解決服務連線問題或其他暫時性問題,請完成下列步驟以重新啟動 Microsoft Entra 連線 Sync 服務:
身為執行 Microsoft Entra 連線 之伺服器上的系統管理員,選取 [啟動]。
在搜尋欄位中輸入 services.msc ,然後選取 Enter。
尋找 Azure AD 同步 專案。
以滑鼠右鍵按兩下服務項目,選取 [ 重新啟動],然後等待作業完成。
這些步驟會重新建立與 Microsoft Entra ID 的連線,並應解決您的連線問題。
如果重新啟動 Microsoft Entra 連線 Sync 服務無法解決問題,請嘗試停用,然後在下一節重新啟用密碼回寫功能。
停用並重新啟用密碼回寫功能
若要繼續針對問題進行疑難解答,請完成下列步驟來停用,然後重新啟用密碼回寫功能:
- 身為執行 Microsoft Entra 連線 之伺服器上的系統管理員,開啟 [Microsoft Entra 連線 組態精靈]。
- 在 [連線 至 Microsoft Entra 標識符] 中,輸入您的 Microsoft Entra Global 管理員 istrator 認證。
- 在 連線 AD DS 中,輸入您的 內部部署的 Active Directory Domain Services 系統管理員認證。
- 在 [ 唯一識別您的使用者] 中,選取 [ 下一步] 按鈕。
- 在 [選用功能] 中,清除 [ 密碼回 寫] 複選框。
- 選取 [下一步 ] 到其餘對話框頁面,而不需要變更任何專案,直到您進入 [準備設定 ] 頁面為止。
- 檢查 [ 準備設定] 頁面 是否顯示為 [密碼回 寫] 選項已 停用。 選取綠色 的 [設定 ] 按鈕來認可您的變更。
- 在 [完成] 中,清除 [ 立即 同步處理] 選項,然後選取 [ 完成 ] 以關閉精靈。
- 重新開啟 Microsoft Entra 連線 組態精靈。
- 重複步驟 2-8,這次選取 [選擇性功能] 頁面上的 [密碼回寫] 選項以重新啟用服務。
這些步驟會重新建立與 Microsoft Entra ID 的連線,並應解決您的連線問題。
如果停用然後重新啟用密碼回寫功能無法解決問題,請在下一節重新安裝 Microsoft Entra 連線。
安裝最新的 Microsoft Entra 連線 版本
重新安裝 Microsoft Entra 連線 可以解決 Microsoft Entra 識別碼與本機 Active Directory 網域服務 環境之間的設定和連線問題。 建議您只在嘗試先前的步驟驗證並疑難解答連線能力之後,才執行此步驟。
警告
如果您已自定義現成的同步處理規則, 請先備份,再繼續進行升級,然後在完成之後手動重新部署規則。
從 Microsoft 下載中心下載最新版本的 Microsoft Entra 連線。
當您已安裝 Microsoft Entra 連線 時,請執行就地升級,將 Microsoft Entra 連線 安裝更新為最新版本。
執行下載的套件,並遵循螢幕上的指示來更新 Microsoft Entra 連線。
這些步驟應重新建立與 Microsoft Entra ID 的連線,並解決您的連線問題。
如果安裝最新版本的 Microsoft Entra 連線 伺服器無法解決問題,請嘗試停用,然後在安裝最新版本之後重新啟用密碼回寫作為最後一個步驟。
確認 Microsoft Entra 連線 具有必要的許可權
Microsoft Entra 連線 需要 AD DS 重設密碼許可權才能執行密碼回寫。 若要檢查 Microsoft Entra 連線 是否具有指定內部部署 AD DS 使用者帳戶的必要許可權,請使用 Windows 有效許可權功能:
選取 [啟動同步處理服務],以登入 Microsoft Entra 連線 伺服器,然後啟動 >Synchronization Service Manager。
在 [連線 ors] 索引標籤底下,選取內部部署 Active Directory 網域服務 連接器,然後選取 [屬性]。
在彈出視窗中,選取 [連線 至 Active Directory 樹系],並記下 [用戶名稱] 屬性。 此屬性是 Microsoft Entra 用來執行目錄同步處理的 AD DS 帳戶 連線。
若要讓 Microsoft Entra 連線 執行密碼回寫,AD DS 帳戶必須具有重設密碼許可權。 您可以在下列步驟中檢查此使用者帳戶的許可權。
登入內部部署域控制器並啟動 Active Directory 使用者和電腦 應用程式。
選取 [ 檢視 ],並確定 [進階功能] 選項已啟用。
尋找您想要驗證的 AD DS 用戶帳戶。 以滑鼠右鍵單擊帳戶名稱,然後選取 [ 屬性]。
在彈出視窗中,移至 [安全性] 索引標籤,然後選取 [ 進階]。
在 管理員 istrator 彈出視窗的進階安全性 設定 中,移至 [有效存取] 索引標籤。
選擇 [選取使用者],選取 Microsoft Entra 連線 所使用的 AD DS 帳戶,然後選取 [檢視有效存取]。
向下捲動並尋找 [ 重設密碼]。 如果專案具有複選標記,AD DS 帳戶有權重設所選 Active Directory 使用者帳戶的密碼。
常見的密碼回寫錯誤
密碼回寫可能會發生下列更具體的問題。 如果您有其中一個錯誤,請檢閱建議的解決方案,並檢查密碼回寫是否正常運作。
| 錯誤 | 解決方法 |
|---|---|
| 密碼重設服務不會啟動內部部署。 錯誤 6800 會出現在 Microsoft Entra 連線 電腦的應用程式事件記錄檔中。 上線之後,同盟、傳遞驗證或密碼哈希同步處理的用戶無法重設其密碼。 |
啟用密碼回寫時,同步處理引擎會呼叫回寫連結庫,以透過與雲端上線服務通訊來執行設定(上線)。 上線期間或啟動 Windows Communication Foundation (WCF) 端點以進行密碼回寫時發生的任何錯誤,都會導致 Microsoft Entra 連線 電腦上的事件記錄檔發生錯誤。 在重新啟動 Azure AD 同步 (ADSync) 服務期間,如果已設定回寫,WCF 端點就會啟動。 但是,如果端點啟動失敗,我們會記錄事件 6800,並讓同步服務啟動。 此事件的存在表示密碼回寫端點未啟動。 此事件 6800 的事件記錄檔詳細數據,以及 PasswordResetService 元件所產生的事件記錄檔專案,指出您為何無法啟動端點。 檢閱這些事件記錄檔錯誤,並在密碼回寫仍然無法運作時,嘗試重新啟動 Microsoft Entra 連線。 如果問題持續發生,請嘗試停用然後重新啟用密碼回寫。 |
| 當使用者嘗試重設密碼或解除鎖定已啟用密碼回寫的帳戶時,作業會失敗。 此外,您會在 Microsoft Entra 連線 事件記錄檔中看到事件,其中包含:「同步處理引擎傳回錯誤 hr=800700CE,訊息=檔名或擴展名太長」,在解除鎖定作業發生之後。 |
尋找 Microsoft Entra 的 Active Directory 帳戶 連線 並重設密碼,使其包含不超過 256 個字元。 接下來,從 [開始] 功能表開啟同步處理服務。 流覽至 連線 器,並尋找 Active Directory 連線 or。 選取它,然後選取 [ 屬性]。 流覽至 [ 認證] 頁面,然後輸入新的密碼。 選取 [ 確定 ] 以關閉頁面。 |
| 在 Microsoft Entra 連線 安裝程式的最後一個步驟中,您會看到錯誤,指出無法設定密碼回寫。 Microsoft Entra 連線 應用程式事件記錄檔包含錯誤 32009,其中包含「取得驗證令牌時發生錯誤」文字。 |
此錯誤會在下列兩種情況下發生:
|
| Microsoft Entra 連線 計算機事件記錄檔包含執行 PasswordResetService 所擲回的錯誤 32002。 錯誤會讀取:「錯誤 連線 至 ServiceBus。 令牌提供者無法提供安全性令牌。 |
您的內部部署環境無法連線到雲端中的 Azure 服務匯流排 端點。 此錯誤通常是由防火牆規則封鎖特定埠或網址的輸出連線所造成。 如需詳細資訊,請參閱 連線ivity必要條件。 更新這些規則之後,請重新啟動 Microsoft Entra 連線 伺服器,密碼回寫應該會重新開始運作。 |
| 工作一段時間之後,同盟、傳遞驗證或密碼哈希同步處理的用戶無法重設其密碼。 | 在某些情況下,當 Microsoft Entra 連線 重新啟動時,密碼回寫服務可能無法重新啟動。 在這些情況下,請先檢查內部部署是否啟用密碼回寫。 您可以使用 Microsoft Entra 連線 精靈或 PowerShell 來檢查。 如果功能似乎已啟用,請嘗試再次啟用或停用該功能。 如果此疑難解答步驟無法運作,請嘗試完整卸載並重新安裝 Microsoft Entra 連線。 |
| 同盟、傳遞驗證或密碼哈希同步處理的用戶嘗試重設其密碼後,會在嘗試提交密碼後看到錯誤。 錯誤表示發生服務問題。 除了此問題之外,在密碼重設作業期間,您可能會看到管理代理程式在內部部署事件記錄檔中遭到拒絕存取的錯誤。 |
如果您在事件記錄檔中看到這些錯誤,請確認在設定時在精靈中指定的 Active Directory 管理代理程式 (ADMA) 帳戶具有密碼回寫的必要許可權。 授與此許可權之後,最多可能需要一個小時的許可權,才能透過 sdprop 域控制器 (DC) 上的背景工作向下傳遞。 若要讓密碼重設能夠運作,許可權必須在重設密碼之用戶物件的安全性描述元上加上戳記。 在使用者對象上顯示此許可權之前,密碼重設會繼續失敗,並出現拒絕存取的訊息。 |
| 嘗試重設密碼的同盟、傳遞驗證或密碼哈希同步處理的使用者,在提交密碼之後看到錯誤。 錯誤表示發生服務問題。 除了此問題之外,在密碼重設作業期間,您可能會在 Microsoft Entra 連線 服務的事件記錄檔中看到錯誤,指出「找不到物件」錯誤。 |
此錯誤通常表示同步處理引擎在 Microsoft Entra 連接器空間或連結的 Metaverse (MV) 或 Microsoft Entra 連接器空間物件中找不到用戶物件。 若要針對此問題進行疑難解答,請確定用戶確實透過 Microsoft Entra 的目前實例,從內部部署同步處理至 Microsoft Entra 標識符 連線,並檢查連接器空間和 MV 中對象的狀態。 確認 Active Directory 憑證服務 (AD CS) 物件已透過「Microsoft.InfromADUserAccountEnabled.xxx」規則連接到MV物件。 |
| 同盟、傳遞驗證或密碼哈希同步處理的用戶嘗試重設其密碼,會在提交密碼後看到錯誤。 錯誤表示發生服務問題。 除了此問題之外,在密碼重設作業期間,您可能會在 Microsoft Entra 連線 服務的事件記錄中看到錯誤,指出發現「多個相符專案」錯誤。 |
這表示同步處理引擎偵測到MV對像是透過 「Microsoft.InfromADUserAccountEnabled.xxx」 連接到多個 AD CS 物件。 這表示使用者在多個樹系中已啟用帳戶。 密碼回寫不支援此案例。 |
| 密碼作業失敗,並出現設定錯誤。 應用程式事件記錄檔包含 Microsoft Entra 連線 錯誤 6329,其文字為「0x8023061f」(作業失敗,因為此管理代理程式未啟用密碼同步處理)。 | 如果 Microsoft Entra 連線 組態變更為在啟用密碼回寫功能之後新增 Active Directory 樹系(或移除和讀取現有樹系),就會發生此錯誤。 這些最近新增樹系中用戶的密碼作業失敗。 若要修正此問題,請在樹系組態變更完成之後,停用並重新啟用密碼回寫功能。 |
| SSPR_0029:由於內部部署設定發生錯誤,我們無法重設密碼。 請連絡您的系統管理員,並要求他們進行調查。 | 問題:密碼回寫已遵循所有必要的步驟啟用,但在嘗試變更密碼時,您會收到「SSPR_0029:您的組織尚未正確設定密碼重設的內部部署設定」。檢查 Microsoft Entra 連線 系統上的事件記錄顯示管理代理程式認證遭到拒絕存取。可能的解決方案:在 Microsoft Entra 連線 系統上使用 RSOP,以及您的域控制器,以查看是否已啟用電腦設定 Windows 設定 安全性 設定 >> 本機原則>安全性選項底下>找到的原則「網路存取:限制允許對 SAM 進行遠端呼叫」的原則。 編輯原則,以將MSOL_XXXXXXX管理帳戶納入為允許的使用者。 如需詳細資訊,請參閱 針對錯誤SSPR_0029進行疑難解答:您的組織尚未正確設定密碼重設的內部部署設定。 |
密碼回寫事件記錄檔錯誤碼
針對密碼回寫問題進行疑難解答的最佳做法是在 Microsoft Entra 連線 電腦上檢查應用程式事件記錄檔。 此事件記錄檔包含來自兩個來源的事件以進行密碼回寫。 PasswordResetService 來源描述密碼回寫作業的作業和問題。 ADSync 來源描述在 Active Directory 網域服務 環境中設定密碼的作業和問題。
如果事件的來源是 ADSync
| 代碼 | 名稱或訊息 | 描述 |
|---|---|---|
| 6329 | BAIL:MMS(4924) 0x80230619:“限制可防止密碼變更為目前指定的密碼。 | 當密碼回寫服務嘗試在不符合網域密碼存留期、歷程記錄、複雜度或篩選需求的本機目錄上設定密碼時,就會發生此事件。 如果您有最低密碼存留期,且最近在該時段內變更密碼,您就無法再次變更密碼,直到它到達網域中的指定存留期為止。 為了進行測試,最低年齡應設定為 0。 如果您已啟用密碼歷程記錄需求,則必須選取過去 N 次未使用的密碼,其中 N 是密碼歷程記錄設定。 如果您選取過去 N 次已使用的密碼,則在此情況下會看到失敗。 為了進行測試,密碼歷程記錄應設定為0。 如果您有密碼複雜性需求,當使用者嘗試變更或重設密碼時,會強制執行所有密碼。 如果您已啟用密碼篩選,且用戶選取的密碼不符合篩選準則,則重設或變更作業會失敗。 |
| 6329 | MMS(3040): admaexport.cpp(2837): 伺服器不包含LDAP密碼原則控制。 | 如果未在DC上啟用LDAP_SERVER_POLICY_HINTS_OID控件(1.2.840.113556.1.4.2066),就會發生此問題。 若要使用密碼回寫功能,您必須啟用 控制項。 若要這樣做,DC 必須位於 Windows Server 2016 或更新版本。 |
| HR 8023042 | 同步處理引擎傳回錯誤 hr=80230402,message=An 嘗試取得對象失敗,因為有重複的專案與相同的錨點。 | 當多個網域中啟用相同的使用者標識碼時,就會發生此錯誤。 例如,如果您要同步處理帳戶和資源樹系,而且每個樹系中都有相同的使用者標識元並啟用。 如果您使用非唯一錨點屬性,例如別名或 UPN,以及兩個用戶共用相同的錨點屬性,也可能會發生此錯誤。 若要解決此問題,請確定您的網域內沒有任何重複的使用者,而且您針對每個使用者都使用唯一的錨點屬性。 |
如果事件的來源是 PasswordResetService
| 代碼 | 名稱或訊息 | 描述 |
|---|---|---|
| 31001 | PasswordResetStart | 此事件表示內部部署服務偵測到來自雲端的同盟、傳遞驗證或密碼哈希同步處理用戶的密碼重設要求。 此事件是每個密碼重設回寫作業中的第一個事件。 |
| 31002 | PasswordResetSuccess | 此事件表示使用者在密碼重設作業期間選取了新的密碼。 我們判斷此密碼符合公司密碼需求。 密碼已成功寫回本機 Active Directory 環境。 |
| 31003 | PasswordResetFail | 此事件表示使用者已選取密碼,且密碼已順利抵達內部部署環境。 但是,當我們嘗試在本機 Active Directory 環境中設定密碼時,就會發生失敗。 此失敗可能會因為數個原因而發生:
|
| 31004 | OnboardingEventStart | 如果您使用 Microsoft Entra 連線 啟用密碼回寫,且我們已開始將組織上線至密碼回寫 Web 服務,就會發生此事件。 |
| 31005 | OnboardingEventSuccess | 此事件表示上線程式成功,且密碼回寫功能已可供使用。 |
| 31006 | ChangePasswordStart | 此事件表示內部部署服務偵測到來自雲端的同盟、傳遞驗證或密碼哈希同步處理使用者的密碼變更要求。 此事件是每個密碼變更回寫作業中的第一個事件。 |
| 31007 | ChangePasswordSuccess | 此事件表示使用者在密碼變更作業期間選取了新密碼,我們判斷密碼符合公司密碼需求,而且密碼已成功寫回本機 Active Directory 環境。 |
| 31008 | ChangePasswordFail | 此事件表示使用者已選取密碼,且密碼已成功抵達內部部署環境,但當我們嘗試在本機 Active Directory 環境中設定密碼時,就會發生失敗。 此失敗可能會因為數個原因而發生:
|
| 31009 | ResetUserPasswordBy 管理員 Start | 內部部署服務偵測到來自使用者之系統管理員的同盟、傳遞驗證或密碼哈希同步處理用戶的密碼重設要求。 此事件是系統管理員起始的每個密碼重設回寫作業中的第一個事件。 |
| 31010 | ResetUserPasswordBy 管理員 Success | 系統管理員在系統管理員起始的密碼重設作業期間選取了新的密碼。 我們判斷此密碼符合公司密碼需求。 密碼已成功寫回本機 Active Directory 環境。 |
| 31011 | ResetUserPasswordBy 管理員 Fail | 系統管理員代表用戶選取密碼。 密碼已成功抵達內部部署環境。 但是,當我們嘗試在本機 Active Directory 環境中設定密碼時,就會發生失敗。 此失敗可能會因為數個原因而發生:
|
| 31012 | OffboardingEventStart | 如果您使用 Microsoft Entra 連線 停用密碼回寫,並指出我們已開始將組織下架到密碼回寫 Web 服務,就會發生此事件。 |
| 31013 | OffboardingEventSuccess | 此事件表示離線程式成功,且已成功停用密碼回寫功能。 |
| 31014 | OffboardingEventFail | 此事件表示下線程式未成功。 這可能是因為設定期間指定的雲端或內部部署系統管理員帳戶的許可權錯誤所造成。 如果您在停用密碼回寫時嘗試使用同盟雲端全域管理員,也可能會發生此錯誤。 若要修正此問題,請檢查您的系統管理許可權,並確定您在設定密碼回寫功能時未使用同盟帳戶。 |
| 31015 | WriteBackServiceStarted | 此事件表示密碼回寫服務已成功啟動。 它已準備好接受來自雲端的密碼管理要求。 |
| 31016 | WriteBackServiceStopped | 此事件表示密碼回寫服務已停止。 來自雲端的任何密碼管理要求都不會成功。 |
| 31017 | AuthTokenSuccess | 此事件表示我們已成功擷取 Microsoft Entra 連線 安裝程式期間指定之 Global 管理員 istrator 的授權令牌,以啟動下線或上線程式。 |
| 31018 | KeyPairCreationSuccess | 此事件表示我們已成功建立密碼加密金鑰。 此金鑰用來加密要傳送至內部部署環境之雲端的密碼。 |
| 31019 | ServiceBusHeartBeat | 此事件表示我們已成功將要求傳送至租使用者的 服務匯流排 實例。 |
| 31034 | ServiceBusListenerError | 此事件表示連線到租使用者的 服務匯流排 接聽程式時發生錯誤。 如果錯誤訊息包含「遠端憑證無效」,請檢查以確定您的 Microsoft Entra 連線 伺服器具有所有必要的根 CA,如 Azure TLS 憑證變更中所述。 |
| 31044 | PasswordResetService | 此事件表示密碼回寫無法運作。 服務匯流排 會接聽兩個不同的轉送要求,以取得備援。 每個轉寄連線都是由唯一的服務主機所管理。 如果任一個服務主機未執行,回寫用戶端會傳回錯誤。 |
| 32000 | UnknownError | 此事件表示密碼管理作業期間發生未知的錯誤。 如需詳細資訊,請查看 事件中的例外狀況文字。 如果您遇到問題,請嘗試停用,然後重新啟用密碼回寫。 如果這無濟於事,請包含事件記錄檔的複本,以及開啟支援要求時指定的追蹤標識符。 |
| 32001 | ServiceError | 此事件表示連線到雲端密碼重設服務時發生錯誤。 當內部部署服務無法連線到密碼重設 Web 服務時,通常會發生此錯誤。 |
| 32002 | ServiceBusError | 此事件指出連線到租使用者 服務匯流排 實例時發生錯誤。 如果您在內部部署環境中封鎖輸出連線,就可能發生此情況。 請檢查防火牆,確定您允許透過 TCP 443 和 連線至 https://ssprdedicatedsbprodncu.servicebus.windows.net,然後再試一次。 如果您仍然遇到問題,請嘗試停用,然後重新啟用密碼回寫。 |
| 32003 | InPutValidationError | 此事件表示傳遞至 Web 服務 API 的輸入無效。 請重試一次此作業。 |
| 32004 | DecryptionError | 此事件表示解密從雲端抵達的密碼時發生錯誤。 這可能是因為雲端服務和內部部署環境之間的解密密鑰不符所致。 若要解決此問題,請在內部部署環境中停用並重新啟用密碼回寫。 |
| 32005 | ConfigurationError | 在上架期間,我們會將租使用者特定資訊儲存在內部部署環境中的組態檔中。 此事件表示儲存此檔案時發生錯誤,或服務啟動時發生錯誤,讀取檔案時發生錯誤。 若要修正此問題,請嘗試停用再重新啟用密碼回寫,以強制重寫組態檔。 |
| 32007 | OnBoardingConfigUpdateError | 在上架期間,我們會將數據從雲端傳送至內部部署密碼重設服務。 然後,該數據會寫入記憶體內部檔案,再傳送至同步處理服務,以安全地儲存在磁碟上。 此事件表示在記憶體中寫入或更新該數據時發生問題。 若要修正此問題,請嘗試停用再重新啟用密碼回寫,以強制重寫此組態檔。 |
| 32008 | ValidationError | 此事件表示我們從密碼重設 Web 服務收到無效的回應。 若要修正此問題,請嘗試停用再重新啟用密碼回寫。 |
| 32009 | AuthTokenError | 此事件表示我們無法取得 Microsoft Entra 連線 安裝期間所指定全域系統管理員帳戶的授權令牌。 此錯誤可能是因為全域 管理員 istrator 帳戶指定的使用者名稱或密碼不正確所造成。 如果指定的全域 管理員 istrator 帳戶已同盟,也可能會發生此錯誤。 若要修正此問題,請使用正確的使用者名稱和密碼重新執行設定,並確定系統管理員是受控帳戶(僅限雲端或密碼同步處理) 帳戶。 |
| 32010 | CryptoError | 此事件指出產生密碼加密金鑰或解密從雲端服務抵達的密碼時發生錯誤。 此錯誤可能表示您的環境發生問題。 查看事件記錄檔的詳細數據,以深入瞭解如何解決此問題。 您也可以嘗試停用,然後重新啟用密碼回寫服務。 |
| 32011 | OnBoardingServiceError | 此事件表示內部部署服務無法正確地與密碼重設 Web 服務通訊,以起始上線程式。 這可能會因為防火牆規則而發生,或租使用者取得驗證令牌時發生問題。 若要修正此問題,請確定您不會透過 TCP 443 和 TCP 9350-9354 或 封鎖輸出 https://ssprdedicatedsbprodncu.servicebus.windows.net連線。 也請確定您用來上線的 Microsoft Entra 系統管理員帳戶不會同盟。 |
| 32013 | OffBoardingError | 此事件表示內部部署服務無法正確地與密碼重設 Web 服務通訊,以起始下架程式。 這可能會因為防火牆規則而發生,或租使用者取得授權令牌時發生問題。 若要修正此問題,請確定您不會封鎖超過 443 或 的 https://ssprdedicatedsbprodncu.servicebus.windows.net輸出連線,而且您用來下架的 Microsoft Entra 系統管理員帳戶不會同盟。 |
| 32014 | ServiceBusWarning | 此事件表示我們必須重試,才能連線到租使用者的 服務匯流排 實例。 在正常情況下,這不應該是個問題,但如果您多次看到此事件,請考慮檢查與 服務匯流排 的網路連線,特別是如果是高延遲或低頻寬連線。 |
| 32015 | ReportServiceHealthError | 為了監視密碼回寫服務的健康情況,我們會每隔五分鐘將活動訊號數據傳送至密碼重設Web服務。 此事件表示將此健康情況資訊傳回雲端 Web 服務時發生錯誤。 此健康情況資訊不包含任何個人資料,純粹是活動訊號和基本服務統計數據,因此我們可以在雲端中提供服務狀態資訊。 |
| 33001 | ADUnKnownError | 此事件表示 Active Directory 傳回未知的錯誤。 如需詳細資訊,請參閱 Microsoft Entra 連線 伺服器事件記錄檔,以取得 ADSync 來源的事件。 |
| 33002 | ADUserNotFoundError | 此事件表示在內部部署目錄中找不到嘗試重設或變更密碼的使用者。 當使用者在內部部署但未在雲端中刪除時,就會發生此錯誤。 如果同步發生問題,也可能會發生此錯誤。如需詳細資訊,請查看同步處理記錄和最後幾個同步執行詳細數據。 |
| 33003 | ADMutliMatchError | 當密碼重設或變更要求源自雲端時,我們會使用 Microsoft Entra 連線 設定程式中指定的雲端錨點,以判斷如何將該要求連結回內部部署環境中的使用者。 此事件表示我們在內部部署目錄中找到兩個具有相同雲端錨點屬性的使用者。 如需詳細資訊,請查看同步處理記錄和最後幾個同步執行詳細數據。 |
| 33004 | ADPermissionsError | 此事件表示 Active Directory 管理代理程式 (ADMA) 服務帳戶在有問題的帳戶上沒有適當的許可權來設定新的密碼。 請確定使用者樹系中的ADMA帳戶具有樹系中所有物件的重設密碼許可權。 如需如何設定許可權的詳細資訊,請參閱步驟 4:設定適當的 Active Directory 許可權。 當使用者的 屬性 管理員 Count 設定為 1 時,也可能會發生此錯誤。 |
| 33005 | ADUserAccountDisabled | 此事件表示我們嘗試重設或變更已停用內部部署帳戶的密碼。 啟用帳戶,然後再試一次作業。 |
| 33006 | ADUserAccountLockedOut | 此事件表示我們嘗試重設或變更已鎖定內部部署帳戶的密碼。 當使用者在短時間內嘗試變更或重設密碼作業太多時,可能會發生鎖定。 解除鎖定帳戶,然後再操作一次。 |
| 33007 | ADUserIncorrectPassword | 此事件表示使用者在執行密碼變更作業時指定了不正確的目前密碼。 指定正確的目前密碼,然後再試一次。 |
| 33008 | ADPasswordPolicyError | 當密碼回寫服務嘗試在不符合網域密碼存留期、歷程記錄、複雜度或篩選需求的本機目錄上設定密碼時,就會發生此事件。 如果您有最低密碼存留期,且最近在該時段內變更密碼,您就無法再次變更密碼,直到它到達網域中的指定存留期為止。 為了進行測試,最低年齡應設定為 0。 如果您已啟用密碼歷程記錄需求,則必須選取過去 N 次未使用的密碼,其中 N 是密碼歷程記錄設定。 如果您選取過去 N 次已使用的密碼,則在此情況下會看到失敗。 為了進行測試,密碼歷程記錄應設定為0。 如果您有密碼複雜性需求,當使用者嘗試變更或重設密碼時,會強制執行所有密碼。 如果您已啟用密碼篩選,且用戶選取的密碼不符合篩選準則,則重設或變更作業會失敗。 |
| 33009 | ADConfigurationError | 此事件表示因為 Active Directory 的設定問題,將密碼寫回您的內部部署目錄時發生問題。 如需發生錯誤的詳細資訊,請檢查 Microsoft Entra 連線 計算機的應用程式事件記錄檔中是否有 ADSync 服務的訊息。 |
Microsoft Entra 論壇
如果您有關於 Microsoft Entra ID 和自助式密碼重設的一般問題,您可以在 Microsoft Entra ID 的 Microsoft Q&A 問題頁面上提出協助。 社群的成員包括工程師、產品經理、MVP 和 IT 專業人員。
連絡 Microsoft 支援服務
如果您找不到問題的解答,我們的支援小組隨時都能協助您進一步協助。
為了協助您,我們要求您在開啟案例時盡可能提供詳細數據。 這些詳細資料包括下列各項:
- 錯誤的一般描述:錯誤是什麼? 注意到的行為為何? 如何重現錯誤? 請提供盡可能詳細的資料。
- 頁面:您注意到錯誤時所開啟的頁面為何? 如果您能夠和頁面的螢幕快照,請包含URL。
- 支援碼:使用者看到錯誤時產生的支持碼為何?
若要尋找此程式碼,請重現錯誤,然後選取 畫面底部的 [支援程式代碼 ] 連結,並將產生的 GUID 傳送給支持工程師。
如果您在頁面底部沒有支援程式碼,請選取 F12 並搜尋 SID 和 CID,並將這兩個結果傳送給支持工程師。
- 日期、時間和時區:包含錯誤發生的時區的精確日期和時間。
- 用戶標識碼:神秘 是看到錯誤的使用者嗎? 例如 user@contoso.com。
- 這是同盟使用者嗎?
- 這是傳遞驗證使用者嗎?
- 這是密碼哈希同步處理的使用者嗎?
- 這是僅限雲端的使用者嗎?
- 授權:使用者是否已獲指派 Microsoft Entra ID 授權?
- 應用程式事件記錄檔:如果您使用密碼回寫,且錯誤位於內部部署基礎結構中,請包含來自 Microsoft Entra 連線 伺服器的壓縮應用程式事件記錄檔複本。
下一步
若要深入瞭解 SSPR,請參閱 運作方式:Microsoft Entra 自助式密碼 重設或 自助式密碼重設回寫如何在 Microsoft Entra ID 中運作?。