為 Microsoft Entra ID 中的自助式密碼重設回寫進行疑難排解
Microsoft Entra 自助式密碼重設 (SSPR) 可讓使用者在雲端重設其密碼。 密碼回寫是透過 Microsoft Entra Connect 或雲端同步所啟用的功能,允許將雲端中的密碼變更即時回寫至現有內部部署目錄。
如果您有 SSPR 回寫的問題,則下列疑難排解步驟和常見錯誤可能會有幫助。 如果找不到問題的答案,我們的支援團隊一直都能進一步協助您。
針對連線問題進行疑難排解
如有 Microsoft Entra Connect 密碼回寫方面的問題,請檢閱下列步驟來協助您解決問題。 若要復原您的服務,建議您依序遵循下列步驟:
- 檢查網路連線
- 檢查 TLS 1.2
- 更新Microsoft .NET 4.8
- 重新啟動 Microsoft Entra Connect 同步服務
- 將密碼回寫功能先停用再重新啟用
- 安裝最新的 Microsoft Entra Connect 版本
- 疑難排解密碼回寫
檢查網路連線
最常見的失敗點是防火牆或 Proxy 連接埠,或是閒置逾時的設定不正確。
若為 Microsoft Entra Connect 1.1.443.0 版和更新版本,則必須有下列位址的輸出 HTTPS 存取權:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Azure China 21Vianet 端點:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
如果需要更細微的資料,請參閱公用雲端的 Microsoft Azure IP 範圍和服務標籤清單。
對於美國政府適用的 Azure,請參閱適用於美國政府雲端的 Microsoft Azure IP 範圍和服務標籤清單。
這些檔案會每週更新。
若要判斷在公用 Azure 雲端等環境中是否限制對 URL 和埠的存取,請遵循下列步驟:
在 Entra connect 伺服器上,開啟事件查看器記錄檔(Windows 記錄檔、應用程式),並找出下列其中一個事件標識碼:31034 或 31019。
從這些事件識別碼中,識別服務總線接聽程式的名稱:
執行下列 Cmdlet:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443或執行下列 Cmdlet:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose將 <命名空間> 取代為您從上述事件識別子擷取的相同 。 例如,在上述案例中,命令為:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
如需詳細資訊,請參閱 Microsoft Entra Connect 的連線必要條件。
檢查 TLS 1.2 是否已啟用
另一個疑難解答步驟是在同步伺服器上檢查 TLS 1.2 是否已啟用。 執行 PowerShell 腳本以檢查 Entra Connect Server 上的 TLS 1.2。 請務必在管理員模式中執行腳本。
檢查文本的輸出,其看起來必須類似下圖(路徑、名稱和值數據行),才能正確啟用。 如果沒有,請執行 PowerShell 腳本以在 Entra Connect Server 上啟用 TLS 1.2/然後重新啟動伺服器,然後執行腳本以再次檢查 TLS 1.2。
請確定已啟用Microsoft .NET Framework 4.8 或更高版本 (同步伺服器)
請確定同步伺服器上已啟用Microsoft .NET Framework 4.8 或更高版本。
重新啟動 Microsoft Entra Connect 同步服務
若要解決此服務的連線問題或其他暫時性問題,請完成下列步驟以重新啟動 Microsoft Entra Connect Sync 服務:
在執行 Microsoft Entra Connect 之伺服器上,以系統管理員身分選取 [啟動]。
在搜尋欄位中輸入 services.msc並選取 [輸入]。
尋找 Azure AD 同步 項目。
以滑鼠右鍵按一下服務項目、選取 [重新啟動],然後等候作業完成。
這些步驟可讓您重新連線到 Microsoft Entra ID,這樣應該就能解決連線問題了。
如果重新啟動 Microsoft Entra Connect Sync 服務無法解決問題,請嘗試在下一區段先停用再重新啟用密碼回寫功能。
先將「密碼回寫」功能停用,然後再重新啟用
若要繼續對問題進行疑難排解,請完成下列步驟,先停用再重新啟用密碼回寫功能:
- 在執行 Microsoft Entra Connect 之伺服器上,以系統管理員的身分開啟 Microsoft Entra Connect 設定精靈。
- 在 [連線到 Microsoft Entra ID] 中,輸入您的 Microsoft Entra 全域管理員認證。
- 在 [連線到 AD DS] 中,輸入內部部署 Active Directory Domain Services 管理員認證。
- 在 [專門識別您的使用者] 中,選取 [下一步] 按鈕。
- 在 [選用功能] 中,清除 [密碼回寫] 核取方塊。
- 在其餘的對話方塊頁面上逐一選取 [下一步] 而不變更任何項目,直到到達 [準備好設定] 頁面為止。
- 檢查 [已可設定] 頁面是否顯示 [密碼回寫] 選項為 [已停用]。 選取綠色的 [設定] 按鈕來認可變更。
- 在 [已完成] 中,清除 [立即同步處理] 選項,然後選取 [完成] 來關閉精靈。
- 重新開啟 Microsoft Entra Connect 設定精靈。
- 重複步驟 2 至步驟 8,這次在 [選用功能] 頁面上選取 [密碼回寫] 選項來重新啟用服務。
這些步驟可讓您重新連線到 Microsoft Entra ID,這樣應該就能解決連線問題了。
如果先停用再重新啟用密碼回寫功能並未解決問題,請在下一區段重新安裝 Microsoft Entra Connect。
安裝最新的 Microsoft Entra Connect 版本
重新安裝 Microsoft Entra Connect 可以解決 Microsoft Entra ID 和本機 Active Directory Domain Services 環境之間的設定和連線問題。 建議您在嘗試過先前的步驟來驗證連線能力並進行疑難排解之後,才執行此步驟。
警告
如果您已自訂現成可用的同步處理規則,請先備份這些規則再繼續進行升級,完成後再以手動方式重新部署這些規則。
從 Microsoft 下載中心下載最新版的 Microsoft Entra Connect。
若已安裝 Microsoft Entra Connect,請執行就地升級,將 Microsoft Entra Connect 安裝更新為最新版本。
執行下載的套件,並遵循螢幕上的指示來更新 Microsoft Entra Connect。
這些步驟應可讓您重新連線到 Microsoft Entra ID 並解決連線問題。
如果安裝最新版 Microsoft Entra Connect 伺服器並未解決問題,則最後一步是在安裝最新版本後,試著先停用再重新啟用密碼回寫。
確認 Microsoft Entra Connect 具有必要的權限
Microsoft Entra Connect 需要 AD DS 的重設密碼權限才能執行密碼回寫。 若要檢查 Microsoft Entra Connect 是否有給定內部部署 AD DS 使用者帳戶的所需權限,請使用 Windows 有效權限功能:
登入 Microsoft Entra Connect 伺服器,並啟動 Synchronization Service Manager,方法是選取 [開始] > [同步服務]。
在 [連接器] 索引標籤下,選取內部部署 [Active Directory Domain Services] 連接器,然後選取 [屬性]。
在快顯視窗中,選取 [連線到 Active Directory 樹系] 索引標籤,然後記下 [使用者名稱] 屬性。 這個屬性是 Microsoft Entra Connect 用來執行目錄同步作業的 AD DS 帳戶。
若要讓 Microsoft Entra Connect 能夠執行密碼回寫,AD DS 帳戶必須有「重設密碼」權限。 請在下列步驟中檢查此使用者帳戶上的權限。
登入內部部署網域控制站,然後啟動 Active Directory 使用者和電腦應用程式。
選取 [檢視],並確定 [進階功能] 選項已啟用。
尋找您想要確認的 AD DS 使用者帳戶。 以滑鼠右鍵按一下帳戶名稱,然後選取 [屬性]。
在快顯視窗中,移至 [安全性] 索引標籤,然後選取 [進階]。
在 [系統管理員的進階安全性設定] 快顯視窗中,移至 [有效存取權] 索引標籤。
選擇 [選取使用者],選取 Microsoft Entra Connect 所使用的 AD DS 帳戶,然後選取 [檢視有效存取權]。
![顯示同步處理帳戶的 [有效存取權] 索引標籤](media/troubleshoot-sspr-writeback/view-effective-access.png)
向下捲動並尋找 [重設密碼]。 如果該項目有核取記號,AD DS 帳戶就有權限可重設選定 Active Directory 使用者帳戶的密碼。
常見的密碼回寫錯誤
密碼回寫可能會發生下列更具體的問題。 如果遇到上述其中一個錯誤,請檢閱所提議的解決方案,並檢查密碼回寫隨後是否正確運作。
| 錯誤 | 解決方法 |
|---|---|
| 無法內部部署啟動密碼重設服務。 Microsoft Entra Connect 電腦的應用程式事件記錄檔中會出現錯誤 6800。 上架之後,同盟、傳遞驗證或密碼雜湊同步使用者無法重設其密碼。 |
啟用「密碼回寫」時,同步處理引擎會透過與雲端上線服務通訊,呼叫回寫程式庫來執行設定 (上線)。 在上線期間或啟動 Windows Communication Foundation (WCF) 端點來進行「密碼回寫」時,如果發生任何錯誤,都會導致 Microsoft Entra Connect 電腦的事件記錄中出現錯誤。 在 Azure AD Sync (ADSync) 服務重新啟動期間,若已設定回寫,就會啟動 WCF 端點。 不過,如果端點啟動失敗,我們會記錄事件 6800,並讓同步處理服務啟動。 出現此事件即表示「密碼回寫」端點並未啟動。 此事件 (6800) 的事件記錄詳細資料,以及 PasswordResetService 元件所產生的事件記錄項目會指出為何無法啟動端點。 如果「密碼回寫」仍然無法運作,請檢閱這些事件記錄錯誤,然後嘗試重新啟動 Microsoft Entra Connect。 如果此問題持續發生,請嘗試先將「密碼回寫」停用再重新啟用。 |
| 當使用者嘗試在已啟用密碼回寫時重設密碼或解除鎖定帳戶,作業會失敗。 此外,在解除鎖定作業發生之後,您會在 Microsoft Entra Connect 事件記錄中看到事件,其中包含:"Synchronization Engine returned an error hr=800700CE, message=The filename or extension is too long"。 |
尋找 Microsoft Entra Connect 的 Active Directory 帳戶,並將密碼重設,使其包含不超過 256 個字元。 接下來,從 [開始] 功能表開啟 [同步處理服務]。 瀏覽至 [連接器],然後尋找 [Active Directory 連接器]。 選取它,然後選取 [屬性]。 瀏覽至 [認證] 頁面,然後輸入新密碼。 選取 [確定] 以關閉頁面。 |
| 在 Microsoft Entra Connect 安裝程序的最後一個步驟,您會看到一個錯誤,指出無法設定「密碼回寫」。 Microsoft Entra Connect 應用程式事件記錄包含錯誤 32009,以及「取得授權權杖時發生錯誤」文字。 |
下列兩種情況會發生此錯誤:
|
| Microsoft Entra Connect 電腦的事件記錄包含透過執行 PasswordResetService 所擲回的錯誤 32002。 此錯誤指出:「連線到服務匯流排時發生錯誤。 權杖提供者無法提供安全性權杖。」 |
您的內部部署環境無法連線到雲端的 Azure 服務匯流排端點。 這個錯誤是因為防火牆規則封鎖連往特定連接埠或網址的輸出連線所導致。 如需詳細資訊,請參閱連線必要條件。 在更新這些規則後,請重新啟動 Microsoft Entra Connect 伺服器,密碼回寫應該就會再次開始運作。 |
| 運作一段時間之後,同盟、傳遞驗證或密碼雜湊同步使用者無法重設其密碼。 | 在某些罕見的情況下,Microsoft Entra Connect 重新啟動後,「密碼回寫」服務可能仍無法重新啟動。 在這些情況下,請先檢查內部部署環境是否已啟用密碼回寫。 您可以使用 Microsoft Entra Connect 精靈或 PowerShell 來檢查。 如果此功能顯示為已啟用,請再次嘗試啟用或停用此功能。 如果這個疑難排解步驟沒有效,請嘗試完整解除安裝再重新安裝 Microsoft Entra Connect。 |
| 同盟、傳遞驗證或密碼雜湊同步使用者若嘗試重設其密碼,會在嘗試提交密碼後看到錯誤。 此錯誤表示發生服務問題。 除了這個問題之外,在密碼重設作業期間,您可能會在內部部署的事件記錄中看到關於管理代理程式存取遭拒的錯誤。 |
如果您在事件記錄中看到這些錯誤,請確認在設定時於精靈中指定的 Active Directory 管理代理程式 (ADMA) 帳戶具有密碼回寫的必要權限。 這項權限在授與後,最多需要一小時的時間,才會透過網域控制站 (DC) 上的 sdprop 背景工作往下傳遞。 若要讓密碼重設正常運作,必須在要重設密碼的使用者物件安全性描述元上為權限加上戳記。 在使用者物件上出現此權限之前,密碼重設會繼續因存取遭拒訊息而失敗。 |
| 同盟、傳遞驗證或密碼雜湊同步使用者若嘗試重設其密碼,會在嘗試提交密碼後看到錯誤。 此錯誤表示發生服務問題。 除了這個問題之外,在密碼重設作業期間,您可能會在 Microsoft Entra Connect 服務的事件記錄中,看到指出「找不到物件」的錯誤。 |
這個錯誤通常表示同步處理引擎找不到 Microsoft Entra 連接器空間、連結的 Metaverse (MV) 或 Microsoft Entra 連接器空間物件中的使用者物件。 若要為這個問題進行疑難排解,請確定使用者已確實透過 Microsoft Entra Connect 的目前執行個體從內部部署同步處理到 Microsoft Entra ID,並檢查連接器空間和 MV 中物件的狀態。 確認 Active Directory 憑證服務 (AD CS) 物件會透過「Microsoft.InfromADUserAccountEnabled.xxx」規則連線到 MV 物件。 |
| 同盟、傳遞驗證或密碼雜湊同步使用者若嘗試重設其密碼,會在嘗試提交密碼後看到錯誤。 此錯誤表示發生服務問題。 除了這個問題之外,在密碼重設作業期間,您可能會在 Microsoft Entra Connect 服務的事件記錄中看到錯誤,指出「找到多個相符項目」錯誤。 |
此錯誤指出同步處理引擎偵測到 MV 物件透過「Microsoft.InfromADUserAccountEnabled.xxx」連線到多個 AD CS 物件。 這表示使用者在多個樹系中啟用帳戶。 密碼回寫不支援此案例。 |
| 密碼作業因設定錯誤而失敗。 應用程式事件記錄中包含 Microsoft Entra Connect 錯誤 6329 和文字:「0x8023061f (作業失敗,因為此管理代理程式上未啟用密碼同步處理)」。 | 如果在已經啟用密碼回寫功能之後,變更 Microsoft Entra Connect 設定以新增 Active Directory 樹系 (或移除現有樹系再重新加入),就會發生此錯誤。 位於在這些最近新增樹系中的使用者,其密碼作業會失敗。 若要修正此問題,請在完成樹系設定變更之後,將「密碼回寫」功能先停用,然後再重新啟用。 |
| SSPR_0029:因為您的內部部署設定發生錯誤,我們無法重設您的密碼。 請連絡您的系統管理員,並要求他們調查。 | 問題:密碼回寫已遵循所有必要的步驟啟用,但在嘗試變更密碼時,您會收到「SSPR_0029:您的組織尚未正確設定密碼重設的內部部署設定」。檢查 Microsoft Entra Connect 系統上的事件記錄檔會顯示管理代理程式認證遭到拒絕存取。 可能的解決方案:在 Microsoft Entra Connect 系統上使用 RSOP,以及您的域控制器,以查看是否已啟用 [電腦>設定 Windows 設定>安全性設定本機原則>安全性>選項] 底下找到的原則「網路存取:限制允許對 SAM 進行遠端呼叫」的原則。 編輯此原則以將 MSOL_XXXXXXX 管理帳戶納入為允許的使用者。 如需詳細資訊,請參閱疑難排解錯誤 SSPR_0029:您的組織尚未正確設定密碼重設的內部部署設定。 |
密碼回寫事件記錄檔錯誤碼
為密碼回寫問題進行疑難排解時,最佳做法是檢查 Microsoft Entra Connect 電腦上的應用程式事件記錄檔。 這個事件記錄包含「密碼回寫」兩個來源的事件。 PasswordResetService 來源會說明與「密碼回寫」作業相關的作業和問題。 ADSync 來源會說明與 Active Directory Domain Services 環境中的密碼設定相關的作業和問題。
如果事件來源是 ADSync
| 代碼 | 名稱或訊息 | 描述 |
|---|---|---|
| 6329 | BAIL: MMS(4924) 0x80230619:「有一項限制讓密碼無法變更為目前指定的密碼。」 | 當「密碼回寫」服務嘗試在本機目錄上設定不符合密碼有效期、歷程記錄、複雜度或網域篩選需求的密碼時,就會發生此事件。 如果使用者的密碼無法變更,也可能會發生此事件。 如果您有最短的密碼使用期限,且最近在該時段內變更過密碼,就必須在到達網域中指定的使用期限後,才能再次變更密碼。 若要進行測試,最短使用期限應該設定為 0。 如果已啟用密碼歷程記錄需求,則必須選取最近 N 次未用過的密碼,其中 N 是密碼歷程記錄設定。 如果您選取最近 N 次用過的密碼,則會在此案例中看到失敗。 若要進行測試,密碼歷程記錄應該設定為 0。 如果您有密碼複雜度需求,則會在使用者嘗試變更或重設密碼時強制執行這些需求。 如果您啟用密碼篩選功能,當使用者選取的密碼不符合篩選準則時,重設或變更作業就會失敗。 如果使用者已設定 PASSWD_CANT_CHANGE 屬性旗標,則無法同步其密碼。 為了進行測試,請移除 PASSWD_CANT_CHANGE 屬性旗標。 如需詳細資訊,請參閱屬性旗標描述。 |
| 6329 | MMS(3040): admaexport.cpp(2837): 伺服器未包含 LDAP 密碼原則控制項。 | 如果未在 DC 上啟用 LDAP_SERVER_POLICY_HINTS_OID 控制項 (1.2.840.113556.1.4.2066),就會發生此問題。 若要使用密碼回寫功能,您必須啟用該控制項。 若要進行此作業,DC 必須是在 Windows Server 2016 或更新版本上。 |
| HR 8023042 | 同步處理引擎傳回的錯誤 hr= 80230402,訊息=嘗試取得物件失敗,因為存在具有相同錨點的重複項目。 | 在多個網域中啟用相同的使用者識別碼時,就會發生此錯誤。 例如,如果您在同步處理的帳戶和資源樹系中皆存在相同的使用者識別碼,且在每個樹系中皆為啟用時。 如果您使用非唯一的錨點屬性 (例如別名或 UPN),而且兩個使用者共用該相同的錨點屬性時,也會發生此錯誤。 若要解決這個問題,請確定您的網域內沒有重複的使用者,且每個使用者皆使用唯一的錨點屬性。 |
如果事件來源為 PasswordResetService
| 代碼 | 名稱或訊息 | 描述 |
|---|---|---|
| 31001 | PasswordResetStart | 這個事件表示內部部署服務偵測到源自雲端、針對同盟、傳遞驗證或密碼雜湊同步使用者所提出的密碼重設要求。 這個事件是每個密碼重設回寫作業的第一個事件。 |
| 31002 | PasswordResetSuccess | 這個事件表示使用者在密碼重設作業期間選取了新的密碼。 我們認為這個密碼符合公司的密碼需求。 密碼已成功地寫回至本機的 Active Directory 環境。 |
| 31003 | PasswordResetFail | 此事件表示使用者選取了密碼,且密碼已成功送達內部部署環境。 但是,當我們嘗試在本機 Active Directory 環境中設定密碼時,發生失敗。 此失敗有幾個可能原因:
|
| 31004 | OnboardingEventStart | 若啟用搭配 Microsoft Entra Connect 運作的「密碼回寫」就會發生此事件,這表示我們已開始為貴組織上架「密碼回寫」Web 服務。 |
| 31005 | OnboardingEventSuccess | 這個事件表示上線程序已順利完成,「密碼回寫」功能已可供使用。 |
| 31006 | ChangePasswordStart | 這個事件表示內部部署服務偵測到源自雲端、針對同盟、傳遞驗證或密碼雜湊同步使用者所提出的密碼變更要求。 這個事件是每個密碼變更回寫作業的第一個事件。 |
| 31007 | ChangePasswordSuccess | 這個事件表示使用者在密碼變更作業期間選取了新的密碼,我們判斷此密碼符合公司的密碼需求,因此該密碼已成功回寫至本機 Active Directory 環境。 |
| 31008 | ChangePasswordFail | 這個事件表示使用者選取了密碼,該密碼已成功抵達內部部署環境,但是當我們嘗試在本機 Active Directory 環境中設定密碼時,發生了失敗狀況。 此失敗有幾個可能原因:
|
| 31009 | ResetUserPasswordByAdminStart | 內部部署服務偵測到源自系統管理員,代表使用者且針對同盟、傳遞驗證或密碼雜湊同步使用者所提出的密碼重設要求。 這個事件是每個由系統管理員所起始之密碼重設回寫作業的第一個事件。 |
| 31010 | ResetUserPasswordByAdminSuccess | 系統管理員在系統管理員起始密碼重設作業期間選取了新的密碼。 我們認為這個密碼符合公司的密碼需求。 密碼已成功地寫回至本機的 Active Directory 環境。 |
| 31011 | ResetUserPasswordByAdminFail | 系統管理員代表使用者選取了密碼。 密碼已成功送達內部部署環境。 但是,當我們嘗試在本機 Active Directory 環境中設定密碼時,發生失敗。 此失敗有幾個可能原因:
|
| 31012 | OffboardingEventStart | 若停用搭配 Microsoft Entra Connect 運作的「密碼回寫」就會發生此事件,這表示我們已開始為貴組織下架「密碼回寫」Web 服務。 |
| 31013 | OffboardingEventSuccess | 這個事件表示下架程序已順利完成,「密碼回寫」功能已順利停用。 |
| 31014 | OffboardingEventFail | 這個事件表示下架程序未成功。 這可能是因為雲端上或是設定期間所指定之內部部署系統管理員帳戶的權限錯誤。 在停用密碼回寫時,如果您嘗試使用同盟的雲端全域管理員,也會發生錯誤。 若要修正此問題,請檢查您的系統管理權限,並確定您在設定「密碼回寫」功能時,未使用已同盟的帳戶。 |
| 31015 | WriteBackServiceStarted | 這個事件表示已成功啟動密碼回寫服務。 已準備好接受來自雲端的密碼管理要求。 |
| 31016 | WriteBackServiceStopped | 這個事件表示密碼回寫服務已停止。 來自雲端的任何密碼管理要求都不會成功。 |
| 31017 | AuthTokenSuccess | 這個事件表示我們已順利擷取 Microsoft Entra Connect 設定期間所指定之全域系統管理員的授權權杖,以便開始下架或上架程序。 |
| 31018 | KeyPairCreationSuccess | 這個事件表示我們已成功建立密碼加密金鑰。 此金鑰是用來加密從雲端傳送至您內部部署環境的密碼。 |
| 31019 | ServiceBusHeartBeat | 此事件表示我們已成功將要求傳送至租用戶的服務匯流排執行個體。 |
| 31034 | ServiceBusListenerError | 這個事件表示連線到租用戶的服務匯流排接聽程式時發生錯誤。 如果錯誤訊息中包含「遠端憑證無效」,請進行檢查以確定 Microsoft Entra Connect 伺服器具有 Azure TLS 憑證變更中所述的所有必要根 CA。 |
| 31044 | PasswordResetService | 此事件表示密碼回寫無法運作。 服務匯流排會在兩個不同的轉送上接聽要求以進行備援。 每個轉送連線都會由唯一的服務主機進行管理。 如果任一服務主機未執行,回寫用戶端便會傳回錯誤。 |
| 32000 | UnknownError | 這個事件表示密碼管理作業期間發生未知的錯誤。 請查看事件中的例外狀況文字,以獲得詳細資訊。 如果您遇到問題,請嘗試先將「密碼回寫」停用,然後再重新啟用。 如果這麼做沒有用,請在開啟支援要求時納入事件記錄複本以及指定的追蹤識別碼。 |
| 32001 | ServiceError | 這個事件表示連線到雲端密碼重設服務時發生錯誤。 當內部部署服務無法連線到密碼重設 web 服務時,通常就會發生這個錯誤。 |
| 32002 | ServiceBusError | 這個事件表示連線到租用戶的服務匯流排執行個體時發生錯誤。 如果您在內部部署環境中封鎖了輸出連線,就會發生這個問題。 請檢查您的防火牆來確保您允許透過 TCP 443 及連到 https://ssprdedicatedsbprodncu.servicebus.windows.net 的連線,然後再試一次。 如果仍遇到問題,請嘗試先將「密碼回寫」停用,然後再重新啟用。 |
| 32003 | InPutValidationError | 這個事件表示傳遞到我們的 Web 服務 API 的輸入無效。 請重試一次此作業。 |
| 32004 | DecryptionError | 這個事件表示在解密從雲端抵達的密碼時發生錯誤。 原因可能是雲端服務和內部部署環境的解密金鑰不符。 若要解決此問題,請先將您內部部署環境中的「密碼回寫」停用,然後再重新啟用。 |
| 32005 | ConfigurationError | 上架期間,我們將租用戶特定的資訊儲存在內部部署環境的設定檔中。 這個事件表示儲存此檔案時發生錯誤,或啟動服務時發生檔案讀取錯誤。 若要修正此問題,請嘗試先將「密碼回寫」停用,然後再重新啟用,以強制重寫此組態檔。 |
| 32007 | OnBoardingConfigUpdateError | 上架期間,我們會從雲端傳送資料到內部部署密碼重設服務。 接著,該資料會寫入記憶體內檔案中,然後再傳送至同步處理服務,安全地儲存在磁碟上。 這個事件表示在記憶體中寫入或更新該資料時發生問題。 若要修正此問題,請嘗試先將「密碼回寫」停用,然後再重新啟用,以強制重寫此組態檔。 |
| 32008 | ValidationError | 這個事件表示我們從密碼重設 Web 服務收到的回應無效。 若要修正此問題,請嘗試先將「密碼回寫」停用,然後再重新啟用。 |
| 32009 | AuthTokenError | 這個事件表示我們無法取得 Microsoft Entra Connect 設定期間所指定之全域管理員帳戶的授權權杖。 造成這個錯誤的原因可能是全域系統管理員帳戶所指定的使用者名稱或密碼錯誤。 如果所指定的全域系統管理員帳戶已結成同盟,也可能會發生這個錯誤。 若要修正此問題,請以正確的使用者名稱和密碼重新執行設定,並確保系統管理員是受控 (僅限雲端或已密碼同步處理的) 帳戶。 |
| 32010 | CryptoError | 這個事件表示在產生密碼加密金鑰或解密從雲端服務抵達的密碼時發生錯誤。 此錯誤可能表示您的環境有問題。 請查看事件記錄的詳細資料,深入了解此問題並加以解決。 您也可以嘗試先將「密碼回寫」服務停用,然後再重新啟用。 |
| 32011 | OnBoardingServiceError | 這個事件表示內部部署服務與密碼重設 Web 服務無法正確地通訊,來起始上架程序。 這可能是因為有防火牆規則,或是取得租用戶的驗證權杖時發生問題。 若要修正此問題,請確定您沒有封鎖透過 TCP 443 和 TCP 9350-9354 或連到 https://ssprdedicatedsbprodncu.servicebus.windows.net 的輸出連線。 並請確認您用來上架的 Microsoft Entra 管理員帳戶並未結成同盟。 |
| 32013 | OffBoardingError | 這個事件表示內部部署服務與密碼重設 Web 服務無法正確地通訊,來起始下架程序。 這可能是因為有防火牆規則,或是取得租用戶的授權權杖時發生問題。 若要修正此問題,請確定您沒有封鎖透過 443 或連到 https://ssprdedicatedsbprodncu.servicebus.windows.net 的輸出連線,且您要用來下架的 Microsoft Entra 管理員帳戶並未結成同盟。 |
| 32014 | ServiceBusWarning | 這個事件表示我們必須重試連線到租用戶的服務匯流排執行個體。 在正常情況下,您不必在意此事件,但如果您多次看到此事件,請考慮檢查服務匯流排網路連線,尤其是如果它是高延遲或低頻寬連線的話。 |
| 32015 | ReportServiceHealthError | 為了監視「密碼回寫」服務的健康情況,我們每隔 5 分鐘就會傳送一次活動訊號資料給我們的密碼重設 Web 服務。 這個事件表示在將此健全狀況資訊傳回到雲端 Web 服務時發生錯誤。 此健康狀態資訊不包含任何個人資料,純綷只有活動訊號和基本服務統計資料,以便我們可在雲端中提供服務狀態資訊。 |
| 33001 | ADUnKnownError | 這個事件表示 Active Directory 傳回未知的錯誤。 如需詳細資訊,請檢查來自 ADSync 來源之事件的 Microsoft Entra Connect 伺服器事件記錄。 |
| 33002 | ADUserNotFoundError | 這個事件表示在內部部署目錄中找不到嘗試重設或變更密碼的使用者。 當已在內部部署但未在雲端中刪除使用者時,就可能發生這個錯誤。 如果同步處理發生問題,也可能會發生這個錯誤。如需詳細資訊,請檢查您的同步處理記錄,以及最後幾次執行的同步處理詳細資料。 |
| 33003 | ADMutliMatchError | 若密碼重設或變更要求源自雲端,我們會使用 Microsoft Entra Connect 設定程序期間所指定的雲端錨點,來判斷如何將該要求往回連結到內部部署環境中的使用者。 這個事件表示我們發現內部部署目錄中有兩位使用者具有相同的雲端錨點屬性。 如需詳細資訊,請檢查您的同步處理記錄,以及最後幾次執行的同步處理詳細資料。 |
| 33004 | ADPermissionsError | 這個事件表示 Active Directory 管理代理程式 (ADMA) 服務帳戶沒有適當的指定帳戶權限,因此無法設定新密碼。 請確定使用者樹系中 ADMA 帳戶有樹系中所有物件的重設密碼權限。 如需有關如何設定權限的詳細資訊,請參閱步驟 4:設定適當的 Active Directory 權限。 當使用者的屬性 AdminCount 設為 1 時,也會發生此錯誤。 |
| 33005 | ADUserAccountDisabled | 這個事件表示我們嘗試對內部部署中已停用的帳戶重設或變更密碼。 請啟用帳戶,然後再試一次此作業。 |
| 33006 | ADUserAccountLockedOut | 這個事件表示我們嘗試對內部部署中已鎖定的帳戶重設或變更密碼。 當使用者在短時間內嘗試進行變更或重設密碼作業太多次,就可能發生鎖定。 請解除鎖定帳戶,然後再試一次此作業。 |
| 33007 | ADUserIncorrectPassword | 這個事件表示使用者在執行密碼變更作業時,指定的目前密碼不正確。 請指定正確的目前密碼,然後再試一次。 |
| 33008 | ADPasswordPolicyError | 當「密碼回寫」服務嘗試在本機目錄上設定不符合密碼有效期、歷程記錄、複雜度或網域篩選需求的密碼時,就會發生此事件。 如果您有最短的密碼使用期限,且最近在該時段內變更過密碼,就必須在到達網域中指定的使用期限後,才能再次變更密碼。 若要進行測試,最短使用期限應該設定為 0。 如果已啟用密碼歷程記錄需求,則必須選取最近 N 次未用過的密碼,其中 N 是密碼歷程記錄設定。 如果您選取最近 N 次用過的密碼,則會在此案例中看到失敗。 若要進行測試,密碼歷程記錄應該設定為 0。 如果您有密碼複雜度需求,則會在使用者嘗試變更或重設密碼時強制執行這些需求。 如果您啟用密碼篩選功能,當使用者選取的密碼不符合篩選準則時,重設或變更作業就會失敗。 |
| 33009 | ADConfigurationError | 這個事件表示 Active Directory 的設定有問題,因此在將密碼回寫到內部部署目錄時發生問題。 如需所發生錯誤的詳細資訊,請檢查 Microsoft Entra Connect 電腦的應用程式事件記錄中來自 ADSync 服務的訊息。 |
從密碼回寫保留的組織單位字元
下表列出防止密碼回寫的保留字元。 如果這些字元出現在內部部署組織單位 (OU) 結構中,密碼回寫可能會因為事件標識碼 33001 而失敗。
| 保留字元 | 描述 | 十六進位值 |
|---|---|---|
| 字串開頭的空格或 # 字元 | ||
| 字串結尾的空格字元 | ||
| , | 逗號 | 0x2C |
| + | 加號 (+) | 0x2B |
| " | 引號 (") | 0x22 |
| \ | 反斜線 | 0x5C |
| < | 左角括弧 | 0x3C |
| > | 右角括弧 | 0x3E |
| ; | 分號 (;) | 0x3B |
| LF | 換行字元 | 0x0A |
| 哥斯大黎加 | 歸位字元 | 0x0D |
| = | 等號 | 0x3D |
| / | 正斜線 | 0x2F |
Microsoft Entra 論壇
如果您有 Microsoft Entra 和自助式密碼重設的一般問題,則可在 Microsoft 的 Microsoft Entra ID 問與答頁面向社群尋求協助。 社群的成員包括工程師、產品經理、MVP 和夥伴 IT 專業人員。
連絡 Microsoft 支援服務
如果找不到問題的答案,我們的支援團隊一直都能進一步協助您。
為了正確地提供協助,我們會要求您在開啟案例時,提供盡可能詳細的資料。 這些詳細資料包括下列項目:
- 錯誤的一般描述:錯誤為何? 注意到何種行為? 我們如何才能重現錯誤? 請提供盡可能詳細的資料。
- 頁面:您注意到錯誤時的所在頁面? 盡可能包含 URL 和頁面的螢幕擷取畫面。
- 支援碼:使用者看到錯誤時所產生的支援碼?
若要找到支援碼,請重現錯誤,然後按一下畫面底部的 [支援碼] 連結,將所產生的 GUID 傳送給支援工程師。
如果您所在的頁面底部沒有支援碼,請選取 F12,搜尋 SID 和 CID,然後將這兩個結果傳送給支援工程師。
- 日期、時間和時區:請包含發生錯誤的精確日期和時間 (含時區)。
- 使用者識別碼:看到錯誤的使用者是誰? 例如 user@contoso.com。
- 這是同盟使用者嗎?
- 這是傳遞驗證使用者嗎?
- 這是密碼雜湊同步使用者嗎?
- 這是否僅限雲端的使用者?
- 授權:使用者是否已指派 Microsoft Entra ID 授權?
- 應用程式事件記錄:若使用密碼回寫,而且錯誤位於您的內部部署基礎結構中,請包含來自 Microsoft Entra Connect 伺服器的應用程式事件記錄壓縮複本。
下一步
若要深入了解 SSPR,請參閱運作方式:Microsoft Entra 自助式密碼重設或自助式密碼重設回寫如何在 Microsoft Entra ID 中運作?。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: